Autentikasi token akses pribadi Azure Databricks

Token akses pribadi (PATs) Azure Databricks digunakan untuk mengautentikasi akses ke sumber daya dan API di tingkat ruang kerja Azure Databricks. Banyak mekanisme penyimpanan untuk kredensial dan informasi terkait, seperti variabel lingkungan dan profil konfigurasi Azure Databricks , memberikan dukungan untuk token akses pribadi Azure Databricks. Meskipun pengguna dapat memiliki beberapa token akses pribadi di ruang kerja Azure Databricks, setiap token akses pribadi hanya berfungsi untuk satu ruang kerja Azure Databricks. Jumlah token akses pribadi untuk setiap pengguna dibatasi hingga 600 per ruang kerja.

Databricks secara otomatis mencabut token akses pribadi yang belum digunakan dalam 90 hari atau lebih.

Penting

Databricks merekomendasikan penggunaan OAuth alih-alih PATs untuk autentikasi dan otorisasi klien akun pengguna karena peningkatan keamanan yang dimiliki OAuth. Untuk mempelajari cara menggunakan OAuth untuk melakukan autentikasi klien dengan akun pengguna Databricks, lihat Mengotorisasi akses interaktif ke sumber daya Azure Databricks dengan akun pengguna menggunakan OAuth (untuk autentikasi akun pengguna).

Autentikasi dasar (bukan berbasis token) menggunakan nama pengguna dan kata sandi Azure Databricks mencapai akhir masa pakai pada 10 Juli 2024.

Untuk mengotomatiskan fungsionalitas tingkat akun Azure Databricks, Anda tidak dapat menggunakan token akses pribadi Azure Databricks. Sebagai gantinya, Anda harus menggunakan token ID Microsoft Entra dari admin akun Azure Databricks. Admin akun Azure Databricks dapat berupa pengguna atau prinsipal layanan. Untuk informasi selengkapnya, lihat:

• Mengelola pengguna

  • Mengelola perwakilan layanan
  • Kelola grup

  Lihat juga:

  • Autentikasi identitas terkelola Azure
  • Autentikasi perwakilan layanan MS Entra
  • Autentikasi Azure CLI

Token akses pribadi Azure Databricks untuk pengguna ruang kerja

Untuk membuat token akses pribadi Azure Databricks untuk pengguna ruang kerja Azure Databricks Anda, lakukan hal berikut:

1. Di ruang kerja Azure Databricks Anda, klik nama pengguna Azure Databricks Anda di bilah atas, lalu pilih pengaturan dari menu drop-down.

2. Klik Pengembang.

3. Di samping Token akses, klik Kelola.

4. Klik Hasilkan token baru.

5. Masukkan komentar yang membantu Anda mengidentifikasi token ini di masa mendatang.

6. Atur masa pakai token dalam hari.

   Jika Anda membiarkan kotak masa pakai (hari) kosong, masa pakai token diatur ke masa pakai maksimum untuk ruang kerja Anda. Secara default, masa pakai token maksimum untuk ruang kerja adalah 730 hari. Lihat Atur masa pakai maksimum token akses pribadi baru.

7. Klik Buat.

8. Salin token yang ditampilkan ke lokasi aman, lalu klik Selesai.

Catatan

Pastikan untuk menyimpan token yang disalin di lokasi yang aman. Jangan bagikan token yang Anda salin dengan orang lain. Jika Anda kehilangan token yang disalin, Anda tidak dapat meregenerasi token yang sama persis. Sebagai gantinya, Anda harus mengulangi prosedur ini untuk membuat token baru. Jika Anda kehilangan token yang disalin, atau Anda yakin bahwa token telah disusupi, Databricks sangat menyarankan agar Anda segera menghapus token tersebut dari ruang kerja Anda dengan mengklik ikon tempat sampah (Cabut) di samping token pada token akses halaman.

Jika Anda tidak dapat membuat atau menggunakan token di ruang kerja, ini mungkin karena administrator ruang kerja Anda telah menonaktifkan token atau belum memberi Anda izin untuk membuat atau menggunakan token. Lihat administrator ruang kerja Anda atau topik berikut:

• Mengaktifkan atau menonaktifkan autentikasi token akses pribadi untuk ruang kerja
• Izin token akses pribadi

Token akses pribadi Azure Databricks untuk perwakilan layanan

Perwakilan layanan dapat membuat token akses pribadi Databricks untuk dirinya sendiri, sebagai berikut:

Prosedur ini mengasumsikan bahwa Anda menggunakan autentikasi OAuth machine-to-machine (M2M) atau autentikasi prinsipal layanan Microsoft Entra ID untuk menyiapkan Databricks CLI guna mengautentikasi prinsipal layanan dalam rangka menghasilkan token akses pribadi Azure Databricks untuk dirinya sendiri. Lihat autentikasi mesin-ke-mesin (M2M) OAuth atau autentikasi perwakilan layanan MICROSOFT Entra ID.

