Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На этой странице объясняется, как авторизовать доступ к ресурсам Azure Databricks с помощью Azure Databricks CLI и REST API. В нем описываются различные методы авторизации, когда они используются и как настроить проверку подлинности для вашего варианта использования.
Чтобы получить доступ к ресурсам Azure Databricks с помощью ИНТЕРФЕЙСА командной строки или REST API, необходимо пройти проверку подлинности с помощью учетной записи Azure Databricks с соответствующими разрешениями. Администратор Azure Databricks или пользователь с правами администратора настраивает учетную запись.
Типы учетных записей и API
Существует два типа учетных записей, которые можно использовать для проверки подлинности:
- Учетная запись пользователя: Для интерактивных команд CLI и вызовов API.
- Управляющий объект: Для автоматических команд CLI и вызовов API без взаимодействия с человеком.
Чтобы авторизовать доступ к учетной записи или рабочей области Azure Databricks, можно использовать учетную запись службы MS Entra. Узнайте, как выполнять аутентификацию с использованием субъектов-служб Microsoft Entra. Однако Databricks рекомендует использовать принципал службы Databricks с OAuth, так как его маркеры доступа более надежны для авторизации, предназначенной только для Databricks.
Azure Databricks имеет два типа API, требующих различных подходов к проверке подлинности:
- API уровня учетной записи: Доступны владельцам учетных записей и администраторам, размещены по URL-адресу консоли учетной записи. См. API уровня учетной записи.
- API уровня рабочей области: Доступно пользователям рабочей области и администраторам, размещается по URL-адресам рабочей области. См. API уровня рабочей области.
Методы авторизации
Выберите метод авторизации, который лучше всего подходит для вашего варианта использования. Средства Azure Databricks и пакеты SDK поддерживают несколько методов авторизации, чтобы выбрать наиболее подходящий для вашего сценария.
| Method | Description | Сценарий использования |
|---|---|---|
| Федерация токенов OAuth Databricks (рекомендуется) | Маркеры OAuth от поставщика удостоверений для пользователей или субъектов-служб. | Позволяет выполнять проверку подлинности в Azure Databricks без управления секретами Databricks. |
| Databricks OAuth для субъектов-служб (OAuth M2M) | Кратковременные маркеры OAuth для субъектов-служб. | Сценарии автоматической проверки подлинности, такие как полностью автоматизированные и рабочие процессы CI/CD. |
| OAuth для пользователей (OAuth U2M) | Кратковременные токены OAuth для пользователей. | Сценарий интерактивной аутентификации, в котором вы используете веб-браузер для аутентификации с Azure Databricks в реальном времени при запросе. |
| авторизация управляемой идентификации в службе Azure | Токены Microsoft Entra ID для управляемых удостоверений Azure. | Используйте только ресурсы Azure, поддерживающие управляемые удостоверения, такие как виртуальные машины Azure. |
| авторизация учётной записи службы Microsoft Entra ID | Маркеры идентификатора Microsoft Entra для субъектов-служб Microsoft Entra ID. | Используйте только с ресурсами Azure, которые поддерживают идентификационные токены Microsoft Entra и не поддерживают управляемые удостоверения Azure, такие как Azure DevOps. |
| авторизация Azure CLI | Маркеры идентификатора Microsoft Entra для пользователей или субъектов-служб Идентификатора Microsoft Entra. | Используйте для авторизации доступа к ресурсам Azure и Azure Databricks с помощью Azure CLI. |
| авторизация пользователя Microsoft Entra ID | Токены идентификатора Microsoft Entra для пользователей. | Используйте только с ресурсами Azure, которые поддерживают только токены идентификатора Microsoft Entra. Databricks не рекомендует создавать маркеры идентификатора Microsoft Entra для пользователей Azure Databricks вручную. |
Единая проверка подлинности
Унифицированная проверка подлинности Azure Databricks обеспечивает согласованный способ настройки проверки подлинности во всех поддерживаемых средствах и пакетах SDK. Этот подход использует стандартные переменные среды и профили конфигурации для хранения значений учетных данных, чтобы можно было выполнять команды CLI или вызывать API без повторной настройки проверки подлинности.
Единая проверка подлинности обрабатывает типы учетных записей по-разному:
- Авторизация пользователя: OAuth автоматически создает маркеры доступа и управляет ими для средств, поддерживающих единую проверку подлинности. См. статью "Авторизация доступа пользователей к Azure Databricks с помощью OAuth".
- Авторизация субъекта-службы: Для OAuth требуются учетные данные клиента (идентификатор клиента и секрет), которые Azure Databricks предоставляет после назначения субъекта-службы рабочим областям. См Авторизация доступа сервисного принципала к Azure Databricks с помощью OAuth.
Чтобы использовать маркеры доступа OAuth, администратор рабочей области или учетной записи Azure Databricks должен предоставить вашему пользовательскому аккаунту или служебному принципалу разрешение на доступ к функциям учетной записи и рабочей области, к которым будет обращаться ваш код.
Переменные среды
Чтобы настроить единую проверку подлинности, задайте следующие переменные среды. Некоторые переменные применяются как для пользовательской авторизации, так и для служебного принципала, а другие — только для служебных принципалов.
| Переменная среды | Description |
|---|---|
DATABRICKS_HOST |
URL-адрес консоли учетной записи Azure Databricks (https://accounts.azuredatabricks.net) или рабочей области Azure Databricks (https://{workspace-url-prefix}.azuredatabricks.net). Выберите в зависимости от типа операций, выполняемых кодом. |
DATABRICKS_ACCOUNT_ID |
Используется для операций с учетной записью Azure Databricks. Это идентификатор учетной записи Azure Databricks. Чтобы его получить, см. статью «Найти идентификатор учетной записи». |
DATABRICKS_CLIENT_ID |
(Только для OAuth учетной записи службы) Идентификатор клиента, который был назначен вам при создании учетной записи службы. |
DATABRICKS_CLIENT_SECRET |
(Только для учетной записи службы OAuth) Секрет клиента, который вы сгенерировали при создании учетной записи вашей службы. |
Вместо того чтобы вручную задавать переменные среды, рекомендуется определить их в профиле конфигурации Databricks (.databrickscfg) на клиентском компьютере.
Профили конфигурации
Профили конфигурации Azure Databricks содержат параметры и учетные данные, необходимые средствам Azure Databricks и пакетам SDK для авторизации доступа. Эти профили хранятся в локальных клиентских файлах (обычно именованных .databrickscfg) для инструментов, пакетов SDK, сценариев и приложений для использования.
Для получения дополнительной информации см. в разделе Профили конфигурации Azure Databricks.
Сторонние интеграции
При интеграции со сторонними службами и инструментами необходимо использовать механизмы проверки подлинности, предоставляемые этими службами. Однако Azure Databricks обеспечивает поддержку распространенных интеграции:
- Поставщик Databricks Terraform: Получите доступ к API Azure Databricks через Terraform, используя свою учетную запись пользователя Azure Databricks. См. статью Подготовка субъекта-службы с помощью Terraform.
- Поставщики Git: GitHub, GitLab и Bitbucket могут получить доступ к API Azure Databricks с помощью сервисной учетной записи Databricks. См. основные службы для CI/CD.
- Дженкинс: Доступ к API Azure Databricks, используя учетную запись службы Databricks. Смотрите CI/CD с Jenkins на Azure Databricks.
- Azure DevOps: Доступ к API Azure Databricks с помощью учетной записи службы на основе MS Entra ID. Ознакомьтесь с проверкой подлинности с помощью Azure DevOps в Azure Databricks.