Autenticazione per il Databricks CLI

Nota

Queste informazioni si applicano all'interfaccia della riga di comando di Databricks versione 0.205 e successive. L'interfaccia della riga di comando di Databricks è disponibile in anteprima pubblica.

L'uso del CLI di Databricks è soggetto alla Licenza Databricks e all'Informativa sulla Privacy di Databricks, incluse eventuali disposizioni sui Dati di Utilizzo.

Questo articolo illustra come configurare l'autenticazione tra l'interfaccia della riga di comando di Azure Databricks e gli account e le aree di lavoro di Azure Databricks. Si presuppone che sia già stata installata l'interfaccia della riga di comando di Azure Databricks. Vedere Installare o aggiornare l'interfaccia della riga di comando di Databricks.

Prima di eseguire i comandi dell'interfaccia della riga di comando di Azure Databricks, è necessario configurare l'autenticazione per gli account o le aree di lavoro che si prevede di usare. L'installazione richiesta dipende dal fatto che si vogliano eseguire comandi a livello di area di lavoro , comandi a livello di account o entrambi.

Per visualizzare i gruppi di comandi dell'interfaccia della riga di comando disponibili, eseguire databricks -h. Per l'elenco delle operazioni API REST corrispondenti, vedere API REST di Databricks.

Per informazioni sull'autenticazione di Microsoft Entra in Databricks con Azure DevOps in particolare, vedere Eseguire l'autenticazione con Azure DevOps in Azure Databricks.

Autenticazione OAuth da computer a computer (M2M)

L'autenticazione da computer a computer (M2M) con OAuth consente a servizi, script o applicazioni di accedere alle risorse di Databricks senza l'accesso interattivo dell'utente. Anziché basarsi su token di accesso personali (PAT) o credenziali utente, l'autenticazione M2M usa un'entità servizio e un flusso di credenziali client OAuth per richiedere e gestire i token.

Per configurare e usare l'autenticazione OAuth M2M:

1. Completare i passaggi di configurazione dell'autenticazione M2M OAuth. Vedere Autorizzare l'accesso dell'entità servizio ad Azure Databricks con OAuth.

2. Creare un profilo di configurazione di Azure Databricks con i campi seguenti nel .databrickscfg file.

   Per i comandi a livello di account

   [<some-unique-configuration-profile-name>]
   host          = <account-console-url>
   account_id    = <account-id>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

   Per i comandi a livello di area di lavoro

   [<some-unique-configuration-profile-name>]
   host          = <workspace-url>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

Per usare il profilo, passarlo con il flag o --profile nei comandi dell'interfaccia della -p riga di comando. Ad esempio:

databricks account groups list -p <profile-name>

Premere TAB dopo --profile o -p per visualizzare un elenco di profili disponibili.

Autenticazione utente-macchina (U2M) OAuth

Con l'autenticazione da utente a computer (U2M) OAuth, si accede in modo interattivo e l'interfaccia della riga di comando gestisce i token di breve durata per conto dell'utente. I token OAuth scadono entro un'ora, riducendo il rischio se un token viene accidentalmente esposto. Vedere Autorizzare l'accesso utente ad Azure Databricks con OAuth.

Per accedere:

Per i comandi a livello di account

databricks auth login --host <account-console-url> --account-id <account-id>

Per i comandi a livello di area di lavoro

databricks auth login --host <workspace-url>

L'interfaccia della riga di comando illustra un flusso di accesso basato su browser. Al termine, l'interfaccia della riga di comando salva le credenziali come profilo di configurazione. È possibile accettare il nome del profilo suggerito o immettere il proprio.

Per usare il profilo, passarlo con il flag o --profile nei comandi dell'interfaccia della -p riga di comando. Ad esempio:

databricks clusters list -p <profile-name>

Premere TAB dopo --profile o -p per visualizzare un elenco di profili disponibili.

Autenticazione delle identità gestite di Azure

L'autenticazione delle identità gestite di Azure usa le identità gestite per le risorse di Azure (in precedenza identità del servizio gestite) per l'autenticazione. Vedere Che cosa sono le identità gestite per le risorse di Azure? Vedere anche Eseguire l'autenticazione con le identità gestite di Azure.

