Condividi tramite

Monitorare e gestire l'accesso ai token di accesso personali

  • Articolo

Per eseguire l'autenticazione all'API REST di Azure Databricks, un utente può creare un token di accesso personale e usarlo nella richiesta dell'API REST. Un utente può anche creare un'entità servizio e usarla con un token di accesso personale per chiamare le API REST di Azure Databricks negli strumenti e nell'automazione CI/CD. Questo articolo illustra in che modo gli amministratori dell'area di lavoro di Azure Databricks possono gestire questi token di accesso nell'area di lavoro.

Per creare un token di accesso OAuth (anziché un token di accesso personale) da usare con un'entità servizio in automazione, consultare Autenticare l'accesso ad Azure Databricks con un'entità servizio usando OAuth (OAuth M2M).

Uso di token di accesso personali (PAT) anziché OAuth per l'accesso ad Azure Databricks

Databricks consiglia di usare i token di accesso OAuth anziché i token di accesso personali per una maggiore sicurezza e praticità. Databricks continua a supportare i PAT, ma a causa del rischio di sicurezza maggiore suggerisce di controllare l'utilizzo corrente e di eseguire la migrazione degli utenti e delle entità servizio ai token di accesso OAuth.

Panoramica dei token di accesso personale

Nota

La documentazione seguente illustra l'uso di PAT per i clienti che non hanno ancora eseguito la migrazione del codice per l'uso di OAuth. Per valutare l'utilizzo delle reti PAT dell'organizzazione e pianificare una migrazione a token di accesso OAuth, consultare Valutare l'utilizzo dei token di accesso personale nell'account Databricks.

L'autenticazione basata sui token viene abilitata per impostazione predefinita per tutte le aree di lavoro di Azure Databricks create a partire dal 2018.

Quando in un'area di lavoro sono abilitati i token di accesso personale, gli utenti con l'autorizzazione Uso possono generare token di accesso personale per accedere alle API REST di Azure Databricks e possono generare questi token con qualsiasi data di scadenza, inclusa una durata indefinita. Per impostazione predefinita, nessun utente dell'area di lavoro non amministratore dispone dell'autorizzazione Uso, vale a dire che non possono creare o usare token di accesso personale.

Come amministratore dell'area di lavoro di Azure Databricks, è possibile disabilitare i token di accesso personale per un'area di lavoro, monitorare e revocare i token, controllare quali utenti non amministratori possono creare token e usare token e impostare una durata massima per i nuovi token.

La gestione dei token di accesso personali nell'area di lavoro richiede il piano Premium. Per i token di accesso personale, consultare Eseguire l'autenticazione con token di accesso personale di Azure Databricks.

Abilitare o disabilitare l'autenticazione basata su token per l'area di lavoro

L'autenticazione basata su token viene abilitata per impostazione predefinita per tutte le aree di lavoro di Azure Databricks create a partire dal 2018. È possibile modificare questa impostazione nella pagina delle impostazioni dell'area di lavoro.

Quando i token di accesso personali sono disabilitati per un'area di lavoro, non è possibile usare i token di accesso personale per l'autenticazione ad Azure Databricks e gli utenti dell'area di lavoro e le entità servizio non possono creare nuovi token. Quando si disabilita l'autenticazione del token di accesso personale per un'area di lavoro non viene eliminato alcun token. Se i token vengono riabilitati in un secondo momento, sono disponibili se non scaduti.

Se si vuole disabilitare l'accesso ai token per un subset di utenti, è possibile mantenere abilitata l'autenticazione del token di accesso personale per l'area di lavoro e impostare autorizzazioni con granularità fine per utenti e gruppi. Consultare Controllare chi può creare e usare i token.

Avviso

Partner Connect e le integrazioni partner richiedono l'abilitazione dei token di accesso personale in un'area di lavoro.

Per disabilitare la possibilità di creare e usare token di accesso personale per l'area di lavoro:

  1. Andare alla pagina Impostazioni.

  2. Fare clic sulla scheda Avanzate.

  3. Fare clic sull'interruttore Token di accesso personale.

  4. Cliccare Conferma.

    L'applicazione di questa modifica può richiedere alcuni secondi.

È anche possibile usare l’API di configurazione dell'area di lavoro per disabilitare i token di accesso personale per l'area di lavoro.

Gestire chi può creare e usare i token

Gli amministratori dell'area di lavoro possono impostare le autorizzazioni sui token di accesso personale per controllare quali utenti, entità servizio e gruppi possono creare e usare i token. Per informazioni dettagliate su come configurare le autorizzazioni del token di accesso personale, consultare Gestire le autorizzazioni del token di accesso personale.

Impostare la durata massima dei nuovi token

È possibile gestire la durata massima dei nuovi token nell'area di lavoro usando il Databricks CLI o l’API di configurazione dell'area di lavoro. Questo limite si applica solo ai nuovi token.

Nota

Databricks revoca automaticamente i token di accesso personali inutilizzati per 90 o più giorni. Databricks non revoca i token con durate superiori a 90 giorni, purché i token vengano usati attivamente.

Come procedura consigliata per la sicurezza, Databricks consiglia l'uso di token OAuth sui token PAT. Se si sta eseguendo la transizione dell'autenticazione da PTP a OAuth, Databricks consiglia di usare token di breve durata per una maggiore sicurezza.

Impostare maxTokenLifetimeDays sul valore della durata massima del token per i nuovi token in giorni, come numero intero. Se lo si imposta a zero, ai nuovi token è consentito non avere limiti di durata. Ad esempio:

Databricks CLI

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

Workspace Configuration API

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Per usare il provider Databricks Terraform per gestire la durata massima per i nuovi token in un'area di lavoro, consultare databricks_workspace_conf Risorsa.

Monitorare e revocare i token

Questa sezione descrive come usare il Databricks CLI per gestire i token esistenti nell'area di lavoro. È anche possibile usare l’API Token Management.

Ottenere i token per l'area di lavoro

Per ottenere i token dell'area di lavoro:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Eliminare (revocare) un token

Per eliminare un token, sostituire TOKEN_ID con l'ID del token da eliminare:

databricks token-management delete TOKEN_ID

Revoca automatica dei vecchi token di accesso

Databricks revoca automaticamente tutti i token di accesso personale per le aree di lavoro di Azure Databricks quando il token non viene utilizzato per 90 o più giorni. Come procedura consigliata, controllare regolarmente i PAT nell'account Azure Databricks e rimuovere quelli inutilizzati prima che vengano revocati automaticamente. Importare ed eseguire il notebook fornito nell'opzione Valutare l'utilizzo dei token di accesso personale nell'account per determinare il numero di PAT non scaduti nell'account Azure Databricks dell'organizzazione.

Databricks raccomanda di configurare l'account Azure Databricks della tua organizzazione per utilizzare token OAuth per l'autenticazione all'accesso invece dei PAT per una maggiore sicurezza e facilità d'uso.