Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken

Persönliche Zugriffstoken in Azure Databricks gehören zu den am besten unterstützten Arten von Anmeldeinformationen für Ressourcen und Vorgänge auf der Azure Databricks-Arbeitsbereichsebene. Viele Speichermechanismen für Anmeldeinformationen und zugehörige Informationen, beispielsweise Umgebungsvariablen und Azure Databricks-Konfigurationsprofile, erfordern persönliche Azure Databricks-Zugriffstoken. Obwohl Benutzer mehrere persönliche Zugriffstoken in einem Azure Databricks-Arbeitsbereich haben können, funktioniert jedes persönliche Zugriffstoken nur für einen einzigen Azure Databricks-Arbeitsbereich. Die Anzahl der persönlichen Zugriffstoken pro Benutzer ist auf 600 pro Arbeitsbereich beschränkt.

Hinweis

Zum Automatisieren der Funktionen auf Azure Databricks-Kontoebene können Sie keine persönlichen Azure Databricks-Zugriffstoken verwenden. Stattdessen müssen Sie die Microsoft Entra-ID-Token (früher Azure Active Directory) von Azure Databricks-Kontoadministrator*innen verwenden. Azure Databricks-Kontoadministratoren können Benutzer oder Dienstprinzipale sein. Weitere Informationen finden Sie unter

• Verwalten von Benutzern
• Verwalten von Dienstprinzipalen
• Gruppen verwalten

Weitere Informationen:

• Authentifizierung von von Azure verwalteten Identitäten
• Authentifizierung über Microsoft Entra ID-Dienstprinzipale
• Azure CLI-Authentifizierung

Persönliches Azure Databricks-Zugriffstoken für Arbeitsbereichsbenutzer*innen

Gehen Sie wie folgt vor, um ein persönliches Azure Databricks-Zugriffstoken für eine Benutzerin oder einen Benutzer Ihres Azure Databricks-Arbeitsbereichs zu erstellen:

1. Klicken Sie in Ihrem Azure Databricks-Arbeitsbereich in der oberen Leiste auf Ihren Azure Databricks-Benutzernamen, und wählen Sie dann im Dropdownmenü die Option Einstellungen aus.
2. Klicken Sie auf Entwickler.
3. Klicken Sie neben Zugriffstoken auf Verwalten.
4. Klicken Sie auf Neues Token generieren.
5. (Optional) Geben Sie einen Kommentar ein, durch den Sie dieses Token in Zukunft identifizieren können, und ändern Sie die standardmäßige Lebensdauer des Tokens von 90 Tagen. Wenn Sie ein Token ohne Gültigkeitsdauer erstellen möchten (nicht empfohlen), lassen Sie das Feld Lebensdauer (Tage) leer.
6. Klicken Sie auf Generate (Generieren) .
7. Kopieren Sie das angezeigte Token an einen sicheren Speicherort, und klicken Sie auf Fertig.

Hinweis

Achten Sie darauf, den kopierten Token an einem sicheren Ort zu speichern. Geben Sie das kopierte Token nicht an andere Personen weiter. Wenn Sie das kopierte Token verlieren, können Sie das gleiche Token nicht erneut generieren. Stattdessen müssen Sie erneut das Verfahren zum Erstellen eines neuen Tokens durchlaufen. Wenn Sie das kopierte Token verlieren oder glauben, dass das Token kompromittiert wurde, empfiehlt Databricks dringend, dass Sie das Token sofort aus Ihrem Arbeitsbereich löschen. Klicken Sie hierzu auf der Seite Zugriffstoken auf das Papierkorbsymbol (Widerrufen) neben dem Token.

Wenn Sie in Ihrem Arbeitsbereich keine Token erstellen oder verwenden können, liegt dies möglicherweise daran, dass Ihr Arbeitsbereichsadministrator Token deaktiviert hat oder Ihnen keine Berechtigung zum Erstellen oder Verwenden von Token erteilt hat. Wenden Sie sich an Ihren Arbeitsbereichsadministrator oder lesen Sie:

• Aktivieren oder Deaktivieren der Authentifizierung mit persönlichen Zugriffstoken für den Arbeitsbereich
• Berechtigungen für persönliche Zugriffstoken

Persönliche Zugriffstoken für Dienstprinzipale von Azure Databricks

Ein Dienstprinzipal kann persönliche Databricks-Zugriffstoken wie folgt für sich selbst erstellen:

Hinweis

Sie können die Benutzeroberfläche von Azure Databricks nicht verwenden, um persönliche Azure Databricks-Zugriffstoken für Dienstprinzipale zu generieren. Dieser Prozess verwendet Databricks CLI Version 0.205 oder höher, um ein Zugriffstoken für einen Dienstprinzipal zu generieren. Wenn Sie die Databricks CLI noch nicht installiert haben, lesen Sie Installieren oder Aktualisieren der Databricks CLI.

