S'authentifier à l'aide de jetons d'accès personnels Azure Databricks (version ancienne)

Azure Databricks jetons d’accès personnels (PAT) vous permettent de vous authentifier auprès des ressources et des API au niveau de l’espace de travail. Vous pouvez les stocker dans des variables d’environnement ou des profils Azure Databricks configuration. Chaque Token d'Accès Personnel (PAT) est valide pour un seul espace de travail, et un utilisateur peut créer jusqu'à 600 PAT par espace de travail. Azure Databricks révoque automatiquement les PAT qui n’ont pas été utilisés pendant 90 jours.

Important

Dans la mesure du possible, Databricks recommande d’utiliser OAuth au lieu de paTs pour l’authentification par compte d’utilisateur, car OAuth offre une sécurité plus forte. Pour savoir comment s’authentifier avec un compte d’utilisateur Databricks à l’aide d’OAuth, consultez Authorize l’accès utilisateur à Azure Databricks avec OAuth.

Vous ne pouvez pas utiliser de jetons d'accès personnels pour automatiser les fonctionnalités d'Azure Databricks au niveau du compte. Utilisez plutôt les jetons Microsoft Entra ID des administrateurs de compte Azure Databricks. Les administrateurs de compte Azure Databricks peuvent être des utilisateurs ou des principaux de services. Pour plus d'informations, consultez les pages suivantes :

• Gérer les utilisateurs
• Principaux de service
• Groupes

Créer des jetons d’accès personnels pour les utilisateurs de l’espace de travail

Pour créer un jeton d’accès personnel pour votre utilisateur d’espace de travail Azure Databricks, procédez comme suit :

1. Dans votre espace de travail Azure Databricks, cliquez sur votre nom d’utilisateur dans la barre supérieure, puis sélectionnez Settings.
2. Cliquez sur Développeur.
3. À côté de Jetons d’accès, cliquez sur Gérer.
4. Cliquez sur Générer un nouveau jeton.
5. Entrez un commentaire pour vous aider à identifier ce jeton à l’avenir.
6. Définissez la durée de vie du jeton en jours. Consultez Définir la durée de vie maximale des nouveaux jetons d’accès personnels.
7. Pour limiter les autorisations du jeton, sélectionnez un type de jeton et ajoutez des étendues d’API. Consultez les jetons d’accès personnels attribués.
8. Cliquez sur Générer.
9. Copiez le jeton affiché dans un emplacement sécurisé, puis cliquez sur Terminé. Enregistrez le jeton de manière sécurisée et ne le partagez pas. Si vous perdez le jeton d'accès, vous devez en créer un nouveau.

Si vous ne pouvez pas créer ou utiliser de jetons, votre administrateur d’espace de travail peut avoir désactivé des jetons ou ne pas vous accorder l’autorisation. Consultez votre administrateur d'espace de travail ou les personnes suivantes :

• Activer ou désactiver l'authentification par jeton d'accès personnel pour l'espace de travail
• Autorisations de jeton d'accès personnel

Jetons d’accès personnels délimités

Les jetons d’accès personnels délimités limitent les autorisations d’un jeton aux opérations d’API spécifiques. Au lieu d’accorder l’accès complet à l’espace de travail, vous affectez une ou plusieurs étendues d’API, telles que sql, unity-catalogou scim, qui limitent les opérations d’API REST que le jeton peut appeler.

Avertissement

Les jetons avec l’étendue authentication peuvent créer de nouveaux jetons avec n’importe quelle étendue. Accordez cette étendue uniquement aux jetons qui doivent gérer d’autres jetons.

Pour créer un jeton délimité dans l’interface utilisateur de l’espace de travail, sélectionnez un type de jeton et ajoutez des étendues d’API lorsque vous générez un nouveau jeton. Si vous n’affectez aucune étendue, le jeton conserve les autorisations complètes de l’identité de création.

Pour obtenir la liste complète des étendues et de leurs opérations d’API associées, consultez les étendues d’API.

Créer des jetons d’accès personnels pour les principaux de service

Un principal de service peut créer des jetons d’accès personnels pour lui-même.

1. Exécutez la commande suivante pour générer un jeton d’accès :

   databricks tokens create \
     --lifetime-seconds <lifetime-seconds> \
     -p <profile-name>
   

   Remplacez les valeurs suivantes :

   • <lifetime-seconds>: durée de vie du jeton en secondes, par exemple 86400 pendant 1 jour. La valeur par défaut est la valeur maximale de l’espace de travail (généralement 730 jours).
   • <profile-name>: profil de configuration avec des informations d’authentification. La valeur par défaut est DEFAULT.

