Mengautentikasi dengan perwakilan layanan Microsoft Entra

Autentikasi perwakilan layanan Microsoft Entra menggunakan kredensial perwakilan layanan Microsoft Entra untuk mengautentikasi. Untuk membuat dan mengelola service principal untuk Azure Databricks, lihat:

• Prinsipal Layanan
• Memprovisikan prinsipal layanan dengan menggunakan Terraform

Catatan

Databricks merekomendasikan penggunaan autentikasi mesin-ke-mesin (M2M) OAuth dalam sebagian besar skenario. OAuth M2M menggunakan token akses OAuth yang lebih kuat saat mengautentikasi hanya dengan Azure Databricks. Hanya gunakan autentikasi perwakilan layanan Microsoft Entra saat Anda harus mengautentikasi dengan Azure Databricks dan sumber daya Azure lainnya secara bersamaan.

Untuk informasi selengkapnya, lihat Menggunakan identitas terkelola Azure dengan Azure Databricks dan Mengautentikasi dengan Azure DevOps di Azure Databricks.

Untuk mengonfigurasi autentikasi perwakilan layanan Microsoft Entra dengan Azure Databricks, Anda harus mengatur variabel lingkungan yang terkait, bidang .databrickscfg, bidang Terraform, atau bidang Config yang terkait berikut ini:

• Host dari Azure Databricks.

  • Untuk operasi akun, tentukan https://accounts.azuredatabricks.net.
  • Untuk operasi ruang kerja, Databricks merekomendasikan untuk menentukan URL per ruang kerja, misalnya https://adb-1234567890123456.7.azuredatabricks.net dan menetapkan prinsipal layanan Microsoft Entra secara eksplisit ke ruang kerja. Atau, tentukan ID sumber daya Azure. Pendekatan ini memerlukan izin Kontributor atau Pemilik pada sumber daya Azure, atau peran kustom dengan izin Azure Databricks tertentu.

• Untuk operasi akun, ID akun Azure Databricks.

• ID sumber daya Azure.

• ID penyewa perwakilan layanan Microsoft Entra.

• ID klien perwakilan layanan Microsoft Entra.

• Rahasia klien dari perwakilan layanan Microsoft Entra.

Untuk melakukan autentikasi perwakilan layanan Microsoft Entra dengan Azure Databricks, integrasikan hal berikut dalam kode Anda, berdasarkan alat atau SDK yang berpartisipasi:

Variabel lingkungan

Untuk menggunakan variabel lingkungan untuk jenis autentikasi Azure Databricks tertentu dengan alat atau SDK, lihat Mengotorisasi akses ke sumber daya Azure Databricks atau dokumentasi alat atau SDK. Lihat juga Variabel dan bidang lingkungan untuk autentikasi terpadu dan prioritas metode Autentikasi.

Untuk operasi tingkat akun , atur variabel lingkungan berikut:

• DATABRICKS_HOST, atur ke nilai URL konsol akun Azure Databricks Anda, https://accounts.azuredatabricks.net.
• DATABRICKS_ACCOUNT_ID
• ARM_TENANT_ID
• ARM_CLIENT_ID
• ARM_CLIENT_SECRET

Untuk operasi tingkat ruang kerja, atur variabel lingkungan berikut:

• DATABRICKS_HOST, atur ke nilai URL per ruang kerja Azure Databricks Anda, misalnya https://adb-1234567890123456.7.azuredatabricks.net.
• ARM_TENANT_ID
• ARM_CLIENT_ID
• ARM_CLIENT_SECRET

Databricks merekomendasikan penggunaan DATABRICKS_HOST dan secara eksplisit menetapkan perwakilan layanan Microsoft Entra ke ruang kerja. Atau, gunakan DATABRICKS_AZURE_RESOURCE_ID dengan ID sumber daya Azure. Pendekatan ini memerlukan izin Kontributor atau Pemilik pada sumber daya Azure, atau peran kustom dengan izin Azure Databricks tertentu.

Profil konfigurasi

Buat atau identifikasi profil konfigurasi Azure Databricks dalam file Anda dengan bidang berikut .databrickscfg. Jika Anda membuat profil, ganti placeholder dengan nilai yang relevan. Untuk menggunakan profil dengan alat atau SDK, lihat Mengotorisasi akses ke sumber daya Azure Databricks atau dokumentasi alat atau SDK. Lihat juga Variabel dan bidang lingkungan untuk autentikasi terpadu dan prioritas metode Autentikasi.

