Autoriser l’accès sans assistance aux ressources Azure Databricks en utilisant un principal de service et OAuth.

Cette rubrique fournit des étapes et des détails pour autoriser l’accès aux ressources Azure Databricks lors de l’automatisation des commandes CLI Azure Databricks ou de l’appel d’API REST Azure Databricks à partir du code qui s’exécutera à partir d’un processus sans assistance.

Azure Databricks utilise OAuth comme protocole préféré pour l’autorisation et l’authentification utilisateur lors de l’interaction avec les ressources Azure Databricks en dehors de l’interface utilisateur. Azure Databricks fournit également l’outil d’authentification client unifié pour automatiser l’actualisation des jetons d’accès générés dans le cadre de la méthode d’authentification d’OAuth. Cela s’applique aux principaux de service ainsi qu’aux comptes d’utilisateur, mais vous devez configurer un principal de service avec les autorisations et privilèges appropriés pour les ressources Azure Databricks auxquelles il doit accéder dans le cadre de ses opérations.

Pour plus d’informations générales, consultez Autoriser l’accès aux ressources Azure Databricks.

Quelles sont mes options d’autorisation et d’authentification lors de l’utilisation d’un principal de service Azure Databricks ?

Dans cette rubrique, l’autorisation fait référence au protocole OAuth utilisé pour négocier l’accès à des ressources Azure Databricks spécifiques par délégation. l’authentification fait référence au mécanisme par lequel les informations d’identification sont représentées, transmises et vérifiées, qui, dans ce cas, sont des jetons d’accès .

Azure Databricks utilise l’autorisation basée sur OAuth 2.0 pour permettre l’accès aux ressources de compte et d’espace de travail Azure Databricks depuis la ligne de commande ou du code pour le compte d’un principal de service disposant des autorisations nécessaires pour accéder à ces ressources. Une fois qu’un principal de service Azure Databricks est configuré et que ses informations d’identification sont vérifiées lorsqu’il exécute une commande CLI ou appelle une API REST, un jeton OAuth est donné à l’outil ou au SDK participant pour effectuer l’authentification basée sur des jetons au nom du principal de service à partir de ce moment-là. Le jeton d’accès OAuth a une durée de vie d’une heure, après laquelle l’outil ou le Kit de développement logiciel (SDK) impliqué effectue une tentative automatique d’arrière-plan pour obtenir un nouveau jeton qui est également valide pendant une heure.

Azure Databricks prend en charge deux façons d’autoriser l’accès pour un principal de service avec OAuth :

• Principalement de manière automatique, en utilisant le support d'authentification client unifié de Databricks. Utilisez cette approche simplifiée si vous utilisez des kits sdk Azure Databricks spécifiques (tels que le SDK Databricks Terraform) et des outils. Les outils et les kits de développement logiciel pris en charge sont listés dans l’authentification client unifiée de Databricks . Cette approche est bien adaptée à l’automatisation ou à d’autres scénarios de processus sans assistance.
• Manuellement, en générant directement un vérificateur de code OAuth/une paire de défis et un code d’autorisation, et en les utilisant pour créer le jeton OAuth initial que vous fournirez dans votre configuration. Utilisez cette approche lorsque vous n’utilisez pas d’API prise en charge par l’authentification client unifiée Databricks. Dans ce cas, vous devrez peut-être développer votre propre mécanisme pour gérer l’actualisation des jetons d’accès spécifiques à l’outil tiers ou à l’API que vous utilisez. Pour plus d’informations, consultez Générer manuellement et utiliser des jetons d’accès pour l’authentification du principal de service OAuth.

Avant de commencer, vous devez configurer un principal de service Azure Databricks et lui attribuer les autorisations appropriées pour accéder aux ressources qu’il doit utiliser lorsque votre code ou commandes Automation les demande.

Prérequis : Créer un principal de service

Les administrateurs de compte et les administrateurs d’espace de travail peuvent créer des principaux de service. Cette étape décrit la création d’un principal de service dans un espace de travail Azure Databricks. Pour plus d'informations sur la console de votre compte Azure Databricks, consultez Gérer les principaux services dans votre compte.

Vous pouvez également créer un principal de service managé Microsoft Entra ID et l’ajouter à Azure Databricks. Pour plus d’informations, consultez Les principaux de service Databricks et Microsoft Entra ID.

