Sdílet prostřednictvím

Nastavení ověřování pro ovladač ODBC Databricks (Simba)

Tato stránka popisuje, jak nakonfigurovat nastavení ověřování Azure Databricks pro ovladač ODBC Databricks.

Ovladač ODBC Databricks podporuje následující typy ověřování Azure Databricks:

Token ID systému Microsoft Entra

Ovladač ODBC 2.6.15 a vyšší podporuje tokeny Microsoft Entra ID pro uživatele Azure Databricks nebo aplikační objekt Microsoft Entra ID.

Pokud chcete vytvořit přístupový token Microsoft Entra ID, postupujte takto:

Přístupové tokeny Microsoft Entra ID mají výchozí životnost přibližně jednu hodinu. Obnovte přístupový token programově pro existující relaci bez přerušení připojení spuštěním kódu v obnovovacích tokenech. Pokyny najdete v tématu Použití OAuth 2.0 v Průvodci ovladačem ODBC Databricks.

Pokud chcete provést ověření pomocí tokenu Microsoft Entra ID, přidejte do nastavení výpočetních prostředků následující konfigurace a všechna speciální nebo pokročilá nastavení možností ovladače:

Nastavení Hodnota
AuthMech 11
Auth_Flow 0
Auth_AccessToken Token ID Microsoft Entra

Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=0
Auth_AccessToken=<microsoft-entra-id-token>

Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Tento příklad obsahuje konce řádků pro čitelnost. Do připojovacího řetězce nezahrnujte tyto konce řádků:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=0;
Auth_AccessToken=<microsoft-entra-id-token>

Další informace najdete v části Předávací token v Průvodci ovladačem ODBC Databricks (HTML nebo PDF).

Představitelé služby s rolemi Azure

Pokud má služební účet Microsoft Entra ID roli Azure pro prostředek pracovního prostoru v Azure, ale není v pracovním prostoru Azure Databricks, musíte v rámci připojení ODBC nastavit další hlavičky HTTP. Ovladač Simba Spark ODBC podporuje přidávání hlaviček pomocí formátu http.header.[HeaderKey]=[HeaderValue].

Nastavte následující požadované hlavičky z hlavních služeb s rolí Azure ve vašem DSN nebo v připojovacím řetězci bez DSN:

  • http.header.X-Databricks-Azure-SP-Management-Token=<management-access-token>
  • http.header.X-Databricks-Azure-Workspace-Resource-Id=<workspace-resource-id>

Pokud chcete získat token pro správu, viz Zástupci služby s rolí Azure. Pokud chcete získat ID prostředku pracovního prostoru, přečtěte si téma Ověřování spravovaných identit Azure.

Tokeny OAuth 2.0

Ovladač ODBC 2.7.5 a vyšší podporuje token OAuth 2.0 pro instanční objekt Microsoft Entra ID. Označuje se také jako ověřování předáváním tokenu OAuth 2.0.

Důležité

Ovladač ODBC 2.7.5 a vyšší podporuje použití tajných kódů OAuth v Azure Databricks k vytvoření tokenů OAuth 2.0. Tajné kódy MICROSOFT Entra ID nejsou podporované.

Tokeny OAuth 2.0 mají výchozí životnost 1 hodinu. Pokud chcete vygenerovat nový token OAuth 2.0, opakujte tento proces.

Pokud se chcete ověřit pomocí předávacího ověřování pomocí tokenu OAuth 2.0, přidejte do nastavení výpočetních prostředků následující konfigurace a všechna speciální nebo pokročilá nastavení možností ovladače:

Nastavení Hodnota
AuthMech 11
Auth_Flow 0
Auth_AccessToken OAuth token pro Azure Databricks
(Ověřování předávání tokenu OAuth 2.0 nepodporuje tokeny Microsoft Entra ID.)

Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=0
Auth_AccessToken=<databricks-oauth-token>

Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Tento příklad obsahuje konce řádků pro čitelnost. Do připojovacího řetězce nezahrnujte tyto konce řádků:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=0;
Auth_AccessToken=<databricks-oauth-token>

Další informace najdete v části Předávací token v Průvodci ovladačem ODBC Databricks (HTML nebo PDF).

Ověřování typu uživatel-stroj (U2M) pomocí Databricks OAuth

Ovladač ODBC 2.8.2 a novější podporuje ověřování U2M (user-to-machine) OAuth pro uživatele Azure Databricks. Označuje se také jako ověřování založené na prohlížeči OAuth 2.0.