Untuk operasi tingkat akun , tetapkan nilai berikut dalam file .databrickscfg Anda. Dalam hal ini, URL konsol akun Azure Databricks adalah https://accounts.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host                = <account-console-url>
account_id          = <account-id>
azure_tenant_id     = <azure-service-principal-tenant-id>
azure_client_id     = <azure-service-principal-application-id>
azure_client_secret = <azure-service-principal-client-secret>

Untuk operasi tingkat ruang kerja , atur nilai berikut dalam file .databrickscfg Anda. Pada kasus ini, host adalah URL per-ruang kerja Azure Databricks, misalnya https://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host                = <workspace-url>
azure_tenant_id     = <azure-service-principal-tenant-id>
azure_client_id     = <azure-service-principal-application-id>
azure_client_secret = <azure-service-principal-client-secret>

Databricks merekomendasikan penggunaan host dan secara eksplisit menetapkan perwakilan layanan Microsoft Entra ke ruang kerja. Atau, gunakan azure_workspace_resource_id dengan ID sumber daya Azure. Pendekatan ini memerlukan izin Kontributor atau Pemilik pada sumber daya Azure, atau peran kustom dengan izin Azure Databricks tertentu.

Databricks CLI (antarmuka baris perintah)

Untuk Databricks CLI, lakukan salah satu hal berikut:

• Atur variabel lingkungan seperti yang ditentukan pada tab Lingkungan .
• Atur nilai dalam file Anda .databrickscfg seperti yang ditentukan pada tab Profil .

Variabel lingkungan selalu diutamakan daripada nilai dalam file .databrickscfg Anda.

Lihat juga autentikasi prinsipal layanan Microsoft Entra ID.

Databricks Connect

Catatan

Autentikasi perwakilan layanan Microsoft Entra didukung pada versi Databricks Connect berikut:

• Untuk Python, Databricks Connect untuk Databricks Runtime 13.1 dan versi di atasnya.
• Untuk Scala, sambungkan ke Databricks Runtime 13.3 LTS dan di atasnya.

Untuk Databricks Connect, Anda dapat:

• Gunakan profil konfigurasi: Atur nilai tingkat ruang kerja dalam file Anda .databrickscfg seperti yang dijelaskan pada tab Profil . Atur cluster_id juga ke URL instans ruang kerja Anda.
• Gunakan variabel lingkungan: Atur nilai yang sama seperti yang ditunjukkan pada tab Lingkungan . Atur DATABRICKS_CLUSTER_ID juga ke URL instans ruang kerja Anda.

Nilai diutamakan .databrickscfg daripada variabel lingkungan.

Untuk menginisialisasi Databricks Connect dengan pengaturan ini, lihat Konfigurasi komputasi untuk Databricks Connect.

Ekstensi Visual Studio Code

Untuk ekstensi Databricks untuk Visual Studio Code, lakukan hal berikut:

1. Atur nilai dalam file Anda .databrickscfg untuk operasi tingkat ruang kerja Azure Databricks seperti yang ditentukan pada tab Profil .
2. Di panel Konfigurasi ekstensi Databricks untuk Visual Studio Code, klik Konfigurasikan Databricks.
3. Di Palet Perintah, untuk Host Databricks, masukkan URL per-ruang kerja Anda, misalnya , dan kemudian tekan .
4. Di Palet Perintah, pilih nama profil target Anda dari daftar untuk URL Anda.

Untuk detail selengkapnya, lihat Menyiapkan otorisasi untuk ekstensi Databricks untuk Visual Studio Code.

Terraform

Untuk operasi pada tingkat akun, untuk otentikasi bawaan:

provider "databricks" {
  alias = "accounts"
}

Untuk konfigurasi langsung, ganti placeholder dengan nilai dari konsol atau beberapa sumber konfigurasi lainnya, seperti HashiCorp Vault. Lihat juga Penyedia Vault. Dalam hal ini, URL konsol akun Azure Databricks adalah https://accounts.azuredatabricks.net:

provider "databricks" {
  alias               = "accounts"
  host                = <your-account-console-url>
  account_id          = <your-account-id>
  azure_tenant_id     = <your-azure-tenant-id>
  azure_client_id     = <your-azure-client-id>
  azure_client_secret = <your-azure-client-secret>
}

