Felügyelt Azure-identitások hitelesítése

Az Azure-beli felügyelt identitások hitelesítése felügyelt identitásokat használ az Azure-erőforrásokhoz (korábbi nevén felügyeltszolgáltatás-identitásokhoz (MSI)) az Azure Databricks-hitelesítéshez. Az Azure Databricks-fiókra és a munkaterület-műveletekre irányuló programozott hívások ezt a felügyelt identitást használják a felügyelt identitásokat támogató Azure-erőforrások, például az Azure-beli virtuális gépek használatakor.

• A felügyelt identitásokról további információt az Azure-erőforrások felügyelt identitásai című témakörben talál.
• Ha meg szeretné tudni, hogyan hozhat létre felügyelt identitást, és hogyan adhat engedélyt az Azure Databricks-fiókok és -munkaterületek elérésére, olvassa el az Azure Databricks-automatizálás azure-beli felügyelt identitáshitelesítésének beállítását és használatát ismertető témakört.

Feljegyzés

Az Azure-erőforrások felügyelt identitásai eltérnek a Microsoft Entra ID szolgáltatásnévihez képest, amelyet az Azure Databricks a hitelesítéshez is támogat. Ha meg szeretné tudni, hogyan használhatja a Microsoft Entra ID szolgáltatásneveit az Azure Databricks-hitelesítéshez felügyelt identitások helyett az Azure-erőforrásokhoz, tekintse meg a következőt:

• MS Entra szolgáltatásnév hitelesítése
• Azure CLI hitelesítés
• Szolgáltatásnevek kezelése
• Szolgáltatásnév kiépítése a Terraform használatával
• Microsoft Entra ID-jogkivonatok lekérése szolgáltatásnevekhez
• Azure CLI-bejelentkezés Microsoft Entra ID szolgáltatásnévvel
• PowerShell-bejelentkezés Microsoft Entra ID szolgáltatásnévvel

Az Azure-beli felügyelt identitások hitelesítése csak a felügyelt identitásokat támogató, megfelelően konfigurált erőforrások (például Azure-beli virtuális gépek) és az Azure Databricks-fiókok és -munkaterületek között támogatott.

Ha azure-beli felügyelt identitások hitelesítését szeretné konfigurálni az Azure Databricks használatával, a következő környezeti változókat, mezőket, .databrickscfg Terraform-mezőket vagy Config mezőket kell beállítania egy megfelelően támogatott Azure-beli virtuális gépen:

• Az Azure Databricks-gazdagép.
  • A fiókműveletek esetében adja meg a .https://accounts.azuredatabricks.net
  • Munkaterület-műveletek esetén adja meg például https://adb-1234567890123456.7.azuredatabricks.neta munkaterületenkénti URL-címet.
• Fiókműveletek esetén az Azure Databricks-fiók azonosítója.
• A felügyelt identitás bérlőazonosítója.
• A felügyelt identitás ügyfélazonosítója.
• Az Azure-erőforrás azonosítója.
• Állítsa be az Azure által használt felügyelt identitásokat igaz értékre.

Az Azure-beli felügyelt identitások Azure Databricks-hitelesítésének végrehajtásához integrálja a következőket a kódba a részt vevő eszköz vagy SDK alapján:

Környezet

Ha környezeti változókat szeretne használni egy adott Azure Databricks-hitelesítési típushoz egy eszközzel vagy SDK-val, tekintse meg az Azure Databricks-erőforrásokhoz való hozzáférés hitelesítését, illetve az eszköz vagy az SDK dokumentációját. Lásd még az ügyfél egyesített hitelesítésének környezeti változóit és mezőit, valamint az ügyfél egyesített hitelesítésének alapértelmezett módszereit.