Bei diesem Verfahren wird davon ausgegangen, dass Sie die OAuth-Authentifizierung (Machine-to-Machine, M2M)-Authentifizierung oder die Microsoft Entra ID-Dienstprinzipalauthentifizierung verwenden, um die Databricks CLI zum Authentifizieren des Dienstprinzipals zum Generieren von persönlichen Azure Databricks-Zugriffstoken für sich selbst einzurichten. Siehe OAuth Machine-to-Machine (M2M)-Authentifizierung oder Microsoft Entra ID-Dienstprinzipalauthentifizierung.

1. Verwenden Sie die Databricks CLI, um den folgenden Befehl auszuführen, der ein weiteres Zugriffstoken für den Dienstprinzipal generiert.

   Ersetzen Sie im folgenden Befehl die folgenden Platzhalter:

   • Ersetzen Sie <comment> optional durch einen aussagekräftigen Kommentar zum Zweck des Zugriffstokens. Wenn die --comment-Option nicht angegeben ist, wird kein Kommentar generiert.
   • Ersetzen Sie <lifetime-seconds> optional durch die Anzahl von Sekunden, für die das Zugriffstoken gültig ist. Beispielsweise beträgt 1 Tag 86400 Sekunden. Wenn die --lifetime-seconds-Option nicht angegeben ist, wird das Zugriffstoken so festgelegt, dass es nie abläuft (nicht empfohlen).
   • Ersetzen Sie <profile-name> optional durch den Namen eines Azure Databricks-Konfigurationsprofils, das Authentifizierungsinformationen für den Dienstprinzipal und den Zielarbeitsbereich enthält. Wenn die -p-Option nicht angegeben ist, versucht die Databricks CLI, ein Konfigurationsprofil mit dem Namen DEFAULT zu suchen und zu verwenden.

   databricks tokens create --comment <comment> --lifetime-seconds <lifetime-seconds> -p <profile-name>
   

2. Kopieren Sie in der Antwort den Wert von token_value, der das Zugriffstoken für den Dienstprinzipal ist.

   Achten Sie darauf, den kopierten Token an einem sicheren Ort zu speichern. Geben Sie das kopierte Token nicht an andere Personen weiter. Wenn Sie das kopierte Token verlieren, können Sie das gleiche Token nicht erneut generieren. Stattdessen müssen Sie erneut das Verfahren zum Erstellen eines neuen Tokens durchlaufen.

   Wenn Sie in Ihrem Arbeitsbereich keine Token erstellen oder verwenden können, liegt dies möglicherweise daran, dass Ihr Arbeitsbereichsadministrator Token deaktiviert hat oder Ihnen keine Berechtigung zum Erstellen oder Verwenden von Token erteilt hat. Wenden Sie sich an Ihren Arbeitsbereichsadministrator oder lesen Sie:

   • Aktivieren oder Deaktivieren der Authentifizierung mit persönlichen Zugriffstoken für den Arbeitsbereich
   • Berechtigungen für persönliche Zugriffstoken

Durchführung einer Authentifizierung mit persönlichen Azure Databricks-Zugriffstoken

Um die Authentifizierung mit persönliches Zugriffstoken für Azure Databricks zu konfigurieren, müssen Sie die folgenden zugeordneten Umgebungsvariablen, .databrickscfg-Felder, Terraform-Felder oder Config-Felder festlegen:

• Der Azure Databricks-Host, der als arbeitsbereichsspezifische URL für Azure Databricks angegeben wird, z. B. https://adb-1234567890123456.7.azuredatabricks.net
• Das persönliche Azure Databricks-Zugriffstoken für das Azure Databricks-Benutzerkonto.

Um die Authentifizierung mit dem persönlichen Zugriffstoken in Azure Databricks durchzuführen, integrieren Sie Folgendes in Ihren Code, basierend auf dem beteiligten Tool oder SDK:

Environment

Informationen zum Verwenden von Umgebungsvariablen für einen bestimmten Azure Databricks-Authentifizierungstyp mit einem Tool oder SDK finden Sie unter Unterstützte Authentifizierungstypen nach Azure Databricks-Tool oder -SDK oder in der Dokumentation des jeweiligen Tools oder SDK. Siehe auch Umgebungsvariablen und Felder für die einheitliche Clientauthentifizierung und die Standardreihenfolge der Auswertung für einheitliche Clientauthentifizierungsmethoden und Anmeldeinformationen.