1. Gunakan Databricks CLI untuk menjalankan perintah berikut, yang menghasilkan token akses lain untuk perwakilan layanan.

   Jalankan perintah berikut:

   databricks tokens create --comment <comment> --lifetime-seconds <lifetime-seconds> -p <profile-name>
   

   • --comment: Ganti <comment> dengan komentar yang bermakna tentang tujuan token akses. --comment Jika opsi tidak ditentukan, maka tidak ada komentar yang dihasilkan.
   • --lifetime-seconds: Ganti <lifetime-seconds> dengan jumlah detik yang berlaku untuk token akses. Misalnya, 1 hari adalah 86400 detik. Jika opsi --lifetime-seconds tidak ditentukan, token akses diatur ke masa pakai maksimum untuk ruang kerja Anda. Secara default, masa pakai token maksimum untuk ruang kerja adalah 730 hari.
   • --profile-name: Ganti <profile-name> dengan nama profil konfigurasi Azure Databricks yang berisi informasi autentikasi untuk perwakilan layanan dan ruang kerja target. -p Jika opsi tidak ditentukan, Databricks CLI akan mencoba menemukan dan menggunakan profil konfigurasi bernama DEFAULT.

2. Dalam respons, salin nilai token_value, yang merupakan token akses untuk perwakilan layanan.

   Pastikan untuk menyimpan token yang disalin di lokasi yang aman. Jangan bagikan token yang Anda salin dengan orang lain. Jika Anda kehilangan token yang disalin, Anda tidak dapat meregenerasi token yang sama persis. Sebagai gantinya, Anda harus mengulangi prosedur ini untuk membuat token baru.

   Jika Anda tidak dapat membuat atau menggunakan token di ruang kerja, ini mungkin karena administrator ruang kerja Anda telah menonaktifkan token atau belum memberi Anda izin untuk membuat atau menggunakan token. Lihat administrator ruang kerja Anda atau berikut ini:

   • Mengaktifkan atau menonaktifkan autentikasi token akses pribadi untuk ruang kerja
   • Izin token akses pribadi

Melakukan autentikasi token akses pribadi Azure Databricks

Untuk mengonfigurasi autentikasi token akses pribadi Azure Databricks, Anda harus mengatur variabel lingkungan terkait berikut, bidang .databrickscfg, bidang Terraform, atau bidang Config:

• Host Azure Databricks, ditentukan sebagai URL target Azure Databricks per ruang kerja, misalnya https://adb-1234567890123456.7.azuredatabricks.net.
• Token akses pribadi Azure Databricks untuk akun pengguna Azure Databricks.

Untuk melakukan autentikasi token akses pribadi Azure Databricks, integrasikan hal berikut dalam kode Anda, berdasarkan alat atau SDK yang berpartisipasi:

Lingkungan

Untuk menggunakan variabel lingkungan untuk jenis autentikasi Azure Databricks tertentu dengan alat atau SDK, lihat Mengotorisasi akses ke sumber daya Azure Databricks atau dokumentasi alat atau SDK. Lihat juga Variabel dan bidang lingkungan untuk autentikasi terpadu klien dan metode Default untuk autentikasi terpadu klien.

Atur variabel lingkungan berikut:

• DATABRICKS_HOST, atur ke URL Azure Databricks untuk setiap ruang kerja, misalnya https://adb-1234567890123456.7.azuredatabricks.net.
• DATABRICKS_TOKEN, atur ke string token.

Profil

Buat atau identifikasi profil konfigurasi Azure Databricks dengan bidang berikut dalam file Anda.databrickscfg. Jika Anda membuat profil, ganti placeholder dengan nilai sesuai. Untuk menggunakan profil dengan alat atau SDK, lihat Mengotorisasi akses ke sumber daya Azure Databricks atau dokumentasi alat atau SDK. Lihat juga Variabel dan bidang lingkungan untuk autentikasi terpadu klien dan metode Default untuk autentikasi terpadu klien.

Atur nilai berikut dalam file .databrickscfg Anda. Dalam hal ini, host adalah URL per ruang kerja Azure Databricks, misalnya https://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host  = <workspace-url>
token = <token>

Alih-alih mengatur nilai sebelumnya secara manual dalam file .databrickscfg Anda, Anda dapat menggunakan Databricks CLI untuk mengatur nilai-nilai ini sebagai gantinya, sebagai berikut:

Catatan

Prosedur berikut menggunakan Databricks CLI Jika Anda sudah memiliki DEFAULT profil konfigurasi, prosedur ini akan menimpa profil konfigurasi yang ada DEFAULT .

Untuk memeriksa apakah Anda sudah memiliki DEFAULT profil konfigurasi, dan untuk melihat pengaturan profil ini jika ada, gunakan Databricks CLI untuk menjalankan perintah databricks auth env --profile DEFAULT.

Untuk membuat profil konfigurasi dengan nama selain DEFAULT, ganti DEFAULT bagian --profile DEFAULT dalam perintah berikut databricks configure dengan nama yang berbeda untuk profil konfigurasi.

