Sdílet prostřednictvím

Nastavení ověřování pro ovladač ODBC Databricks

  • Článek

Tento článek popisuje, jak nakonfigurovat nastavení ověřování Azure Databricks pro ovladač ODBC Databricks.

Ovladač ODBC Databricks podporuje následující typy ověřování Azure Databricks:

Osobní přístupový token Azure Databricks

Pokud chcete vytvořit osobní přístupový token Azure Databricks, postupujte takto:

  1. V pracovním prostoru Azure Databricks klikněte na své uživatelské jméno Azure Databricks v horním panelu a pak v rozevíracím seznamu vyberte Nastavení .
  2. Klikněte na Vývojář.
  3. Vedle přístupových tokenů klikněte na Spravovat.
  4. Klikněte na Vygenerovat nový token.
  5. (Volitelné) Zadejte komentář, který vám pomůže identifikovat tento token v budoucnu a změnit výchozí životnost tokenu na 90 dnů. Pokud chcete vytvořit token bez životnosti (nedoporučuje se), nechte pole Životnost (dny) prázdné (prázdné).
  6. Klikněte na Vygenerovat.
  7. Zkopírujte zobrazený token do zabezpečeného umístění a klikněte na tlačítko Hotovo.

Poznámka:

Nezapomeňte zkopírovaný token uložit do zabezpečeného umístění. Nesdílejte svůj zkopírovaný token s ostatními. Pokud ztratíte zkopírovaný token, nemůžete tento úplně stejný token znovu vygenerovat. Místo toho musíte tento postup zopakovat, abyste vytvořili nový token. Pokud ztratíte zkopírovaný token nebo se domníváte, že došlo k ohrožení zabezpečení tokenu, databricks důrazně doporučuje tento token okamžitě odstranit z pracovního prostoru kliknutím na ikonu koše (Odvolat) vedle tokenu na stránce Přístupové tokeny .

Pokud v pracovním prostoru nemůžete vytvářet nebo používat tokeny, může to být proto, že správce pracovního prostoru zakázal tokeny nebo vám neudělil oprávnění k vytváření nebo používání tokenů. Projděte si správce pracovního prostoru nebo následující témata:

Pokud se chcete ověřit pomocí osobního přístupového tokenu Azure Databricks, přidejte do nastavení výpočetních prostředků následující konfigurace a všechna speciální nebo pokročilá nastavení možností ovladače:

Nastavení Hodnota
AuthMech 3
UID token
PWD Osobní přístupový token Databricks pro uživatele pracovního prostoru

Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=3
UID=token
PWD=<personal-access-token>

Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Konce řádků byly přidány pro čitelnost. Řetězec nesmí obsahovat tyto konce řádků:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=3;
UID=token;
PWD=<personal-access-token>

Token ID Microsoft Entra

Ovladač ODBC 2.6.15 a vyšší podporuje tokeny ID Microsoft Entra pro uživatele Azure Databricks nebo instanční objekt Microsoft Entra ID.

Pokud chcete vytvořit přístupový token Microsoft Entra ID, postupujte takto:

Přístupové tokeny Microsoft Entra ID mají výchozí životnost přibližně 1 hodinu. Přístupový token lze aktualizovat programově pro existující relaci bez přerušení připojení spuštěním kódu v aktualizaci přístupového tokenu Microsoft Entra ID. Pokyny k aktualizaci tokenu najdete v části Configuring Authentication on Windows > Providing a New Access Token průvodce ovladačem ODBC Databricks.

Pokud chcete provést ověření pomocí tokenu Microsoft Entra ID, přidejte do nastavení výpočetních prostředků následující konfigurace a všechna speciální nebo pokročilá nastavení možností ovladače:

Nastavení Hodnota
AuthMech 11
Auth_Flow 0
Auth_AccessToken Token ID Microsoft Entra

Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=0
Auth_AccessToken=<microsoft-entra-id-token>

Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Konce řádků byly přidány pro čitelnost. Řetězec nesmí obsahovat tyto konce řádků:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=0;
Auth_AccessToken=<microsoft-entra-id-token>

Další informace najdete Token Pass-through v částech průvodce ovladačem ODBC Databricks.

Tokeny OAuth 2.0

Ovladač ODBC 2.7.5 a vyšší podporuje token OAuth 2.0 pro instanční objekt Microsoft Entra ID. Označuje se také jako předávací ověřování tokenu OAuth 2.0.

Důležité

Ovladač ODBC 2.7.5 a vyšší podporuje použití tajných kódů OAuth v Azure Databricks k vytvoření tokenů OAuth 2.0. Tajné kódy MICROSOFT Entra ID nejsou podporovány.

Tokeny OAuth 2.0 mají výchozí životnost 1 hodinu. Pokud chcete vygenerovat nový token OAuth 2.0, opakujte tento proces.

