Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tato stránka vysvětluje, jak autorizovat přístup k prostředkům Azure Databricks pomocí rozhraní příkazového řádku Azure Databricks a rozhraní REST API. Popisuje různé metody autorizace, kdy je použít a jak nakonfigurovat ověřování pro váš případ použití.
Pokud chcete získat přístup k prostředkům Azure Databricks pomocí rozhraní příkazového řádku nebo rozhraní REST API, musíte se ověřit pomocí účtu Azure Databricks s příslušnými oprávněními. Účet konfiguruje váš správce Azure Databricks nebo uživatel s oprávněními správce.
Typy účtů a rozhraní API
Existují dva typy účtů, které můžete použít k ověřování:
- Uživatelský účet: Pro interaktivní příkazy rozhraní příkazového řádku a volání rozhraní API.
- Služební hlavní objekt: Pro automatizované příkazy rozhraní příkazového řádku a volání rozhraní API bez lidské interakce.
Servisní účet MS Entra můžete použít k autorizaci přístupu k vašemu účtu Azure Databricks nebo k pracovnímu prostoru. Viz Ověřování pomocí instančních objektů Microsoft Entra. Databricks však doporučuje používat instanční objekt Databricks s OAuth, protože jeho přístupové tokeny jsou robustnější pro autorizaci pouze Databricks.
Azure Databricks má dva typy rozhraní API, která vyžadují různé přístupy k ověřování:
- Rozhraní API na úrovni účtu: K dispozici vlastníkům účtů a správcům hostovaným na adrese URL konzoly účtu. Viz rozhraní API na úrovni účtu.
- Rozhraní API na úrovni pracovního prostoru: K dispozici uživatelům a správcům pracovního prostoru hostovaným na adresách URL pracovního prostoru. Podívejte se na rozhraní API na úrovni pracovního prostoru.
Metody autorizace
Zvolte metodu autorizace, která nejlépe vyhovuje vašemu případu použití. Nástroje a sady SDK Azure Databricks podporují více metod autorizace, takže můžete vybrat nejvhodnější metodu pro váš scénář.
| Method | Description | Případ použití |
|---|---|---|
| Federace tokenů OAuth v Databricks (doporučeno) | Tokeny OAuth z vašeho zprostředkovatele identity pro uživatele nebo systémové zástupce. | Umožňuje ověřování v Azure Databricks bez správy tajných kódů Databricks. |
| Databricks OAuth pro služby (OAuth M2M) | Krátkodobé tokeny OAuth pro služební identity. | Scénáře bezobslužného ověřování, jako jsou plně automatizované pracovní postupy a pracovní postupy CI/CD. |
| OAuth pro uživatele (OAuth U2M) | Krátkodobé tokeny OAuth pro uživatele | Scénář ověřování, ve kterém se pomocí webového prohlížeče ověřujete pomocí Azure Databricks v reálném čase po zobrazení výzvy. |
| Autorizace identit spravované služby Azure | Tokeny ID Microsoft Entra pro spravované identity Azure | Používejte pouze s prostředky Azure, které podporují spravované identity, jako jsou virtuální počítače Azure. |
| Autorizace služebního principálu Microsoft Entra ID | Tokeny ID Microsoft Entra pro hlavní služby Microsoft Entra ID. | Používejte pouze s prostředky Azure, které podporují tokeny ID Microsoft Entra a nepodporují spravované identity, jako je Azure DevOps. |
| Autorizace Azure CLI | Tokeny Microsoft Entra ID pro uživatele nebo service principal Microsoft Entra ID. | Slouží k autorizaci přístupu k prostředkům Azure a Azure Databricks pomocí Azure CLI. |
| Autorizace uživatele Microsoft Entra ID | Tokeny ID Microsoft Entra pro uživatele | Používejte pouze s prostředky Azure, které podporují pouze tokeny MICROSOFT Entra ID. Databricks nedoporučuje vytvářet tokeny ID Microsoft Entra pro uživatele Azure Databricks ručně. |
Jednotné ověřování
Jednotné ověřování Azure Databricks poskytuje konzistentní způsob konfigurace ověřování napříč všemi podporovanými nástroji a sadami SDK. Tento přístup používá standardní proměnné prostředí a konfigurační profily k ukládání hodnot přihlašovacích údajů, takže můžete spouštět příkazy rozhraní příkazového řádku nebo volat rozhraní API bez opakované konfigurace ověřování.
