Ověřování pomocí osobních přístupových tokenů Azure Databricks (zastaralá verze)

Azure Databricks osobní přístupové tokeny (PAT) umožňují ověření přístupu k prostředkům a API na úrovni pracovního prostoru. Můžete je uložit do proměnných prostředí nebo do profilů konfigurace Azure Databricks . Každý pat je platný jenom pro jeden pracovní prostor a uživatel může vytvořit až 600 PAT na pracovní prostor. Azure Databricks automaticky odvolá PATy, které nebyly použity po dobu posledních 90 dnů.

Důležité

Pokud je to možné, Databricks doporučuje používat OAuth místo PATs pro ověřování uživatelských účtů, protože OAuth poskytuje silnější zabezpečení. Informace o ověřování pomocí OAuth pomocí uživatelského účtu Databricks najdete v tématu Authorizace přístupu uživatelů k Azure Databricks pomocí OAuth.

Osobní přístupové tokeny nemůžete použít k automatizaci funkcí Azure Databricks account-level. Místo toho použijte tokeny Microsoft Entra ID správců účtu Azure Databricks. Azure Databricks správci účtu můžou být uživatelé nebo instanční objekty. Další informace naleznete v tématu:

• Správa uživatelů
• Služební principálové
• Skupiny

Vytvoření osobních přístupových tokenů pro uživatele pracovního prostoru

Pokud chcete vytvořit osobní přístupový token pro uživatele pracovního prostoru Azure Databricks, postupujte takto:

1. V pracovním prostoru Azure Databricks klikněte na své uživatelské jméno v horním panelu a vyberte Nastavení.
2. Klikněte na Vývojář.
3. Vedle přístupových tokenů klikněte na Spravovat.
4. Klikněte na Vygenerovat nový token.
5. Zadejte komentář, který vám pomůže identifikovat tento token v budoucnu.
6. Nastavte životnost tokenu ve dnech. Viz Nastavení maximální životnosti nových osobních přístupových tokenů.
7. Pokud chcete omezit oprávnění tokenu, vyberte typ tokenu a přidejte obory rozhraní API. Viz Vymezené osobní přístupové tokeny.
8. Klikněte na Vygenerovat.
9. Zkopírujte zobrazený token do zabezpečeného umístění a klikněte na Tlačítko Hotovo. Bezpečně uložte token a nesdílejte ho. Pokud ho ztratíte, musíte vytvořit nový token.

Pokud nemůžete vytvářet nebo používat tokeny, správce pracovního prostoru možná zakázal tokeny nebo vám neudělil oprávnění. Obraťte se na správce pracovního prostoru nebo následující:

• Povolení nebo zakázání ověřování osobního přístupového tokenu pro pracovní prostor
• Oprávnění osobního přístupového tokenu

Osobní přístupové tokeny s vyhrazeným rozsahem

Omezené osobní přístupové tokeny omezují oprávnění tokenu na konkrétní operace rozhraní API. Místo udělení úplného přístupu k pracovnímu prostoru přiřadíte jeden nebo více oborů rozhraní API, například sql, unity-catalognebo scim, které omezují, které operace rozhraní REST API může token volat.

Výstraha

Tokeny s oborem authentication můžou vytvářet nové tokeny s libovolným oborem. Udělte tomuto oboru pouze tokeny, které potřebují spravovat jiné tokeny.

Pokud chcete vytvořit token s vymezeným oborem v uživatelském rozhraní pracovního prostoru, vyberte typ tokenu a při generování nového tokenu přidejte obory rozhraní API. Pokud nepřiřazujete žádné obory, token si zachová úplná oprávnění k vytvoření identity.

Úplný seznam oborů a souvisejících operací rozhraní API najdete v tématu Rozsahy rozhraní API.

Vytvoření osobních přístupových tokenů pro služební identity

Sluzební principál může vytvořit osobní přístupové tokeny pro sebe.

1. Spuštěním následujícího příkazu vygenerujte přístupový token:

   databricks tokens create \
     --lifetime-seconds <lifetime-seconds> \
     -p <profile-name>
   

   Nahraďte následující hodnoty:

   • <lifetime-seconds>: Životnost tokenu v sekundách, například 86400 po dobu 1 dne. Výchozí hodnota odpovídá maximální hodnotě ve workspace (obvykle 730 dnů).
   • <profile-name>: Konfigurační profil s ověřovacími informacemi. Výchozí hodnota je DEFAULT.

