Azure Databricks-persoonlijk toegangstokens verificatie

Persoonlijke toegangstokens van Azure Databricks (PAT's) worden gebruikt voor het verifiëren van toegang tot resources en API's op het niveau van de Azure Databricks-werkruimte. Veel opslagmechanismen voor referenties en gerelateerde informatie, zoals omgevingsvariabelen en Azure Databricks-configuratieprofielen, bieden ondersteuning voor persoonlijke toegangstokens van Azure Databricks. Hoewel gebruikers meerdere persoonlijke toegangstokens kunnen hebben in een Azure Databricks-werkruimte, werkt elk persoonlijk toegangstoken slechts voor één Azure Databricks-werkruimte. Het aantal persoonlijke toegangstokens per gebruiker is beperkt tot 600 per werkruimte.

Belangrijk

Databricks raadt aan OAuth te gebruiken in plaats van PAT's voor clientverificatie en autorisatie van gebruikersaccounts vanwege de verbeterde beveiliging van OAuth. Voor meer informatie over het gebruik van OAuth voor het uitvoeren van clientverificatie met een Databricks-gebruikersaccount, raadpleegt u Verificatietoegang tot Azure Databricks met een gebruikersaccount met behulp van OAuth (OAuth U2M) (voor verificatie van gebruikersaccounts).

Basisverificatie (niet op tokens gebaseerd) met behulp van een Azure Databricks-gebruikersnaam en -wachtwoord heeft het einde van de levensduur bereikt op 10 juli 2024.

Als u de functionaliteit op accountniveau van Azure Databricks wilt automatiseren, kunt u geen persoonlijke toegangstokens van Azure Databricks gebruiken. In plaats daarvan moet u de Microsoft Entra ID-tokens van Azure Databricks-accountbeheerders gebruiken. Azure Databricks-accountbeheerders kunnen gebruikers of service-principals zijn. Zie voor meer informatie:

• Gebruikers beheren

  • Service-principals beheren
  • Groepen beheren

  Zie ook:

  • Verificatie van door Azure beheerde identiteiten
  • Verificatie van MS Entra-service-principal
  • Azure CLI-verificatie

Persoonlijke toegangstokens van Azure Databricks voor werkruimtegebruikers

Ga als volgt te werk om een persoonlijk Azure Databricks-toegangstoken te maken voor uw Azure Databricks-werkruimtegebruiker:

1. Klik in uw Azure Databricks-werkruimte op uw Azure Databricks-gebruikersnaam in de bovenste balk en selecteer vervolgens Instellingen in de vervolgkeuzelijst.
2. Klik op Ontwikkelaars.
3. Klik naast Access-tokens op Beheren.
4. Klik op Nieuw token genereren.
5. (Optioneel) Voer een opmerking in waarmee u dit token in de toekomst kunt identificeren en de standaardlevensduur van het token van 90 dagen kunt wijzigen. Als u een token zonder levensduur wilt maken (niet aanbevolen), laat u het vak Levensduur (dagen) leeg (leeg).
6. Klik op Genereren.
7. Kopieer het weergegeven token naar een veilige locatie en klik vervolgens op Gereed.

Notitie

Zorg ervoor dat u het gekopieerde token op een veilige locatie opslaat. Deel uw gekopieerde token niet met anderen. Als u het gekopieerde token kwijtraakt, kunt u dat token niet opnieuw genereren. In plaats daarvan moet u deze procedure herhalen om een nieuw token te maken. Als u het gekopieerde token kwijtraakt of als u denkt dat het token is aangetast, raadt Databricks u ten zeerste aan dat u dat token onmiddellijk uit uw werkruimte verwijdert door te klikken op het prullenbakpictogram (Intrekken) naast het token op de pagina Toegangstokens .

