Uwierzytelnianie za pomocą osobistych tokenów dostępu usługi Azure Databricks (starsza wersja)

Tokeny osobistego dostępu (PAT) Azure Databricks umożliwiają uwierzytelnianie do zasobów i interfejsów API na poziomie obszaru roboczego. Można je przechowywać w zmiennych środowiskowych lub profilach konfiguracji usługi Azure Databricks. Każdy token dostępu jest ważny tylko dla jednego obszaru roboczego, a użytkownik może utworzyć maksymalnie 600 paTs na obszar roboczy. Usługa Azure Databricks automatycznie cofa tokeny PAT, które nie były używane przez 90 dni.

Ważne

10 lipca 2024 r. uwierzytelnianie nazwy użytkownika i hasła (bez tokenów) zakończyło się. Usługa Databricks zdecydowanie zaleca używanie protokołu OAuth zamiast paT na potrzeby uwierzytelniania konta użytkownika, ponieważ protokół OAuth zapewnia silniejsze zabezpieczenia. Aby dowiedzieć się, jak uwierzytelniać się przy użyciu konta użytkownika usługi Databricks przy użyciu protokołu OAuth, zobacz Autoryzowanie dostępu użytkowników do usługi Azure Databricks przy użyciu protokołu OAuth.

Nie można używać osobistych tokenów dostępu do automatyzowania funkcji na poziomie konta usługi Azure Databricks. Zamiast tego użyj tokenów Microsoft Entra ID dla administratorów kont usługi Azure Databricks. Administratorzy kont usługi Azure Databricks mogą być użytkownikami lub jednostkami usługi. Aby uzyskać więcej informacji, zobacz:

• Zarządzanie użytkownikami
• Podmioty usługi
• Grupy

Tworzenie osobistych tokenów dostępu dla użytkowników obszaru roboczego

Aby utworzyć osobisty token dostępu dla użytkownika obszaru roboczego usługi Azure Databricks, wykonaj następujące czynności:

1. W obszarze roboczym usługi Azure Databricks kliknij swoją nazwę użytkownika na górnym pasku i wybierz pozycję Ustawienia.

2. Kliknij Deweloper.

3. Obok pozycji Tokeny dostępu kliknij pozycję Zarządzaj.

4. Kliknij pozycję Generuj nowy token.

5. Wprowadź komentarz, który pomaga zidentyfikować ten token w przyszłości.

6. Ustaw okres istnienia tokenu w dniach. Zobacz Ustawianie maksymalnego okresu istnienia nowych osobistych tokenów dostępu.

7. Kliknij pozycję Generuj.

8. Skopiuj wyświetlony token do bezpiecznej lokalizacji, a następnie kliknij przycisk Gotowe. Bezpiecznie zapisz token i nie udostępniaj go. Jeśli go utracisz, musisz utworzyć nowy token.

Jeśli nie możesz tworzyć ani używać tokenów, administrator obszaru roboczego mógł wyłączyć tokeny lub nie przyznał Ci uprawnień. Skontaktuj się z administratorem obszaru roboczego lub zapoznaj się z poniższymi informacjami:

• Włączanie lub wyłączanie uwierzytelniania osobistego tokenu dostępu dla obszaru roboczego
• Uprawnienia osobistego tokenu dostępu

Tworzenie osobistych tokenów dostępu dla podmiotów usługi

Podmiot usługi może tworzyć osobiste tokeny dostępu dla siebie.

1. Uruchom następujące polecenie, aby wygenerować token dostępu:

   databricks tokens create --lifetime-seconds <lifetime-seconds> -p <profile-name>
   

   Zastąp następujące wartości:

   • <lifetime-seconds>: okres istnienia tokenu w sekundach, taki jak 86400 dla 1 dnia. Wartość domyślna to maksimum przestrzeni roboczej (zazwyczaj 730 dni).
   • <profile-name>: Profil konfiguracji z informacjami o uwierzytelnianiu. Wartość domyślna to DEFAULT.

2. Skopiuj wartość token_value z odpowiedzi, która jest tokenem dostępu dla jednostki usługi. Bezpiecznie zapisz token i nie udostępniaj go. Jeśli go utracisz, musisz utworzyć nowy token.

