Authentifizierung für die Azure Databricks-Automatisierung – Übersicht

In Azure Databricks bezieht sich Authentifizierung auf die Verifizierung einer Azure Databricks-Identität (z. B. eines Benutzers, eines Dienstprinzipals oder einer Gruppe), oder einer verwalteten Identität in Azure. Azure Databricks verwendet Anmeldeinformationen (z. B. ein Zugriffstoken), um die Identität zu überprüfen.

Nachdem Azure Databricks die Identität des Aufrufers überprüft hat, ermittelt Azure Databricks über einen als Autorisierung bezeichneten Prozess, ob die verifizierte Identität über ausreichende Zugriffsberechtigungen verfügt, um die angegebene Aktion für die Ressource am angegebenen Standort auszuführen. Dieser Artikel enthält nur Details zur Authentifizierung. Er enthält keine Details zu Autorisierungs- oder Zugriffsberechtigungen; siehe dazu Authentifizierung und Zugriffssteuerung.

Wenn ein Tool eine Automatisierungs- oder API-Anforderung stellt, werden darin Anmeldeinformationen angegeben, die eine Identität bei Azure Databricks authentifizieren. In diesem Artikel werden typische Methoden zum Erstellen, Speichern und Weitergeben von Anmeldedaten und zugehörigen Informationen beschrieben, die Azure Databricks für die Authentifizierung und Autorisierung von Anforderungen benötigt. Informationen dazu, welche Anmeldeinformationstypen, zugehörige Informationen und Speichermechanismen von Ihren Tools, SDKs, Skripts und Apps unterstützt werden, finden Sie unter Unterstützte Authentifizierungstypen vom Azure Databricks-Tool oder SDK oder der Dokumentation Ihres Anbieters.

Allgemeine Aufgaben für die Azure Databricks-Authentifizierung

Verwenden Sie die folgenden Anweisungen, um allgemeine Aufgaben für die Azure Databricks-Authentifizierung auszuführen.

Zum Ausführen dieser Aufgabe...	Befolgen Sie die Anweisungen in diesem Artikel
Erstellen Sie einen Azure Databricks-Benutzer, den Sie für die Authentifizierung auf Azure Databricks-Kontoebene verwenden können.	Verwalten von Benutzern in Ihrem Konto
Erstellen Sie einen Azure Databricks-Benutzer, den Sie für die Authentifizierung mit einem bestimmten Azure Databricks-Arbeitsbereich verwenden können.	Verwalten von Benutzern in Ihrem Arbeitsbereich
Erstellen Sie ein persönliches Azure Databricks-Zugriffstoken für einen Azure Databricks-Benutzer. (Dieses persönliche Azure Databricks-Zugriffstoken kann nur für die Authentifizierung mit dem zugeordneten Azure Databricks-Arbeitsbereich verwendet werden.)	Persönliches Azure Databricks-Zugriffstoken für Arbeitsbereichsbenutzer
Erstellen Sie einen verwalteten Dienstprinzipal für Azure Databricks, und fügen Sie diesen dann einem Azure Databricks-Konto, einem bestimmten Azure Databricks-Arbeitsbereich oder beidem hinzu. Anschließend können Sie diesen Dienstprinzipal für die Authentifizierung auf Azure Databricks-Kontoebene oder bei einem bestimmten Azure Databricks-Arbeitsbereich oder für beides verwenden.	Verwalten von Dienstprinzipalen
Erstellen Sie ein Azure Databricks-Konfigurationsprofil.	Azure Databricks-Konfigurationsprofile
Erstellen Sie eine Azure Databricks-Gruppe, und fügen Sie Azure Databricks-Benutzer und Azure-Dienstprinzipale zu dieser Gruppe hinzu, um eine robustere Autorisierung zu erhalten.	Verwalten von Kontogruppen mithilfe der Seite Administratoreinstellungen für Arbeitsbereiche und Verwalten von Kontogruppen auf der Seite für Administratoreinstellungen des Arbeitsbereichs

Unterstützte Azure Databricks-Authentifizierungstypen

Azure Databricks bietet verschiedene Möglichkeiten, Azure Databricks-Benutzer*innen, Dienstprinzipale und von Azure verwaltete Identitäten wie folgt zu authentifizieren:

