Megosztás a következőn keresztül:

Az Azure Databricks-erőforrásokhoz való hozzáférés hitelesítése

  • Cikk

Az Azure Databricks-erőforrások Databricks CLI-vel vagy REST API-kkal való eléréséhez az ügyfeleknek hitelesíteni kell magukat egy Azure Databricks-fiókkal az erőforrás eléréséhez szükséges engedélyekkel. A Databricks CLI-parancs biztonságos futtatásához vagy egy Olyan Databricks API-kérés meghívásához, amely jogosult hozzáférést igényel egy fiókhoz vagy munkaterülethez, meg kell adnia egy hozzáférési jogkivonatot érvényes Azure Databricks-fiók hitelesítő adatai alapján. Ez a cikk azokat a hitelesítési lehetőségeket ismerteti, amelyek lehetővé teszik a hitelesítő adatok megadását és az Azure Databricks-munkaterülethez vagy -fiókokhoz való hozzáférés engedélyezését.

Az alábbi táblázat az Azure Databricks-fiókhoz elérhető hitelesítési módszereket mutatja be.

Az Azure Databricks hitelesítési módszerei

Mivel az Azure Databricks-eszközök és az SDK-k egy vagy több támogatott Azure Databricks-hitelesítési módszerrel működnek, kiválaszthatja a használati esethez legmegfelelőbb hitelesítési módszert. Részletekért tekintse meg az eszköz vagy az SDK dokumentációját Fejlesztői eszközök és útmutatást.

Metódus Leírás Használati eset
OAuth szolgáltatásnevekhez (OAuth M2M) Rövid élettartamú OAuth-jogkivonatok szolgáltatásnevekhez. Felügyelet nélküli hitelesítési forgatókönyvek, például teljesen automatizált és CI/CD-munkafolyamatok.
OAuth felhasználók számára (OAuth U2M) Rövid élettartamú OAuth-jogkivonatok felhasználók számára. Olyan hitelesítési forgatókönyvek, ahol a webböngésző használatával valós időben hitelesíthet az Azure Databricks szolgáltatással, amikor a rendszer kéri.
Személyes hozzáférési jogkivonatok (PAT) Rövid élettartamú vagy hosszú élettartamú jogkivonatok felhasználók vagy szolgáltatásnevek számára. Olyan forgatókönyvek, ahol a céleszköz nem támogatja az OAuth-ot.
Felügyelt Azure-identitások hitelesítése Microsoft Entra-azonosító jogkivonatok azure-beli felügyelt identitásokhoz. Csak felügyelt identitásokat támogató Azure-erőforrásokhoz, például Azure-beli virtuális gépekhez használható.
Microsoft Entra ID alkalmazáspéldányos hitelesítés Microsoft Entra ID-jogkivonatok a Microsoft Entra ID szolgáltatásnevekhez. Csak olyan Azure-erőforrásokhoz használható, amelyek támogatják a Microsoft Entra ID-jogkivonatokat, és nem támogatják a felügyelt identitásokat, például az Azure DevOpsot.
Azure CLI hitelesítés Microsoft Entra ID-jogkivonatok felhasználók vagy Microsoft Entra ID szolgáltatásnevek számára. Az Azure-erőforrásokhoz és az Azure Databrickshez való hozzáférés hitelesítésére használható az Azure CLI használatával.
Microsoft Entra ID felhasználói hitelesítés Microsoft Entra-azonosító jogkivonatok felhasználók számára. Csak olyan Azure-erőforrásokhoz használható, amelyek csak a Microsoft Entra ID-jogkivonatokat támogatják. A Databricks nem javasolja, hogy manuálisan hozzon létre Microsoft Entra-azonosító jogkivonatokat az Azure Databricks-felhasználók számára.

Milyen hitelesítési módszert válasszak?

