Použijte služební principál Microsoft Entra pro automatizaci s Git složkami v Azure Databricks.

Pomocí ID Microsoft Entra můžete ověřit přístup ke složkám Git Azure Databricks z automatizace Azure DevOps. V tomto tématu nakonfigurujete nový instanční objekt Azure Databricks tak, aby poskytoval autorizaci pro vaši aplikaci Azure Databricks prostřednictvím Microsoft Entra.

Požadavky

Abyste mohli provést tyto kroky, musíte mít pro svůj účet Azure Databricks nakonfigurované následující:

• Oprávnění správce pracovního prostoru Azure Databricks
• Azure Databricks Uživatelská oprávnění klientské aplikace

Musíte mít také následující:

• ID aplikace Microsoft Entra pro vaši aplikaci Azure DevOps Automation a oprávnění ke změně přihlašovacích údajů. Pokud ho nemáte, přečtěte si téma Ověřování v Azure DevOps pomocí Microsoft Entra a registrace aplikace v Microsoft Entra ID , kde se dozvíte, jak ji vytvořit.

Konfigurace účelového objektu služby Microsoft Entra

1. Přihlaste se k pracovnímu prostoru Azure Databricks, přejděte na ikonu profilu v pravém horním rohu a v rozevíracím seznamu vyberte Nastavení .

2. V části Nastavení na levém bočním panelu vyberte Identitu a přístup a potom klikněte na tlačítko Spravovat pro instanční objekty.

   

   1. Zvolte Přidat instanční objekt nebo existující instanční objekt , který chcete překonfigurovat. Pokud máte existující služební principál, můžete přeskočit další krok.

3. Pokud vytváříte nový spravovaný servisní principál Microsoft Entra ID v pracovním prostoru Azure Databricks, vyberte na podokně Přidat servisní principál tlačítko Spravované ID Microsoft Entra. Zadejte ID aplikace Microsoft Entra, které jste dříve vytvořili nebo zkopírovali do textového pole ID aplikace Microsoft Entra a zadejte název hlavního zástupce. Zaškrtněte políčka pro příslušná oprávnění , která bude vaše automatizace Azure DevOps vyžadovat, včetně přístupu k pracovnímu prostoru.

   • Pokud bude vaše služba principal použita ke spouštění úloh Lakeflow, které přistupují k artefaktům ze složek Git, vyberte při konfiguraci integrace Git pro službu principal Azure Databricks možnost Neomezené vytváření clusteru.

   Po dokončení konfigurace uživatele instančního objektu Azure Databricks klikněte na Přidat. Váš nový služební principál bude uveden pod Služební principály.

   

4. V podokně Instanční objekty vyhledejte a vyberte název instančního objektu pro vaši aplikaci Microsoft Entra.

5. V podokně vašeho služebního principála otevřete kartu integrace Gitu a v rozevíracím seznamu zprostředkovatele Git vyberte Azure DevOps Services (Azure Active Directory). V šedém poli v dolní části podokna podrobností instančního objektu se zobrazí seznam vstupů pro vytvoření federovaných přihlašovacích údajů. Zkopírujte tyto informace, protože je použijete v dalším kroku. Nezaškrtávejte políčko „Výše uvedené kroky jsem provedl(a)“ ani neklikejte na Uložit.

   

6. Otevřete nové okno nebo kartu prohlížeče a přejděte na portál Microsoft Entra pro vaše předplatné Azure. Najděte svou aplikaci Azure a vyberte Spravovat a potom Certifikáty a tajné kódy. Vyberte kartu Federované přihlašovací údaje a pod ní vyberte Přidat přihlašovací údaje.

   

7. (Portál Microsoft Entra) Při konfiguraci integrace Gitu objektu služby Azure Databricks v předchozím kroku si projděte podrobnosti z pole s poznámkami a použijte tyto informace k naplnění polí Vystavitel, Typ a Hodnota ve fázi Připojit váš účet.

   

8. Teď se vraťte do okna prohlížeče nebo karty s neúplnou konfigurací integrace Git služebního objektu. Zaškrtněte políčko pro splnění výše uvedených kroků, pak klikněte na Uložit pro uložení nové konfigurace přihlašovacích údajů.

Tento instanční objekt služby teď můžete použít s Azure Databricks a Azure DevOps ke spouštění úloh, které přistupují ke složkám Azure Databricks Git. Při sdílení tohoto instančního objektu udělte uživateli instančního objektu přístup ke všem uživatelům pracovního prostoru Azure Databricks, kteří spouštějí úlohy Gitu, nebo mají kód automatizace, který bude přistupovat k rozhraní API úložiště s vaším instančním objektem.

Řešení problémů

• Instanční objekt Azure Databricks musí mít přístup Basic nebo vyšší v organizaci Azure DevOps v cílovém úložišti. Nakonfigurujte to prostřednictvím předplatného Azure DevOps v části Nastavení organizace>Uživatelé>Přidat uživatele. ID aplikace (klient) vašeho služebního principálu můžete zkopírovat a vložit do vyhledávacího pole Uživatelé nebo Služební principály, abyste našli a vybrali svůj účet služebního principálu. Další informace najdete v dokumentaci ke změně úrovní přístupu v Azure DevOps.
• Váš služební princípál musí být přidaný do pracovního prostoru Microsoft Azure a ostatní uživatelé ve vašem účtu Azure musí mít oprávnění k jeho použití. Viz principály služeb.

Dodatečné zdroje

• Ověřování přes Azure CLI
• Ověřování klientské identity služby MS Entra

• Ověřování pomocí Azure DevOps v Azure Databricks
• Použití aplikačního objektu pro automatizaci s adresáři Databricks Git
• Použití služebních principálů a spravovaných identit (dokumentace k Microsoft Azure DevOps)