Authentication type	Details
Authentifizierung von von Azure verwalteten Identitäten	* Die Authentifizierung mit von Azure verwalteten Identitäten verwendet verwaltete Identitäten für Azure-Ressourcen für die Authentifizierung. Siehe Was sind verwaltete Identitäten für Azure-Ressourcen?. * Verwaltete Identitäten in Azure verwenden Microsoft Entra ID-Token für Authentifizierungsanmeldeinformationen. Diese Token werden intern in Microsoft-Systemen verwaltet. Sie können nicht auf diese Token zugreifen. * Die Authentifizierung mit von Azure verwalteten Identitäten muss von einer Ressource initiiert werden, die von Azure verwaltete Identitäten unterstützt, z. B. einen virtuellen Azure-Computer (Azure VM). * Weitere technische Details finden Sie unter Authentifizierung mit von Azure verwalteten Identitäten.
OAuth-Computer-zu-Computer-Authentifizierung (M2M)	* Bei der OAuth M2M-Authentifizierung werden Dienstprinzipale für die Authentifizierung verwendet. Sie kann mit einem verwalteten Dienstprinzipal von Azure Databricks oder einen verwalteten Dienstprinzipal von Microsoft Entra ID verwendet werden. * Die OAuth M2M-Authentifizierung verwendet Azure Databricks OAuth-Zugriffstoken mit kurzer Lebensdauer (eine Stunde) für Authentifizierungsanmeldeinformationen. * Abgelaufene Azure Databricks OAuth-Zugriffstoken können von den teilnehmenden Azure Databricks-Tools und SDKs automatisch aktualisiert werden. Siehe Unterstützte Authentifizierungstypen vom Azure Databricks-Tool oder SDK und Databricks-Client für einheitliche Authentifizierung. * Databricks empfiehlt, die OAuth M2M-Authentifizierung für unbeaufsichtigte Authentifizierungsszenarien zu verwenden. Zu diesen Szenarien gehören vollständig automatisierte und CI/CD-Workflows, bei denen Sie Ihren Webbrowser nicht verwenden können, um sich mit Azure Databricks in Echtzeit zu authentifizieren. * Databricks empfiehlt, anstelle der OAuth M2M-Authentifizierung die Authentifizierung mit von Azure verwalteten Identitäten zu verwenden, sofern Ihr Azure Databricks-Zieltool oder SDK diese Authentifizierung unterstützt. Das liegt daran, dass die Authentifizierung von mit Azure verwalteten Identitäten keine Anmeldeinformationen verfügbar macht. * In Fällen, in denen Sie Microsoft Entra ID-Token für Authentifizierungsanmeldeinformationen verwenden müssen, empfiehlt Databricks die Verwendung der Microsoft Entra ID-Dienstprinzipalauthentifizierung anstelle der OAuth M2M-Authentifizierung. Es kann beispielsweise vorkommen, dass Sie sich gleichzeitig bei Azure Databricks und anderen Azure-Ressourcen authentifizieren müssen. Hierfür sind Microsoft Entra ID-Token erforderlich. * Weitere technische Details finden Sie unter OAuth Machine-to-Machine (M2M)-Authentifizierung.
OAuth U2M-Authentifizierung (User-to-Machine)	* Bei der OAuth U2M-Authentifizierung werden Azure Databricks-Benutzer für die Authentifizierung verwendet. * Bei der OAuth U2M-Authentifizierung werden Azure Databricks-OAuth-Zugriffstoken mit kurzer Lebensdauer (eine Stunde) für Authentifizierungsanmeldeinformationen verwendet. * Abgelaufene OAuth-Zugriffstoken können von den teilnehmenden Azure Databricks-Tools und SDKs automatisch aktualisiert werden. Siehe Unterstützte Authentifizierungstypen vom Azure Databricks-Tool oder SDK und Databricks-Client für einheitliche Authentifizierung. * Die OAuth U2M-Authentifizierung ist für Szenarien mit beaufsichtigter Authentifizierung geeignet. Diese Szenarien umfassen manuelle und schnelle Entwicklungsworkflows, bei denen Sie Ihren Webbrowser verwenden, um sich in Echtzeit bei Azure Databricks zu authentifizieren, wenn Sie dazu aufgefordert werden. * Databricks empfiehlt, anstelle der OAuth U2M-Authentifizierung die Authentifizierung mit von Azure verwalteten Identitäten zu verwenden, sofern Ihr Azure Databricks-Zieltool oder SDK diese Authentifizierung unterstützt. Das liegt daran, dass die Authentifizierung von mit Azure verwalteten Identitäten keine Anmeldeinformationen verfügbar macht. * Weitere technische Details finden Sie unter OAuth User-to-Machine (U2M)-Authentifizierung.
Microsoft Entra ID-Dienstprinzipalauthentifizierung	* Die Microsoft Entra ID-Dienstprinzipalauthentifizierung verwendet Microsoft Entra ID-Dienstprinzipale für die Authentifizierung. Sie kann nicht mit dem verwalteten Dienstprinzipal von Azure Databricks verwendet werden. * Die Microsoft Entra ID-Dienstprinzipalauthentifizierung verwendet kurzlebige (in der Regel eine Stunde) Microsoft Entra ID-Token für Authentifizierungsanmeldeinformationen. * Abgelaufene Microsoft Entra ID-Token können von den teilnehmenden Azure Databricks-Tools und SDKs automatisch aktualisiert werden. Siehe Unterstützte Authentifizierungstypen vom Azure Databricks-Tool oder SDK und Databricks-Client für einheitliche Authentifizierung. * Databricks empfiehlt, anstelle der Microsoft Entra