Als u geen tokens in uw werkruimte kunt maken of gebruiken, kan dit komen doordat uw werkruimtebeheerder tokens heeft uitgeschakeld of u geen toestemming hebt gegeven om tokens te maken of te gebruiken. Raadpleeg uw werkruimtebeheerder of de volgende onderwerpen:

• Verificatie van persoonlijke toegangstokens voor de werkruimte in- of uitschakelen
• Persoonlijke toegangstokenmachtigingen

Persoonlijke toegangstokens van Azure Databricks voor service-principals

Een service-principal kan als volgt persoonlijke toegangstokens voor Databricks maken:

Notitie

U kunt de gebruikersinterface van Azure Databricks niet gebruiken om persoonlijke toegangstokens voor Azure Databricks te genereren voor service-principals. Dit proces maakt gebruik van Databricks CLI versie 0.205 of hoger om een toegangstoken voor een service-principal te genereren. Als u de Databricks CLI nog niet hebt geïnstalleerd, raadpleegt u De Databricks CLI installeren of bijwerken.

In deze procedure wordt ervan uitgegaan dat u verificatie van OAuth-machine-naar-machine (M2M) of verificatie van de Microsoft Entra ID-service-principal gebruikt om de Databricks CLI in te stellen voor verificatie van de service-principal om persoonlijke toegangstokens voor Azure Databricks voor zichzelf te genereren. Zie Verificatie van OAuth-machine-naar-machine (M2M) of Verificatie van service-principal van Microsoft Entra ID.

1. Gebruik de Databricks CLI om de volgende opdracht uit te voeren, waarmee een ander toegangstoken voor de service-principal wordt gegenereerd.

   Voer de volgende opdracht uit:

   databricks tokens create --comment <comment> --lifetime-seconds <lifetime-seconds> -p <profile-name>
   

   • --comment: Vervang <comment> door een zinvolle opmerking over het doel van het toegangstoken. Als de --comment optie niet is opgegeven, wordt er geen opmerking gegenereerd.
   • --lifetime-seconds: Vervang <lifetime-seconds> door het aantal seconden waarvoor het toegangstoken geldig is. Bijvoorbeeld: 1 dag is 86400 seconden. Als de --lifetime-seconds optie niet is opgegeven, wordt het toegangstoken ingesteld op nooit verlopen (niet aanbevolen).
   • --profile-name: Vervang <profile-name> door de naam van een Azure Databricks-configuratieprofiel dat verificatiegegevens voor de service-principal en de doelwerkruimte bevat. Als de -p optie niet is opgegeven, probeert de Databricks CLI een configuratieprofiel met de naam DEFAULTte zoeken en te gebruiken.

2. Kopieer in het antwoord de waarde van token_value, het toegangstoken voor de service-principal.

   Zorg ervoor dat u het gekopieerde token op een veilige locatie opslaat. Deel uw gekopieerde token niet met anderen. Als u het gekopieerde token kwijtraakt, kunt u dat token niet opnieuw genereren. In plaats daarvan moet u deze procedure herhalen om een nieuw token te maken.

   Als u geen tokens in uw werkruimte kunt maken of gebruiken, kan dit komen doordat uw werkruimtebeheerder tokens heeft uitgeschakeld of u geen toestemming hebt gegeven om tokens te maken of te gebruiken. Neem de werkruimtebeheerder of het volgende weer:

   • Verificatie van persoonlijke toegangstokens voor de werkruimte in- of uitschakelen
   • Persoonlijke toegangstokenmachtigingen

Persoonlijke toegangstokenverificatie van Azure Databricks uitvoeren

Als u persoonlijke toegangstokenverificatie van Azure Databricks wilt configureren, moet u de volgende gekoppelde omgevingsvariabelen, .databrickscfg velden, Terraform-velden of Config -velden instellen:

• De Azure Databricks-host, die is opgegeven als de doel-URL van Azure Databricks per werkruimte, bijvoorbeeldhttps://adb-1234567890123456.7.azuredatabricks.net.
• Het persoonlijke toegangstoken van Azure Databricks voor het Azure Databricks-gebruikersaccount.