2. Zkopírujte token_value z odpovědi, což je přístupový token vašeho služebního principálu. Bezpečně uložte token a nesdílejte ho. Pokud ho ztratíte, musíte vytvořit nový token.

Pokud nemůžete vytvářet nebo používat tokeny, správce pracovního prostoru možná zakázal tokeny nebo vám neudělil oprávnění. Obraťte se na správce pracovního prostoru nebo následující:

• Povolení nebo zakázání ověřování osobního přístupového tokenu pro pracovní prostor
• Oprávnění osobního přístupového tokenu

Autentizace pomocí osobního přístupového tokenu

Pokud chcete nakonfigurovat ověřování osobního přístupového tokenu Azure Databricks, nastavte následující přidružené proměnné prostředí, .databrickscfg pole, pole Terraformu nebo pole Config:

• Hostitel služby Azure Databricks určený jako cílová adresa Azure Databricks adresa URL pracovního prostoru, například https://adb-1234567890123456.7.azuredatabricks.net.
• Azure Databricks osobní přístupový token pro uživatelský účet Azure Databricks.

Pokud chcete provést Azure Databricks ověřování pomocí osobního přístupového tokenu, integrujte následující kód na základě zúčastněného nástroje nebo sady SDK:

Prostředí

Informace o tom, jak použít proměnné prostředí pro konkrétní typ ověřování Azure Databricks ve spojení s nástrojem nebo sadou SDK, najdete v tématu Autorizace přístupu k prostředkům Azure Databricks nebo v dokumentaci k příslušnému nástroji nebo sadě SDK. Viz také proměnné prostředí a pole pro jednotné ověřování a prioritu metody ověřování.

Nastavte následující proměnné prostředí:

• DATABRICKS_HOST, nastavte adresu URL Azure Databricks per-workspace, například https://adb-1234567890123456.7.azuredatabricks.net.
• DATABRICKS_TOKEN, je nastaven na řetězec tokenu.

Profil

Vytvořte nebo identifikujte profil konfigurace Azure Databricks s následujícími poli v souboru .databrickscfg. Pokud vytvoříte profil, nahraďte zástupné symboly příslušnými hodnotami. Pokud chcete profil použít s nástrojem nebo sadou SDK, viz Autorizace přístupu k prostředkům Azure Databricks nebo dokumentace k nástroji nebo sadě SDK. Viz také proměnné prostředí a pole pro jednotné ověřování a prioritu metody ověřování.

V souboru .databrickscfg nastavte následující hodnoty. V tomto případě je hostitelem adresa URL Azure Databricks per-workspace, například https://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host  = <workspace-url>
token = <token>

Místo ručního nastavení hodnot můžete místo toho nastavit tyto hodnoty pomocí rozhraní příkazového řádku Databricks:

Poznámka:

Následující postup používá Databricks CLI k vytvoření Azure Databricks konfiguračního profilu s názvem DEFAULT. Pokud už máte DEFAULT konfigurační profil, tento postup přepíše stávající DEFAULT konfigurační profil.

Chcete-li zkontrolovat, zda již máte konfigurační profil DEFAULT a chcete-li zobrazit nastavení tohoto profilu, použijte příkazový řádek Databricks ke spuštění příkazu databricks auth env --profile DEFAULT.

Chcete-li vytvořit konfigurační profil s jiným názvem než DEFAULT, nahraďte DEFAULT část --profile DEFAULT v následujícím databricks configure příkazu jiným názvem konfiguračního profilu.

1. Pomocí Databricks CLI vytvořte konfigurační profil Azure Databricks s názvem DEFAULT, který používá ověřování osobním přístupovým tokenem Azure Databricks. Provedete to spuštěním následujícího příkazu:

   databricks configure --profile DEFAULT
   

2. Když se zobrazí výzva , zadejte adresu URL vašeho Azure Databricks pro jednotlivé pracovní prostory, například .

3. Pro zobrazení výzvy Vstupný přístupový token zadejte Azure Databricks osobní přístupový token pro váš pracovní prostor.

CLI

Pro rozhraní příkazového řádku Databricks spusťte příkaz databricks configure. Na příkazovém řádku zadejte následující nastavení:

• Hostitel služby Azure Databricks určený jako cílová adresa Azure Databricks adresa URL pracovního prostoru, například https://adb-1234567890123456.7.azuredatabricks.net.
• Azure Databricks osobní přístupový token pro uživatelský účet Azure Databricks.

Další informace najdete v tématu Autentizace pomocí osobního přístupového tokenu (starší verze).