ID-Dienstprinzipalauthentifizierung die Authentifizierung mit von Azure verwalteten Identitäten zu verwenden, sofern Ihr Azure Databricks-Zieltool oder SDK diese Authentifizierung unterstützt. Das liegt daran, dass die Authentifizierung von mit Azure verwalteten Identitäten keine Anmeldeinformationen verfügbar macht. * Falls die Authentifizierung mit von Azure verwalteten Identitäten nicht verwendet werden kann, empfiehlt Databricks, anstelle der Microsoft Entra ID-Dienstprinzipalauthentifizierung die OAuth-M2M-Authentifizierung zu verwenden. * In Fällen, in denen Sie Microsoft Entra ID-Token für Authentifizierungsanmeldeinformationen verwenden müssen, empfiehlt Databricks die Verwendung der Microsoft Entra ID-Dienstprinzipalauthentifizierung. Es kann beispielsweise vorkommen, dass Sie sich gleichzeitig bei Azure Databricks und anderen Azure-Ressourcen authentifizieren müssen. Hierfür sind Microsoft Entra ID-Token erforderlich. * Weitere technische Details finden Sie unter Microsoft Entra ID-Dienstprinzipalauthentifizierung.
Azure CLI-Authentifizierung	* Bei der Azure CLI-Authentifizierung wird die Azure CLI zusammen mit Azure Databricks-Benutzern oder zusammen mit von Microsoft Entra ID verwalteten Dienstprinzipalen für die Authentifizierung verwendet. * Die Azure CLI-Authentifizierung verwendet kurzlebige (in der Regel eine Stunde) Microsoft Entra-ID-Token für Authentifizierungsanmeldeinformationen. * Abgelaufene Microsoft Entra ID-Zugriffstoken können von den teilnehmenden Azure Databricks-Tools und SDKs automatisch aktualisiert werden. SDKs. Siehe Unterstützte Authentifizierungstypen vom Azure Databricks-Tool oder SDK und Databricks-Client für einheitliche Authentifizierung. * Databricks empfiehlt, anstelle der Azure CLI-Authentifizierung die Authentifizierung mit von Azure verwalteten Identitäten zu verwenden, sofern Ihr Azure Databricks-Zieltool oder SDK diese Authentifizierung unterstützt. Bei der Authentifizierung mit von Azure verwalteten Identitäten werden keine Azure Databricks-Benutzer oder von Microsoft Entra ID verwaltete Dienstprinzipale verwendet, sondern von Azure verwaltete Identitäten. Diese sind sicherer als Azure Databricks-Benutzer oder von Microsoft Entra ID verwaltete Dienstprinzipale, da bei der Authentifizierung mit von Azure verwalteten Identitäten keine Anmeldeinformationen offengelegt werden. Siehe Was sind verwaltete Identitäten für Azure-Ressourcen?. * In Fällen, in denen Sie Microsoft Entra ID-Token für Authentifizierungsanmeldeinformationen verwenden müssen, empfiehlt Databricks die Verwendung der Azure CLI-Authentifizierung. Es kann beispielsweise vorkommen, dass Sie sich gleichzeitig bei Azure Databricks und anderen Azure-Ressourcen authentifizieren müssen. Hierfür sind Microsoft Entra ID-Token erforderlich. * Die Azure CLI-Authentifizierung ist für die Authentifizierungsszenarien geeignet. Diese Szenarien umfassen manuelle und schnelle Entwicklungsworkflows, bei denen Sie die Azure CLI verwenden, um sich mit Azure Databricks in Echtzeit zu authentifizieren. * Weitere technische Details finden Sie unter Azure CLI-Authentifizierung.
Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken	* Azure Databricks-Authentifizierung für persönliche Zugriffstoken verwendet Azure Databricks-Benutzer für die Authentifizierung. * Die Authentifizierung des persönlichen Zugriffstokens von Azure Databricks verwendet kurzlebige oder langlebige Zeichenfolgen für Authentifizierungsanmeldeinformationen. Diese Zugriffstoken können so eingestellt werden, dass sie innerhalb eines Tags ablaufen, oder aber, dass sie nie ablaufen. * Abgelaufene persönliche Zugriffstoken von Azure Databricks können nicht aktualisiert werden. * Databricks empfiehlt persönliche Zugriffstoken von Azure Databricks (insbesondere langlebige Zugriffstoken) nicht für Authentifizierungsanmeldeinformationen, da sie weniger sicher sind als Microsoft Entra ID- oder Azure Databricks OAuth-Zugriffstoken. * Databricks empfiehlt, anstelle der Authentifizierung mit persönlichen Azure Databricks-Zugriffstoken die Authentifizierung mit von Azure verwalteten Identitäten zu verwenden, sofern Ihr Azure Databricks-Zieltool oder SDK diese Authentifizierung unterstützt. Die Authentifizierung mit von Azure verwalteten Identitäten verwendet verwaltete Identitäten in Azure anstelle von Azure Databricks-Benutzern, denn verwaltete Identitäten in Azure sind sicherer als Azure Databricks-Benutzer. Siehe Was sind verwaltete Identitäten für Azure-Ressourcen?. * Falls die Authentifizierung mit von Azure verwalteten Identitäten nicht verwendet werden kann, empfiehlt Databricks, anstelle der Authentifizierung mit persönlichen Azure Databricks-Zugriffstoken die Azure CLI-Authentifizierung zu verwenden. * Weitere technische Details finden Sie unter Azure Databricks-Authentifizierung für persönliche Zugriffstoken.

