Authentifizierung für die Databricks-CLI

Hinweis

Diese Informationen gelten für Databricks CLI-Versionen 0.205 und höher. Die Databricks CLI befindet sich in der öffentlichen Vorschau.

Die Verwendung von Databricks CLI unterliegt der Datenbricks-Lizenz - und Databricks-Datenschutzerklärung, einschließlich der Bestimmungen zu Nutzungsdaten.

In diesem Artikel wird erläutert, wie Sie die Authentifizierung zwischen der Azure Databricks CLI und Ihren Azure Databricks-Konten und Arbeitsbereichen einrichten. Es wird davon ausgegangen, dass Sie die Azure Databricks CLI bereits installiert haben. Weitere Informationen finden Sie unter Installieren oder Aktualisieren der Databricks CLI.

Bevor Sie Azure Databricks CLI-Befehle ausführen, müssen Sie die Authentifizierung für die Konten oder Arbeitsbereiche konfigurieren, die Sie verwenden möchten. Das erforderliche Setup hängt davon ab, ob Sie Befehle auf Arbeitsbereichsebene , Befehle auf Kontoebene oder beides ausführen möchten.

Führen Sie zum Anzeigen der verfügbaren CLI-Befehlsgruppen aus databricks -h. Eine Liste der entsprechenden REST-API-Vorgänge finden Sie unter Databricks REST API.

Informationen zur Microsoft Entra-Authentifizierung für Databricks mit Azure DevOps speziell finden Sie unter Authentifizieren mit Azure DevOps auf Azure Databricks.

OAuth-M2M (Machine-to-Machine)-Authentifizierung

Die Computer-zu-Computer-Authentifizierung (M2M) mit OAuth ermöglicht Diensten, Skripts oder Anwendungen den Zugriff auf Databricks-Ressourcen ohne interaktive Benutzeranmeldung. Anstatt auf persönliche Zugriffstoken (PATs) oder Benutzeranmeldeinformationen zu vertrauen, verwendet die M2M-Authentifizierung einen Dienstprinzipal und einen OAuth-Clientanmeldeinformationsfluss, um Token anzufordern und zu verwalten.

So konfigurieren und verwenden Sie die OAuth M2M-Authentifizierung:

1. Führen Sie die Einrichtungsschritte für die OAuth M2M-Authentifizierung aus. Siehe Autorisieren des Dienstprinzipalzugriffs auf Azure Databricks mit OAuth.

2. Erstellen Sie ein Azure Databricks-Konfigurationsprofil mit den folgenden Feldern in Ihrer .databrickscfg Datei.

   Für Befehle auf Kontoebene

   [<some-unique-configuration-profile-name>]
   host          = <account-console-url>
   account_id    = <account-id>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

   Für Befehle auf Arbeitsbereichsebene

   [<some-unique-configuration-profile-name>]
   host          = <workspace-url>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

Um das Profil zu verwenden, übergeben Sie es mit den --profile CLI-Befehlen oder -p flag. Beispiel:

databricks account groups list -p <profile-name>

Drücken Sie die TAB-TASTE, --profile um -p eine Liste der verfügbaren Profile anzuzeigen.

OAuth-U2M (User-to-Machine)-Authentifizierung

Bei der OAuth-Benutzer-zu-Computer-Authentifizierung (U2M) melden Sie sich interaktiv an, und die CLI verwaltet kurzlebige Token in Ihrem Auftrag. OAuth-Token laufen in weniger als einer Stunde ab, was das Risiko verringert, wenn ein Token versehentlich verfügbar gemacht wird. Siehe Autorisieren des Benutzerzugriffs auf Azure Databricks mit OAuth.

So melden Sie sich an:

Für Befehle auf Kontoebene

databricks auth login --host <account-console-url> --account-id <account-id>

Für Befehle auf Arbeitsbereichsebene

databricks auth login --host <workspace-url>

Die CLI führt Sie durch einen browserbasierten Anmeldefluss. Wenn Sie fertig sind, speichert die CLI die Anmeldeinformationen als Konfigurationsprofil. Sie können den vorgeschlagenen Profilnamen akzeptieren oder Eigenes eingeben.

Um das Profil zu verwenden, übergeben Sie es mit den --profile CLI-Befehlen oder -p flag. Beispiel:

databricks clusters list -p <profile-name>

Drücken Sie die TAB-TASTE, --profile um -p eine Liste der verfügbaren Profile anzuzeigen.

Authentifizierung mit von Azure verwalteten Identitäten

Die Authentifizierung mit von Azure verwalteten Identitäten verwendet verwaltete Identitäten für Azure-Ressourcen (ehemals verwaltete Dienstidentitäten (MSI)) für die Authentifizierung. Siehe Was sind verwaltete Identitäten für Azure-Ressourcen?. Siehe auch Authentifizieren mit von Azure verwalteten Identitäten.