Untuk operasi tingkat ruang kerja, untuk autentikasi bawaan:

provider "databricks" {
  alias = "workspace"
}

Untuk konfigurasi langsung, ganti placeholder dengan nilai dari konsol atau beberapa sumber konfigurasi lainnya, seperti HashiCorp Vault. Lihat juga Penyedia Vault. Pada kasus ini, host adalah URL per-ruang kerja Azure Databricks, misalnya https://adb-1234567890123456.7.azuredatabricks.net:

provider "databricks" {
  alias               = "workspace"
  host                = <your-workspace-url>
  azure_tenant_id     = <your-azure-tenant-id>
  azure_client_id     = <your-azure-client-id>
  azure_client_secret = <your-azure-client-secret>
}

Databricks merekomendasikan penggunaan host dan secara eksplisit menetapkan perwakilan layanan Microsoft Entra ke ruang kerja. Atau, gunakan azure_workspace_resource_id dengan ID sumber daya Azure. Pendekatan ini memerlukan izin Kontributor atau Pemilik pada sumber daya Azure, atau peran kustom dengan izin Azure Databricks tertentu.

Untuk informasi selengkapnya tentang mengautentikasi dengan penyedia Databricks Terraform, lihat Autentikasi.

Databricks SDK untuk Python

Untuk operasi pada tingkat akun, untuk otentikasi bawaan:

from databricks.sdk import AccountClient

a = AccountClient()
# ...

Untuk konfigurasi langsung, ganti panggilan fungsi dengan kode yang mendapatkan nilai dari konsol atau beberapa penyimpanan konfigurasi lainnya, seperti Azure KeyVault. Dalam hal ini, URL konsol akun Azure Databricks adalah https://accounts.azuredatabricks.net:

from databricks.sdk import AccountClient

a = AccountClient(
  host                = get_account_console_url(),
  account_id          = get_account_id(),
  azure_tenant_id     = get_azure_tenant_id(),
  azure_client_id     = get_azure_client_id(),
  azure_client_secret = get_azure_client_secret()
)
# ...

Untuk operasi tingkat ruang kerja, untuk autentikasi bawaan:

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()
# ...

Untuk konfigurasi langsung, ganti panggilan fungsi dengan kode yang mendapatkan nilai dari konsol atau beberapa penyimpanan konfigurasi lainnya, seperti Azure KeyVault. Pada kasus ini, host adalah URL per-ruang kerja Azure Databricks, misalnya https://adb-1234567890123456.7.azuredatabricks.net:

from databricks.sdk import WorkspaceClient

w = WorkspaceClient(
  host                = get_workspace_url(),
  azure_tenant_id     = get_azure_tenant_id(),
  azure_client_id     = get_azure_client_id(),
  azure_client_secret = get_azure_client_secret()
)
# ...

Databricks merekomendasikan penggunaan host dan secara eksplisit menetapkan perwakilan layanan Microsoft Entra ke ruang kerja. Atau, gunakan azure_workspace_resource_id dengan ID sumber daya Azure. Pendekatan ini memerlukan izin Kontributor atau Pemilik pada sumber daya Azure, atau peran kustom dengan izin Azure Databricks tertentu.

Untuk informasi selengkapnya tentang mengautentikasi dengan alat databricks dan SDK yang menggunakan Python dan yang menerapkan autentikasi terpadu Databricks, lihat:

• Menyiapkan klien Databricks Connect untuk Python
• Menyiapkan otorisasi untuk ekstensi Databricks untuk Visual Studio Code
• Mengautentikasi SDK Databricks untuk Python dengan akun atau ruang kerja Azure Databricks Anda

Databricks SDK untuk Java

Untuk operasi pada tingkat akun, untuk otentikasi bawaan:

import com.databricks.sdk.AccountClient;
// ...
AccountClient a = new AccountClient();
// ...

Untuk konfigurasi langsung, ganti panggilan fungsi dengan kode yang mendapatkan nilai dari konsol atau beberapa penyimpanan konfigurasi lainnya, seperti Azure KeyVault. Dalam hal ini, URL konsol akun Azure Databricks adalah https://accounts.azuredatabricks.net:

import com.databricks.sdk.AccountClient;
import com.databricks.sdk.core.DatabricksConfig;
// ...
DatabricksConfig cfg = new DatabricksConfig()
  .setHost(getAccountConsoleUrl())
  .setAccountId(getAccountId())
  .setAzureTenantId(getAzureTenantId())
  .setAzureClientId(getAzureClientId())
  .setAzureClientSecret(getAzureClientSecret())
AccountClient a = new AccountClient(cfg);
// ...