Legen Sie die folgenden Umgebungsvariablen fest:

• DATABRICKS_HOST, legen Sie diesen Parameter auf die arbeitsbereichsspezifische Azure Databricks-URL fest, z. B. https://adb-1234567890123456.7.azuredatabricks.net.
• DATABRICKS_TOKEN

Profil

Erstellen oder identifizieren Sie ein Azure Databricks-Konfigurationsprofil mit den folgenden Feldern in Ihrer .databrickscfg-Datei. Wenn Sie das Profil erstellen, ersetzen Sie die Platzhalter durch die entsprechenden Werte. Informationen zur Verwendung des Profils mit einem Tool oder SDK finden Sie unter Unterstützte Authentifizierungstypen nach Azure Databricks-Tool oder -SDK oder in der Dokumentation des jeweiligen Tools oder SDK. Siehe auch Umgebungsvariablen und Felder für die einheitliche Clientauthentifizierung und die Standardreihenfolge der Auswertung für einheitliche Clientauthentifizierungsmethoden und Anmeldeinformationen.

Legen Sie die folgenden Werte in Ihrer .databrickscfg-Datei fest. In diesem Fall ist der Host die arbeitsbereichsspezifische Azure Databricks-URL, z. B. https://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host  = <workspace-url>
token = <token>

Anstatt die vorherigen Werte in Ihrer .databrickscfg-Datei manuell festzulegen, können Sie stattdessen die Databricks CLI wie folgt verwenden, um diese Werte festzulegen:

Hinweis

Im folgenden Verfahren wird mit der Databricks-CLI ein Azure Databricks-Konfigurationsprofil mit dem Namen DEFAULT erstellt. Wenn Sie bereits ein DEFAULT-Konfigurationsprofil besitzen, wird Ihr vorhandenes DEFAULT-Konfigurationsprofil durch dieses Verfahren überschrieben.

Um zu überprüfen, ob Sie bereits ein DEFAULT-Konfigurationsprofil haben, und um die Einstellungen dieses Profils anzuzeigen, wenn es existiert, verwenden Sie die Databricks-Befehlszeilenschnittstelle, um den Befehl databricks auth env --profile DEFAULT auszuführen.

Um ein Konfigurationsprofil mit einem anderen Namen als DEFAULT zu erstellen, ersetzen Sie den DEFAULT-Teil von --profile DEFAULT in dem folgenden databricks configure-Befehl durch einen anderen Namen für das Konfigurationsprofil.

1. Erstellen Sie mithilfe der Databricks-CLI ein Azure Databricks-Konfigurationsprofil mit dem Namen DEFAULT, das die Authentifizierung des persönlichen Zugriffstokens von Azure Databricks verwendet. Führen Sie zu diesem Zweck den folgenden Befehl aus:

   databricks configure --profile DEFAULT
   

2. Geben Sie als Databricks-Host Ihre arbeitsbereichsspezifische Azure Databricks-URL ein, z. B. https://adb-1234567890123456.7.azuredatabricks.net.

3. Geben Sie für Persönliches Zugriffstoken Ihr persönliches Azure Databricks-Zugriffstoken für Ihren Arbeitsbereich ein.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Führen Sie für die Databricks CLI den Befehl databricks configure aus. Geben Sie an den Eingabeaufforderungen folgende Einstellungen ein:

• Der Azure Databricks-Host, der als arbeitsbereichsspezifische URL für Azure Databricks angegeben wird, z. B. https://adb-1234567890123456.7.azuredatabricks.net
• Das persönliche Azure Databricks-Zugriffstoken für das Azure Databricks-Benutzerkonto.

Weitere Informationen finden Sie unter Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken.

Verbinden

Hinweis

Die Authentifizierung mit persönlichen Azure Databricks-Zugriffstoken wird in den folgenden Databricks Connect-Versionen unterstützt:

• Für Python: Databricks Connect für Databricks Runtime 13.3 LTS und höher.
• Für Scala: Databricks Connect für Databricks Runtime 13.3 LTS und höher.

