Параметры проверки подлинности для драйвера ODBC Databricks
В этой статье описывается настройка параметров проверки подлинности Azure Databricks для драйвера ODBC Databricks.
Драйвер ODBC Databricks поддерживает следующие типы проверки подлинности Azure Databricks:
- Личный маркер доступа Azure Databricks
- Токен идентификатора Microsoft Entra
- Токены OAuth 2.0
- Проверка подлинности пользователей и компьютеров Databricks OAuth (U2M)
- Проверка подлинности OAuth на компьютере (U2M) идентификатора Microsoft Entra ID OAuth
- Проверка подлинности на компьютере (M2M) OAuth
- Проверка подлинности OAuth на компьютере (M2M) с идентификатором Microsoft Entra ID
- Проверка подлинности управляемых удостоверений Azure
Личный маркер доступа Azure Databricks
Чтобы создать личный маркер доступа Azure Databricks, сделайте следующее:
- В рабочей области Azure Databricks щелкните имя пользователя Azure Databricks в верхней строке и выберите "Параметры " в раскрывающемся списке.
- Щелкните "Разработчик".
- Рядом с маркерами доступа нажмите кнопку "Управление".
- Щелкните Generate new token (Создание нового маркера).
- (Необязательно) Введите комментарий, который поможет определить этот маркер в будущем и изменить время существования маркера по умолчанию в течение 90 дней. Чтобы создать маркер без времени существования (не рекомендуется), оставьте поле время существования (дни) пустым (пустым).
- Щелкните Создать.
- Скопируйте отображаемый маркер в безопасное расположение и нажмите кнопку "Готово".
Примечание.
Не забудьте сохранить скопированный маркер в безопасном расположении. Не делитесь скопированным маркером с другими пользователями. Если вы потеряете скопированный маркер, вы не сможете повторно создать тот же маркер. Вместо этого необходимо повторить эту процедуру, чтобы создать новый маркер. Если вы потеряете скопированный маркер или считаете, что маркер скомпрометирован, Databricks настоятельно рекомендует немедленно удалить этот маркер из рабочей области, щелкнув значок корзины (отозвать) рядом с маркером на странице маркеров доступа.
Если вы не можете создавать или использовать маркеры в рабочей области, это может быть связано с тем, что администратор рабочей области отключил маркеры или не предоставил вам разрешение на создание или использование маркеров. Ознакомьтесь с администратором рабочей области или следующими разделами:
Чтобы выполнить проверку подлинности с помощью личного маркера доступа Azure Databricks, добавьте следующие конфигурации в параметры вычислений и любые специальные или расширенные параметры возможностей драйвера:
| Параметр | Значение |
|---|---|
AuthMech |
3 |
UID |
token |
PWD |
Маркер личного доступа Databricks для пользователя рабочей области |
Чтобы создать DSN для систем, отличных от Windows, используйте следующий формат:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=3
UID=token
PWD=<personal-access-token>
Чтобы создать строка подключения с dsN, используйте следующий формат. Для удобочитаемости добавлены разрывы строк. Строка не должна содержать эти разрывы строк:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=3;
UID=token;
PWD=<personal-access-token>
- Чтобы получить значение,
<path-to-driver>см. раздел "Скачать и установить драйвер ODBC Databricks". - Сведения о получении значений и
<http-path><server-hostname>см. в разделе "Параметры вычислений" для драйвера ODBC Databricks. - Вы также можете добавить специальные или расширенные параметры возможностей драйвера.
Токен идентификатора Microsoft Entra
Драйвер ODBC 2.6.15 и выше поддерживает маркеры идентификатора Microsoft Entra для пользователя Azure Databricks или субъекта-службы идентификатора Microsoft Entra.
Чтобы создать маркер доступа идентификатора Microsoft Entra, сделайте следующее:
- Для пользователя Azure Databricks можно использовать Azure CLI. Сведения о получении маркеров идентификатора Microsoft Entra для пользователей с помощью Azure CLI.