Fiókszintű műveletek esetén állítsa be a következő környezeti változókat:

• DATABRICKS_HOSTelemet, állítsa be az Azure Databricks-fiók konzolJÁNAK URL-címét. https://accounts.azuredatabricks.net
• DATABRICKS_ACCOUNT_ID
• ARM_CLIENT_ID
• ARM_USE_MSIelemet, állítsa be a következőre true: .

Munkaterületszintű műveletek esetén állítsa be a következő környezeti változókat:

• DATABRICKS_HOSTbeállításnál állítsa be például az Azure Databricks munkaterületenkénti URL-címéthttps://adb-1234567890123456.7.azuredatabricks.net.
• ARM_CLIENT_ID
• ARM_USE_MSIelemet, állítsa be a következőre true: .

Munkaterületszintű műveletek esetén, ha a célidentitás még nem lett hozzáadva a munkaterülethez, a munkaterület URL-címe helyett DATABRICKS_HOST adja meg DATABRICKS_AZURE_RESOURCE_ID az Azure Databricks-munkaterület Azure-erőforrás-azonosítóját. Ebben az esetben a célidentitásnak legalább közreműködői vagy tulajdonosi engedélyekkel kell rendelkeznie az Azure Databricks-munkaterület Azure-erőforrásához.

Profil

Hozzon létre vagy azonosítsa az Azure Databricks konfigurációs profilját a fájl alábbi .databrickscfg mezőivel. Ha létrehozza a profilt, cserélje le a helyőrzőket a megfelelő értékekre. Ha a profilt egy eszközzel vagy SDK-val szeretné használni, tekintse meg az Azure Databricks-erőforrásokhoz való hozzáférés hitelesítését, illetve az eszköz vagy az SDK dokumentációját. Lásd még az ügyfél egyesített hitelesítésének környezeti változóit és mezőit, valamint az ügyfél egyesített hitelesítésének alapértelmezett módszereit.

Fiókszintű műveletek esetén állítsa be a következő értékeket a .databrickscfg fájlban. Ebben az esetben az Azure Databricks-fiók konzoljának URL-címe a következő https://accounts.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host            = <account-console-url>
account_id      = <account-id>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

Munkaterületszintű műveletek esetén állítsa be a következő értékeket a .databrickscfg fájlban. Ebben az esetben a gazdagép az Azure Databricks munkaterületenkénti URL-címe, például https://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host            = <workspace-url>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

Munkaterületszintű műveletek esetén, ha a célidentitás még nem lett hozzáadva a munkaterülethez, a munkaterület URL-címe helyett host adja meg azure_workspace_resource_id az Azure Databricks-munkaterület Azure-erőforrás-azonosítóját. Ebben az esetben a célidentitásnak legalább közreműködői vagy tulajdonosi engedélyekkel kell rendelkeznie az Azure Databricks-munkaterület Azure-erőforrásához.

CLI

A Databricks parancssori felületéhez tegye az alábbiak egyikét:

• Állítsa be a környezeti változókat a jelen cikk "Környezet" szakaszában megadottak szerint.
• Állítsa be a fájlban lévő .databrickscfg értékeket a jelen cikk "Profil" szakaszában megadottak szerint.

A környezeti változók mindig elsőbbséget élveznek a .databrickscfg fájlban lévő értékekkel szemben.

Lásd még az Azure által felügyelt identitások hitelesítését.

Kapcsolódás

Feljegyzés

A Databricks Connect a Pythonhoz készült Databricks SDK-ra támaszkodik a hitelesítéshez. A Pythonhoz készült Databricks SDK még nem implementálta az Azure által felügyelt identitások hitelesítését.

VS Code

Feljegyzés

A Visual Studio Code Databricks-bővítménye még nem támogatja az Azure által felügyelt identitások hitelesítését.

