Toegang tot Azure Databricks-resources verifiëren
Om toegang te krijgen tot een Azure Databricks-resource met de Databricks CLI of REST API's, moeten clients zich verifiëren met behulp van een Azure Databricks-account met de vereiste autorisatie voor toegang tot de resource. Als u een Databricks CLI-opdracht veilig wilt uitvoeren of een Databricks-API-aanvraag wilt aanroepen waarvoor geautoriseerde toegang tot een account of werkruimte is vereist, moet u een toegangstoken opgeven op basis van geldige Azure Databricks-accountreferenties. In dit artikel worden de verificatieopties beschreven voor het opgeven van deze referenties en het autoriseren van toegang tot een Azure Databricks-werkruimte of -account.
In de volgende tabel ziet u de verificatiemethoden die beschikbaar zijn voor uw Azure Databricks-account.
Verificatiemethoden voor Azure Databricks
Omdat Azure Databricks-hulpprogramma's en SDK's werken met een of meer ondersteunde Azure Databricks-verificatiemethoden, kunt u de beste verificatiemethode voor uw use-case selecteren. Zie de documentatie voor hulpprogramma's of SDK's in ontwikkelhulpprogramma's voor meer informatie.
| Wijze | Description | Gebruiksscenario |
|---|---|---|
| OAuth voor service-principals (OAuth M2M) | OAuth-tokens met korte levensduur voor service-principals. | Scenario's voor verificatie zonder toezicht, zoals volledig geautomatiseerde en CI/CD-werkstromen. |
| OAuth voor gebruikers (OAuth U2M) | OAuth-tokens met korte levensduur voor gebruikers. | Bij verificatiescenario's, waarbij u uw webbrowser gebruikt om in realtime te verifiëren met Azure Databricks, wanneer hierom wordt gevraagd. |
| Persoonlijke toegangstokens (PAT) | Kortlevende of langlevende tokens voor gebruikers of service-principals. | Scenario's waarin uw doelprogramma geen ondersteuning biedt voor OAuth. |
| Verificatie van door Azure beheerde identiteiten | Microsoft Entra ID-tokens voor door Azure beheerde identiteiten. | Gebruik alleen met Azure-resources die beheerde identiteiten ondersteunen, zoals virtuele Azure-machines. |
| Verificatie van Microsoft Entra-ID Service-principal | Microsoft Entra ID-tokens voor Microsoft Entra ID-service-principals. | Gebruik alleen met Azure-resources die Ondersteuning bieden voor Microsoft Entra ID-tokens en geen ondersteuning bieden voor beheerde identiteiten, zoals Azure DevOps. |
| Azure CLI-verificatie | Microsoft Entra ID-tokens voor gebruikers of Microsoft Entra ID-service-principals. | Gebruik dit om de toegang tot Azure-resources en Azure Databricks te verifiëren met behulp van de Azure CLI. |
| Microsoft Entra ID-gebruikersverificatie | Microsoft Entra ID-tokens voor gebruikers. | Gebruik alleen met Azure-resources die alleen Ondersteuning bieden voor Microsoft Entra ID-tokens. Databricks raadt u niet aan om Handmatig Microsoft Entra ID-tokens te maken voor Azure Databricks-gebruikers. |
Welke verificatiemethode moet ik kiezen?
U hebt twee opties voor het verifiëren van een Databricks CLI-opdracht of API-aanroep voor toegang tot uw Azure Databricks-resources:
- Gebruik een Azure Databricks-gebruikersaccount (met de naam 'user-to-machine'-verificatie of U2M). Kies dit alleen wanneer u een Azure Databricks CLI-opdracht uitvoert vanuit uw lokale clientomgeving of een Azure Databricks-API-aanvraag aanroept vanuit de code die u bezit en exclusief uitvoert.
- Gebruik een Azure Databricks-service-principal ('machine-to-machine'-verificatie of M2M). Kies deze optie als anderen uw code uitvoeren (met name in het geval van een app) of als u automatisering bouwt die Azure Databricks CLI-opdrachten of API-aanvragen aanroept.
- Als u Azure Databricks gebruikt, kunt u ook een MS Entra-service-principal gebruiken om toegang tot uw Azure Databricks-account of -werkruimte te verifiëren. Databricks raadt u echter aan een Databricks-service-principal te gebruiken met onze geleverde OAuth-verificatie via verificatie van MS Entra-service-principal. Dit komt doordat de verificatie van Databricks gebruikmaakt van OAuth-toegangstokens die robuuster zijn bij het verifiëren van alleen Azure Databricks.
Zie ms Entra-service-principalverificatie voor meer informatie over het gebruik van een MS Entra-service-principal voor toegang tot Databricks-resources.
U moet ook een toegangstoken hebben dat is gekoppeld aan het account dat u gebruikt om de Databricks-API aan te roepen. Dit token kan een OAuth 2.0-toegangstoken of een persoonlijk toegangstoken (PAT) zijn. Azure Databricks raadt u echter ten zeerste aan OAuth te gebruiken voor autorisatie, omdat OAuth-tokens automatisch worden vernieuwd. Hiervoor is geen direct beheer van het toegangstoken vereist, waardoor uw beveiliging tegen het kapen van tokens en ongewenste toegang wordt verbeterd. Omdat OAuth het toegangstoken voor u maakt en beheert, geeft u zelf een OAuth-tokeneindpunt-URL, een client-id en een geheim op dat u genereert vanuit uw Azure Databricks-werkruimte in plaats van zelf een tokentekenreeks op te geven. PAW's maken het risico bloot aan langlopende tokens die uitgaand verkeer bieden als ze niet regelmatig worden gecontroleerd en gedraaid of ingetrokken, of als de tokentekenreeksen en wachtwoorden niet veilig worden beheerd voor uw ontwikkelomgeving.