Als u persoonlijke toegangstokenverificatie van Azure Databricks wilt uitvoeren, integreert u het volgende in uw code op basis van het deelnemende hulpprogramma of de SDK:

Omgeving

Als u omgevingsvariabelen wilt gebruiken voor een specifiek verificatietype van Azure Databricks met een hulpprogramma of SDK, raadpleegt u Verificatietoegang tot Azure Databricks-resources of de documentatie van het hulpprogramma of de SDK. Zie ook Omgevingsvariabelen en -velden voor geïntegreerde clientverificatie en de standaardmethoden voor geïntegreerde clientverificatie.

Stel de volgende omgevingsvariabelen in:

• DATABRICKS_HOST, bijvoorbeeld ingesteld op de URLhttps://adb-1234567890123456.7.azuredatabricks.net van Azure Databricks per werkruimte.
• DATABRICKS_TOKEN

Profiel

Maak of identificeer een Azure Databricks-configuratieprofiel met de volgende velden in uw .databrickscfg bestand. Als u het profiel maakt, vervangt u de tijdelijke aanduidingen door de juiste waarden. Als u het profiel wilt gebruiken met een hulpprogramma of SDK, raadpleegt u Toegang tot Azure Databricks-resources of de documentatie van het hulpprogramma of de SDK verifiëren. Zie ook Omgevingsvariabelen en -velden voor geïntegreerde clientverificatie en de standaardmethoden voor geïntegreerde clientverificatie.

Stel de volgende waarden in het .databrickscfg bestand in. In dit geval is de host de URL van Azure Databricks per werkruimte, bijvoorbeeldhttps://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host  = <workspace-url>
token = <token>

In plaats van de voorgaande waarden handmatig in te stellen in uw .databrickscfg bestand, kunt u de Databricks CLI gebruiken om deze waarden in te stellen, als volgt:

Notitie

In de volgende procedure wordt de Databricks CLI gebruikt om een Azure Databricks-configuratieprofiel met de naam DEFAULTte maken. Als u al een DEFAULT configuratieprofiel hebt, overschrijft deze procedure uw bestaande DEFAULT configuratieprofiel.

Als u wilt controleren of u al een DEFAULT configuratieprofiel hebt en de instellingen van dit profiel wilt weergeven als dit bestaat, gebruikt u de Databricks CLI om de opdracht databricks auth env --profile DEFAULTuit te voeren.

Als u een configuratieprofiel wilt maken met een andere naam dan DEFAULT, vervangt u het DEFAULT deel van --profile DEFAULT de volgende databricks configure opdracht door een andere naam voor het configuratieprofiel.

1. Gebruik de Databricks CLI om een Azure Databricks-configuratieprofiel te maken met de naam DEFAULT die gebruikmaakt van persoonlijke toegangstokenverificatie van Azure Databricks. Voer hiervoor de volgende opdracht uit:

   databricks configure --profile DEFAULT
   

2. Voer voor de prompt databricks-host de URL van uw Azure Databricks per werkruimte in, bijvoorbeeldhttps://adb-1234567890123456.7.azuredatabricks.net.

3. Voer het persoonlijke toegangstoken van Azure Databricks in voor uw werkruimte voor de prompt persoonlijke toegangstoken.

CLI

Voer de databricks configure opdracht uit voor de Databricks CLI. Voer bij de prompts de volgende instellingen in:

• De Azure Databricks-host, die is opgegeven als de doel-URL van Azure Databricks per werkruimte, bijvoorbeeldhttps://adb-1234567890123456.7.azuredatabricks.net.
• Het persoonlijke toegangstoken van Azure Databricks voor het Azure Databricks-gebruikersaccount.

Zie De verificatie van persoonlijke toegangstokens van Azure Databricks voor meer informatie.

Verbinden

Notitie

Verificatie van persoonlijke toegangstokens van Azure Databricks wordt ondersteund in de volgende Databricks Connect-versies:

• Voor Python, Databricks Connect voor Databricks Runtime 13.3 LTS en hoger.
• Voor Scala, Databricks Connect voor Databricks Runtime 13.3 LTS en hoger.