Jeśli nie możesz tworzyć ani używać tokenów, administrator obszaru roboczego mógł wyłączyć tokeny lub nie przyznał Ci uprawnień. Skontaktuj się z administratorem obszaru roboczego lub zapoznaj się z poniższymi informacjami:

• Włączanie lub wyłączanie uwierzytelniania osobistego tokenu dostępu dla obszaru roboczego
• Uprawnienia osobistego tokenu dostępu

Przeprowadzanie uwierzytelniania osobistego tokenu dostępu

Aby skonfigurować uwierzytelnianie za pomocą tokenu osobistego dostępu w Azure Databricks, ustaw następujące skojarzone zmienne środowiskowe, pola .databrickscfg, pola Terraform lub pola Config:

• Host usługi Azure Databricks, określony jako docelowy adres URL dla obszaru roboczego Azure Databricks, na przykład https://adb-1234567890123456.7.azuredatabricks.net.
• Osobisty token dostępu usługi Azure Databricks dla konta użytkownika usługi Azure Databricks.

Aby przeprowadzić uwierzytelnianie osobistego tokenu dostępu usługi Azure Databricks, zintegruj następujące elementy w kodzie na podstawie uczestniczącego narzędzia lub zestawu SDK:

Środowisko

Aby użyć zmiennych środowiskowych dla określonego typu uwierzytelniania usługi Azure Databricks za pomocą narzędzia lub zestawu SDK, zobacz Autoryzowanie dostępu do zasobów usługi Azure Databricks lub dokumentacji narzędzia lub zestawu SDK. Zobacz również Zmienne środowiskowe i pola dotyczące ujednoliconego uwierzytelniania i priorytetu metody uwierzytelniania.

Ustaw następujące zmienne środowiskowe:

• , ustaw adres URL dla obszaru roboczego usługi Azure Databricks , na przykład .
• DATABRICKS_TOKEN, ustaw wartość na ciąg tokenu.

Profil

Utwórz lub zidentyfikuj profil konfiguracji Azure Databricks zawierający następujące pola w pliku . Jeśli utworzysz profil, zastąp symbole zastępcze odpowiednimi wartościami. Aby użyć profilu z narzędziem lub zestawem SDK, zobacz Autoryzowanie dostępu do zasobów usługi Azure Databricks lub dokumentacji narzędzia lub zestawu SDK. Zobacz również Zmienne środowiskowe i pola dotyczące ujednoliconego uwierzytelniania i priorytetu metody uwierzytelniania.

Ustaw następujące wartości w .databrickscfg pliku. W takim przypadku hostem jest adres URL usługi Azure Databricks dla obszaru roboczego, na przykład https://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host  = <workspace-url>
token = <token>

Zamiast ręcznie ustawiać wartości, możesz użyć interfejsu wiersza polecenia usługi Databricks, aby ustawić następujące wartości:

Uwaga

Poniższa procedura używa interfejsu wiersza polecenia usługi Databricks do utworzenia profilu konfiguracji usługi Azure Databricks o nazwie DEFAULT. Jeśli masz DEFAULT już profil konfiguracji, ta procedura zastępuje istniejący DEFAULT profil konfiguracji.

Aby sprawdzić, czy masz już profil konfiguracyjny DEFAULT i wyświetlić ustawienia tego profilu, jeśli istnieje, rozpocznij Databricks CLI, aby uruchomić polecenie databricks auth env --profile DEFAULT.

Aby utworzyć profil konfiguracji o nazwie innej niż DEFAULT, zastąp DEFAULT część w --profile DEFAULT poniższym databricks configure poleceniu inną nazwą profilu konfiguracji.

1. Użyj interfejsu wiersza polecenia usługi Databricks , aby utworzyć profil konfiguracji usługi Azure Databricks o nazwie DEFAULT korzystający z uwierzytelniania osobistego tokenu dostępu usługi Azure Databricks. Aby to zrobić, uruchom następujące polecenie:

   databricks configure --profile DEFAULT
   

2. W przypadku monitu Databricks Host wprowadź adres URL usługi Azure Databricks dla każdego obszaru roboczego, na przykład https://adb-1234567890123456.7.azuredatabricks.net.

3. W przypadku monitu Osobisty token dostępu wprowadź osobisty token dostępu usługi Azure Databricks dla obszaru roboczego.