Pokud se chcete ověřit pomocí předávacího ověřování pomocí tokenu OAuth 2.0, přidejte do nastavení výpočetních prostředků následující konfigurace a všechna speciální nebo pokročilá nastavení možností ovladače:

Nastavení Hodnota
AuthMech 11
Auth_Flow 0
Auth_AccessToken Token Azure Databricks OAuth

(Předávací ověřování pomocí tokenu OAuth 2.0 nepodporuje tokeny Microsoft Entra ID.)

Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=0
Auth_AccessToken=<databricks-oauth-token>

Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Konce řádků byly přidány pro čitelnost. Řetězec nesmí obsahovat tyto konce řádků:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=0;
Auth_AccessToken=<databricks-oauth-token>

Další informace najdete Token Pass-through v částech průvodce ovladačem ODBC Databricks.

Ověřování uživatelem a počítačem (U2M) Databricks OAuth

Ovladač ODBC 2.8.2 a novější podporuje ověřování U2M (user-to-machine) OAuth pro uživatele Azure Databricks. Označuje se také jako ověřování založené na prohlížeči OAuth 2.0.

Ověřování založené na prohlížeči OAuth U2M nebo OAuth 2.0 nemá žádné požadavky. Tokeny OAuth 2.0 mají výchozí životnost 1 hodinu. Ověřování založené na prohlížeči OAuth U2M nebo OAuth 2.0 by mělo automaticky aktualizovat tokeny OAuth 2.0.

Poznámka:

Ověřování založené na prohlížeči OAuth U2M nebo OAuth 2.0 funguje jenom s aplikacemi, které běží místně. Nefunguje s serverovými nebo cloudovými aplikacemi.

Pokud se chcete ověřit pomocí ověřování založeného na prohlížeči OAuth od uživatele do počítače (U2M) nebo OAuth 2.0, přidejte do nastavení výpočetních prostředků následující konfigurace a do všech speciálních nebo pokročilých nastavení možností ovladače:

Nastavení Hodnota
AuthMech 11
Auth_Flow 2
PWD Heslo podle vašeho výběru. Ovladač používá tento klíč k šifrování obnovovacího tokenu.
Auth_Client_ID (volitelné) databricks-sql-odbc (výchozí) Všechny příslušné aplikace najdete v nastavení připojení aplikací v konzole účtu Databricks, kde najdete informace o povolení vlastních aplikací OAuth pomocí uživatelského rozhraní Azure Databricks.
Auth_Scope (volitelné) sql offline_access (výchozí)
OAuth2RedirectUrlPort (volitelné) 8020 (výchozí)

Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=2
PWD=<password>

Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Konce řádků byly přidány pro čitelnost. Řetězec nesmí obsahovat tyto konce řádků:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=2;
PWD=<password>

Další informace najdete Browser Based v částech průvodce ovladačem ODBC Databricks.

Ověřování microsoft Entra ID OAuth uživatelem na počítač (U2M)

Ovladač ODBC 2.8.2 a novější podporuje ověřování Microsoft Entra ID OAuth uživatele na počítači (U2M) pro uživatele Azure Databricks.

Pokud chcete používat Microsoft Entra ID OAuth user-to-machine (U2M), musí být klient OAuth (aplikace) zaregistrovaný v Microsoft Entra ID, viz pokyny.

Pokud se chcete ověřit pomocí microsoft Entra ID OAuth user-to-machine (U2M), přidejte do nastavení výpočetních prostředků následující konfigurace a všechna speciální nebo pokročilá nastavení možností ovladače:

Nastavení Hodnota
AuthMech 11
Auth_Flow 2
PWD Heslo podle vašeho výběru. Ovladač používá tento klíč k šifrování obnovovacího tokenu.
Auth_Client_ID ID aplikace (klienta) aplikace Azure
Auth_Scope 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access
OIDCDiscoveryEndpoint https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration
OAuth2RedirectUrlPort Přesměrování portu aplikace Azure

Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<application-id-azure-application>
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration
OAuth2RedirectUrlPort=<redirect port of the Azure application>

Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Konce řádků byly přidány pro čitelnost. Řetězec nesmí obsahovat tyto konce řádků:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<application-id-azure-application>;
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access;
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration;
OAuth2RedirectUrlPort=<redirect port of the Azure application>;

Ověřování M2M (machine-to-machine) OAuth

Ovladač ODBC podporuje ověřování OAuth typu machine-to-machine (M2M) pro instanční objekt Azure Databricks. To se také označuje jako ověřování přihlašovacích údajů klienta OAuth 2.0.

Pokud chcete nakonfigurovat ověřování přihlašovacích údajů klienta OAuth M2M nebo OAuth 2.0, postupujte takto:

  1. V pracovním prostoru Azure Databricks vytvořte instanční objekt Azure Databricks a vytvořte pro tento instanční objekt tajný klíč OAuth.