Voor Databricks Connect kunt u de Databricks CLI gebruiken om de waarden in uw .databrickscfg bestand in te stellen voor bewerkingen op azure Databricks-werkruimteniveau, zoals opgegeven in de sectie Profiel van dit artikel, als volgt:

Notitie

In de volgende procedure wordt de Databricks CLI gebruikt om een Azure Databricks-configuratieprofiel met de naam DEFAULTte maken. Als u al een DEFAULT configuratieprofiel hebt, overschrijft deze procedure uw bestaande DEFAULT configuratieprofiel.

Als u wilt controleren of u al een DEFAULT configuratieprofiel hebt en de instellingen van dit profiel wilt weergeven als dit bestaat, gebruikt u de Databricks CLI om de opdracht databricks auth env --profile DEFAULTuit te voeren.

Als u een configuratieprofiel wilt maken met een andere naam dan DEFAULT, vervangt u het DEFAULT deel van --profile DEFAULT de databricks configure opdracht, zoals wordt weergegeven in de volgende stap door een andere naam voor het configuratieprofiel.

1. Gebruik de Databricks CLI om een Azure Databricks-configuratieprofiel te maken met de naam DEFAULT die gebruikmaakt van persoonlijke toegangstokenverificatie van Azure Databricks. Voer hiervoor de volgende opdracht uit:

   databricks configure --configure-cluster --profile DEFAULT
   

2. Voer voor de prompt databricks-host de URL van uw Azure Databricks per werkruimte in, bijvoorbeeldhttps://adb-1234567890123456.7.azuredatabricks.net.

3. Voer het persoonlijke toegangstoken van Azure Databricks in voor uw werkruimte voor de prompt persoonlijke toegangstoken.

4. Gebruik uw pijl-omhoog en pijl-omlaag in de lijst met beschikbare clusters die worden weergegeven om het Azure Databricks-doelcluster in uw werkruimte te selecteren en druk op Enter. U kunt ook een deel van de weergavenaam van het cluster typen om de lijst met beschikbare clusters te filteren.

Andere ondersteunde benaderingen voor Databricks Connect zijn onder andere:

• Stel de waarden in uw .databrickscfg bestand handmatig in voor bewerkingen op werkruimteniveau van Azure Databricks, zoals opgegeven in de sectie Profiel van dit artikel. Stel ook de cluster_id omgevingsvariabele in uw profiel in op uw URL per werkruimte, bijvoorbeeld https://adb-1234567890123456.7.azuredatabricks.net.
• Stel de omgevingsvariabelen in voor bewerkingen op werkruimteniveau van Azure Databricks, zoals opgegeven in de sectie 'Omgeving' van dit artikel. Stel de DATABRICKS_CLUSTER_ID omgevingsvariabele ook in op uw URL per werkruimte, bijvoorbeeld https://adb-1234567890123456.7.azuredatabricks.net.

Waarden in uw .databrickscfg bestand hebben altijd voorrang op omgevingsvariabelen.

Zie een van de volgende manieren om de Databricks Connect-client te initialiseren met deze omgevingsvariabelen of -waarden in uw .databrickscfg bestand:

• Zie Verbindingseigenschappen voor Python configureren voor Python voor Python.
• Zie Verbindingseigenschappen voor Scala configureren voor Scala.

VS Code

Ga als volgt te werk voor de Databricks-extensie voor Visual Studio Code:

1. Stel de waarden in uw .databrickscfg bestand in voor bewerkingen op werkruimteniveau van Azure Databricks, zoals opgegeven in de sectie Profiel van dit artikel.
2. Klik in het deelvenster Configuratie van de Databricks-extensie voor Visual Studio Code op Databricks configureren.
3. Voer in het opdrachtenpalet voor Databricks Host uw URL per werkruimte in, bijvoorbeeld https://adb-1234567890123456.7.azuredatabricks.neten druk Enterop .
4. Selecteer in het opdrachtpalet de naam van uw doelprofiel in de lijst voor uw URL.