2. Copiez le token_value de la réponse, qui est le jeton d’accès de votre principal de service. Enregistrez le jeton de manière sécurisée et ne le partagez pas. Si vous perdez le jeton d'accès, vous devez en créer un nouveau.

Si vous ne pouvez pas créer ou utiliser de jetons, votre administrateur d’espace de travail peut avoir désactivé des jetons ou ne pas vous accorder l’autorisation. Consultez votre administrateur d'espace de travail ou les personnes suivantes :

• Activer ou désactiver l'authentification par jeton d'accès personnel pour l'espace de travail
• Autorisations de jeton d'accès personnel

Effectuer une authentification par jeton d’accès personnel

Pour configurer l'authentification par jeton d’accès personnel d'Azure Databricks, définissez les variables d’environnement associées suivantes, les champs .databrickscfg, les champs Terraform, ou les champs Config :

• Hôte Azure Databricks, spécifié comme URL cible Azure Databricks per-workspace, par exemple https://adb-1234567890123456.7.azuredatabricks.net.
• Jeton d’accès personnel Azure Databricks pour le compte d’utilisateur Azure Databricks.

Pour effectuer Azure Databricks l’authentification par jeton d’accès personnel, intégrez ce qui suit dans votre code, en fonction de l’outil ou du Kit de développement logiciel (SDK) participant :

Environnement

Pour utiliser des variables d'environnement pour un type d'authentification Azure Databricks spécifique avec un outil ou un Kit de développement logiciel (SDK), consultez Authorize access to Azure Databricks resources ou la documentation de l'outil ou du SDK. Consultez également les variables et champs d’environnement pour l’authentification unifiée et la priorité de la méthode d’authentification.

Définissez les variables d’environnement suivantes :

• DATABRICKS_HOST, configuré pour l’URL Azure Databricks par espace de travail, par exemple https://adb-1234567890123456.7.azuredatabricks.net.
• DATABRICKS_TOKEN, défini sur la chaîne de jeton.

Profil

Créez ou identifiez un profil Azure Databricks configuration avec les champs suivants dans votre fichier .databrickscfg. Si vous créez le profil, remplacez les espaces réservés par les valeurs appropriées. Pour utiliser le profil avec un outil ou un SDK, consultez Authorize access to Azure Databricks resources ou la documentation de l'outil ou du SDK. Consultez également les variables et champs d’environnement pour l’authentification unifiée et la priorité de la méthode d’authentification.

Définissez les valeurs suivantes dans votre fichier .databrickscfg. Dans ce cas, l’hôte est l’URL Azure Databricks per-workspace, par exemple https://adb-1234567890123456.7.azuredatabricks.net :

[<some-unique-configuration-profile-name>]
host  = <workspace-url>
token = <token>

Au lieu de définir manuellement les valeurs, vous pouvez utiliser l’interface CLI Databricks pour définir ces valeurs à la place :

Remarque

La procédure suivante utilise l’interface CLI Databricks pour créer un profil de configuration Azure Databricks avec le nom DEFAULT. Si vous avez déjà un profil de configuration DEFAULT, cette procédure remplace votre profil de configuration DEFAULT existant.

Pour vérifier si vous disposez déjà d’un DEFAULT profil de configuration et pour afficher les paramètres de ce profil s’il existe, utilisez l’interface CLI Databricks pour exécuter la commande databricks auth env --profile DEFAULT.

Pour créer un profil de configuration avec un nom autre que DEFAULT, remplacez la partie DEFAULT de --profile DEFAULT dans la commande databricks configure suivante par un autre nom de profil de configuration.

1. Utilisez l’interface CLI Databricks pour créer un profil de configuration Azure Databricks nommé DEFAULT qui utilise Azure Databricks authentification par jeton d’accès personnel. Pour ce faire, exécutez la commande suivante :

   databricks configure --profile DEFAULT
   

2. Pour l’invite Databricks Host, entrez votre URL Azure Databricks per-workspace, par exemple https://adb-1234567890123456.7.azuredatabricks.net.

3. Pour l’invite Jeton d’accès personnel, entrez le jeton d'accès personnel d'Azure Databricks pour votre espace de travail.

INTERFACE DE LIGNE DE COMMANDE

Pour l’interface CLI Databricks, exécutez la commande databricks configure. Quand vous y êtes invité, entrez les paramètres suivants :

• Hôte Azure Databricks, spécifié comme URL cible Azure Databricks per-workspace, par exemple https://adb-1234567890123456.7.azuredatabricks.net.
• Jeton d’accès personnel Azure Databricks pour le compte d’utilisateur Azure Databricks.

