Supervisión y administración de tokens de acceso personal

  • Artículo

Para autenticarse en la API REST de Azure Databricks, un usuario puede crear un token de acceso personal y usarlo en su solicitud de API REST. En este artículo se explica cómo los administradores del área de trabajo pueden administrar tokens de acceso personal en su área de trabajo.

Para crear un token de acceso personal, consulte Autenticación de token de acceso personal de Azure Databricks.

Información general sobre la administración de tokens de acceso personal

De manera predeterminada, los tokens de acceso personal están habilitados para todas las áreas de trabajo de Azure Databricks que se crearon en 2018 o en una fecha posterior.

Cuando hay tokens de acceso personal habilitados en un área de trabajo, los usuarios con el permiso CAN USE pueden generar tokens de acceso personal para acceder a las API de REST de Azure Databricks y pueden generar estos tokens con cualquier fecha de vencimiento que deseen, incluida una vigencia indefinida. De manera predeterminada, ningún usuario del área de trabajo que no sea administrador puede tener el permiso CAN USE, lo que significa que no puede crear ni usar tokens de acceso personal.

Como administrador del área de trabajo de Azure Databricks, puede deshabilitar los tokens de acceso personal para un área de trabajo, supervisar y revocar los tokens, controlar qué usuarios que no son administradores pueden crear y usar tokens, y establecer una duración máxima para los nuevos tokens.

La administración de tokens de acceso personal en el área de trabajo requiere el plan Premium. Para crear un token de acceso personal, consulte Autenticación de token de acceso personal de Azure Databricks.

Habilitación o deshabilitación de la autenticación de tokens de acceso personal para el área de trabajo

La autenticación de tokens de acceso personal está habilitada de manera predeterminada para todas las áreas de trabajo de Azure Databricks que se crearon en 2018 o posteriormente. Puedes cambiar esta configuración en la página de configuración del área de trabajo.

Cuando los tokens de acceso personal están deshabilitados para un área de trabajo, no se pueden usar para autenticarse en Azure Databricks, y los usuarios y entidades de servicio del área de trabajo no pueden crear nuevos tokens. Los tokens no se eliminan al deshabilitar la autenticación de tokens de acceso personal para un área de trabajo. Si los tokens se vuelven a habilitar más adelante, los tokens que no hayan expirados estarán disponibles para su uso.

Si desea deshabilitar el acceso a tokens para un subconjunto de usuarios, puede mantener habilitada la autenticación de tokens de acceso personal para el área de trabajo y establecer permisos específicos para usuarios y grupos. Consulte Control de quién puede crear o usar tokens.

Advertencia

Las integraciones de partner y Partner Connect requieren que los tokens de acceso personal estén habilitados en un área de trabajo.

Para deshabilitar la capacidad de crear y usar tokens de acceso personal para el área de trabajo:

  1. Vaya a la página de configuración del administrador.

  2. Haga clic en la pestaña Opciones avanzadas.

  3. Haga clic en el botón de alternancia Tokens de acceso personal.

  4. Haga clic en Confirmar.

    Este cambio puede tardar unos segundos en surtir efecto.

También puede usar la API de configuración del área de trabajo para deshabilitar los tokens de acceso personal para el área de trabajo.

Control de quién puede crear o usar tokens

Los administradores del área de trabajo pueden establecer permisos en los tokens de acceso personales para controlar qué usuarios, entidades de servicio y grupos pueden crear y usar tokens. Para más detalles sobre cómo configurar permisos de token de acceso personal, consulte Administración del acceso a la automatización de Azure Databricks.

Establecer la duración máxima de los nuevos tokens

Puede administrar la duración máxima de los nuevos tokens en el área de trabajo mediante la CLI de Databricks. Este límite solo se aplica a los nuevos tokens.

Establezca el valor maxTokenLifetimeDays en la duración máxima de los nuevos tokens en días, como un entero. Si lo establece en cero, se permite que los nuevos tokens no tengan ningún límite de duración. Por ejemplo:

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

También puede usar la API de configuración del área de trabajo para administrar la duración máxima de los nuevos tokens de un área de trabajo.

Supervisión y revocación de tokens

En esta sección se describe cómo usar laCLI de Databricks para administrar los tokens existentes en el área de trabajo. También puede usar la API de administración de tokens.

Obtener tokens para el área de trabajo

Para obtener los tokens del área de trabajo:

databricks token-management list

Puede filtrar los resultados por un usuario mediante las marcas created-by-id (para filtrar por el identificador de usuario) o created-by-username (para filtrar por el nombre de usuario).

Por ejemplo:

databricks token-management list --created-by-username user@company.com

Respuesta de ejemplo:

ID  Created By  Comment
token-id  user@company.com dev

Eliminación (revocación) de un token

Para eliminar un token, reemplace TOKEN_ID por el identificador del token que se va a eliminar:

databricks token-management delete TOKEN_ID