Zie Verificatie-instelling voor de Databricks-extensie voor Visual Studio Code voor meer informatie.

Terraform

Voor standaardverificatie:

provider "databricks" {
  alias = "workspace"
}

Voor directe configuratie (vervang de retrieve tijdelijke aanduidingen door uw eigen implementatie om de waarden op te halen uit de console of een ander configuratiearchief, zoals HashiCorp Vault. Zie ook Kluisprovider). In dit geval is de host de URL van Azure Databricks per werkruimte, bijvoorbeeldhttps://adb-1234567890123456.7.azuredatabricks.net:

provider "databricks" {
  alias = "workspace"
  host  = <retrieve-workspace-url>
  token = <retrieve-token>
}

Zie Verificatie voor meer informatie over verificatie met de Databricks Terraform-provider.

Python

Voor standaardverificatie:

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()
# ...

Voor directe configuratie (vervang de retrieve tijdelijke aanduidingen door uw eigen implementatie om de waarden op te halen uit de console of een ander configuratiearchief, zoals Azure KeyVault). In dit geval is de host de URL van Azure Databricks per werkruimte, bijvoorbeeldhttps://adb-1234567890123456.7.azuredatabricks.net:

from databricks.sdk import WorkspaceClient

w = WorkspaceClient(
  host  = retrieve_workspace_url(),
  token = retrieve_token()
)
# ...

Zie voor meer informatie over verificatie met Databricks-hulpprogramma's en SDK's die gebruikmaken van Python en die geïntegreerde verificatie voor Databricks-clients implementeren:

• De Databricks Connect-client instellen voor Python
• Verificatie-instelling voor de Databricks-extensie voor Visual Studio Code
• De Databricks SDK voor Python verifiëren met uw Azure Databricks-account of -werkruimte

Java

Voor standaardverificatie:

import com.databricks.sdk.WorkspaceClient;
// ...
WorkspaceClient w = new WorkspaceClient();
// ...

Voor directe configuratie (vervang de retrieve tijdelijke aanduidingen door uw eigen implementatie om de waarden op te halen uit de console of een ander configuratiearchief, zoals Azure KeyVault). In dit geval is de host de URL van Azure Databricks per werkruimte, bijvoorbeeldhttps://adb-1234567890123456.7.azuredatabricks.net:

import com.databricks.sdk.WorkspaceClient;
import com.databricks.sdk.core.DatabricksConfig;
// ...
DatabricksConfig cfg = new DatabricksConfig()
  .setHost(retrieveWorkspaceUrl())
  .setToken(retrieveToken());
WorkspaceClient w = new WorkspaceClient(cfg);
// ...

Zie voor meer informatie over verificatie met Databricks-hulpprogramma's en SDK's die gebruikmaken van Java en die geïntegreerde verificatie van databricks-clients implementeren:

• De Databricks Connect-client voor Scala instellen (de Databricks Connect-client voor Scala maakt gebruik van de meegeleverde Databricks SDK voor Java voor verificatie)
• De Databricks SDK voor Java verifiëren met uw Azure Databricks-account of -werkruimte

Go

Voor standaardverificatie:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient())
// ...

Voor directe configuratie (vervang de retrieve tijdelijke aanduidingen door uw eigen implementatie om de waarden op te halen uit de console of een ander configuratiearchief, zoals Azure KeyVault). In dit geval is de host de URL van Azure Databricks per werkruimte, bijvoorbeeldhttps://adb-1234567890123456.7.azuredatabricks.net:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient(&databricks.Config{
  Host:  retrieveWorkspaceUrl(),
  Token: retrieveToken(),
}))
// ...

Zie De Databricks-SDK voor Go verifiëren met uw Azure Databricks-account of -werkruimte voor meer informatie over verificatie met Databricks-hulpprogramma's en SDK's die gebruikmaken van Go en die geïntegreerde Verificatie van de Databricks-client implementeren.