Unterstützte Authentifizierungstypen vom Azure Databricks-Tool oder SDK

Azure Databricks-Tools und SDKs, die mit mindestens einem unterstützten Azure Databricks-Authentifizierungstyp arbeiten, umfassen Folgende:

Tool oder SDK	Unterstützte Authentifizierungstypen
Databricks-Befehlszeilenschnittstelle	* OAuth-M2M-Authentifizierung * OAuth U2M-Authentifizierung (User-to-Machine) * Authentifizierung von von Azure verwalteten Identitäten * Authentifizierung über Microsoft Entra ID-Dienstprinzipale * Azure CLI-Authentifizierung * Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken Eine spezifische Dokumentation zur Databricks CLI-Authentifizierung, einschließlich Informationen zur Einrichtung und Verwendung von Azure Databricks-Konfigurationsprofilen zum Wechseln zwischen mehreren zusammengehörigen Authentifizierungseinstellungen, finden Sie unter: * OAuth-M2M-Authentifizierung * Authentifizierung von von Azure verwalteten Identitäten * Authentifizierung über Microsoft Entra ID-Dienstprinzipale * Azure CLI-Authentifizierung * Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken Weitere technische Details zur Databricks CLI finden Sie unter Was ist die Databricks CLI?.
Databricks-Terraform-Anbieter	* OAuth-M2M-Authentifizierung * Authentifizierung von von Azure verwalteten Identitäten * Authentifizierung über Microsoft Entra ID-Dienstprinzipale * Azure CLI-Authentifizierung * Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken Die OAuth U2M-Authentifizierung (User-to-Machine) wird noch nicht unterstützt. Eine spezifische Dokumentation zur Authentifizierung mit dem Databricks-Terraform-Anbieter, einschließlich Informationen zum Speichern und Verwenden von Anmeldeinformationen über Umgebungsvariablen, Azure Databricks-Konfigurationsprofile, .tfvars-Dateien oder Geheimnisspeicher wie Hashicorp Vault oder Azure Key Vault, finden Sie unter Authentifizierung. Weitere technische Details zum Databricks Terraform-Anbieter finden Sie unter Databricks Terraform Provider.
Databricks Connect	* OAuth-M2M-Authentifizierung * OAuth U2M-Authentifizierung (User-to-Machine) * Microsoft Entra ID-Dienstprinzipalauthentifizierung * Azure CLI-Authentifizierung * Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken Die Authentifizierung mit von Azure verwalteten Identitäten wird noch nicht unterstützt. Spezifische Dokumentation zur Databricks Connect-Authentifizierung finden Sie unter: * Einrichten des Clients für Python * Einrichten des Clients für Scala Weitere technische Details zu Databricks Connect finden Sie unter Was ist Databricks Connect?.
Databricks-Erweiterung für Visual Studio Code	* OAuth-M2M-Authentifizierung * OAuth U2M-Authentifizierung (User-to-Machine) * Microsoft Entra ID-Dienstprinzipalauthentifizierung * Azure CLI-Authentifizierung * Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken Die Authentifizierung mit von Azure verwalteten Identitäten wird noch nicht unterstützt. Spezifische Databricks-Erweiterung für die Visual Studio Code-Authentifizierungsdokumentation finden Sie unter Authentifizierungssetup für die Databricks-Erweiterung für Visual Studio Code. Weitere technische Details zur Databricks-Erweiterung für Visual Studio Code finden Sie unter Was ist die Databricks-Erweiterung für Visual Studio Code?.
Databricks SDK für Python	* OAuth-M2M-Authentifizierung * OAuth U2M-Authentifizierung (User-to-Machine) * Microsoft Entra ID-Dienstprinzipalauthentifizierung * Azure CLI-Authentifizierung * Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken Die Authentifizierung mit von Azure verwalteten Identitäten wird noch nicht unterstützt. Spezifische Dokumentation für Databricks SDK für Python-Authentifizierung finden Sie unter: * Authentifizieren des Databricks SDK für Python bei Ihrem Azure Databricks-Konto oder -Arbeitsbereich * Authentifizierung Weitere technische Details zum Databricks SDK für Python finden Sie unter Databricks SDK für Python.
Databricks SDK für Java	* OAuth-M2M-Authentifizierung * OAuth U2M-Authentifizierung (User-to-Machine) * Microsoft Entra ID-Dienstprinzipalauthentifizierung * Azure CLI-Authentifizierung * Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken Die Authentifizierung mit von Azure verwalteten Identitäten wird noch nicht unterstützt. Spezifische Dokumentation zum Databricks SDK für die Java-Authentifizierung finden Sie unter: * Authentifizieren des Databricks SDK für Java bei Ihrem Azure Databricks-Konto oder -Arbeitsbereich * Authentifizierung Weitere technische Details zum Databricks SDK für Java finden Sie unter Databricks SDK für Java.
Databricks SDK für Go	* OAuth-M2M-Authentifizierung * OAuth U2M-Authentifizierung (User-to-Machine) * Authentifizierung von von Azure verwalteten Identitäten * Authentifizierung über Microsoft Entra ID-Dienstprinzipale * Azure CLI-Authentifizierung * Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken Spezifische Dokumentation zum Databricks SDK für die Java-Authentifizierung finden Sie unter: * Authentifizieren des Databricks SDK für Go bei Ihrem Azure Databricks-Konto oder -Arbeitsbereich * Authentifizierung Weitere technische Details zum Databricks SDK für Go finden Sie unter Databricks SDK für Go.
Databricks-Ressourcenbundles	* OAuth-M2M-Authentifizierung * OAuth U2M-Authentifizierung (User-to-Machine) * Authentifizierung von von Azure verwalteten Identitäten * Authentifizierung über Microsoft Entra ID-Dienstprinzipale * Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken Die Azure CLI-Authentifizierung wird noch nicht unterstützt. Weitere technische Details zu Databricks-Ressourcenbundles finden Sie unter Was sind Databricks-Ressourcenbundles?.
Databricks-Treiber für SQLTools für Visual Studio Code	* OAuth-M2M-Authentifizierung * OAuth U2M-Authentifizierung (User-to-Machine) * Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken Die folgenden Authentifizierungstypen werden noch nicht unterstützt: * Authentifizierung von von Azure verwalteten Identitäten * Authentifizierung über Microsoft Entra ID-Dienstprinzipale * Azure CLI-Authentifizierung Weitere technische Details zum Databricks-Treiber für SQLTools für Visual Studio Code finden Sie unter Databricks-Treiber für SQLTools für Visual Studio Code.
Databricks SQL-Connector für Python	* OAuth-M2M-Authentifizierung * OAuth U2M-Authentifizierung (User-to-Machine) * Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken Die folgenden Authentifizierungstypen werden noch nicht unterstützt: * Authentifizierung von von Azure verwalteten Identitäten * Authentifizierung über Microsoft Entra ID-Dienstprinzipale * Azure CLI-Authentifizierung Weitere technische Details zum Databricks SQL-Connector für Python finden Sie unter Databricks SQL-Connector für Python.
Databricks SQL-Treiber für Node.js	* OAuth-M2M-Authentifizierung * OAuth U2M-Authentifizierung (User-to-Machine) * Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken Die folgenden Authentifizierungstypen werden noch nicht unterstützt: * Authentifizierung von von Azure verwalteten Identitäten * Authentifizierung über Microsoft Entra ID-Dienstprinzipale * Azure CLI-Authentifizierung Weitere technische Details zum Databricks SQL-Treiber für Node.js finden Sie unter Databricks SQL-Treiber für Node.js.
Databricks SQL-Treiber für Go	* OAuth-M2M-Authentifizierung * OAuth U2M-Authentifizierung (User-to-Machine) * Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken Die folgenden Authentifizierungstypen werden noch nicht unterstützt: * Authentifizierung von von Azure verwalteten Identitäten * Authentifizierung über Microsoft Entra ID-Dienstprinzipale * Azure CLI-Authentifizierung Weitere technische Details zum Databricks SQL-Treiber für Go finden Sie unter Databricks SQL-Treiber für Go.
Andere Azure Databricks-Tools und SDKs	Weitere Informationen finden Sie in der Dokumentation des Tools oder SDK: * Databricks SDK for R * Databricks SQL-CLI

Azure Databricks-Konto- und Arbeitsbereich-REST-APIs

Databricks organisiert die Databricks-REST-API in zwei Kategorien von APIs: Konto-APIs und Arbeitsbereichs-APIs. Jede dieser Kategorien erfordert unterschiedliche Informationssätze, um die Azure Databricks-Zielidentität zu authentifizieren. Außerdem erfordert jeder unterstützte Databricks-Authentifizierungstyp zusätzliche Informationen, die die Azure Databricks-Zielidentität eindeutig identifizieren.

