Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На этой странице предоставлена общая информация о федерации токенов OAuth для доступа к учетной записи Azure Databricks и ресурсам рабочей области с помощью токенов от вашего поставщика удостоверений.
Что такое федерация токенов OAuth Databricks?
Федерация маркеров OAuth Databricks позволяет безопасно обращаться к API Databricks с помощью маркеров от доверенных поставщиков удостоверений (idPs). Федерация токенов OAuth устраняет необходимость управления и ротации секретов Databricks, таких как токены личного доступа и секреты клиента OAuth для Databricks.
Используя федерацию токенов OAuth в Databricks, пользователи и служебные субъекты обменивают токены JWT (JSON Web Tokens) от вашего поставщика удостоверений на токены OAuth Databricks, которые затем можно использовать для доступа к API Databricks.
Почему федерация маркеров OAuth настоятельно рекомендуется для рабочих нагрузок?
Федерация токенов OAuth — это более простой и безопасный метод аутентификации в Databricks, особенно для автоматизированных рабочих процессов. Рабочая нагрузка проходит проверку подлинности в Databricks в качестве субъекта-службы в учетной записи Databricks, используя маркеры идентификации рабочей нагрузки, выданные средой автоматизации. Пакеты SDK Databricks и интерфейс командной строки Databricks автоматически извлекают эти токены рабочей нагрузки и обменивают их на токены OAuth Databricks, что устраняет необходимость управления секретами Databricks и их ротации.
Какие типы федерации токенов поддерживаются?
Databricks поддерживает два типа федерации токенов:
- Федерация токенов на уровне учетной записи позволяет всем пользователям и службам в вашей учетной записи Databricks получать доступ к API Databricks с помощью токенов от вашего поставщика удостоверений. Федерация маркеров на уровне учетной записи позволяет централизованно управлять политиками выдачи маркеров в поставщике удостоверений и обычно используется в сочетании с SCIM, поэтому пользователи в поставщике удостоверений синхронизируются с учетной записью Azure Databricks. См. федерацию маркеров на уровне учетной записи.
- Федерация идентификаторов рабочей нагрузки позволяет автоматизированным рабочим нагрузкам, выполняемым за пределами Azure Databricks, получать доступ к API Databricks без необходимости использования секретов Databricks. При федерации удостоверений рабочих нагрузок ваше приложение (рабочая нагрузка) проходит аутентификацию в Databricks в качестве служебного принципала Databricks, используя токены, выданные средой выполнения рабочей нагрузки. См. федерацию идентичности рабочей нагрузки.
Заметка
Пользователи Microsoft Azure также могут использовать токены MS Entra для безопасного использования интерфейса командной строки Azure Databricks и API.
Как настроить федерацию токенов OAuth?
Чтобы настроить федерацию токенов OAuth для учетной записи Databricks или рабочей нагрузки:
Определите, будет ли использоваться федерация токенов на уровне учетной записи или федерация удостоверений рабочей нагрузки.
Создайте политику федерации. Вам потребуется:
- Идентификатор учетной записи (для федерации токенов на уровне учетной записи).
- Идентификатор служебного принципала, который вы будете использовать (для федерации удостоверений рабочей нагрузки).
- Сведения от инструмента или поставщика, который будет выдавать федеративные токены.
Настройте средство или поставщика удостоверений для аутентификации в Databricks с помощью федеративных токенов. Пример конфигурации для распространенных поставщиков удостоверений CI/CD см. в разделе "Включение федерации удостоверений рабочей нагрузки" в CI/CD.