Két lehetősége van egy Databricks CLI-parancs vagy API-hívás hitelesítésére az Azure Databricks-erőforrásokhoz való hozzáférés érdekében:

  • Használjon Azure Databricks-felhasználói fiókot (úgynevezett "felhasználó–gép" hitelesítést vagy U2M-et). Ezt csak akkor válassza, ha egy Azure Databricks CLI-parancsot futtat a helyi ügyfélkörnyezetből, vagy meghív egy Azure Databricks API-kérést a saját kódjából, és kizárólag fut.
  • Használjon Azure Databricks-szolgáltatásnevet (az úgynevezett "gépről gépre" hitelesítést vagy M2M-et). Ezt akkor válassza, ha mások futtatják a kódot (különösen egy alkalmazás esetében), vagy ha olyan automatizálást hoz létre, amely meghívja az Azure Databricks CLI-parancsokat vagy API-kéréseket.
  1. Az Azure Databricks használata esetén az MS Entra szolgáltatásnévvel is hitelesítheti az Azure Databricks-fiókhoz vagy -munkaterülethez való hozzáférést. A Databricks azonban azt javasolja, hogy használjon egy Databricks-szolgáltatásnevet a megadott OAuth-hitelesítéssel az MS Entra szolgáltatásnév-hitelesítésen keresztül. Ennek az az oka, hogy a Databricks hitelesítése olyan OAuth-hozzáférési jogkivonatokat használ, amelyek robusztusabbak, ha csak az Azure Databricks használatával hitelesít.

Az MS Entra szolgáltatásnév databricks-erőforrásokhoz való elérésével kapcsolatos további részletekért lásd : MS Entra szolgáltatásnév-hitelesítés.

Rendelkeznie kell egy hozzáférési jogkivonattal is ahhoz a fiókhoz, amelyet a Databricks API meghívásához fog használni. Ez a jogkivonat lehet OAuth 2.0 hozzáférési jogkivonat vagy személyes hozzáférési jogkivonat (PAT). Az Azure Databricks azonban határozottan javasolja az OAuth használatát paT-okon keresztül az engedélyezéshez, mivel az OAuth-jogkivonatok alapértelmezés szerint automatikusan frissülnek, és nem igénylik a hozzáférési jogkivonat közvetlen felügyeletét, javítva a jogkivonatok eltérítésével és a nem kívánt hozzáféréssel szembeni biztonságot. Mivel az OAuth létrehozza és kezeli a hozzáférési jogkivonatot, ön egy OAuth-jogkivonat végponti URL-címét, egy ügyfél-azonosítót és egy, az Azure Databricks-munkaterületről létrehozott titkos kulcsot ad meg ahelyett, hogy közvetlenül egy jogkivonat-sztringet ad meg. A PAT-k felfedik annak kockázatát, hogy a hosszú élettartamú jogkivonatok kimenő lehetőségeket biztosítanak, ha nincsenek rendszeresen naplózva, elforgatva vagy visszavonva, vagy ha a jogkivonat sztringjei és jelszavai nincsenek biztonságosan kezelve a fejlesztési környezetben.

Hogyan az OAuth használatával hitelesíteni az Azure Databricks szolgáltatással?

Az Azure Databricks egységes ügyfélhitelesítést biztosít a hitelesítéshez az adott hitelesítőadat-értékekre beállítható alapértelmezett környezeti változók használatával. Ez megkönnyíti és biztonságosabbá teszi a munkát, mivel ezek a környezeti változók az Azure Databricks CLI-parancsokat futtató vagy az Azure Databricks API-kat meghívó környezetre jellemzőek.

  • Felhasználói fiókok (felhasználó–gép) hitelesítése esetén az Azure Databricks OAuth a Databricks-ügyfél egységes hitelesítésével kezelhető, mindaddig, amíg az eszközök és az SDK-k implementálják a szabványt. Ha nem, manuálisan létrehozhat egy OAuth-kód ellenőrzőt és egy kihíváspárt, amelyet közvetlenül az Azure Databricks CLI-parancsaiban és API-kérelmeiben használhat. Lásd : 1. lépés: OAuth-kód hitelesítő és kódkontraszt pár létrehozása.
  • Szolgáltatásnév (gépről gépre) hitelesítés esetén az Azure Databricks OAuth megköveteli, hogy a hívó adja meg az ügyfél hitelesítő adatait, valamint egy jogkivonatvégpont URL-címét, ahol a kérés engedélyezhető. (Ezt akkor kezeli a rendszer, ha a Databricks egységes ügyfélhitelesítését támogató Azure Databricks-eszközöket és SDK-ket használ.) A hitelesítő adatok egyedi ügyfél-azonosítót és titkos ügyfélkulcsot tartalmaznak. Az ügyfelet, amely a kódot futtató Databricks szolgáltatásnév, a Databricks-munkaterületekhez kell hozzárendelni. Miután hozzárendelte a szolgáltatásnevet azokhoz a munkaterületekhez, amelyekhez hozzá fog férni, egy ügyfélazonosítót és egy ügyfélkulcsot kap, amelyet meghatározott környezeti változókkal fog beállítani.