Um beispielsweise eine Azure Databricks-Identität für den Aufruf von API-Vorgängen auf Kontoebene von Azure Databricks zu authentifizieren, müssen Sie Folgendes angeben:

• Die Konsolen-URL des Azure Databricks-Zielkontos, die normalerweise https://accounts.azuredatabricks.net lautet.
• Die ID des Azure Databricks-Zielkontos. Siehe Auffinden Ihrer Konto-ID.
• Informationen, die die Azure Databricks-Zielidentität für den Databricks-Zielauthentifizierungstyp eindeutig identifizieren. Die spezifischen Informationen, die Sie angeben müssen, finden Sie im Abschnitt über die jeweilige Authentifizierungsart weiter unten in diesem Artikel.

Um eine Azure Databricks-Identität für den Aufruf von API-Vorgängen auf Arbeitsbereichsebene von Azure Databricks zu authentifizieren, müssen Sie Folgendes angeben:

• Die arbeitsbereichsspezifische Ziel-URL für Azure Databricks, z. B. https://adb-1234567890123456.7.azuredatabricks.net.
• Informationen, die die Azure Databricks-Zielidentität für den Databricks-Zielauthentifizierungstyp eindeutig identifizieren. Die spezifischen Informationen, die Sie angeben müssen, finden Sie im Abschnitt über die jeweilige Authentifizierungsart weiter unten in diesem Artikel.

Einheitliche Databricks-Clientauthentifizierung

Databricks bietet einen konsolidierten und konsistenten architektonischen und programmgesteuerten Authentifizierungsansatz, der als einheitliche Databricks-Clientauthentifizierung bezeichnet wird. Dieser Ansatz trägt dazu bei, die Einrichtung und Automatisierung der Authentifizierung mit Databricks zentralisierter und vorhersagbarer zu gestalten. Er ermöglicht Ihnen, die Databricks-Authentifizierung einmal zu konfigurieren und diese Konfiguration dann für mehrere Databricks-Tools und SDKs ohne weitere Änderungen an der Authentifizierungskonfiguration zu verwenden.

Zu den teilnehmenden Databricks-Tools und SDKs gehören:

• Die Databricks-CLI
• Der Databricks-Terraform-Anbieter
• Databricks Connect
• Die Databricks-Erweiterung für Visual Studio Code
• Das Databricks SDK für Python
• Das Databricks SDK für Java
• Das Databricks SDK für Go

Alle teilnehmenden Tools und SDKs akzeptieren spezielle Umgebungsvariablen sowie Azure Databricks-Konfigurationsprofile für die Authentifizierung. Der Databricks Terraform-Anbieter und die Databricks-SDKs für Python, Java und Go akzeptieren auch die direkte Konfiguration der Authentifizierungseinstellungen im Code. Details finden Sie unter Unterstützte Authentifizierungstypen nach Azure Databricks-Tool oder SDK oder in der Dokumentation des jeweiligen Tools oder SDK.

Standardreihenfolge der Auswertung für einheitliche Clientauthentifizierungsmethoden und Anmeldeinformationen

Wenn sich ein beteiligtes Tool oder SDK bei Azure Databricks authentifizieren muss, versucht das Tool oder SDK standardmäßig die folgenden Authentifizierungstypen in der folgenden Reihenfolge. Wenn das Tool oder SDK mit dem versuchten Authentifizierungstyp erfolgreich ist, beendet das Tool oder SDK die Authentifizierung mit den verbleibenden Authentifizierungstypen. Um die Authentifizierung eines SDK mit einem bestimmten Authentifizierungstyp zu erzwingen, legen Sie das Feld für den Databricks-Authentifizierungstyp der Config-API fest.

1. Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken
2. OAuth-M2M-Authentifizierung
3. OAuth U2M-Authentifizierung (User-to-Machine)
4. Authentifizierung von von Azure verwalteten Identitäten
5. Authentifizierung über Microsoft Entra ID-Dienstprinzipale
6. Azure CLI-Authentifizierung

Für jeden Authentifizierungstyp, den das beteiligte Tool oder SDK versucht, versucht das Tool oder SDK, Authentifizierungsanmeldeinformationen an den folgenden Speicherorten in der folgenden Reihenfolge zu finden. Wenn es dem Tool oder SDK gelingt, Authentifizierungsanmeldeinformationen zu finden, die verwendet werden können, beendet das Tool oder SDK den Versuch, Authentifizierungsanmeldeinformationen an den verbleibenden Speicherorten zu finden.

1. Anmeldeinformationsbezogene Config-API-Felder (für SDKs). Informationen zum Festlegen der Config-Felder finden Sie unter Unterstützte Authentifizierungstypen nach Azure Databricks-Tool oder -SDK oder in der Referenzdokumentation des SDK.
2. Anmeldeinformationsbezogene Umgebungsvariablen. Informationen zum Festlegen von Umgebungsvariablen finden Sie unter Unterstützte Authentifizierungstypen nach Azure Databricks-Tool oder -SDK oder in der Dokumentation Ihres Betriebssystems.
3. Anmeldeinformationsbezogene Felder im DEFAULT-Konfigurationsprofil innerhalb der .databrickscfg-Datei. Informationen zum Festlegen von Feldern im Konfigurationsprofil finden Sie unter Unterstützte Authentifizierungstypen nach Azure Databricks-Tool oder -SDK und unter „(#config-profiles)“.
4. Alle zugehörigen Authentifizierungsanmeldeinformationen, die von der Azure CLI zwischengespeichert werden. Weitere Informationen finden Sie unter Azure CLI.

Um maximale Portabilität für Ihren Code zu gewährleisten, empfiehlt Databricks, ein benutzerdefiniertes Konfigurationsprofil innerhalb der .databrickscfg-Datei zu erstellen, dem benutzerdefinierten Konfigurationsprofil die erforderlichen Felder für Ihren Databricks-Zielauthentifizierungstyp hinzuzufügen und dann die DATABRICKS_CONFIG_PROFILE-Umgebungsvariable auf den Namen des benutzerdefinierten Konfigurationsprofils festzulegen. Weitere Informationen finden Sie unter Unterstützte Authentifizierungstypen nach Azure Databricks-Tool oder -SDK.

