Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Halaman ini menjelaskan cara mengotorisasi akses ke sumber daya Azure Databricks menggunakan Azure Databricks CLI dan REST API. Ini menjelaskan metode otorisasi yang berbeda, kapan harus menggunakannya, dan cara mengonfigurasi autentikasi untuk kasus penggunaan Anda.
Untuk mengakses sumber daya Azure Databricks dengan CLI atau REST API, Anda harus mengautentikasi menggunakan akun Azure Databricks dengan izin yang sesuai. Administrator Azure Databricks atau pengguna dengan hak istimewa administrator mengonfigurasi akun.
Jenis akun dan API
Ada dua jenis akun yang dapat Anda gunakan untuk autentikasi:
- Akun pengguna: Untuk perintah CLI interaktif dan panggilan API.
- Service principal: Untuk perintah CLI otomatis dan panggilan API tanpa campur tangan manusia.
Anda dapat menggunakan perwakilan layanan MS Entra untuk mengotorisasi akses ke akun atau ruang kerja Azure Databricks Anda. Lihat Mengautentikasi dengan perwakilan layanan Microsoft Entra. Namun, Databricks merekomendasikan penggunaan perwakilan layanan Databricks dengan OAuth, karena token aksesnya lebih kuat untuk otorisasi khusus Databricks.
Azure Databricks memiliki dua jenis API yang memerlukan pendekatan autentikasi yang berbeda:
- API tingkat akun: Tersedia untuk pemilik dan admin akun, yang dihosting di URL konsol akun. Lihat API tingkat akun.
- API tingkat ruang kerja: Tersedia untuk pengguna dan admin ruang kerja, dihosting di URL ruang kerja. Lihat API tingkat ruang kerja.
Metode otorisasi
Pilih metode otorisasi yang paling sesuai dengan kasus penggunaan Anda. Alat dan SDK Azure Databricks mendukung beberapa metode otorisasi, sehingga Anda dapat memilih yang paling sesuai untuk skenario Anda.
| Method | Description | Skenario penggunaan |
|---|---|---|
| Federasi token OAuth Databricks (Disarankan) | Token OAuth dari penyedia identitas Anda untuk pengguna atau perwakilan layanan. | Memungkinkan Anda mengautentikasi ke Azure Databricks tanpa mengelola rahasia Databricks. |
| Databricks OAuth untuk perwakilan layanan (OAuth M2M) | Token OAuth berumur pendek untuk prinsipal layanan. | Skenario autentikasi tanpa pengawas, seperti alur kerja yang sepenuhnya otomatis dan CI/CD. |
| OAuth untuk pengguna (OAuth U2M) | Token OAuth berumur pendek untuk pengguna. | Skenario autentikasi dilayani, di mana Anda menggunakan browser web untuk mengautentikasi dengan Azure Databricks saat diminta secara real time. |
| otorisasi identitas layanan terkelola Azure | Token identitas ID Microsoft Entra untuk identitas terkelola Azure. | Gunakan hanya dengan sumber daya Azure yang mendukung identitas terkelola, seperti komputer virtual Azure. |
| otorisasi perwakilan layanan Microsoft Entra ID | Token ID Microsoft Entra untuk perwakilan layanan ID Microsoft Entra. | Gunakan hanya dengan sumber daya Azure yang mendukung token ID Microsoft Entra dan tidak mendukung identitas terkelola, seperti Azure DevOps. |
| otorisasi Azure CLI | Token ID Microsoft Entra untuk pengguna atau perwakilan layanan MICROSOFT Entra ID. | Gunakan untuk mengotorisasi akses ke sumber daya Azure dan Azure Databricks menggunakan Azure CLI. |
| otorisasi pengguna ID Microsoft Entra | Token ID Microsoft Entra untuk pengguna. | Gunakan hanya dengan sumber daya Azure yang hanya mendukung token ID Microsoft Entra. Databricks tidak menyarankan Anda membuat token ID Microsoft Entra untuk pengguna Azure Databricks secara manual. |
Autentikasi terpadu
Autentikasi terpadu Azure Databricks menyediakan cara yang konsisten untuk mengonfigurasi autentikasi di semua alat dan SDK yang didukung. Pendekatan ini menggunakan variabel lingkungan standar dan profil konfigurasi untuk menyimpan nilai kredensial, sehingga Anda dapat menjalankan perintah CLI atau memanggil API tanpa berulang kali mengonfigurasi autentikasi.
