Mengautentikasi akses ke Azure Databricks menggunakan federasi token OAuth

Halaman ini menyediakan informasi gambaran umum tentang federasi token OAuth untuk mengakses akun Azure Databricks dan sumber daya ruang kerja menggunakan token dari penyedia identitas Anda.

Apa itu federasi token OAuth Databricks?

Federasi token OAuth Databricks memungkinkan Anda mengakses API Databricks dengan aman menggunakan token dari idP (IdP) tepercaya Anda. Federasi token OAuth menghilangkan kebutuhan untuk mengelola dan memutar rahasia Databricks seperti token akses pribadi dan rahasia klien Databricks OAuth.

Menggunakan federasi token Databricks OAuth, pengguna dan perwakilan layanan bertukar token JWT (JSON Web Tokens) dari penyedia identitas Anda untuk token Databricks OAuth, yang kemudian dapat digunakan untuk mengakses API Databricks.

Mengapa federasi token OAuth sangat direkomendasikan untuk beban kerja?

Federasi token OAuth adalah metode yang lebih sederhana dan lebih aman untuk mengautentikasi ke Databricks, terutama untuk beban kerja otomatis. Beban kerja Anda mengautentikasi ke Databricks sebagai perwakilan layanan di akun Databricks Anda, menggunakan token identitas beban kerja yang dikeluarkan oleh lingkungan otomatisasi. Databricks SDK dan Databricks CLI secara otomatis mengambil token identitas beban kerja ini dan menukarnya dengan token OAuth Databricks, yang menghilangkan kebutuhan mengelola dan memutar rahasia Databricks.

Jenis federasi token apa yang didukung?

Databricks mendukung dua jenis federasi token:

• Federasi token seluruh akun memungkinkan semua pengguna dan prinsipal layanan di akun Databricks Anda untuk mengakses API Databricks menggunakan token dari penyedia identitas Anda. Federasi token di seluruh akun memungkinkan Anda memusatkan manajemen kebijakan penerbitan token di penyedia identitas Anda, dan biasanya digunakan dalam kombinasi dengan SCIM, sehingga pengguna di penyedia identitas Anda disinkronkan ke akun Azure Databricks Anda. Lihat Federasi token di seluruh akun.
• Workload identity federation memungkinkan beban kerja otomatis Anda yang beroperasi di luar Azure Databricks untuk mengakses API Databricks tanpa memerlukan kredensial rahasia Databricks. Dengan federasi identitas beban kerja, aplikasi Anda (beban kerja) mengautentikasi dengan Databricks sebagai perwakilan layanan Databricks menggunakan token yang dikeluarkan oleh runtime beban kerja. Lihat Federasi identitas beban kerja.

Nota

Pengguna Microsoft Azure juga dapat menggunakan token MS Entra untuk menggunakan CLI dan API Azure Databricks dengan aman.

Bagaimana cara mengonfigurasi federasi token OAuth?

Untuk mengonfigurasi federasi token OAuth untuk akun atau beban kerja Databricks Anda:

1. Tentukan apakah Anda akan menggunakan federasi token di seluruh akun atau federasi identitas beban kerja.

2. Buat kebijakan federasi. Anda akan membutuhkan:

   • ID akun Anda (untuk federasi token di seluruh akun).
   • ID perwakilan layanan yang akan Anda gunakan (untuk federasi identitas beban kerja).
   • Informasi dari alat atau penyedia yang akan mengeluarkan token federasi.

3. Konfigurasikan alat atau penyedia identitas untuk mengautentikasi ke Databricks menggunakan token federasi. Misalnya konfigurasi untuk penyedia identitas CI/CD yang umum, lihat Mengaktifkan federasi identitas beban kerja di CI/CD.

Sumber daya tambahan

• Autentikasi terpadu Databricks
• Mengotorisasi akses pengguna ke Azure Databricks dengan OAuth
• Mengotorisasi akses perwakilan layanan ke Azure Databricks dengan OAuth