Umgebungsvariablen und Felder für die einheitliche Clientauthentifizierung

In den folgenden Tabellen sind die Namen und Beschreibungen der unterstützten Umgebungsvariablen und Felder für die einheitliche Databricks-Clientauthentifizierung aufgeführt. Für die folgenden Tabellen gilt:

• Umgebungsvariable, falls zutreffend, ist der Name der Umgebungsvariablen. Informationen zum Festlegen von Umgebungsvariablen finden Sie unter Unterstützte Authentifizierungstypen nach Azure Databricks-Tool oder -SDK oder in der Dokumentation Ihres Betriebssystems.
• .databrickscfg-Feld, falls zutreffend, ist der Name des Felds in einer Azure Databricks-Konfigurationsprofildatei oder Databricks Terraform-Konfiguration. Informationen zum Festlegen der .databrickscfg-Felder finden Sie unter Unterstützte Authentifizierungstypen nach Azure Databricks-Tool oder -SDK und Azure Databricks-Konfigurationsprofile.
• Terraform-Feld, falls zutreffend, ist der Name des Felds in einer Databricks Terraform-Konfiguration. Informationen zum Festlegen von Databricks Terraform-Feldern finden Sie unter Authentifizierung in der Databricks Terraform-Anbieterdokumentation.
• Config-Feld ist der Name des Felds innerhalb der Config-API für das angegebene SDK. Informationen zum Verwenden der Config-API finden Sie unter Unterstützte Authentifizierungstypen nach Azure Databricks-Tool oder -SDK oder in der Referenzdokumentation des SDK.

Allgemeine Host-, Token- und Konto-ID-Umgebungsvariablen und -Felder

Allgemeiner Name	BESCHREIBUNG	Umgebungsvariable	.databrickscfg-Field, Terraform-Feld	Config-Feld
Azure Databricks-Host	(Zeichenfolge) Die Azure Databricks-Host-URL für den Azure Databricks-Arbeitsbereichsendpunkt oder den Azure Databricks-Kontenendpunkt.	DATABRICKS_HOST	host	host (Python), setHost (Java), Host (Go)
Azure Databricks-Token	(Zeichenfolge) Das persönliche Azure Databricks-Zugriffstoken oder das Microsoft Entra ID-Token.	DATABRICKS_TOKEN	token	token (Python), setToken (Java), Token (Go)
Azure Databricks-Konto-ID	(Zeichenfolge) Die Azure Databricks-Konto-ID für den Azure Databricks-Kontoendpunkt. Wirkt sich nur aus, wenn der Azure Databricks-Host ebenfalls festgelegt ist auf https://accounts.azuredatabricks.net.	DATABRICKS_ACCOUNT_ID	account_id	account_id (Python), setAccountID (Java), AccountID (Go)

Azure-spezifische Umgebungsvariablen und -felder

Allgemeiner Name	BESCHREIBUNG	Umgebungsvariable	.databrickscfg-Field, Terraform-Feld	Config-Feld
Azure Client-ID	(Zeichenfolge) Die Anwendungs-ID des Microsoft Entra ID-Dienstprinzipals. Wird für die Authentifizierung mit von Azure verwalteten Identitäten und die Microsoft Entra ID-Dienstprinzipalauthentifizierung verwendet.	ARM_CLIENT_ID	azure_client_id	azure_client_id (Python), setAzureClientID (Java), AzureClientID (Go)
Geheimer Azure-Clientschlüssel	(Zeichenfolge) Der geheime Clientschlüssel des Microsoft Entra ID-Dienstprinzipals. Wird mit der Microsoft Entra ID-Dienstprinzipalauthentifizierung verwendet.	ARM_CLIENT_SECRET	azure_client_secret	azure_client_secret (Python), setAzureClientSecret (Java), AzureClientSecret (Go)
Client-ID	(Zeichenfolge) Die Client-ID des von Azure Databricks verwalteten Dienstprinzipals oder des von Microsoft Entra ID verwalteten Dienstprinzipals. Wird mit der OAuth M2M-Authentifizierung verwendet.	DATABRICKS_CLIENT_ID	client_id	client_id (Python), setClientId (Java), ClientId (Go)
Geheimer Clientschlüssel	(Zeichenfolge) Der geheime Clientschlüssel des von Azure Databricks verwalteten Dienstprinzipals oder des von Microsoft Entra ID verwalteten Dienstprinzipals. Wird mit der OAuth M2M-Authentifizierung verwendet.	DATABRICKS_CLIENT_SECRET	client_secret	client_secret (Python), setClientSecret (Java), ClientSecret (Go)
Azure-Umgebung	(Zeichenfolge) Der Azure-Umgebungstyp. Der Standardwert ist PUBLIC.	ARM_ENVIRONMENT	azure_environment	azure_environment (Python), setAzureEnvironment (Java), AzureEnvironment (Go)
Azure Mandanten-ID	(Zeichenfolge) Die Mandanten-ID des Microsoft Entra ID-Dienstprinzipals.	ARM_TENANT_ID	azure_tenant_id	azure_tenant_id (Python), setAzureTenantID (Java), AzureTenantID (Go)
Azure verwendet MSI	(Boolescher Wert) True, um den kennwortlosen Authentifizierungsflow der verwalteten Azure-Dienstidentität für Dienstprinzipale zu verwenden. Erfordert, dass auch die Azure-Ressourcen-ID festgelegt ist.	ARM_USE_MSI	azure_use_msi	AzureUseMSI (Go)
Azure-Ressourcen-ID	(Zeichenfolge) Die Azure Resource Manager-ID für den Azure Databricks-Arbeitsbereich.	DATABRICKS_AZURE_RESOURCE_ID	azure_workspace_resource_id	azure_workspace_resource_id (Python), setAzureResourceID (Java), AzureResourceID (Go)

.databrickscfg-spezifische Umgebungsvariablen und -felder

Verwenden Sie diese Umgebungsvariablen oder Felder, um nicht standardmäßige Einstellungen für .databrickscfg anzugeben. Siehe auch Azure Databricks-Konfigurationsprofile.

