次の方法で共有

OAuth トークン フェデレーションを使用して Azure Databricks へのアクセスを認証する

重要

Databricks OAuth トークンフェデレーションは パブリック プレビュー段階です

この記事では、ID プロバイダーのトークンを使用して Azure Databricks アカウントとワークスペース リソースにアクセスするための OAuth トークン フェデレーションに関する概要情報を提供します。

Databricks OAuth トークン フェデレーションとは

Databricks OAuth トークン フェデレーションを使用すると、ID プロバイダー (IdP) のトークンを使用して Databricks API に安全にアクセスできます。 OAuth トークン フェデレーションを使用すると、個人アクセス トークンや Databricks OAuth クライアント シークレットなどの Databricks シークレットを管理およびローテーションする必要がなくなります。

Databricks OAuth トークン フェデレーションを使用して、ユーザーとサービス プリンシパルは ID プロバイダーから DATAbricks OAuth トークンの JWT (JSON Web トークン) トークンを交換します。このトークンを使用して Databricks API にアクセスできます。

OAuth トークンフェデレーションは、Databricks に対する認証を行う、特に自動化されたワークロードに対して、よりシンプルで安全な方法です。 ワークロードは、自動化環境によって発行されたワークロード ID トークンを使用して、Databricks アカウントのサービス プリンシパルとして Databricks に対して認証されます。 Databricks SDK と Databricks CLI は、これらのワークロード ID トークンを自動的にフェッチし、Databricks OAuth トークンと交換します。これにより、Databricks シークレットを管理およびローテーションする必要がなくなります。

どのような種類のトークン フェデレーションがサポートされていますか?

Databricks では、次の 2 種類のトークン フェデレーションがサポートされています。

  • アカウント全体のトークン フェデレーション を使用すると、Databricks アカウント内のすべてのユーザーとサービス プリンシパルが、ID プロバイダーのトークンを使用して Databricks API にアクセスできます。 アカウント全体のトークン フェデレーションを使用すると、ID プロバイダーでのトークン発行ポリシーの管理を一元化できます。通常は SCIM と組み合わせて使用されるため、ID プロバイダーのユーザーは Azure Databricks アカウントに同期されます。 アカウント全体のトークンフェデレーションを参照してください。
  • ワークロード ID フェデレーション を使用すると、Azure Databricks の外部で実行されている自動化されたワークロードは、Databricks シークレットを必要とせずに Databricks API にアクセスできます。 ワークロード ID フェデレーションを使用すると、アプリケーション (ワークロード) は、ワークロード ランタイムによって発行されたトークンを使用して Databricks サービス プリンシパルとして Databricks に対して認証されます。 ワークロード ID のフェデレーションを参照してください。

手記

Microsoft Azure ユーザーは、MS Entra トークンを使用して、Azure Databricks CLI と API を安全に使用することもできます。

OAuth トークン フェデレーションを構成する方法

Databricks アカウントまたはワークロードの OAuth トークン フェデレーションを構成するには:

  1. アカウント全体のトークン フェデレーションとワークロード ID フェデレーションのどちらを使用するかを決定します。

  2. フェデレーション ポリシーを作成します。 以下が必要です。

    • アカウント ID (アカウント全体のトークン フェデレーション用)。
    • 使用する サービス プリンシパル の ID (ワークロード ID フェデレーション用)。
    • フェデレーション トークンを発行するツールまたはプロバイダーからの情報。

  3. フェデレーション トークンを使用して Databricks に対する認証を行うツールまたは ID プロバイダーを構成します。 一般的な CI/CD ID プロバイダーの構成例については、「 CI/CD でワークロード ID フェデレーションを有効にする」を参照してください。

その他のリソース

  • Databricks クライアント統合認証
  • OAuth を使用してユーザー アカウントを使用して Azure Databricks リソースへの対話型アクセスを承認する
  • OAuth を使用してサービス プリンシパルを使用して Azure Databricks リソースへの無人アクセスを承認する