Gehen Sie wie folgt vor, um eine benutzerseitig zugewiesene verwaltete Identität in Azure zu erstellen:

1. Erstellen oder identifizieren Sie eine Azure-VM, und installieren Sie darauf die Databricks-CLI. Weisen Sie dann Ihre verwaltete Identität Ihrer Azure-VM und Ihren Azure Databricks-Zielkonten, -Arbeitsbereichen oder beidem zu. Siehe Verwenden von von Azure verwalteten Identitäten mit Azure Databricks.

2. Erstellen oder identifizieren Sie auf der Azure-VM ein Azure Databricks-Konfigurationsprofil mit den folgenden Feldern in Ihrer .databrickscfg-Datei. Wenn Sie das Profil erstellen, ersetzen Sie die Platzhalter durch die entsprechenden Werte.

   Legen Sie für Befehle auf Kontoebene die folgenden Werte in Ihrer Datei vom Typ .databrickscfg fest:

   [<some-unique-configuration-profile-name>]
   host            = <account-console-url>
   account_id      = <account-id>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Legen Sie für Befehle auf Arbeitsbereichsebene die folgenden Werte in Ihrer Datei vom Typ .databrickscfg fest:

   [<some-unique-configuration-profile-name>]
   host            = <workspace-url>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Databricks empfiehlt die Verwendung von host und die explizite Zuweisung der Identity zum Arbeitsbereich. Alternativ können Sie die Azure-Ressourcen-ID verwenden azure_workspace_resource_id . Für diesen Ansatz sind Mitwirkende- oder Besitzerberechtigungen für die Azure-Ressource oder eine benutzerdefinierte Rolle mit bestimmten Azure Databricks-Berechtigungen erforderlich.

3. Verwenden Sie auf der Azure-VM die Option --profile oder -p der Databricks CLI, gefolgt vom Namen Ihres Konfigurationsprofils, um das Profil für Databricks festzulegen, zum Beispiel databricks account groups list -p <configuration-profile-name> oder databricks clusters list -p <configuration-profile-name>.

   Tipp

   Sie können Tab nach --profile oder -p drücken, um eine Liste der vorhandenen verfügbaren Konfigurationsprofile anzuzeigen, aus der Sie auswählen können, anstatt den Namen des Konfigurationsprofils manuell einzugeben.

Microsoft Entra ID-Dienstprinzipalauthentifizierung

Die Authentifizierung über Microsoft Entra ID-Dienstprinzipale verwendet zur Authentifizierung die Anmeldeinformationen eines Microsoft Entra ID-Dienstprinzipals. Informationen zum Erstellen und Verwalten von Dienstprinzipalen für Azure Databricks finden Sie unter Dienstprinzipale. Siehe auch Authentifizieren mit Microsoft Entra-Dienstprinzipalen.

Um die Microsoft Entra ID-Dienstprinzipalauthentifizierung zu konfigurieren und zu verwenden, müssen Sie die Authentifizierung mit der Azure CLI lokal installiert haben. Außerdem muss Folgendes durchgeführt werden:

1. Erstellen oder identifizieren Sie ein Azure Databricks-Konfigurationsprofil mit den folgenden Feldern in Ihrer .databrickscfg-Datei. Wenn Sie das Profil erstellen, ersetzen Sie die Platzhalter durch die entsprechenden Werte.

   Legen Sie für Befehle auf Kontoebene die folgenden Werte in Ihrer Datei vom Typ .databrickscfg fest:

   [<some-unique-configuration-profile-name>]
   host                = <account-console-url>
   account_id          = <account-id>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Legen Sie für Befehle auf Arbeitsbereichsebene die folgenden Werte in Ihrer Datei vom Typ .databrickscfg fest:

   [<some-unique-configuration-profile-name>]
   host                = <workspace-url>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Databricks empfiehlt die Verwendung von host und die explizite Zuweisung des Dienstprinzipals der Microsoft Entra ID im Arbeitsbereich. Alternativ können Sie die Azure-Ressourcen-ID verwenden azure_workspace_resource_id . Für diesen Ansatz sind Mitwirkende- oder Besitzerberechtigungen für die Azure-Ressource oder eine benutzerdefinierte Rolle mit bestimmten Azure Databricks-Berechtigungen erforderlich.

2. Verwenden Sie die Databricks CLI --profile- oder -p-Option, gefolgt vom Namen Ihres Konfigurationsprofils, als Teil des Databricks CLI-Befehlsaufrufs, z.B. databricks account groups list -p <configuration-profile-name> oder databricks clusters list -p <configuration-profile-name>.

   Tipp

   Sie können Tab nach --profile oder -p drücken, um eine Liste der vorhandenen verfügbaren Konfigurationsprofile anzuzeigen, aus der Sie auswählen können, anstatt den Namen des Konfigurationsprofils manuell einzugeben.