Sie können die Databricks-CLI verwenden, um für Databricks Connect die Werte in Ihrer .databrickscfg-Datei für Vorgänge auf Azure Databricks-Arbeitsbereichsebene festzulegen. Gehen Sie dafür wie im Abschnitt „Profil“ dieses Artikels angegeben vor:

Hinweis

Im folgenden Verfahren wird mit der Databricks-CLI ein Azure Databricks-Konfigurationsprofil mit dem Namen DEFAULT erstellt. Wenn Sie bereits ein DEFAULT-Konfigurationsprofil besitzen, wird Ihr vorhandenes DEFAULT-Konfigurationsprofil durch dieses Verfahren überschrieben.

Um zu überprüfen, ob Sie bereits ein DEFAULT-Konfigurationsprofil haben, und um die Einstellungen dieses Profils anzuzeigen, wenn es existiert, verwenden Sie die Databricks-Befehlszeilenschnittstelle, um den Befehl databricks auth env --profile DEFAULT auszuführen.

Um ein Konfigurationsprofil mit einem anderen Namen als DEFAULT zu erstellen, ersetzen Sie den DEFAULT-Teil von --profile DEFAULT im databricks configure-Befehl wie im folgenden Schritt gezeigt durch einen anderen Namen für das Konfigurationsprofil.

1. Erstellen Sie mithilfe der Databricks-CLI ein Azure Databricks-Konfigurationsprofil mit dem Namen DEFAULT, das die Authentifizierung mit einem persönlichen Zugriffstoken von Azure Databricks verwendet. Führen Sie zu diesem Zweck den folgenden Befehl aus:

   databricks configure --configure-cluster --profile DEFAULT
   

2. Geben Sie als Databricks-Host Ihre arbeitsbereichsspezifische Azure Databricks-URL ein, z. B. https://adb-1234567890123456.7.azuredatabricks.net.

3. Geben Sie für Persönliches Zugriffstoken Ihr persönliches Azure Databricks-Zugriffstoken für Ihren Arbeitsbereich ein.

4. Verwenden Sie in der angezeigten Liste der verfügbaren Cluster die NACH-OBEN- und NACH-UNTEN-TASTEN, um den Azure Databricks-Zielcluster in Ihrem Arbeitsbereich auszuwählen, und drücken Sie anschließend Enter. Sie können auch einen beliebigen Teil des Anzeigenamens des Clusters eingeben, um die Liste der verfügbaren Cluster zu filtern.

Weitere unterstützte Ansätze für Databricks Connect sind unter anderem:

• Legen Sie die Werte in Ihrer .databrickscfg-Datei für Vorgänge auf Azure Databricks-Arbeitsbereichsebene manuell fest, wie im Abschnitt „Profil“ dieses Artikels angegeben. Legen Sie auch die Umgebungsvariable cluster_id in Ihrem Profil auf Ihre arbeitsbereichsspezifische URL fest, z. B. https://adb-1234567890123456.7.azuredatabricks.net.
• Legen Sie die Umgebungsvariablen für Vorgänge auf Arbeitsbereichsebene in Azure Databricks fest, wie im Abschnitt „Umgebung“ dieses Artikels angegeben. Legen Sie auch die Umgebungsvariable DATABRICKS_CLUSTER_ID auf Ihre arbeitsbereichsspezifische URL fest, z. B. https://adb-1234567890123456.7.azuredatabricks.net.

Die Werte in Ihrer .databrickscfg-Datei haben immer Vorrang vor Umgebungsvariablen.

Informationen zum Initialisieren des Databricks Connect-Clients mit diesen Umgebungsvariablen oder den Werten in Ihrer .databrickscfg-Datei finden Sie unter den folgenden Ressourcen:

• Informationen zu Python finden Sie unter Konfigurieren von Verbindungseigenschaften für Python.
• Informationen zu Scala finden Sie unter Konfigurieren von Verbindungseigenschaften für Scala.

VS-Code

Für die Databricks-Erweiterung für Visual Studio Code gehen Sie folgendermaßen vor:

1. Legen Sie die Werte in Ihrer .databrickscfg-Datei für Vorgänge auf Arbeitsbereichsebene in Azure Databricks fest, wie im Abschnitt „Profil“ dieses Artikels angegeben.
2. Wählen Sie in der Databricks-Erweiterung für Visual Studio Code im Bereich Konfiguration die Option Databricks konfigurieren aus.
3. Geben Sie in der Befehlspalette als Databricks-Host Ihre arbeitsbereichsspezifische URL ein, z. B https://adb-1234567890123456.7.azuredatabricks.net, und drücken Sie dann Enter.
4. Wählen Sie in der Befehlspalette den Namen Ihres Zielprofils in der Liste für Ihre URL aus.