Untuk operasi tingkat ruang kerja, untuk autentikasi bawaan:

import com.databricks.sdk.WorkspaceClient;
// ...
WorkspaceClient w = new WorkspaceClient();
// ...

Untuk konfigurasi langsung, ganti panggilan fungsi dengan kode yang mendapatkan nilai dari konsol atau beberapa penyimpanan konfigurasi lainnya, seperti Azure KeyVault. Pada kasus ini, host adalah URL per-ruang kerja Azure Databricks, misalnya https://adb-1234567890123456.7.azuredatabricks.net:

import com.databricks.sdk.WorkspaceClient;
import com.databricks.sdk.core.DatabricksConfig;
// ...
DatabricksConfig cfg = new DatabricksConfig()
  .setHost(getWorkspaceUrl())
  .setAzureTenantId(getAzureTenantId())
  .setAzureClientId(getAzureClientId())
  .setAzureClientSecret(getAzureClientSecret())
WorkspaceClient w = new WorkspaceClient(cfg);
// ...

Databricks merekomendasikan penggunaan setHost dan secara eksplisit menetapkan perwakilan layanan Microsoft Entra ke ruang kerja. Atau, gunakan setAzureWorkspaceResourceId dengan ID sumber daya Azure. Pendekatan ini memerlukan izin Kontributor atau Pemilik pada sumber daya Azure, atau peran kustom dengan izin Azure Databricks tertentu.

Untuk informasi selengkapnya tentang mengautentikasi dengan alat databricks dan SDK yang menggunakan Java dan yang menerapkan autentikasi terpadu Databricks, lihat:

• Siapkan klien Databricks Connect untuk Scala (klien Databricks Connect untuk Scala menggunakan Databricks SDK untuk Java yang disertakan untuk autentikasi)
• Mengautentikasi Databricks SDK for Java dengan akun atau ruang kerja Azure Databricks Anda

Databricks SDK for Go

Untuk operasi pada tingkat akun, untuk otentikasi bawaan:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
a := databricks.Must(databricks.NewAccountClient())
// ...

Untuk konfigurasi langsung, ganti panggilan fungsi dengan kode yang mendapatkan nilai dari konsol atau beberapa penyimpanan konfigurasi lainnya, seperti Azure KeyVault. Dalam hal ini, URL konsol akun Azure Databricks adalah https://accounts.azuredatabricks.net:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
a := databricks.Must(databricks.NewAccountClient(&databricks.Config{
  Host:              getAccountConsoleUrl(),
  AccountId:         getAccountId(),
  AzureTenantId:     getAzureTenantId(),
  AzureClientId:     getAzureClientId(),
  AzureClientSecret: getAzureClientSecret(),
}))
// ...

Untuk operasi tingkat ruang kerja, untuk autentikasi bawaan:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient())
// ...

Untuk konfigurasi langsung, ganti panggilan fungsi dengan kode yang mendapatkan nilai dari konsol atau beberapa penyimpanan konfigurasi lainnya, seperti Azure KeyVault. Pada kasus ini, host adalah URL per-ruang kerja Azure Databricks, misalnya https://adb-1234567890123456.7.azuredatabricks.net:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient(&databricks.Config{
  Host:              getWorkspaceUrl(),
  AzureTenantId:     getAzureTenantId(),
  AzureClientId:     getAzureClientId(),
  AzureClientSecret: getAzureClientSecret(),
}))
// ...

Databricks merekomendasikan penggunaan Host dan secara eksplisit menetapkan perwakilan layanan Microsoft Entra ke ruang kerja. Atau, gunakan AzureWorkspaceResourceId dengan ID sumber daya Azure. Pendekatan ini memerlukan izin Kontributor atau Pemilik pada sumber daya Azure, atau peran kustom dengan izin Azure Databricks tertentu.

Untuk informasi selengkapnya tentang mengautentikasi dengan alat databricks dan SDK yang menggunakan Go dan yang mengimplementasikan autentikasi terpadu klien Databricks, lihat Mengautentikasi Databricks SDK for Go dengan akun atau ruang kerja Azure Databricks Anda.

Sumber daya tambahan

• Autentikasi terpadu Databricks
• Mengotorisasi akses perwakilan layanan ke Azure Databricks dengan OAuth
• Prinsipal Layanan
• Memprovisikan prinsipal layanan dengan menggunakan Terraform