1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
3. Cliquez sur l’onglet Identité et accès.
4. À côté de Principaux de service, cliquez sur Gérer.
5. Cliquez sur Ajouter un principal de service.
6. Cliquez sur la flèche déroulante dans la zone de recherche, puis cliquez sur Ajouter nouveau.
7. Sous Gestion, choisissez Databricks géré.
8. Entrez un nom pour le principal de service.
9. Cliquez sur Ajouter.

Le principal de service est ajouté à votre espace de travail et au compte Azure Databricks.

Étape 1 : Attribuer des autorisations à votre principal de service

1. Cliquez sur le nom de votre principal de service pour ouvrir sa page de détails.
2. Sous l’onglet Configurations, cochez la case en regard de chaque droit d’utilisation que vous souhaitez accorder au principal de service pour cet espace de travail, puis cliquez sur Mettre à jour.
3. Sous l’onglet Autorisations, accordez l’accès à tous les utilisateurs, les principaux de service et les groupes Azure Databricks que vous souhaitez autoriser à gérer et utiliser ce principal de service. Consultez l’article Gérer les rôles d’un principal de service.

Étape 2 : Créer un secret OAuth pour un principal de service

Avant de pouvoir utiliser OAuth pour autoriser l’accès à vos ressources Azure Databricks, vous devez d’abord créer un secret OAuth, qui peut être utilisé pour générer des jetons d’accès OAuth pour l’authentification. Un principal de service peut avoir jusqu’à cinq secrets OAuth. Les administrateurs de compte et les administrateurs d’espace de travail peuvent créer un secret OAuth pour un principal de service.

1. Dans la page de détails de votre principal de service, cliquez sur l’onglet Secrets .

2. Sous Secrets OAuth, cliquez sur Générer un secret.

   

3. Copiez le secret affiché et l’ID client, puis cliquez sur Terminé.

Le secret ne s’affiche qu’une seule fois pendant la création. L’ID client est identique à l’ID d’application du principal de service.

Les administrateurs de compte peuvent également générer un secret OAuth à partir de la page de détails du principal de service dans la console de compte.

1. En tant qu’administrateur de compte, connectez-vous à la console de compte.

2. Cliquez sur Gestion des utilisateurs.

3. Sous l’onglet Principaux de service, sélectionnez votre principal de service.

4. Sous Secrets OAuth, cliquez sur Générer un secret.

   

5. Copiez le secret affiché et l’ID client, puis cliquez sur Terminé.

Remarque

Pour permettre au principal de service d’utiliser des clusters ou des entrepôts SQL, vous devez lui en accorder l’accès. Consultez Autorisations de calcul ou Gérer un entrepôt SQL.

Étape 3 : Utiliser l’autorisation OAuth

Pour utiliser l’autorisation OAuth avec l’outil d’authentification client unifié, vous devez définir les variables d’environnement associées suivantes, .databrickscfg champs, champs Terraform ou champs Config :

• L’hôte Azure Databricks, spécifié comme https://accounts.azuredatabricks.net pour les opérations de compte ou l’URL par espace de travail cible, par exemple https://adb-1234567890123456.7.azuredatabricks.net, pour les opérations d’espace de travail.
• Pour les opérations de compte Azure Databricks, l’ID de compte Azure Databricks.
• ID de client du principal du service.
• Le secret du principal du service.

Pour effectuer l’authentification du principal de service OAuth, intégrez les éléments suivants dans votre code, en fonction de l’outil ou du Kit de développement logiciel (SDK) participant :

Environment

Pour utiliser des variables d’environnement pour un type d’authentification Azure Databricks spécifique avec un outil ou un Kit de développement logiciel (SDK), consultez autoriser l’accès aux ressources Azure Databricks ou à la documentation de l’outil ou du Kit de développement logiciel (SDK). Consultez également Variables et champs d’environnement pour l’authentification unifiée du client et Méthodes par défaut pour l’authentification unifiée du client.

Pour les opérations au niveau du compte, définissez les variables d’environnement suivantes :

• DATABRICKS_HOST, réglé sur l’URL de console du compte Azure Databricks, https://accounts.azuredatabricks.net.
• DATABRICKS_ACCOUNT_ID
• DATABRICKS_CLIENT_ID
• DATABRICKS_CLIENT_SECRET

Pour les opérations au niveau de l’espace de travail, définissez les variables d’environnement suivantes :

• DATABRICKS_HOST, défini sur l’URL par espace de travail Azure Databricks, par exemple https://adb-1234567890123456.7.azuredatabricks.net.
• DATABRICKS_CLIENT_ID
• DATABRICKS_CLIENT_SECRET

Profil

Créez ou identifiez un profil de configuration Azure Databricks avec les champs suivants dans votre fichier .databrickscfg. Si vous créez le profil, remplacez les espaces réservés par les valeurs appropriées. Pour utiliser le profil avec un outil ou un Kit de développement logiciel (SDK), consultez Autoriser l’accès aux ressources Azure Databricks ou la documentation de l’outil ou du SDK. Consultez également Variables et champs d’environnement pour l’authentification unifiée du client et Méthodes par défaut pour l’authentification unifiée du client.