Ověřování založené na prohlížeči OAuth U2M nebo OAuth 2.0 nemá žádné požadavky. Tokeny OAuth 2.0 mají výchozí životnost 1 hodinu. Ověřování založené na prohlížeči OAuth U2M nebo OAuth 2.0 automaticky aktualizuje platnost tokenů OAuth 2.0.

Poznámka:

Ověřování založené na prohlížeči OAuth U2M nebo OAuth 2.0 funguje jenom s aplikacemi, které běží místně. Nefunguje s serverovými nebo cloudovými aplikacemi.

Pokud se chcete ověřit pomocí ověřování založeného na prohlížeči OAuth od uživatele do počítače (U2M) nebo OAuth 2.0, přidejte do nastavení výpočetních prostředků následující konfigurace a do všech speciálních nebo pokročilých nastavení možností ovladače:

Nastavení Hodnota
AuthMech 11
Auth_Flow 2
PWD Heslo podle vašeho výběru. Ovladač používá tento klíč k šifrování obnovovacího tokenu.
Auth_Client_ID (volitelné) databricks-sql-odbc (výchozí). Všechny dostupné aplikace najdete v tématu Nastavení připojení aplikací v konzole účtu.
Auth_Scope (volitelné) sql offline_access (výchozí)
OAuth2RedirectUrlPort (volitelné) 8020 (výchozí)

Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=2
PWD=<password>

Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Tento příklad obsahuje konce řádků pro čitelnost. Do připojovacího řetězce nezahrnujte tyto konce řádků:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=2;
PWD=<password>

Další informace najdete v části Prohlížečová verze Průvodce ovladačem Databricks ODBC (HTML nebo PDF).

Ověřování microsoft Entra ID OAuth uživatelem na počítač (U2M)

Ovladač ODBC 2.8.2 a novější podporuje ověřování Microsoft Entra ID OAuth uživatelem na počítači (U2M) pro uživatele Azure Databricks.

Pokud chcete použít Microsoft Entra ID OAuth user-to-machine (U2M), musíte zaregistrovat klienta OAuth (aplikace) v Microsoft Entra ID, viz Registrace klientské aplikace v Microsoft Entra ID.

Pokud se chcete ověřit pomocí microsoft Entra ID OAuth user-to-machine (U2M), přidejte do nastavení výpočetních prostředků následující konfigurace a všechna speciální nebo pokročilá nastavení možností ovladače:

Nastavení Hodnota
AuthMech 11
Auth_Flow 2
PWD Heslo podle vašeho výběru. Ovladač používá tento klíč k šifrování obnovovacího tokenu.
Auth_Client_ID ID aplikace (klienta) aplikace Azure
Auth_Scope 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access
OIDCDiscoveryEndpoint https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration
OAuth2RedirectUrlPort Přesměrování portu aplikace Azure

Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<application-id-azure-application>
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration
OAuth2RedirectUrlPort=<redirect port of the Azure application>

Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Tento příklad obsahuje konce řádků pro čitelnost. Do připojovacího řetězce nezahrnujte tyto konce řádků:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<application-id-azure-application>;
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access;
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration;
OAuth2RedirectUrlPort=<redirect port of the Azure application>;

Ověřování OAuth mezi stroji (M2M)

Ovladač ODBC podporuje ověřování OAuth typu machine-to-machine (M2M) pro služební účet Azure Databricks. To se také označuje jako ověřování přihlašovacích údajů klienta OAuth 2.0.

Pokud chcete nakonfigurovat ověřování přihlašovacích údajů klienta OAuth M2M nebo OAuth 2.0, postupujte takto:

  1. V pracovním prostoru Azure Databricks vytvořte instanční objekt Azure Databricks a vytvořte pro tento instanční objekt tajný klíč OAuth.

    Pokud chcete vytvořit instanční objekt a jeho tajný klíč OAuth, přečtěte si téma Autorizace přístupu instančního objektu k Azure Databricks pomocí OAuth. Poznamenejte si hodnotu UUID nebo ID aplikace instančního objektu a hodnotu Secret pro tajný klíč OAuth instančního objektu.

  2. Dejte služebnímu principálu přístup ke clusteru nebo skladu. Přečtěte si informace o výpočetních oprávněních nebo spravujte službu skladu SQL.