Ezek a környezeti változók a következők:

  • DATABRICKS_HOST: Ez a környezeti változó az Azure Databricks-fiókkonzol (http://accounts.cloud.databricks.com) vagy az Azure Databricks-munkaterület URL-címe (https://{workspace-id}.cloud.databricks.com) URL-címére van állítva. Válasszon egy gazdagép URL-címét a kódban végrehajtandó műveletek típusa alapján. Ha azure Databricks-fiókszintű CLI-parancsokat vagy REST API-kéréseket használ, állítsa be ezt a változót az Azure Databricks-fiók URL-címére. Ha Azure Databricks-munkaterületszintű CLI-parancsokat vagy REST API-kéréseket használ, használja az Azure Databricks-munkaterület URL-címét.
  • DATABRICKS_ACCOUNT_ID: Azure Databricks-fiókműveletekhez használatos. Ez az Azure Databricks-fiók azonosítója. A lekéréshez tekintse meg a fiókazonosító megkeresése című témakört.
  • DATABRICKS_CLIENT_ID: (csak M2M OAuth esetén) A szolgáltatásnév létrehozásakor hozzárendelt ügyfélazonosító.
  • DATABRICKS_CLIENT_SECRET: (csak M2M OAuth esetén) A szolgáltatásnév létrehozásakor létrehozott ügyféltitk.

Ezeket beállíthatja közvetlenül, vagy egy Databricks-konfigurációs profil (.databrickscfg) használatával az ügyfélszámítógépen.

OAuth hozzáférési jogkivonat használatához az Azure Databricks-munkaterület vagy -fiókadminisztrátornak meg kell adnia a felhasználói fiókjának vagy szolgáltatásnevének a CAN USE kódot elérő fiók- és munkaterület-funkciók jogosultságát.

Az OAuth-hitelesítés ügyfélhez való konfigurálásáról és a felhőszolgáltatóspecifikus engedélyezési lehetőségek áttekintéséről további információt az Egyesített ügyfélhitelesítés című témakörben talál.

Hitelesítés külső szolgáltatásokhoz és eszközökhöz

Ha külső szolgáltatásokhoz, eszközökhöz vagy SDK-khoz hozzáférő kódot ír, a külső fél által biztosított hitelesítési és engedélyezési mechanizmusokat kell használnia. Ha azonban egy külső eszközhöz, SDK-hoz vagy szolgáltatáshoz hozzáférést kell adnia az Azure Databricks-fiókhoz vagy a munkaterület erőforrásaihoz, a Databricks a következő támogatást nyújtja:

  • Databricks Terraform Provider: Ez az eszköz az Azure Databricks API-kat az Ön nevében a Terraformból érheti el az Azure Databricks felhasználói fiókjával. További részletekért lásd : Szolgáltatásnév kiépítése a Terraform használatával.

  • A Git-szolgáltatók, például a GitHub, a GitLab és a Bitbucket egy Databricks-szolgáltatásnév használatával férhetnek hozzá az Azure Databricks API-khoz. További részletekért tekintse meg a CI/CD szolgáltatásneveit.

  • A Jenkins egy Databricks-szolgáltatásnév használatával érheti el az Azure Databricks API-kat. További információ: CI/CD with Jenkins on Azure Databricks.

  • Az Azure DevOps ms Entra szolgáltatásnévvel és -azonosítóval érheti el az Azure Databricks API-kat. További részletekért lásd : Hitelesítés az Azure DevOpsszal a Databricksen.

Azure Databricks-konfigurációs profilok

Az Azure Databricks konfigurációs profilja olyan beállításokat és egyéb információkat tartalmaz, amelyeket az Azure Databricksnek hitelesítenie kell. Az Azure Databricks konfigurációs profiljai helyi ügyfélfájlokban vannak tárolva az eszközök, SDK-k, szkriptek és alkalmazások számára. A standard konfigurációs profilfájl neve .databrickscfg. További információ: Azure Databricks konfigurációs profilok.