Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La federación de tokens de OAuth de Databricks, también conocida como OpenID Connect (OIDC), permite que las cargas de trabajo automatizadas que se ejecutan fuera de Databricks accedan de forma segura a Databricks sin necesidad de secretos de Databricks. Consulte Autenticación del acceso a Azure Databricks mediante la federación de tokens de OAuth.
Para habilitar la federación de identidades de carga de trabajo para Terraform Cloud, Atlassian Bitbucket Pipelines o Jenkins:
Después de habilitar la federación de identidades de carga de trabajo, los SDK de Databricks y la CLI de Databricks capturan automáticamente los tokens de identidad de carga de trabajo del proveedor de identidades y los intercambian para tokens de OAuth de Databricks.
Creación de una directiva de federación
En primer lugar, cree una directiva de federación de identidades de carga de trabajo personalizada. Para obtener instrucciones, consulte Configuración de una directiva de federación de entidad de servicio. Tendrá que establecer los siguientes valores:
- Dirección URL del emisor: Normalmente, la dirección URL del token del proveedor
- Audiencias: Normalmente, un identificador de organización
- Asunto: Normalmente, un valor que especifica el contexto del trabajo o del proyecto
Por ejemplo, el siguiente comando de la CLI de Databricks crea una directiva de federación para una dirección URL https://gitlab.com/example-group de GitHub y un identificador numérico numérico de la entidad de servicio de Databricks de 5581763342009999:
databricks account service-principal-federation-policy create 5581763342009999 --json '{
"oidc_policy": {
"issuer": "https://gitlab.com/example-group",
"audiences": [
"https://gitlab.com/example-group"
],
"subject": "project_path:my-group/my-project:..."
}
}'
Configuración del proveedor de identidades
A continuación, en la configuración del proveedor de identidades, establezca las variables de entorno de token de OIDC de Databricks en las variables de entorno del token de OIDC de identidad predeterminada del proveedor.
Jenkins
Para habilitar la federación de identidades de carga de trabajo para Jenkins, establezca el token en DATABRICKS_OIDC_TOKEN. Como alternativa, establezca el token en un archivo y establezca DATABRICKS_OIDC_TOKEN_FILEPATH para que apunte a ese archivo.
Terraform Cloud
Para habilitar la federación de identidades de carga de trabajo para Terraform Cloud, establezca la DATABRICKS_OIDC_TOKEN_ENV variable de entorno para indicar al SDK de Databricks que busque el token en TFC_WORKLOAD_IDENTITY_TOKEN.
DATABRICKS_OIDC_TOKEN_ENV = TFC_WORKLOAD_IDENTITY_TOKEN
Canalizaciones de Bitbucket de Atlassian
Para habilitar la federación de identidad de cargas de trabajo para Bitbucket Pipelines, establezca la DATABRICKS_OIDC_TOKEN_ENV variable de entorno para que el SDK de Databricks busque el token en BITBUCKET_STEP_OIDC_TOKEN.
image: atlassian/default-image
pipelines:
default:
- step:
oidc: true
script:
- export DATABRICKS_CLIENT_ID=a1b2c3d4-ee42-1eet-1337-f00b44r
- export DATABRICKS_HOST=https://my-workspace.cloud.databricks.com/
- export DATABRICKS_OIDC_TOKEN_ENV=BITBUCKET_STEP_OIDC_TOKEN
- export DATABRICKS_AUTH_TYPE=env-oidc
- curl -fsSL https://raw.githubusercontent.com/databricks/setup-cli/main/install.sh | sh
- databricks --version
- databricks current-user me