CLI

Dla interfejsu wiersza polecenia Databricks uruchom polecenie databricks configure. Po wyświetleniu monitów wprowadź następujące ustawienia:

• Host usługi Azure Databricks, określony jako docelowy adres URL dla obszaru roboczego Azure Databricks, na przykład https://adb-1234567890123456.7.azuredatabricks.net.
• Osobisty token dostępu usługi Azure Databricks dla konta użytkownika usługi Azure Databricks.

Aby uzyskać więcej informacji, zobacz Osobiste uwierzytelnianie tokenu dostępu (przestarzałe).

Połącz

Uwaga

Uwierzytelnianie osobistego tokenu dostępu usługi Azure Databricks jest obsługiwane w następujących wersjach programu Databricks Connect:

• W przypadku języka Python usługa Databricks Connect dla środowiska Databricks Runtime 13.3 LTS lub nowszego.
• W przypadku języka Scala usługa Databricks Connect dla środowiska Databricks Runtime 13.3 LTS lub nowszego.

W przypadku usługi Databricks Connect użyj interfejsu wiersza polecenia usługi Databricks, aby ustawić wartości w .databrickscfg pliku dla operacji na poziomie obszaru roboczego usługi Azure Databricks, jak określono w sekcji Profil.

Poniższa procedura tworzy profil konfiguracji usługi Azure Databricks o nazwie DEFAULT, który zastępuje dowolny istniejący DEFAULT profil. Aby sprawdzić, czy istnieje DEFAULT profil, uruchom databricks auth env --profile DEFAULT. Jeśli istnieje, użyj innej nazwy profilu.

1. Uruchom następujące polecenie, aby utworzyć profil konfiguracji usługi Azure Databricks o nazwie DEFAULT , który używa osobistego uwierzytelniania tokenu dostępu.

   databricks configure --configure-cluster --profile DEFAULT
   

2. W przypadku monitu Databricks Host wprowadź adres URL usługi Azure Databricks dla każdego obszaru roboczego, na przykład https://adb-1234567890123456.7.azuredatabricks.net.

3. W wierszu polecenia Osobisty token dostępu wprowadź osobisty token dostępu dla obszaru roboczego.

4. Na liście dostępnych klastrów wybierz docelowy klaster usługi Azure Databricks w obszarze roboczym. Możesz wpisać dowolną część nazwy wyświetlanej klastra, aby przefiltrować listę dostępnych klastrów.

Używanie interfejsu API REST usługi Azure Databricks do wystawiania osobistych tokenów dostępu

Usługa Azure Databricks udostępnia punkt końcowy REST /api/2.0/token/create do wystawiania tokenów dostępu osobistego. Aby uzyskać szczegółowe informacje o interfejsie API, zobacz Tworzenie tokenu użytkownika .

W poniższym przykładzie ustaw następujące wartości:

• <databricks-instance>: Adres URL obszaru roboczego usługi Databricks. Na przykład dbc-abcd1234-5678.cloud.databricks.com.
• <your-existing-access-token>: istniejący prawidłowy token dostępu (ciąg), który ma uprawnienia do tworzenia nowych tokenów.
• <lifetime-seconds>: okres istnienia tokenu w sekundach.

curl -X POST https://<databricks-instance>/api/2.0/token/create \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "lifetime_seconds": <lifetime-seconds>
}'

Jeśli operacja powiedzie się, spowoduje to wyświetlenie ładunku odpowiedzi podobnego do następującego:

{
  "access_token": "<your-newly-issued-pat>",
  "token_type": "Bearer",
  "expires_in": <the-duration-of-the-new-pat>
}

Umieść nowy token z odpowiedzi w nagłówku „Autoryzacja” przy kolejnych wywołaniach do interfejsów API REST usługi Databricks. Na przykład:

# This example uses a simple GET. For POST or other REST verbs, you may need to provide additional parameters.
curl -X GET "https://<databricks-instance>/api/2.0/<path-to-endpoint>" \
     -H "Authorization: Bearer <your-new-pat>"

import requests

headers = {
    'Authorization': 'Bearer <your-new-pat>'
}
# This example is for an HTTP GET operation.
response = requests.get('https://<databricks-instance>/api/2.0/<path-to-endpoint>', headers=headers)