Pour les opérations au niveau du compte, définissez les valeurs suivantes dans votre fichier .databrickscfg. Dans ce cas, l’URL de la console de compte Azure Databricks est https://accounts.azuredatabricks.net :

[<some-unique-configuration-profile-name>]
host          = <account-console-url>
account_id    = <account-id>
client_id     = <service-principal-client-id>
client_secret = <service-principal-secret>

Pour les opérations au niveau de l’espace de travail, définissez les valeurs suivantes dans votre fichier .databrickscfg. Dans ce cas, l’hôte est l’URL par espace de travail Azure Databricks, par exemple https://adb-1234567890123456.7.azuredatabricks.net :

[<some-unique-configuration-profile-name>]
host          = <workspace-url>
client_id     = <service-principal-client-id>
client_secret = <service-principal-secret>

INTERFACE DE LIGNE DE COMMANDE

Pour l’interface CLI Databricks, effectuez l’une des opérations suivantes :

• Définissez les variables d’environnement comme spécifié dans la section « Environnement » de cet article.
• Définissez les valeurs de votre fichier .databrickscfg comme spécifié dans la section « Profil » de cet article.

Les variables d’environnement sont toujours prioritaires sur les valeurs de votre fichier .databrickscfg.

Consultez également Authentification machine à machine (M2M) OAuth.

Se connecter

Remarque

L’authentification du principal de service OAuth est prise en charge sur les versions Databricks Connect suivantes :

• Pour Python, Databricks Connect pour Databricks Runtime 14.0 et versions ultérieures.
• Pour Scala, Databricks Connect pour Databricks Runtime 13.3 LTS et ultérieur. Le Kit de développement logiciel (SDK) Databricks pour Java inclus dans Databricks Connect pour Databricks Runtime 13.3 LTS et versions ultérieures doit être mis à niveau vers le Kit de développement logiciel (SDK) Databricks pour Java 0.17.0 ou version ultérieure.

Pour Databricks Connect, vous pouvez effectuer une des opérations suivantes :

• Définissez les valeurs de votre fichier .databrickscfg pour les opérations au niveau de l’espace de travail Azure Databricks comme spécifié dans la section « Profil » de cet article. Définissez également la variable d’environnement cluster_id dans votre profil sur votre URL par espace de travail, par exemple https://adb-1234567890123456.7.azuredatabricks.net.
• Définissez les variables d’environnement pour les opérations au niveau de l’espace de travail Azure Databricks, comme spécifié dans la section « Environnement » de cet article. Définissez également la variable d’environnement DATABRICKS_CLUSTER_ID sur votre URL par espace de travail, par exemple https://adb-1234567890123456.7.azuredatabricks.net.

Les valeurs de votre fichier .databrickscfg sont toujours prioritaires sur les variables d’environnement.

Pour initialiser le client Databricks Connect avec ces variables d’environnement ou valeurs dans votre .databrickscfg fichier, consultez Configuration de calcul pour Databricks Connect.

VS Code

Pour l’extension Databricks pour Visual Studio Code, procédez comme suit :

1. Définissez les valeurs de votre fichier .databrickscfg pour les opérations au niveau de l’espace de travail Azure Databricks comme spécifié dans la section « Profil » de cet article.
2. Dans le volet Configuration de l’extension Databricks pour Visual Studio Code, cliquez sur Configurer Databricks.
3. Dans la palette de commandes, pour Hôte Databricks, entrez votre URL par espace de travail, par exemple https://adb-1234567890123456.7.azuredatabricks.net, puis appuyez sur Enter.
4. Dans la palette de commandes, sélectionnez le nom de votre profil cible dans la liste pour votre URL.

Pour plus d’informations, consultez Configurer l’autorisation pour l’extension Databricks pour Visual Studio Code.