Pour plus d’informations, consultez Authentification par jeton d’accès personnel (hérité)

Se connecter

Remarque

Azure Databricks l’authentification par jeton d’accès personnel est prise en charge sur les versions de Databricks Connect suivantes :

• Pour Python, Databricks Connect pour Databricks Runtime 13.3 LTS et versions ultérieures.
• Pour Scala, Databricks Connect pour Databricks Runtime 13.3 LTS et versions ultérieures.

Pour Databricks Connect, utilisez l’interface CLI Databricks pour définir les valeurs de votre fichier .databrickscfg, pour les opérations de niveau Azure Databricks workspace comme spécifié dans la section Profile.

La procédure suivante crée un profil de configuration Azure Databricks nommé DEFAULT, qui remplace tout profil DEFAULT existant. Pour vérifier si un DEFAULT profil existe, exécutez databricks auth env --profile DEFAULT. S’il existe, utilisez un autre nom de profil.

1. Exécutez la commande suivante pour créer un profil de configuration Azure Databricks nommé DEFAULT qui utilise l’authentification par jeton d’accès personnel.

   databricks configure \
     --configure-cluster \
     --profile DEFAULT
   

2. Pour l’invite Databricks Host, entrez votre URL Azure Databricks per-workspace, par exemple https://adb-1234567890123456.7.azuredatabricks.net.

3. Pour l'invite, entrez le jeton d’accès personnel pour votre espace de travail.

4. Dans la liste des clusters disponibles, sélectionnez le cluster cible Azure Databricks dans votre espace de travail. Vous pouvez taper n’importe quelle partie du nom d’affichage du cluster pour filtrer la liste des clusters disponibles.

Utiliser l’API REST Azure Databricks pour émettre des jetons d’accès personnels

Azure Databricks fournit un point de terminaison REST /api/2.0/token/create pour émettre des PAT. Pour plus d’informations sur l’API, consultez Créer un jeton d’utilisateur.

Dans l’exemple suivant, définissez ces valeurs :

• <databricks-instance>: URL de votre espace de travail Databricks. Par exemple : dbc-abcd1234-5678.cloud.databricks.com.
• <your-existing-access-token>: Un pat valide (chaîne) existant qui dispose des autorisations nécessaires pour créer de nouveaux jetons.
• <lifetime-seconds>: durée de vie du jeton en secondes.
• <scopes>: liste d’étendues à affecter au jeton. Consultez les jetons d’accès personnels attribués.

curl -X POST https://<databricks-instance>/api/2.0/token/create \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "lifetime_seconds": <lifetime-seconds>,
  "scopes": [
    "sql",
    "authentication"
  ]
}'

Si elle réussit, cela entraîne une charge utile de réponse similaire à :

{
  "token_value": "<your-newly-issued-pat>",
  "token_info": {
    "token_id": "<token-id>",
    "creation_time": <creation-timestamp>,
    "expiry_time": <expiry-timestamp>,
    "comment": "<comment>",
    "scopes": ["authentication", "sql"],
    "last_accessed_time": 0
  }
}

Fournissez le nouveau jeton issu de la réponse dans l'en-tête "Authorization" lors des appels suivants aux API REST Databricks. Par exemple :

# This example uses a simple GET. For POST or other REST verbs, you may need to provide additional parameters.
curl -X GET "https://<databricks-instance>/api/2.0/<path-to-endpoint>" \
     -H "Authorization: Bearer <your-new-pat>"

import requests

headers = {
    'Authorization': 'Bearer <your-new-pat>'
}
# This example is for an HTTP GET operation.
response = requests.get('https://<databricks-instance>/api/2.0/<path-to-endpoint>', headers=headers)

Mettre à jour les étendues d’un jeton d’accès personnel

Si un jeton délimité manque l’étendue requise pour un appel d’API, la requête échoue avec une erreur indiquant l’étendue manquante. Pour mettre à jour les étendues d’un jeton, utilisez le point de terminaison REST /api/2.0/token/<token_id>. Le jeton appelant doit avoir l’étendue authentication , ce qui permet de gérer d’autres jetons. Utilisez le update_mask champ pour spécifier les champs de jeton à mettre à jour.

curl -X PATCH https://<databricks-instance>/api/2.0/token/<token_id> \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "token": {
    "scopes": ["sql", "unity-catalog"]
  },
  "update_mask": "scopes"
}'

Les modifications d’étendue peuvent prendre jusqu’à dix minutes pour se propager.

Pour afficher toutes les étendues disponibles, utilisez GET /api/2.0/token-scopes.