    Pokud chcete vytvořit instanční objekt a jeho tajný klíč OAuth, přečtěte si téma Ověřování přístupu k Azure Databricks pomocí instančního objektu pomocí OAuth (OAuth M2M). Poznamenejte si hodnotu UUID nebo ID aplikace instančního objektu a hodnotu Secret pro tajný klíč OAuth instančního objektu.

  2. Udělte instančnímu objektu přístup ke clusteru nebo skladu. Přečtěte si informace o výpočetních oprávněních nebo správě SLUŽBY SQL Warehouse.

Pokud se chcete ověřit pomocí ověřování pomocí přihlašovacích údajů klienta OAuth na počítač (M2M) nebo OAuth 2.0, přidejte do nastavení výpočetních prostředků následující konfigurace a do všech speciálních nebo pokročilých nastavení možností ovladačů:

Nastavení Hodnota
AuthMech 11
Auth_Flow 0
Auth_Client_ID Hodnota ID aplikace UUID/instančního objektu.
Auth_Client_Secret Hodnota tajného klíče OAuth instančního objektu.
Auth_Scope (volitelné) all-apis (výchozí)

Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<service-principal-application-ID>
Auth_Client_Secret=<service-principal-secret>
Auth_Scope=all-apis

Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Konce řádků byly přidány pro čitelnost. Řetězec nesmí obsahovat tyto konce řádků:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<service-principal-application-ID>;
Auth_Client_Secret=<service-principal-secret>;
Auth_Scope=all-apis

Další informace najdete Client Credentials v částech průvodce ovladačem ODBC Databricks.

Ověřování Microsoft Entra ID OAuth na počítač (M2M)

Ovladač ODBC 2.8.2 a novější podporuje ověřování Entra ID OAuth (machine-to-machine) pro instanční objekt Microsoft Entra ID.

Pokud chcete nakonfigurovat ověřování M2M (Machine-to-machine) entra ID OAuth, postupujte takto:

  1. Vytvoření spravovaného instančního objektu Microsoft Entra ID Postup najdete v tématu Správa instančních objektů.
  2. Udělte instančnímu objektu přístup ke clusteru nebo skladu. Přečtěte si informace o výpočetních oprávněních nebo správě SLUŽBY SQL Warehouse.

Pokud se chcete ověřit pomocí rozhraní OAuth OAuth machine-to-machine (M2M), přidejte do nastavení výpočetních prostředků následující konfigurace a všechna speciální nebo pokročilá nastavení možností ovladače:

Nastavení Hodnota
AuthMech 11
Auth_Flow 0
Auth_Client_ID ID aplikace instančního objektu v Id Entra
Auth_Client_Secret Tajný klíč klienta instančního objektu v ID Entra. Toto je tajný klíč klienta, který vytvoříte v certifikátech a tajných kódech v MICROSOFT Entra ID.
Auth_Scope 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default
OIDCDiscoveryEndpoint https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration

Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<entra-id-service-principal-application-ID>
Auth_Client_Secret=<entra-id-service-principal-client-secret>
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration

Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Konce řádků byly přidány pro čitelnost. Řetězec nesmí obsahovat tyto konce řádků:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<entra-id-service-principal-application-ID>>;
Auth_Client_Secret=<entra-id-service-principal-client-secret>;
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default;
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration

Ověřování spravovaných identit Azure

Ovladač ODBC 2.7.7 a novější podporuje ověřování spravovaných identit Azure, které používá spravované identity pro prostředky Azure (dříve Spravované identity (MSI)) k ověřování v Azure Databricks. Programová volání operací pracovního prostoru Azure Databricks používají tyto spravované identity při práci s prostředky Azure, které podporují spravované identity, jako jsou virtuální počítače Azure.

Pokud se chcete ověřit pomocí ověřování spravovaných identit Azure, přidejte do nastavení výpočetních prostředků následující konfigurace a všechna speciální nebo pokročilá nastavení možností ovladače:

Nastavení Hodnota
AuthMech 11
Auth_Flow 3
Auth_Client_ID ID spravované identity Azure.
Azure_workspace_resource_id ID prostředku Azure pro váš pracovní prostor Azure Databricks.

Toto ID získáte tak, že v horním navigačním panelu pracovního prostoru Azure Databricks kliknete na svoje uživatelské jméno a pak kliknete na
Azure Portal Na stránce prostředku pracovního prostoru Azure Databricks, která se zobrazí, klikněte na Vlastnosti v části Nastavení na bočním panelu. ID je v id v části Essentials.

Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=3
Auth_Client_ID=<azure-managed-identity-ID>
Azure_workspace_resource_id=<azure-workspace-resource-ID>

Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Konce řádků byly přidány pro čitelnost. Řetězec nesmí obsahovat tyto konce řádků:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=3;
Auth_Client_ID=<azure-managed-identity-ID>;
Azure_workspace_resource_id=<azure-workspace-resource-ID>