Jednotné ověřování zpracovává typy účtů odlišně:
- Autorizace uživatele: OAuth automaticky vytváří a spravuje přístupové tokeny pro nástroje, které podporují jednotné ověřování. Viz Autorizace přístupu uživatelů k Azure Databricks pomocí OAuth.
- Autorizace instančního objektu: OAuth vyžaduje přihlašovací údaje klienta (ID klienta a tajný klíč), které Azure Databricks poskytuje po přiřazení instančního objektu k pracovním prostorům. Viz Autorizace přístupu instančního objektu k Azure Databricks pomocí OAuth.
Pokud chcete používat přístupové tokeny OAuth, musí váš pracovní prostor nebo správce účtu Azure Databricks udělit vašemu uživatelskému účtu nebo instančnímu objektu CAN USE oprávnění pro účet a funkce pracovního prostoru, ke kterým bude váš kód přistupovat.
Proměnné prostředí
Pokud chcete nakonfigurovat jednotné ověřování, nastavte následující proměnné prostředí. Některé proměnné platí pro autorizaci uživatele i služebního objektu, zatímco jiné jsou vyžadovány pouze pro služební objekty.
| Proměnná prostředí | Description |
|---|---|
DATABRICKS_HOST |
Adresa URL konzoly účtu Azure Databricks (https://accounts.azuredatabricks.net) nebo pracovního prostoru Azure Databricks (https://{workspace-url-prefix}.azuredatabricks.net). Zvolte na základě typu operací, které váš kód provádí. |
DATABRICKS_ACCOUNT_ID |
Používá se pro operace účtu Azure Databricks. Toto je ID vašeho účtu Azure Databricks. Pokud ho chcete získat, přečtěte si téma Vyhledání ID vašeho účtu. |
DATABRICKS_CLIENT_ID |
(Pouze OAuth instančního objektu) ID klienta, které vám bylo přiřazeno při vytváření vašeho instančního objektu. |
DATABRICKS_CLIENT_SECRET |
(Pouze pro OAuth Service Principal) Tajný klíč klienta, který jste vygenerovali při vytváření Service Principal. |
Místo ručního nastavení proměnných prostředí zvažte jejich definování v konfiguračním profilu Databricks (.databrickscfg) na klientském počítači.
Konfigurační profily
Konfigurační profily Azure Databricks obsahují nastavení a přihlašovací údaje, které nástroje a sady SDK Azure Databricks potřebují k autorizaci přístupu. Tyto profily se ukládají do místních klientských souborů (obvykle pojmenovaných .databrickscfg) pro vaše nástroje, sady SDK, skripty a aplikace, které se mají použít.
Další informace najdete v konfiguračních profilech Azure Databricks.
Integrace třetích stran
Při integraci se službami a nástroji třetích stran musíte použít mechanismy ověřování poskytované těmito službami. Azure Databricks ale poskytuje podporu pro běžné integrace:
- Zprostředkovatel Terraformu Databricks: Přístup k rozhraním API Azure Databricks z Terraformu pomocí uživatelského účtu Azure Databricks Viz Zřízení aplikačního identitního objektu pomocí Terraformu.
- Poskytovatelé Gitu: GitHub, GitLab a Bitbucket mohou přistupovat k rozhraním API Azure Databricks pomocí služby Databricks. Viz Instanční objekty pro CI/CD.
- Jenkins: Přístup k rozhraním API Azure Databricks pomocí service principal Databricks Viz CI/CD s Jenkinsem v Azure Databricks.
- Azure DevOps: Přístup k rozhraním API Azure Databricks pomocí služebního účtu založeného na MS Entra ID. Viz Ověřování pomocí Azure DevOps v Azure Databricks.