Terraform

Pour les opérations au niveau du compte, pour l’authentification par défaut :

provider "databricks" {
  alias = "accounts"
}

Pour la configuration directe (remplacez les espaces réservés retrieve par votre propre implémentation afin de récupérer les valeurs de la console ou d’un autre magasin de configuration comme HashiCorp Vault. Référez-vous également à Vault Provider). Dans ce cas, l’URL de la console de compte Azure Databricks est https://accounts.azuredatabricks.net :

provider "databricks" {
  alias         = "accounts"
  host          = <retrieve-account-console-url>
  account_id    = <retrieve-account-id>
  client_id     = <retrieve-client-id>
  client_secret = <retrieve-client-secret>
}

Pour les opérations au niveau de l’espace de travail, pour l’authentification par défaut :

provider "databricks" {
  alias = "workspace"
}

Pour la configuration directe (remplacez les espaces réservés retrieve par votre propre implémentation afin de récupérer les valeurs de la console ou d’un autre magasin de configuration comme HashiCorp Vault. Référez-vous également à Vault Provider). Dans ce cas, l’hôte est l’URL par espace de travail Azure Databricks, par exemple https://adb-1234567890123456.7.azuredatabricks.net :

provider "databricks" {
  alias         = "workspace"
  host          = <retrieve-workspace-url>
  client_id     = <retrieve-client-id>
  client_secret = <retrieve-client-secret>
}

Pour plus d’informations sur l’authentification avec le fournisseur Databricks Terraform, consultez Authentification.

Python

Pour les opérations au niveau du compte, utilisez ce qui suit pour l’authentification par défaut :

from databricks.sdk import AccountClient

a = AccountClient()
# ...

Pour la configuration directe, utilisez ce qui suit en remplaçant les espaces réservés retrieve par votre propre implémentation afin de récupérer les valeurs de la console ou d’un autre magasin de configuration comme Azure Key Vault. Dans ce cas, l’URL de la console de compte Azure Databricks est https://accounts.azuredatabricks.net :

from databricks.sdk import AccountClient

a = AccountClient(
  host          = retrieve_account_console_url(),
  account_id    = retrieve_account_id(),
  client_id     = retrieve_client_id(),
  client_secret = retrieve_client_secret()
)
# ...

Pour les opérations au niveau de l’espace de travail, et particulièrement pour l’authentification par défaut :

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()
# ...

Pour la configuration directe, remplacez les espaces réservés retrieve par votre propre implémentation afin de récupérer les valeurs de la console ou d’un autre magasin de configuration comme Azure Key Vault. Dans ce cas, l’hôte est l’URL par espace de travail Azure Databricks, par exemple https://adb-1234567890123456.7.azuredatabricks.net :

from databricks.sdk import WorkspaceClient

w = WorkspaceClient(
  host          = retrieve_workspace_url(),
  client_id     = retrieve_client_id(),
  client_secret = retrieve_client_secret()
)
# ...

Pour plus d’informations sur l’authentification avec les outils et les kits de développement logiciel (SDK) Databricks qui utilisent Python et qui implémentent l’Authentification unifiée du client Databricks, consultez :

• Configurer le client Databricks Connect pour Python
• Authentification du kit SDK Databricks pour Python avec un compte ou un espace de travail Azure Databricks

Remarque

L’extension Databricks pour Visual Studio Code utilise Python, mais n’a pas encore implémenté l’authentification du principal de service OAuth.

Java

Pour les opérations au niveau de l’espace de travail en utilisant l’authentification par défaut :

import com.databricks.sdk.WorkspaceClient;
// ...
WorkspaceClient w = new WorkspaceClient();
// ...

Pour la configuration directe (remplacez les espaces réservés retrieve par votre propre implémentation afin de récupérer les valeurs de la console ou d’un autre magasin de configuration comme Azure Key Vault). Dans ce cas, l’hôte est l’URL par espace de travail Azure Databricks, par exemple https://adb-1234567890123456.7.azuredatabricks.net :

import com.databricks.sdk.WorkspaceClient;
import com.databricks.sdk.core.DatabricksConfig;
// ...
DatabricksConfig cfg = new DatabricksConfig()
  .setHost(retrieveWorkspaceUrl())
  .setClientId(retrieveClientId())
  .setClientSecret(retrieveClientSecret());
WorkspaceClient w = new WorkspaceClient(cfg);
// ...

Pour plus d’informations sur l’authentification avec les outils et les kits de développement logiciel (SDK) Databricks qui utilisent Java et qui implémentent l’Authentification unifiée du client Databricks, consultez :

• Configurer le client Databricks Connect pour Scala (le client Databricks Connect pour Scala utilise le kit de développement logiciel (SDK) Databricks inclus pour Java pour l’authentification)
• Authentifier le kit de développement logiciel (SDK) Databricks pour Java avec votre compte ou espace de travail Azure Databricks

Go

Pour les opérations au niveau du compte en utilisant l’authentification par défaut :

import (
"github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient())
// ...