Terraform

Fiókszintű műveletek esetén az alapértelmezett hitelesítéshez:

provider "databricks" {
  alias = "accounts"
}

Közvetlen konfiguráció esetén (a retrieve helyőrzőket cserélje le a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, például a HashiCorp Vaultból. Lásd még : Tárolószolgáltató). Ebben az esetben az Azure Databricks-fiók konzoljának URL-címe a következő https://accounts.azuredatabricks.net:

provider "databricks" {
  alias           = "accounts"
  host            = <retrieve-account-console-url>
  account_id      = <retrieve-account-id>
  azure_client_id = <retrieve-azure-client-id>
  azure_use_msi   = true
}

Munkaterületszintű műveletek esetén az alapértelmezett hitelesítéshez:

provider "databricks" {
  alias = "workspace"
}

Közvetlen konfiguráció esetén (a retrieve helyőrzőket cserélje le a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, például a HashiCorp Vaultból. Lásd még : Tárolószolgáltató). Ebben az esetben a gazdagép az Azure Databricks munkaterületenkénti URL-címe, például https://adb-1234567890123456.7.azuredatabricks.net:

provider "databricks" {
  alias           = "workspace"
  host            = <retrieve-workspace-url>
  azure_client_id = <retrieve-azure-client-id>
  azure_use_msi   = true
}

Munkaterületszintű műveletek esetén, ha a célidentitás még nem lett hozzáadva a munkaterülethez, a munkaterület URL-címe helyett host adja meg azure_workspace_resource_id az Azure Databricks-munkaterület Azure-erőforrás-azonosítóját. Ebben az esetben a célidentitásnak legalább közreműködői vagy tulajdonosi engedélyekkel kell rendelkeznie az Azure Databricks-munkaterület Azure-erőforrásához.

A Databricks Terraform-szolgáltatóval való hitelesítésről további információt a Hitelesítés című témakörben talál.

Python

Feljegyzés

A Pythonhoz készült Databricks SDK még nem implementálta az Azure által felügyelt identitások hitelesítését.

Java

Feljegyzés

A Java Databricks SDK még nem implementálta az Azure által felügyelt identitások hitelesítését.

Go

Fiókszintű műveletek esetén az alapértelmezett hitelesítéshez:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
a := databricks.Must(databricks.NewAccountClient())
// ...

Közvetlen konfiguráció esetén (cserélje le a retrieve helyőrzőket a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, például az Azure KeyVaultból). Ebben az esetben az Azure Databricks-fiók konzoljának URL-címe a következő https://accounts.azuredatabricks.net:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
a := databricks.Must(databricks.NewAccountClient(&databricks.Config{
  Host:          retrieveAccountConsoleUrl(),
  AccountId:     retrieveAccountId(),
  AzureClientId: retrieveAzureClientId(),
  AzureUseMSI:   true,
}))
// ...

Munkaterületszintű műveletek esetén az alapértelmezett hitelesítéshez:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient())
// ...

Közvetlen konfiguráció esetén (cserélje le a retrieve helyőrzőket a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, például az Azure KeyVaultból). Ebben az esetben a gazdagép az Azure Databricks munkaterületenkénti URL-címe, például https://adb-1234567890123456.7.azuredatabricks.net:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient(&databricks.Config{
  Host:          retrieveWorkspaceUrl(),
  AzureClientId: retrieveAzureClientId(),
  AzureUseMSI:   true,
}))
// ...

Munkaterületszintű műveletek esetén, ha a célidentitás még nem lett hozzáadva a munkaterülethez, a munkaterület URL-címe helyett Host adja meg AzureResourceID az Azure Databricks-munkaterület Azure-erőforrás-azonosítóját. Ebben az esetben a célidentitásnak legalább közreműködői vagy tulajdonosi engedélyekkel kell rendelkeznie az Azure Databricks-munkaterület Azure-erőforrásához.

A Go-t használó Databricks-eszközökkel és SDK-kkal való hitelesítésről és a Databricks-ügyfél egységes hitelesítésének implementálásáról további információt a Databricks SDK for Go hitelesítése az Azure Databricks-fiókkal vagy -munkaterülettel című témakörben talál.