Autentikasi terpadu menangani jenis akun secara berbeda:
- Otorisasi pengguna: OAuth secara otomatis membuat dan mengelola token akses untuk alat yang mendukung autentikasi terpadu. Lihat Mengotorisasi akses pengguna ke Azure Databricks dengan OAuth.
- Otorisasi perwakilan layanan: OAuth memerlukan kredensial klien (ID klien dan rahasia) yang disediakan Azure Databricks setelah Anda menetapkan perwakilan layanan ke ruang kerja. Lihat Mengotorisasi akses perwakilan layanan ke Azure Databricks dengan OAuth.
Untuk menggunakan token akses OAuth, ruang kerja atau administrator akun Azure Databricks Anda harus memberikan izin CAN USE kepada akun pengguna atau perwakilan layanan Anda untuk fitur akun dan ruang kerja yang akan diakses oleh kode Anda.
Variabel lingkungan
Untuk mengonfigurasi autentikasi terpadu, atur variabel lingkungan berikut. Beberapa variabel berlaku untuk otorisasi pengguna dan perwakilan layanan, sementara yang lain hanya diperlukan untuk perwakilan layanan.
| Variabel lingkungan | Description |
|---|---|
DATABRICKS_HOST |
URL konsol akun Azure Databricks (https://accounts.azuredatabricks.net) atau ruang kerja Azure Databricks Anda (https://{workspace-url-prefix}.azuredatabricks.net). Pilih berdasarkan jenis operasi yang dilakukan kode Anda. |
DATABRICKS_ACCOUNT_ID |
Digunakan untuk operasi akun Azure Databricks. Ini adalah ID akun Azure Databricks Anda. Untuk mendapatkannya, lihat Cari ID akun Anda. |
DATABRICKS_CLIENT_ID |
(Hanya OAuth perwakilan layanan) ID klien yang diberikan kepada Anda saat membuat perwakilan layanan Anda. |
DATABRICKS_CLIENT_SECRET |
(Hanya OAuth principal layanan) Kata sandi klien yang Anda buat saat membuat principal layanan Anda. |
Daripada mengatur variabel lingkungan secara manual, pertimbangkan untuk menentukannya dalam profil konfigurasi Databricks (.databrickscfg) di komputer klien Anda.
Profil konfigurasi
Profil konfigurasi Azure Databricks berisi pengaturan dan kredensial yang diperlukan alat dan SDK Azure Databricks untuk mengotorisasi akses. Profil ini disimpan dalam file klien lokal (biasanya bernama .databrickscfg) untuk alat, SDK, skrip, dan aplikasi Anda untuk digunakan.
Untuk informasi selengkapnya, lihat Profil konfigurasi Azure Databricks.
Integrasi pihak ketiga
Saat mengintegrasikan dengan layanan dan alat pihak ketiga, Anda harus menggunakan mekanisme autentikasi yang disediakan oleh layanan tersebut. Namun, Azure Databricks menyediakan dukungan untuk integrasi umum:
- Penyedia Databricks Terraform: Akses API Azure Databricks dari Terraform menggunakan akun pengguna Azure Databricks Anda. Lihat Memprovisikan perwakilan layanan dengan menggunakan Terraform.
- Penyedia Git: GitHub, GitLab, dan Bitbucket dapat mengakses API Azure Databricks menggunakan prinsipal layanan Databricks. Lihat Prinsip layanan untuk CI/CD.
- Jenkins: Akses API Azure Databricks menggunakan service principal Databricks. Lihat CI/CD dengan Jenkins di Azure Databricks.
- Azure DevOps: Akses API Azure Databricks menggunakan prinsip layanan berbasis MS Entra ID. Lihat Mengautentikasi dengan Azure DevOps di Azure Databricks.