Weitere Informationen finden Sie unter Einrichten der Authentifizierung für die Databricks-Erweiterung für VS Code.

Terraform

Für die Standardauthentifizierung:

provider "databricks" {
  alias = "workspace"
}

Für die direkte Konfiguration (ersetzen Sie die retrieve-Platzhalter durch Ihre eigene Implementierung, um die Werte aus der Konsole oder einem anderen Konfigurationsspeicher abzurufen, z. B. dem HashiCorp-Tresor. Weitere Informationen finden Sie unter Tresoranbieter). In diesem Fall ist der Host die arbeitsbereichsspezifische Azure Databricks-URL, z. B. https://adb-1234567890123456.7.azuredatabricks.net:

provider "databricks" {
  alias = "workspace"
  host  = <retrieve-workspace-url>
  token = <retrieve-token>
}

Weitere Informationen zur Authentifizierung mit dem Databricks-Terraform-Anbieter finden Sie unter Authentifizierung.

Python

Für die Standardauthentifizierung:

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()
# ...

Für die direkte Konfiguration (ersetzen Sie die retrieve-Platzhalter durch Ihre eigene Implementierung, um die Werte aus der Konsole oder einem anderen Konfigurationsspeicher abzurufen, z. B. Azure-KeyVault). In diesem Fall ist der Host die arbeitsbereichsspezifische Azure Databricks-URL, z. B. https://adb-1234567890123456.7.azuredatabricks.net:

from databricks.sdk import WorkspaceClient

w = WorkspaceClient(
  host  = retrieve_workspace_url(),
  token = retrieve_token()
)
# ...

Weitere Informationen zur Authentifizierung mit Databricks-Tools und -SDKs, die Python verwenden und die einheitliche Databricks-Clientauthentifizierung implementieren, finden Sie hier:

• Einrichten des Databricks Connect-Clients für Python
• Einrichten der Authentifizierung für die Databricks-Erweiterung für VS Code
• Authentifizieren des Databricks SDK für Python bei Ihrem Azure Databricks-Konto oder -Arbeitsbereich

Java

Für die Standardauthentifizierung:

import com.databricks.sdk.WorkspaceClient;
// ...
WorkspaceClient w = new WorkspaceClient();
// ...

Für die direkte Konfiguration (ersetzen Sie die retrieve-Platzhalter durch Ihre eigene Implementierung, um die Werte aus der Konsole oder einem anderen Konfigurationsspeicher abzurufen, z. B. Azure-KeyVault). In diesem Fall ist der Host die arbeitsbereichsspezifische Azure Databricks-URL, z. B. https://adb-1234567890123456.7.azuredatabricks.net:

import com.databricks.sdk.WorkspaceClient;
import com.databricks.sdk.core.DatabricksConfig;
// ...
DatabricksConfig cfg = new DatabricksConfig()
  .setHost(retrieveWorkspaceUrl())
  .setToken(retrieveToken());
WorkspaceClient w = new WorkspaceClient(cfg);
// ...

Weitere Informationen zur Authentifizierung mit Databricks-Tools und -SDKs, die Java verwenden und die einheitliche Databricks-Clientauthentifizierung implementieren, finden Sie hier:

• Einrichten des Databricks Connect-Clients für Scala (der Databricks Connect-Client für Scala verwendet das enthaltene Databricks SDK für Java zur Authentifizierung)
• Authentifizieren des Databricks SDK für Java bei Ihrem Azure Databricks-Konto oder -Arbeitsbereich

Go

Für die Standardauthentifizierung:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient())
// ...

Für die direkte Konfiguration (ersetzen Sie die retrieve-Platzhalter durch Ihre eigene Implementierung, um die Werte aus der Konsole oder einem anderen Konfigurationsspeicher abzurufen, z. B. Azure-KeyVault). In diesem Fall ist der Host die arbeitsbereichsspezifische Azure Databricks-URL, z. B. https://adb-1234567890123456.7.azuredatabricks.net:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient(&databricks.Config{
  Host:  retrieveWorkspaceUrl(),
  Token: retrieveToken(),
}))
// ...

Weitere Informationen zur Authentifizierung mit Databricks-Tools und -SDKs, die Go verwenden und die einheitliche Databricks-Clientauthentifizierung implementieren, finden Sie unter Authentifizieren des Databricks SDK für Go bei Ihrem Azure Databricks-Konto oder -Arbeitsbereich.