Allgemeiner Name	BESCHREIBUNG	Umgebungsvariable	Terraform-Feld	Config-Feld
.databrickscfg-Dateipfad	(Zeichenfolge) Ein nicht standardmäßiger Pfad zur .databrickscfg-Datei.	DATABRICKS_CONFIG_FILE	config_file	config_file (Python), setConfigFile (Java), ConfigFile (Go)
.databrickscfg-Standardprofil	(Zeichenfolge) Das standardmäßige benannte Profil, das verwendet werden soll, außer DEFAULT.	DATABRICKS_CONFIG_PROFILE	profile	profile (Python), setProfile (Java), Profile (Go)

Feld für Authentifizierungstyp

Verwenden Sie diese Umgebungsvariable oder dieses Feld, um zu erzwingen, dass ein SDK einen bestimmten Typ der Databricks-Authentifizierung verwendet.

Allgemeiner Name	BESCHREIBUNG	Terraform-Feld	Config-Feld
Databricks-Authentifizierungstyp	(Zeichenfolge) Wenn in der Umgebung mehrere Authentifizierungsattribute verfügbar sind, verwenden Sie den von diesem Argument angegebenen Authentifizierungstyp.	auth_type	auth_type (Python), setAuthType (Java), AuthType (Go)

Zu den unterstützten Feldwerten des Databricks-Authentifizierungstyps gehören:

• pat: Authentifizieren mit persönlichen Azure Databricks-Zugriffstoken

• oauth-m2m: OAuth Machine-to-Machine (M2M)-Authentifizierung

• databricks-cli: (/dev-tools/auth/oauth-u2m.md)

• azure-msi: Authentifizierung mit von Azure verwalteten Identitäten

• azure-client-secret: Microsoft Entra ID-Dienstprinzipalauthentifizierung

• azure-cli: Azure CLI-Authentifizierung

Azure Databricks-Konfigurationsprofile

Ein Azure Databricks-Konfigurationsprofil (manchmal auch als Konfigurationsprofil, Config-Profil oder einfach als profile bezeichnet) enthält Einstellungen und weitere Informationen, die Azure Databricks für die Authentifizierung benötigt. Azure Databricks-Konfigurationsprofile werden in Azure Databricks-Konfigurationsprofildateien gespeichert, damit Ihre Tools, SDKs, Skripts und Anwendungen sie verwenden können. Informationen dazu, ob Ihre Tools, SDKs, Skripts und Anwendungen Azure Databricks-Konfigurationsprofile unterstützen, finden Sie in der Dokumentation Ihres Anbieters. Alle teilnehmenden Tools und SDKs, die die einheitliche Authentifizierung des Databricks-Clients implementieren, unterstützen Azure Databricks-Konfigurationsprofile. Weitere Informationen finden Sie unter Unterstützte Authentifizierungstypen nach Azure Databricks-Tool oder -SDK.

So erstellen Sie eine Azure Databricks-Konfigurationsprofildatei:

1. Erstellen Sie mit Ihrem bevorzugten Text-Editor eine Datei mit dem Namen .databrickscfg in Ihrem Ordner ~ (Basisordner des Benutzers) unter Unix, Linux oder macOS oder im Ordner %USERPROFILE% (Basisordner des Benutzers) unter Windows, wenn Sie noch keine haben. Vergessen Sie nicht den Punkt (.) am Anfang des Dateinamens. Fügen Sie der Datei den folgenden Inhalt hinzu:

   [<some-unique-name-for-this-configuration-profile>]
   <field-name> = <field-value>
   

2. Ersetzen Sie im obigen Inhalt die folgenden Werte, und speichern Sie dann die Datei:

   • Ersetzen Sie <some-unique-name-for-this-configuration-profile> durch einen eindeutigen Namen für das Konfigurationsprofil, z. B. DEFAULT, DEVELOPMENT, PRODUCTION. Sie können mehrere Konfigurationsprofile in derselben .databrickscfg-Datei haben, aber jedes Konfigurationsprofil muss innerhalb dieser Datei einen eindeutigen Namen haben.
   • <field-name> und <field-value> mit dem Namen und einem Wert für eines der erforderlichen Felder für den Databricks-Zielauthentifizierungstyp. Die spezifischen Informationen, die Sie bereitstellen müssen, finden Sie im Abschnitt über die jeweilige Authentifizierungsart weiter oben in diesem Artikel.
   • Fügen Sie ein <field-name>- und <field-value>-Paar für jedes der zusätzlichen erforderlichen Felder für den Databricks-Zielauthentifizierungstyp hinzu.

Für die persönliche Zugriffstokenauthentifizierung von Azure Databricks könnte die .databrickscfg-Datei beispielsweise wie folgt aussehen:

[DEFAULT]
host  = https://adb-1234567890123456.7.azuredatabricks.net
token = dapi123...

Um zusätzliche Konfigurationsprofile zu erstellen, geben Sie unterschiedliche Profilnamen in derselben .databrickscfg-Datei an. Wenn Sie beispielsweise separate Azure Databricks-Arbeitsbereiche angeben möchten, die jeweils über ein eigenes persönliches Azure Databricks-Zugriffstoken verfügen:

[DEFAULT]
host  = https://adb-1234567890123456.7.azuredatabricks.net
token = dapi123...

[DEVELOPMENT]
host  = https://adb-2345678901234567.8.azuredatabricks.net
token = dapi234...

Sie können auch verschiedene Profilnamen in der .databrickscfg-Datei für Azure Databricks-Konten und verschiedene Databricks-Authentifizierungstypen angeben, z. B.:

[DEFAULT]
host  = https://adb-1234567890123456.7.azuredatabricks.net
token = dapi123...

[DEVELOPMENT]
azure_workspace_resource_id = /subscriptions/bc0cd1.../resourceGroups/my-resource-group/providers/Microsoft.Databricks/workspaces/my-workspace
azure_tenant_id             = bc0cd1...
azure_client_id             = fa0cd1...
azure_client_secret         = aBC1D~...

ODBC-DSNs

In ODBC ist ein Datenquellenname (Data Source Name, DSN) ein symbolischer Name, mit dem Tools, SDKs, Skripts und Anwendungen eine Verbindung mit einer ODBC-Datenquelle anfordern. Ein DSN speichert Verbindungsinformationen wie den Pfad zu einem ODBC-Treiber, Netzwerkdetails, Authentifizierungsnachweise und Details zur Datenbank. Informationen dazu, ob Ihre Tools, Skripts und Anwendungen ODBC-DSNs unterstützen, finden Sie in der Dokumentation Ihres Anbieters.