Pour la configuration directe (remplacez les espaces réservés retrieve par votre propre implémentation afin de récupérer les valeurs de la console ou d’un autre magasin de configuration comme Azure Key Vault). Dans ce cas, l’URL de la console de compte Azure Databricks est https://accounts.azuredatabricks.net :

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient(&databricks.Config{
    Host:         retrieveAccountConsoleUrl(),
    AccountId:    retrieveAccountId(),
    ClientId:     retrieveClientId(),
    ClientSecret: retrieveClientSecret(),
}))
// ...

Pour les opérations au niveau de l’espace de travail en utilisant l’authentification par défaut :

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
a := databricks.Must(databricks.NewAccountClient())
// ...

Pour la configuration directe (remplacez les espaces réservés retrieve par votre propre implémentation afin de récupérer les valeurs de la console ou d’un autre magasin de configuration comme Azure Key Vault). Dans ce cas, l’hôte est l’URL par espace de travail Azure Databricks, par exemple https://adb-1234567890123456.7.azuredatabricks.net :

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
a := databricks.Must(databricks.NewAccountClient(&databricks.Config{
  Host:         retrieveWorkspaceUrl(),
  ClientId:     retrieveClientId(),
  ClientSecret: retrieveClientSecret(),
}))
// ...

Pour plus d’informations sur l’authentification avec les outils et les kits de développement logiciel (SDK) Databricks qui utilisent Go et qui implémentent l’Authentification unifiée du client Databricks, consultez Authentifier le kit de développement logiciel (SDK) Databricks pour Go avec votre compte ou votre espace de travail Azure Databricks.

Générer manuellement et utiliser des jetons d’accès pour l’authentification du principal de service OAuth

Les outils et kits SDK Azure Databricks qui implémentent la norme d’authentification unifiée client Databricks généreront, actualiseront et utiliseront automatiquement des jetons d’accès OAuth Azure Databricks en votre nom selon les besoins de l’authentification du principal de service OAuth.

Databricks recommande d’utiliser l’authentification unifiée du client, mais si vous devez générer, actualiser ou utiliser manuellement des jetons d’accès OAuth Azure Databricks, suivez les instructions de cette section.

Utilisez l’ID client et le secret OAuth du principal de service pour demander un jeton d’accès OAuth pour s’authentifier auprès des API REST au niveau du compte et des API REST au niveau de l’espace de travail. Le jeton d’accès expirera en une heure. Vous devez demander un nouveau jeton d’accès OAuth après l’expiration. L’étendue du jeton d’accès OAuth dépend du niveau à partir duquel vous créez le jeton. Vous pouvez créer un jeton au niveau du compte ou de l’espace de travail de la manière suivante :

• Pour appeler les API REST au niveau du compte et de l’espace de travail au sein des comptes et des espaces de travail auxquels le principal de service a accès, générez manuellement un jeton d’accès au niveau du compte.
• Pour appeler des API REST au sein d’un seul des espaces de travail auxquels le principal de service a accès, générez manuellement un jeton d’accès au niveau de l’espace de travail pour cet espace de travail uniquement.

Générer manuellement un jeton d’accès au niveau du compte

Un jeton d’accès OAuth créé à partir du niveau du compte peut être utilisé sur les API REST Databricks dans le compte, et dans tous les espaces de travail auquel le principal de service a accès.

1. En tant qu’administrateur de compte, connectez-vous à la console de compte.

2. Cliquez sur la flèche vers le bas à côté de votre nom d’utilisateur en haut à droite.

3. Copiez votre ID de compte.

4. Construisez l’URL du point de terminaison du jeton en remplaçant <my-account-id> dans l’URL suivante par l’ID de compte que vous avez copié.

   https://accounts.azuredatabricks.net/oidc/accounts/<my-account-id>/v1/token
   

5. Utilisez un client tel que curl pour demander un jeton d’accès OAuth avec l’URL du point de terminaison de jeton, l’ID client du principal de service (également appelé ID d’application) et le secret OAuth du principal de service que vous avez créé. L’étendue all-apis demande un jeton d’accès OAuth qui peut être utilisé pour accéder à toutes les API REST Databricks auxquelles le principal de service a été accordé.