Pokud se chcete ověřit pomocí ověřování pomocí přihlašovacích údajů klienta OAuth na počítač (M2M) nebo OAuth 2.0, přidejte do nastavení výpočetních prostředků následující konfigurace a do všech speciálních nebo pokročilých nastavení možností ovladačů:

Nastavení Hodnota
AuthMech 11
Auth_Flow 1
Auth_Client_ID Hodnota UUID/ID aplikace pro hlavní službu.
Auth_Client_Secret Hodnota OAuth tajného klíče hlavního objektu služby.
Auth_Scope (volitelné) all-apis (výchozí)

Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<service-principal-application-ID>
Auth_Client_Secret=<service-principal-secret>
Auth_Scope=all-apis

Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Tento příklad obsahuje konce řádků pro čitelnost. Do připojovacího řetězce nezahrnujte tyto konce řádků:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<service-principal-application-ID>;
Auth_Client_Secret=<service-principal-secret>;
Auth_Scope=all-apis

Další informace najdete v části Přihlašovací údaje klienta v Průvodci ovladačem ODBC Databricks (HTML nebo PDF).

Ověřování Microsoft Entra ID OAuth na počítač (M2M)

Ovladač ODBC 2.8.2 a novější podporuje ověřování Microsoft Entra ID OAuth stroj-stroj (M2M) pro služební principál Microsoft Entra ID.

Pokud chcete nakonfigurovat ověřování Entra ID OAuth pro stroj-na-stroj (M2M), postupujte takto:

  1. Vytvoření spravovaného instančního objektu Microsoft Entra ID Vizte Hlavní služby.
  2. Dejte služebnímu principálu přístup ke clusteru nebo skladu. Přečtěte si informace o výpočetních oprávněních nebo spravujte službu skladu SQL.

Pokud se chcete ověřit pomocí Entra ID OAuth machine-to-machine (M2M), přidejte do svého výpočetního nastavení následující konfigurace a všechna speciální nebo pokročilá nastavení funkcí ovladače:

Nastavení Hodnota
AuthMech 11
Auth_Flow 1
Auth_Client_ID ID aplikace service principal v Entra ID
Auth_Client_Secret Tajný klíč klienta služby v Entra ID. Toto je tajný klíč klienta, který vytvoříte v certifikátech a tajných kódech v MICROSOFT Entra ID.
Auth_Scope 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default
OIDCDiscoveryEndpoint https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration

Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<entra-id-service-principal-application-ID>
Auth_Client_Secret=<entra-id-service-principal-client-secret>
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration

Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Tento příklad obsahuje konce řádků pro čitelnost. Do připojovacího řetězce nezahrnujte tyto konce řádků:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<entra-id-service-principal-application-ID>>;
Auth_Client_Secret=<entra-id-service-principal-client-secret>;
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default;
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration

Ověřování spravovaných identit Azure

Ovladač ODBC 2.7.7 a novější podporuje ověřování spravovaných identit Azure. Tuto metodu ověřování použijte při práci s prostředky Azure, které podporují spravované identity, jako jsou virtuální počítače Azure.

Pokud se chcete ověřit pomocí ověřování spravovaných identit Azure, přidejte do nastavení výpočetních prostředků následující konfigurace a všechna speciální nebo pokročilá nastavení možností ovladače:

Nastavení Hodnota
AuthMech 11
Auth_Flow 3
Auth_Client_ID ID spravované identity Azure.
Azure_workspace_resource_id ID prostředku Azure pro váš pracovní prostor Azure Databricks.
Toto ID získáte tak, že v horním navigačním panelu pracovního prostoru Azure Databricks kliknete na svoje uživatelské jméno a pak kliknete na
Azure Portal Na stránce prostředku pracovního prostoru Azure Databricks, která se zobrazí, klikněte na Vlastnosti v části Nastavení na bočním panelu. ID je v Id v sekci Essentials.

Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=3
Auth_Client_ID=<azure-managed-identity-ID>
Azure_workspace_resource_id=<azure-workspace-resource-ID>

Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Tento příklad obsahuje konce řádků pro čitelnost. Do připojovacího řetězce nezahrnujte tyto konce řádků:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=3;
Auth_Client_ID=<azure-managed-identity-ID>;
Azure_workspace_resource_id=<azure-workspace-resource-ID>

Osobní přístupový token Azure Databricks (starší verze)

Pokud chcete vytvořit osobní přístupový token Azure Databricks, postupujte podle pokynů v tématu Vytvoření osobních přístupových tokenů pro uživatele pracovního prostoru.

Pokud se chcete ověřit pomocí osobního přístupového tokenu Azure Databricks, přidejte do nastavení výpočetních prostředků následující konfigurace a všechna speciální nebo pokročilá nastavení možností ovladače:

Nastavení Hodnota
AuthMech 3
UID token
PWD Osobní přístupový token Databricks pro uživatele pracovního prostoru

Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=3
UID=token
PWD=<personal-access-token>

Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Tento příklad obsahuje konce řádků pro čitelnost. Do připojovacího řetězce nezahrnujte tyto konce řádků:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=3;
UID=token;
PWD=<personal-access-token>
  • Last updated on