Informationen zum Installieren und Konfigurieren des Databricks ODBC-Treibers und zur Erstellung eines ODBC-DSN für Azure Databricks finden Sie unter Databricks ODBC-Treiber.

URLs für JDBC-Verbindungen

In JDBC ist eine Verbindungs-URL eine symbolische URL, mit der Tools, SDKs, Skripts und Anwendungen eine Verbindung mit einer JDBC-Datenquelle anfordern. Eine Verbindungs-URL speichert Verbindungsinformationen wie Netzwerkdetails, Authentifizierungsnachweise, Datenbankdetails und JDBC-Treiberfunktionen. Informationen dazu, ob Ihre Tools, SDKs, Skripts und Anwendungen JDBC-Verbindungs-URLs unterstützen, finden Sie in der Dokumentation Ihres Anbieters.

Informationen zum Installieren und Konfigurieren des Databricks JDBC-Treibers und zum Erstellen einer JDBC-Verbindungs-URL für Azure Databricks finden Sie unter Databricks JDBC-Treiber.

Microsoft Entra ID-Token (früher Azure Active Directory)

Microsoft Entra ID-Token (früher Azure Active Directory) gehören zu den am besten unterstützten Arten von Anmeldeinformationen für Azure Databricks, sowohl auf der Azure Databricks-Arbeitsbereichsebene als auch auf der Kontoebene.

Hinweis

Einige Tools, SDKs, Skripts und Apps unterstützen nur die Authentifizierung mit persönlichen Azure Databricks-Zugriffstoken und keine Microsoft Entra ID-Token. Informationen dazu, ob Microsoft Entra ID-Token von Ihren Tools, SDKs, Skripts und Apps unterstützt werden, finden Sie unter Unterstützte Authentifizierungstypen nach Azure Databricks-Tool oder -SDK oder in der Dokumentation Ihres Anbieters.

Außerdem unterstützen einige Tools, SDKs, Skripts und Apps Azure Databricks OAuth-Token zusätzlich zu oder anstelle von Microsoft Entra-ID-Token für die Azure Databricks-Authentifizierung. Informationen dazu, ob Azure Databricks OAuth-Token von Ihren Tools, SDKs, Skripts und Apps unterstützt werden, finden Sie unter Unterstützte Authentifizierungstypen vom Azure Databricks-Tool oder -SDK oder in der Dokumentation Ihres Anbieters.

Microsoft Entra ID-Tokenauthentifizierung für Benutzer*innen

Databricks empfiehlt nicht, Microsoft Entra ID-Token für Azure Databricks-Benutzer*innen manuell zu erstellen. Der Grund dafür ist, dass jedes Microsoft Entra ID-Token kurzlebig ist und normalerweise innerhalb einer Stunde abläuft. Nach diesem Zeitpunkt müssen Sie manuell ein Microsoft Entra ID-Ersatztoken generieren. Verwenden Sie stattdessen eines der teilnehmenden Tools oder SDKs, die den Databricks-Clientstandard für die einheitliche Authentifizierung implementieren. Diese Tools und SDKs generieren und ersetzen automatisch abgelaufene Microsoft Entra ID-Token für Sie, wobei die Azure CLI-Authentifizierung genutzt wird.

Informationen zum manuellen Erstellen von Microsoft Entra ID-Token für Azure Databricks-Benutzer*innen finden Sie hier:

• Abrufen von Microsoft Entra-ID-Token (früher Azure Active Directory) für Benutzer mithilfe der Azure CLI
• Abrufen von Microsoft Entra ID-Token (früher Azure Active Directory) für Benutzer mithilfe von MSAL

Microsoft Entra ID-Token-Authentifizierung für Dienstprinzipale

Databricks empfiehlt nicht, Microsoft Entra ID-Tokens für Microsoft Entra ID-Dienstprinzipale manuell zu erstellen. Der Grund dafür ist, dass jedes Microsoft Entra ID-Token kurzlebig ist und normalerweise innerhalb einer Stunde abläuft. Nach diesem Zeitpunkt müssen Sie manuell ein Microsoft Entra ID-Ersatztoken generieren. Verwenden Sie stattdessen eines der teilnehmenden Tools oder SDKs, die den Databricks-Clientstandard für die einheitliche Authentifizierung implementieren. Diese Tools und SDKs generieren und ersetzen automatisch abgelaufene Microsoft Entra ID-Tokens für Sie, wobei die folgenden Databricks-Authentifizierungstypen verwendet werden:

• Authentifizierung von von Azure verwalteten Identitäten
• Authentifizierung über Microsoft Entra ID-Dienstprinzipale
• Azure CLI-Authentifizierung

Informationen zum manuellen Erstellen von Microsoft Entra ID-Token für Microsoft Entra ID-Dienstprinzipale finden Sie hier:

• Abrufen eines Microsoft Entra ID-Zugriffstokens mit der Microsoft Identity Platform-REST-API
• Erhalten eines Microsoft Entra ID-Zugriffstokens mithilfe der Azure CLI

Azure CLI

Mithilfe der Azure CLI können Sie sich bei Azure Databricks über PowerShell, über Ihr Terminal für Linux oder macOS oder über die Windows-Eingabeaufforderung authentifizieren. Informationen dazu, ob die Azure CLI von Ihren Tools, SDKs, Skripts und Apps unterstützt wird, finden Sie unter Unterstützte Authentifizierungstypen nach Azure Databricks-Tool oder -SDK oder in der Dokumentation Ihres Anbieters.

Um sich mit der Azure CLI manuell bei Azure Databricks zu authentifizieren, führen Sie den Befehl az login aus:

az login

Informationen zum Authentifizieren mit einem Microsoft Entra ID-Dienstprinzipal finden Sie unter Azure CLI-Anmeldung mit einem Microsoft Entra ID-Dienstprinzipal.

Informationen zum Authentifizieren mit einem von Azure verwalteten Azure Databricks-Benutzerkonto finden Sie unter Azure CLI-Anmeldung mit einem Azure Databricks-Benutzerkonto.