Authentifizierung mittels Azure CLI

Die Azure CLI-Authentifizierung verwendet die Azure CLI, um die angemeldete Entität zu authentifizieren. Siehe auch Authentifizieren mit der Azure CLI.

Zum Konfigurieren der Azure CLI-Authentifizierung müssen Sie die folgenden Schritte ausführen:

1. Die Azure CLI muss lokal installiert sein.

2. Führen Sie in der Azure CLI den Befehl az login aus, um sich bei Azure Databricks anzumelden. Siehe Anmelden mit der Azure CLI.

3. Erstellen oder identifizieren Sie ein Azure Databricks-Konfigurationsprofil mit den folgenden Feldern in Ihrer .databrickscfg-Datei. Wenn Sie das Profil erstellen, ersetzen Sie die Platzhalter durch die entsprechenden Werte.

   Legen Sie für Befehle auf Kontoebene die folgenden Werte in Ihrer Datei vom Typ .databrickscfg fest:

   [<some-unique-configuration-profile-name>]
   host       = <account-console-url>
   account_id = <account-id>
   

   Legen Sie für Befehle auf Arbeitsbereichsebene die folgenden Werte in Ihrer Datei vom Typ .databrickscfg fest:

   [<some-unique-configuration-profile-name>]
   host = <workspace-url>
   

4. Verwenden Sie die Databricks CLI --profile- oder -p-Option, gefolgt vom Namen Ihres Konfigurationsprofils, als Teil des Databricks CLI-Befehlsaufrufs, z.B. databricks account groups list -p <configuration-profile-name> oder databricks clusters list -p <configuration-profile-name>.

   Tipp

   Sie können Tab nach --profile oder -p drücken, um eine Liste der vorhandenen verfügbaren Konfigurationsprofile anzuzeigen, aus der Sie auswählen können, anstatt den Namen des Konfigurationsprofils manuell einzugeben.

Authentifizierungsreihenfolge der Auswertung

Wenn sich die Databricks CLI bei einem Azure Databricks-Arbeitsbereich oder -Konto authentifiziert, sucht sie in der folgenden Reihenfolge nach erforderlichen Einstellungen:

1. Bundle-Einstellungsdateien für Befehle, die aus einem Bundle-Arbeitsverzeichnis ausgeführt werden. Bündeleinstellungsdateien können keine Anmeldeinformationswerte direkt enthalten.
2. Umgebungsvariablen, wie in diesem Artikel und in Umgebungsvariablen und -feldern für die einheitliche Authentifizierung aufgeführt.
3. Konfigurationsprofile in der .databrickscfg Datei.

Sobald die CLI die erforderliche Einstellung findet, wird die Suche an anderen Speicherorten beendet.

Beispiele

• Wenn eine DATABRICKS_TOKEN Umgebungsvariable festgelegt ist, verwendet die CLI sie, auch wenn mehrere Token vorhanden .databrickscfgsind.
• Wenn keine DATABRICKS_TOKEN Festgelegt ist und eine Bündelumgebung auf einen Profilnamen wie dev → Profil DEVverweist, verwendet die CLI die Anmeldeinformationen aus diesem Profil in .databrickscfg.
• Wenn kein DATABRICKS_TOKEN Wert festgelegt ist und eine Bündelumgebung einen host Wert angibt, sucht die CLI nach einem Profil in .databrickscfg einem Übereinstimmen host und verwendet dessen token.

Authentifizierung des persönlichen Zugriffstokens (veraltet)

Von Bedeutung

Die Standardauthentifizierung mit einem Azure Databricks-Benutzernamen und -Kennwort wurde am 10. Juli 2024 am Ende der Lebensdauer erreicht. Um sich mit dem Azure Databricks-Konto zu authentifizieren, verwenden Sie stattdessen eine der folgenden Authentifizierungsmethoden:

• OAuth-M2M (Machine-to-Machine)-Authentifizierung
• OAuth-U2M (User-to-Machine)-Authentifizierung
• Authentifizierung von von Azure verwalteten Identitäten
• Microsoft Entra ID-Dienstprinzipalauthentifizierung
• Azure CLI-Authentifizierung

Die Authentifizierung des persönlichen Zugriffstokens von Azure Databricks verwendet ein persönliches Azure Databricks-Zugriffstoken, um die Azure Databricks-Zielentität zu authentifizieren, z. B. ein Azure Databricks-Benutzerkonto. Siehe Authentifizieren mit Azure Databricks persönlichen Zugriffstoken (Legacy).

Führen Sie zum Erstellen eines persönlichen Zugriffstokens die Schritte unter Erstellen von persönlichen Zugriffstoken für Arbeitsbereichsbenutzer aus.