Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Der OAuth-Tokenverbund von Databricks, auch als OpenID Connect (OIDC) bezeichnet, ermöglicht Es Ihren automatisierten Workloads, die außerhalb von Databricks ausgeführt werden, sicher auf Databricks zuzugreifen, ohne dass Databricks geheime Schlüssel erforderlich sind. Siehe Authentifizieren des Zugriffs auf Azure Databricks mithilfe des OAuth-Tokenverbunds.
So aktivieren Sie den Workload-Identitätsverbund für Azure DevOps-Pipelines:
Nachdem Sie den Workload-Identitätsverbund aktiviert haben, rufen die Databricks-SDKs und die Databricks CLI Automatisch Workload-Identitätstoken aus Azure DevOps-Pipelines ab und tauschen sie für Databricks OAuth-Token aus.
Erstellen einer Verbundrichtlinie
Erstellen Sie zunächst eine benutzerdefinierte Workload-Identitätsverbundrichtlinie. Anweisungen finden Sie unter Konfigurieren einer Dienstprinzipalverbundrichtlinie. Legen Sie für Azure DevOps die folgenden Werte für die Richtlinie fest:
-
Aussteller-URL:
https://vstoken.dev.azure.com/<org_id>, wobei<org-id>die GUID Ihrer Azure DevOps-Organisation -
Leserkreis:
api://AzureADTokenExchange -
Betreff:
p://<org-name>/<project-name>/<pipeline-name>dabei<org-name>handelt es sich um den Namen Ihrer Azure DevOps-Organisation,<project-name>ihren Azure DevOps-Projektnamen und<pipeline-name>den Namen Ihrer Azure DevOps-Pipeline.
Beispielsweise erstellt der folgende Databricks CLI-Befehl eine Verbundrichtlinie für eine Organisations-ID 7f1078d6-b20d-4a20-9d88-05a2f0d645a3 und eine Databricks-Dienstprinzipal-Numerische ID von 5581763342009999:
databricks account service-principal-federation-policy create 5581763342009999 --json '{
"oidc_policy": {
"issuer": "https://vstoken.dev.azure.com/7f1078d6-b20d-4a20-9d88-05a2f0d645a3",
"audiences": [
"api://AzureADTokenExchange"
],
"subject": "p://my-org/my-project/my-pipeline"
}
}
'
Konfigurieren der Azure DevOps-Pipeline YAML
Konfigurieren Sie als Nächstes die YaML-Datei der Azure DevOps-Pipeline. Legen Sie die folgenden Umgebungsvariablen fest:
-
DATABRICKS_AUTH_TYPE:azure-devops-oidc -
DATABRICKS_HOST: Url des Databricks-Arbeitsbereichs -
DATABRICKS_CLIENT_ID: Die Dienstprinzipal-ID (Anwendung) -
SYSTEM_ACCESSTOKEN: Zuordnen der$(System.AccessToken)Pipelinevariable zu dieser Umgebungsvariable
trigger: none
pool: test # my self-hosted pool name
variables:
DATABRICKS_HOST: https://my-workspace.cloud.databricks.com/
DATABRICKS_AUTH_TYPE: azure-devops-oidc
DATABRICKS_CLIENT_ID: a1b2c3d4-ee42-1eet-1337-f00b44r
steps:
- script: |
databricks current-user me
displayName: 'Display Databricks current user information'
env:
SYSTEM_ACCESSTOKEN: $(System.AccessToken)