   • Remplacez <token-endpoint-URL> par l’URL de point de terminaison du jeton précédent.
   • Remplacez <client-id> par l’ID client du principal de service, également appelé ID d’application.
   • Remplacez <client-secret> par le secret OAuth du principal de service que vous avez créé.

   export CLIENT_ID=<client-id>
   export CLIENT_SECRET=<client-secret>
   
     curl --request POST \
     --url <token-endpoint-URL> \
     --user "$CLIENT_ID:$CLIENT_SECRET" \
     --data 'grant_type=client_credentials&scope=all-apis'
   

   Une réponse similaire à celle ci est générée :

     {
       "access_token": "eyJraWQiOiJkYTA4ZTVjZ…",
       "token_type": "Bearer",
       "expires_in": 3600
     }
   

   Copiez l’access_token à partir de la réponse.

Générer manuellement un jeton d’accès au niveau de l’espace de travail

Un jeton d’accès OAuth créé à partir du niveau de l’espace de travail peut uniquement accéder aux API REST de cet espace de travail, même si le principal de service est un administrateur de compte ou est membre d’autres espaces de travail.

1. Construisez l’URL du point de terminaison du jeton en remplaçant https://<databricks-instance> par l’URL de l’espace de travail de votre déploiement Azure Databricks :

   https://<databricks-instance>/oidc/v1/token
   

2. Utilisez un client tel que curl pour demander un jeton d’accès OAuth avec l’URL du point de terminaison de jeton, l’ID client du principal de service (également appelé ID d’application) et le secret OAuth du principal de service que vous avez créé. L’étendue all-apis demande un jeton d’accès OAuth qui peut être utilisé pour accéder à toutes les API REST Databricks auxquelles le principal de service a été autorisé à accéder dans l’espace de travail à partir duquel vous demandez le jeton.

   • Remplacez <token-endpoint-URL> par l’URL de point de terminaison du jeton précédent.
   • Remplacez <client-id> par l’ID client du principal de service, également appelé ID d’application.
   • Remplacez <client-secret> par le secret OAuth du principal de service que vous avez créé.

   export CLIENT_ID=<client-id>
   export CLIENT_SECRET=<client-secret>
   
   curl --request POST \
   --url <token-endpoint-URL> \
   --user "$CLIENT_ID:$CLIENT_SECRET" \
   --data 'grant_type=client_credentials&scope=all-apis'
   

   Une réponse similaire à celle ci est générée :

   {
     "access_token": "eyJraWQiOiJkYTA4ZTVjZ…",
     "token_type": "Bearer",
     "expires_in": 3600
   }
   

   Copiez l’access_token à partir de la réponse.

Appeler une API REST Databricks

Vous pouvez utiliser le jeton d’accès OAuth pour vous authentifier auprès d’Azure Databricks API REST au niveau du compte et API REST au niveau de l’espace de travail. Le principal de service doit disposer de privilèges d’administrateur de compte pour appeler les API REST au niveau du compte.

Incluez le jeton d’accès dans l’en-tête d’autorisation à l’aide de l’authentification Bearer. Vous pouvez utiliser cette approche avec curl ou n’importe quel client que vous générez.

Exemple de demande d’API REST au niveau du compte

Cet exemple utilise l’authentification Bearer pour obtenir la liste de tous les espaces de travail associés à un compte.

• Remplacez <oauth-access-token> par le jeton d’accès OAuth du principal de service que vous avez copié à l’étape précédente.
• Remplacez <account-id> par votre ID de compte.

export OAUTH_TOKEN=<oauth-access-token>

curl --request GET --header "Authorization: Bearer $OAUTH_TOKEN" \
'https://accounts.azuredatabricks.net/api/2.0/accounts/<account-id>/workspaces'

Exemple de demande d’API REST au niveau de l’espace de travail

Cet exemple utilise l’authentification Bearer pour répertorier tous les clusters disponibles dans l’espace de travail spécifié.

• Remplacez <oauth-access-token> par le jeton d’accès OAuth du principal de service que vous avez copié à l’étape précédente.
• Remplacez <workspace-URL> par l’URL de votre espace de travail de base, dont la forme est similaire à dbc-a1b2345c-d6e7.cloud.databricks.com.

export OAUTH_TOKEN=<oauth-access-token>

curl --request GET --header "Authorization: Bearer $OAUTH_TOKEN" \
'https://<workspace-URL>/api/2.0/clusters/list'

Ressources supplémentaires

• Principaux de service
• Vue d’ensemble du modèle d’identité Databricks
• Informations supplémentaires sur l’authentification et le contrôle d’accès