1. Gunakan Databricks CLI untuk membuat profil konfigurasi Azure Databricks bernama DEFAULT yang menggunakan autentikasi token akses pribadi Azure Databricks. Untuk melakukannya, jalankan perintah berikut:

   databricks configure --profile DEFAULT
   

2. Untuk Permintaan Host Databricks

3. Untuk perintah Token Akses Pribadi, masukkan token akses pribadi Azure Databricks untuk ruang kerja Anda.

CLI

Untuk Databricks CLI, jalankan databricks configure perintah . Pada perintah, masukkan pengaturan berikut:

• Host Azure Databricks, ditentukan sebagai URL target Azure Databricks per ruang kerja, misalnya https://adb-1234567890123456.7.azuredatabricks.net.
• Token akses pribadi Azure Databricks untuk akun pengguna Azure Databricks.

Untuk detail selengkapnya, lihat Autentikasi token akses pribadi Azure Databricks.

Sambungkan

Catatan

Autentikasi token akses pribadi Azure Databricks didukung pada versi Databricks Connect berikut:

• Untuk Python, Databricks Connect untuk Databricks Runtime 13.3 LTS ke atas.
• Untuk Scala, Databricks Connect untuk Databricks Runtime 13.3 LTS ke atas.

Untuk Databricks Connect, Anda dapat menggunakan Databricks CLI untuk mengatur nilai dalam file .databrickscfg Anda, untuk Azure Databricks operasi tingkat ruang kerja seperti yang ditentukan di bagian "Profil" artikel ini, sebagai berikut:

Catatan

Prosedur berikut menggunakan Databricks CLI Jika Anda sudah memiliki DEFAULT profil konfigurasi, prosedur ini akan menimpa profil konfigurasi yang ada DEFAULT .

Untuk memeriksa apakah Anda sudah memiliki DEFAULT profil konfigurasi, dan untuk melihat pengaturan profil ini jika ada, gunakan Databricks CLI untuk menjalankan perintah databricks auth env --profile DEFAULT.

Untuk membuat profil konfigurasi dengan nama selain DEFAULT, ganti DEFAULT bagian --profile DEFAULT dalam databricks configure perintah seperti yang ditunjukkan pada langkah berikut dengan nama yang berbeda untuk profil konfigurasi.

1. Gunakan Databricks CLI untuk membuat profil konfigurasi Azure Databricks bernama DEFAULT yang menggunakan autentikasi token akses pribadi Azure Databricks. Untuk melakukannya, jalankan perintah berikut:

   databricks configure --configure-cluster --profile DEFAULT
   

2. Untuk Permintaan Host Databricks

3. Untuk perintah Token Akses Pribadi, masukkan token akses pribadi Azure Databricks untuk ruang kerja Anda.

4. Dalam daftar kluster yang tersedia yang muncul, gunakan tombol panah atas dan panah bawah untuk memilih kluster Azure Databricks target di ruang kerja Anda, lalu tekan Enter. Anda juga dapat mengetik bagian mana pun dari nama tampilan kluster untuk memfilter daftar kluster yang tersedia.

Menggunakan REST API Azure Databricks untuk mengeluarkan token akses pribadi

Azure Databricks menyediakan titik /api/2.0/token/create akhir REST untuk menerbitkan PATs. Lihat Membuat token pengguna untuk detail API.

Anda harus memberikan nilai tertentu ke REST API. Dalam contoh berikut, atur nilai-nilai ini:

• Ganti <databricks-instance> dengan URL ruang kerja Databricks Anda. Contohnya,dbc-abcd1234-5678.cloud.databricks.com.
• Ganti <your-existing-access-token> dengan PAT (string) valid yang sudah ada yang memiliki izin untuk membuat token baru.

Berikan nilai untuk parameter ini:

• comment: Deskripsi untuk token baru.
• lifetime_seconds: Masa pakai token dalam hitung detik.

curl -X POST https://<databricks-instance>/api/2.0/token/create \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "comment": "New PAT using DB API",
  "lifetime_seconds": <lifetime-of-pat-in-seconds>
}'

Bendera -d menyediakan payload JSON untuk permintaan tersebut.

Jika berhasil, ini menghasilkan payload respons yang mirip dengan:

{
  "access_token": "<your-newly-issued-pat>",
  "token_type": "Bearer",
  "expires_in": <the-duration-of-the-new-pat>
}

Berikan token baru dari respons di header Otorisasi panggilan berikutnya ke API REST Databricks. Contohnya:

# This example uses a simple GET. For POST or other REST verbs, you may need to provide additional parameters.
curl -X GET "https://<databricks-instance>/api/2.0/<path-to-endpoint>" \
     -H "Authorization: Bearer <your-new-pat>"

import requests

headers = {
    'Authorization': 'Bearer <your-new-pat>'
}
# This example is for an HTTP GET operation.
response = requests.get('https://<databricks-instance>/api/2.0/<path-to-endpoint>', headers=headers)