Hoe kan ik OAuth gebruiken om te verifiëren met Azure Databricks?
Azure Databricks biedt geïntegreerde clientverificatie om u te helpen bij verificatie met behulp van een standaardset omgevingsvariabelen die u kunt instellen op specifieke referentiewaarden. Dit helpt u gemakkelijker en veilig te werken, omdat deze omgevingsvariabelen specifiek zijn voor de omgeving waarop de Azure Databricks CLI-opdrachten worden uitgevoerd of Azure Databricks-API's worden aangeroepen.
- Voor verificatie van gebruikersaccounts (gebruikers-naar-machine) wordt Azure Databricks OAuth voor u verwerkt met geïntegreerde Verificatie van Databricks-clients, zolang de hulpprogramma's en SDK's de standaard implementeren. Als dat niet het probleem is, kunt u handmatig een OAuth-codeverificator genereren en een paar vragen om rechtstreeks te gebruiken in uw Azure Databricks CLI-opdrachten en API-aanvragen. Zie stap 1: Een OAuth-codeverificator en codevraagpaar genereren.
- Voor verificatie van de service-principal (machine-to-machine) vereist Azure Databricks OAuth dat de aanroeper clientreferenties opgeeft, samen met een eindpunt-URL van een token waar de aanvraag kan worden geautoriseerd. (Dit wordt voor u afgehandeld als u Azure Databricks-hulpprogramma's en SDK's gebruikt die geïntegreerde Databricks-clientverificatie ondersteunen.) De referenties bevatten een unieke client-id en clientgeheim. De client, de Databricks-service-principal die uw code uitvoert, moet worden toegewezen aan Databricks-werkruimten. Nadat u de service-principal aan de werkruimten hebt toegewezen, krijgt u een client-id en een clientgeheim dat u met specifieke omgevingsvariabelen instelt.
Deze omgevingsvariabelen zijn:
DATABRICKS_HOST: Deze omgevingsvariabele is ingesteld op de URL van uw Azure Databricks-accountconsole (http://accounts.cloud.databricks.com) of de URL van uw Azure Databricks-werkruimte (https://{workspace-id}.cloud.databricks.com). Kies een host-URL-type op basis van het type bewerkingen dat u in uw code gaat uitvoeren. Als u cli-opdrachten op accountniveau van Azure Databricks of REST API-aanvragen gebruikt, stelt u deze variabele in op de URL van uw Azure Databricks-account. Als u CLI-opdrachten op werkruimteniveau van Azure Databricks of REST API-aanvragen gebruikt, gebruikt u de URL van uw Azure Databricks-werkruimte.DATABRICKS_ACCOUNT_ID: Wordt gebruikt voor bewerkingen van Azure Databricks-accounts. Dit is uw Azure Databricks-account-id. Zie Uw account-id zoeken om het te verkrijgen.DATABRICKS_CLIENT_ID: (alleen M2M OAuth) De client-id die u hebt toegewezen bij het maken van uw service-principal.DATABRICKS_CLIENT_SECRET: (alleen M2M OAuth) Het clientgeheim dat u hebt gegenereerd bij het maken van uw service-principal.
U kunt deze rechtstreeks instellen of via het gebruik van een Databricks-configuratieprofiel (.databrickscfg) op uw clientcomputer.
Als u een OAuth-toegangstoken wilt gebruiken, moet uw Azure Databricks-werkruimte of accountbeheerder uw gebruikersaccount of service-principal de CAN USE bevoegdheid hebben verleend voor de account- en werkruimtefuncties die toegang hebben tot uw code.
Zie Unified-clientverificatie voor meer informatie over het configureren van OAuth-autorisatie voor uw client en voor het controleren van cloudproviderspecifieke autorisatieopties.
Verificatie voor services en hulpprogramma's van derden
Als u code schrijft die toegang heeft tot services, hulpprogramma's of SDK's van derden, moet u de verificatie- en autorisatiemechanismen van de derde partij gebruiken. Als u echter een hulpprogramma, SDK of service van derden toegang moet verlenen tot uw Azure Databricks-account of werkruimtebronnen, biedt Databricks de volgende ondersteuning:
Databricks Terraform Provider: dit hulpprogramma heeft namens u toegang tot Azure Databricks-API's vanuit Terraform met behulp van uw Azure Databricks-gebruikersaccount. Zie Een service-principal inrichten met behulp van Terraform voor meer informatie.
Git-providers zoals GitHub, GitLab en Bitbucket hebben toegang tot Azure Databricks-API's met behulp van een Databricks-service-principal. Zie Service-principals voor CI/CD voor meer informatie.
Jenkins heeft toegang tot Azure Databricks-API's met behulp van een Databricks-service-principal. Zie CI/CD met Jenkins in Azure Databricks voor meer informatie.
Azure DevOps heeft toegang tot Azure Databricks-API's met behulp van een MS Entra-service-principal en -id. Zie Verifiëren met Azure DevOps in Databricks voor meer informatie.
Azure Databricks-configuratieprofielen
Een Azure Databricks-configuratieprofiel bevat instellingen en andere informatie die Azure Databricks moet verifiëren. Azure Databricks-configuratieprofielen worden opgeslagen in lokale clientbestanden voor uw hulpprogramma's, SDK's, scripts en apps die u kunt gebruiken. Het standaardconfiguratieprofielbestand heeft de naam .databrickscfg. Zie Azure Databricks-configuratieprofielen voor meer informatie.