Per creare un'identità gestita assegnata all'utente di Azure, fare come segue:

1. Creare o identificare una VM di Azure e installare il Databricks CLI in essa, quindi assegnare l'identità gestita alla VM di Azure e gli account di Azure Databricks di destinazione, le aree di lavoro o entrambi. Vedere Usare le identità gestite di Azure con Azure Databricks.

2. Nella macchina virtuale di Azure creare o identificare un profilo di configurazione di Azure Databricks con i campi seguenti nel .databrickscfg file. Se si crea il profilo, sostituire i segnaposto con i valori appropriati.

   Per i comandi a livello di account , impostare i seguenti valori nel file .databrickscfg.

   [<some-unique-configuration-profile-name>]
   host            = <account-console-url>
   account_id      = <account-id>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Per i comandi a livello di area di lavoro , impostare i seguenti valori nel file :

   [<some-unique-configuration-profile-name>]
   host            = <workspace-url>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Databricks consiglia di usare host e assegnare in modo esplicito l'identità all'area di lavoro. In alternativa, usare azure_workspace_resource_id con l'ID risorsa di Azure. Questo approccio richiede autorizzazioni di collaboratore o proprietario per la risorsa di Azure o un ruolo personalizzato con autorizzazioni specifiche di Azure Databricks.

3. Nella macchina virtuale di Azure, utilizzare l'interfaccia della riga di comando di Databricks con l'opzione --profile o -p seguita dal nome del profilo di configurazione per impostare il profilo che Databricks deve utilizzare, ad esempio databricks account groups list -p <configuration-profile-name> o databricks clusters list -p <configuration-profile-name>.

   Suggerimento

   È possibile premere Tab dopo --profile o -p per visualizzare un elenco di profili di configurazione disponibili esistenti tra cui scegliere, anziché immettere manualmente il nome del profilo di configurazione.

Autenticazione del principale del servizio di Microsoft Entra ID

L'autenticazione tramite un'entità servizio di Microsoft Entra ID utilizza le credenziali di un'entità servizio di Microsoft Entra ID per l'autenticazione. Per creare e gestire entità servizio per Azure Databricks, vedere Entità servizio. Si veda anche Eseguire l'autenticazione con le entità del servizio Microsoft Entra.

Per configurare e usare l'autenticazione con l'entità servizio di Microsoft Entra ID, è necessario avere installato localmente Authenticate with the Azure CLI. Devi anche eseguire le seguenti operazioni:

1. Creare o identificare un profilo di configurazione di Azure Databricks con i campi seguenti nel .databrickscfg file. Se si crea il profilo, sostituire i segnaposto con i valori appropriati.

   Per i comandi a livello di account , impostare i seguenti valori nel file .databrickscfg.

   [<some-unique-configuration-profile-name>]
   host                = <account-console-url>
   account_id          = <account-id>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Per i comandi a livello di area di lavoro , impostare i seguenti valori nel file :

   [<some-unique-configuration-profile-name>]
   host                = <workspace-url>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Databricks consiglia di usare host e di assegnare esplicitamente il principale del servizio Microsoft Entra ID all'area di lavoro. In alternativa, usare azure_workspace_resource_id con l'ID risorsa di Azure. Questo approccio richiede autorizzazioni di collaboratore o proprietario per la risorsa di Azure o un ruolo personalizzato con autorizzazioni specifiche di Azure Databricks.

2. Usare l'opzione --profile o -p seguita dal nome del profilo di configurazione, come parte della chiamata al comando dell'interfaccia della riga di comando di Databricks, ad esempio databricks account groups list -p <configuration-profile-name> o databricks clusters list -p <configuration-profile-name>.

   Suggerimento

   È possibile premere Tab dopo --profile o -p per visualizzare un elenco di profili di configurazione disponibili esistenti tra cui scegliere, anziché immettere manualmente il nome del profilo di configurazione.