Připojit

Poznámka:

Ověřování pomocí osobních přístupových tokenů Azure Databricks je podporováno v následujících verzích Databricks Connect:

• Pro Python je dostupný Databricks Connect pro Databricks Runtime 13.3 LTS a novější.
• Pro Scala, Databricks Connect pro Databricks Runtime 13.3 LTS a vyšší.

Pro Databricks Connect nastavte hodnoty v souboru .databrickscfg pomocí rozhraní příkazového řádku Databricks pro operace na úrovni Azure Databricks workspace, jak je uvedeno v části Profile.

Následující postup vytvoří konfigurační profil Azure Databricks s názvem DEFAULT, který přepíše všechny existující profily DEFAULT. Pokud chcete zkontrolovat, jestli DEFAULT profil existuje, spusťte databricks auth env --profile DEFAULTpříkaz . Pokud existuje, použijte jiný název profilu.

1. Spuštěním následujícího příkazu vytvořte konfigurační profil Azure Databricks s názvem DEFAULT, který používá ověřování pomocí osobního přístupového tokenu.

   databricks configure \
     --configure-cluster \
     --profile DEFAULT
   

2. Když se zobrazí výzva , zadejte adresu URL vašeho Azure Databricks pro jednotlivé pracovní prostory, například .

3. V případě výzvy osobního přístupového tokenu zadejte osobní přístupový token pro váš pracovní prostor.

4. V seznamu dostupných clusterů vyberte cílový Azure Databricks cluster ve vašem pracovním prostoru. Pokud chcete filtrovat seznam dostupných clusterů, můžete zadat libovolnou část zobrazovaného názvu clusteru.

Použijte Azure Databricks REST API k vydávání osobních přístupových tokenů.

Azure Databricks poskytuje koncový bod REST /api/2.0/token/create k vydávání PAT. Podrobnosti o rozhraní API najdete v tématu Vytvoření tokenu uživatele .

V následujícím příkladu nastavte tyto hodnoty:

• <databricks-instance>: Adresa URL pracovního prostoru Databricks. Například dbc-abcd1234-5678.cloud.databricks.com.
• <your-existing-access-token>: Existující platný token PAT (řetězec), který má oprávnění k vytváření nových tokenů.
• <lifetime-seconds>: Životnost tokenu v sekundách.
• <scopes>: Seznam oborů, které se mají přiřadit k tokenu. Viz Vymezené osobní přístupové tokeny.

curl -X POST https://<databricks-instance>/api/2.0/token/create \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "lifetime_seconds": <lifetime-seconds>,
  "scopes": [
    "sql",
    "authentication"
  ]
}'

Pokud to proběhne úspěšně, výsledkem je datová část odpovědi podobná této:

{
  "token_value": "<your-newly-issued-pat>",
  "token_info": {
    "token_id": "<token-id>",
    "creation_time": <creation-timestamp>,
    "expiry_time": <expiry-timestamp>,
    "comment": "<comment>",
    "scopes": ["authentication", "sql"],
    "last_accessed_time": 0
  }
}

Zadejte nový token z odpovědi v hlavičce autorizace následných volání rozhraní REST API Databricks. Příklad:

# This example uses a simple GET. For POST or other REST verbs, you may need to provide additional parameters.
curl -X GET "https://<databricks-instance>/api/2.0/<path-to-endpoint>" \
     -H "Authorization: Bearer <your-new-pat>"

import requests

headers = {
    'Authorization': 'Bearer <your-new-pat>'
}
# This example is for an HTTP GET operation.
response = requests.get('https://<databricks-instance>/api/2.0/<path-to-endpoint>', headers=headers)

Aktualizace rozsahů osobního přístupového tokenu

Pokud v omezeném tokenu chybí požadovaný obor pro volání rozhraní API, požadavek selže s chybou označující chybějící obor. Pokud chcete aktualizovat obory tokenu, použijte koncový bod /api/2.0/token/<token_id>REST . Volající token musí mít obor authentication, který umožňuje správu dalších tokenů. update_mask Pomocí pole určete, která pole tokenu se mají aktualizovat.

curl -X PATCH https://<databricks-instance>/api/2.0/token/<token_id> \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "token": {
    "scopes": ["sql", "unity-catalog"]
  },
  "update_mask": "scopes"
}'

Změny rozsahu mohou trvat až deset minut, než se projeví.

Chcete-li zobrazit všechny dostupné obory, použijte GET /api/2.0/token-scopes.