Autenticazione dell’Azure CLI

L'autenticazione di Azure CLI usa Azure CLI per autenticare l'entità autenticata. Vedere anche Eseguire l'autenticazione con l'interfaccia della riga di comando di Azure.

Per configurare l'autenticazione di Azure CLI, è necessario eseguire le seguenti operazioni:

1. Assicurarsi che l'interfaccia della riga di comando di Azure sia installata a livello locale.

2. Usare l'interfaccia della riga di comando di Azure per accedere ad Azure Databricks eseguendo il comando az login. Consulta Accedi con Azure CLI.

3. Creare o identificare un profilo di configurazione di Azure Databricks con i campi seguenti nel .databrickscfg file. Se si crea il profilo, sostituire i segnaposto con i valori appropriati.

   Per i comandi a livello di account , impostare i seguenti valori nel file .databrickscfg.

   [<some-unique-configuration-profile-name>]
   host       = <account-console-url>
   account_id = <account-id>
   

   Per i comandi a livello di area di lavoro , impostare i seguenti valori nel file :

   [<some-unique-configuration-profile-name>]
   host = <workspace-url>
   

4. Usare l'opzione --profile o -p seguita dal nome del profilo di configurazione, come parte della chiamata al comando dell'interfaccia della riga di comando di Databricks, ad esempio databricks account groups list -p <configuration-profile-name> o databricks clusters list -p <configuration-profile-name>.

   Suggerimento

   È possibile premere Tab dopo --profile o -p per visualizzare un elenco di profili di configurazione disponibili esistenti tra cui scegliere, anziché immettere manualmente il nome del profilo di configurazione.

Ordine di valutazione dell'autenticazione

Ogni volta che l'interfaccia della riga di comando di Databricks esegue l'autenticazione a un'area di lavoro o a un account di Azure Databricks, cerca le impostazioni necessarie nell'ordine seguente:

1. File di impostazioni bundle, per i comandi eseguiti da una directory di lavoro bundle. I file di impostazioni bundle non possono contenere direttamente i valori delle credenziali.
2. Variabili di ambiente, come elencato in questo articolo e in Variabili di ambiente e campi per l'autenticazione unificata.
3. Profili di configurazione nel .databrickscfg file.

Non appena l'interfaccia della riga di comando trova l'impostazione richiesta, interrompe la ricerca in altre posizioni.

Examples:

• Se viene impostata una DATABRICKS_TOKEN variabile di ambiente, l'interfaccia della riga di comando la usa, anche se esistono più token in .databrickscfg.
• Se non DATABRICKS_TOKEN è impostato alcun elemento e un ambiente bundle fa riferimento a un nome di profilo, dev ad esempio → profilo DEV, l'interfaccia della riga di comando usa le credenziali di tale profilo in .databrickscfg.
• Se non DATABRICKS_TOKEN è impostato alcun elemento e un ambiente bundle specifica un host valore, l'interfaccia della riga di comando cerca un profilo in .databrickscfg con una corrispondenza host e ne tokenusa .

Autenticazione del token di accesso personale (deprecata)

Importante

L'autenticazione di base con un nome utente e una password di Azure Databricks ha raggiunto la fine della vita il 10 luglio 2024. Per eseguire l'autenticazione con l'account Azure Databricks, usare invece uno dei metodi di autenticazione seguenti:

• Autenticazione da computer a computer OAuth (M2M)
• Autenticazione da utente a macchina (U2M) OAuth
• Autenticazione delle identità gestite di Azure
• Autenticazione del principale del servizio di Microsoft Entra ID
• Autenticazione CLI di Azure

L'autenticazione del token di accesso personale di Azure Databricks usa un token di accesso personale di Azure Databricks per autenticare l'entità di azure Databricks di destinazione, ad esempio un account utente di Azure Databricks. Vedere Eseguire l'autenticazione con i token di accesso personali di Azure Databricks (legacy).

Per creare un token di accesso personale, seguire la procedura descritta in Creare token di accesso personali per gli utenti dell'area di lavoro.