- Сведения о субъекте-службе идентификатора Microsoft Entra ID см. в статье "Получение маркера доступа идентификатора Microsoft Entra" с помощью Azure CLI. Сведения о создании управляемого субъекта-службы идентификатора Microsoft Entra см. в разделе "Управление субъектами-службами".
Маркеры доступа к идентификатору Microsoft Entra имеют время существования по умолчанию около 1 часа. Маркер доступа можно обновить программным способом для существующего сеанса без нарушения подключения, выполнив код в обновлении маркера доступа идентификатора Microsoft Entra. Инструкции по обновлению маркера см. в разделе Configuring Authentication on Windows > Providing a New Access Token " Руководство по драйверу ODBC Databricks".
Чтобы пройти проверку подлинности с помощью маркера идентификатора Microsoft Entra, добавьте следующие конфигурации в параметры вычислений и любые специальные или расширенные параметры возможностей драйвера:
| Параметр | Значение |
|---|---|
AuthMech |
11 |
Auth_Flow |
0 |
Auth_AccessToken |
Маркер идентификатора Microsoft Entra |
Чтобы создать DSN для систем, отличных от Windows, используйте следующий формат:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=0
Auth_AccessToken=<microsoft-entra-id-token>
Чтобы создать строка подключения с dsN, используйте следующий формат. Для удобочитаемости добавлены разрывы строк. Строка не должна содержать эти разрывы строк:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=0;
Auth_AccessToken=<microsoft-entra-id-token>
- Чтобы получить значение,
<path-to-driver>см. раздел "Скачать и установить драйвер ODBC Databricks". - Сведения о получении значений и
<http-path><server-hostname>см. в разделе "Параметры вычислений" для драйвера ODBC Databricks. - Вы также можете добавить специальные или расширенные параметры возможностей драйвера.
Дополнительные сведения смToken Pass-through. в разделах руководства по драйверу ODBC Databricks.
Токены OAuth 2.0
Драйвер ODBC 2.7.5 и выше поддерживает маркер OAuth 2.0 для субъекта-службы Идентификатора Microsoft Entra. Это также называется сквозной проверкой подлинности маркера OAuth 2.0.
- Чтобы создать маркер OAuth 2.0 для сквозной проверки подлинности маркера для субъекта-службы идентификатора Microsoft Entra ID, см. статью "Создание и использование маркеров доступа для проверки подлинности OAuth M2M". Запишите значение OAuth
access_tokenсубъекта-службы. - Сведения о создании управляемого субъекта-службы идентификатора Microsoft Entra см. в разделе "Управление субъектами-службами".
Внимание
Драйвер ODBC 2.7.5 и выше поддерживает использование секретов OAuth Azure Databricks для создания токенов OAuth 2.0. Секреты идентификатора Microsoft Entra не поддерживаются.
Маркеры OAuth 2.0 имеют время существования по умолчанию 1 час. Чтобы создать новый токен OAuth 2.0, повторите этот процесс.
Чтобы выполнить проверку подлинности с помощью сквозной проверки подлинности маркера OAuth 2.0, добавьте следующие конфигурации в параметры вычислений и любые специальные или расширенные параметры возможностей драйвера:
| Параметр | Значение |
|---|---|
AuthMech |
11 |
Auth_Flow |
0 |
Auth_AccessToken |
Токен OAuth Azure Databricks (Маркеры идентификатора Microsoft Entra не поддерживаются для сквозной проверки подлинности маркера OAuth 2.0.) |
Чтобы создать DSN для систем, отличных от Windows, используйте следующий формат:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=0
Auth_AccessToken=<databricks-oauth-token>
Чтобы создать строка подключения с dsN, используйте следующий формат. Для удобочитаемости добавлены разрывы строк. Строка не должна содержать эти разрывы строк:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=0;
Auth_AccessToken=<databricks-oauth-token>
- Чтобы получить значение,
<path-to-driver>см. раздел "Скачать и установить драйвер ODBC Databricks". - Сведения о получении значений и
<http-path><server-hostname>см. в разделе "Параметры вычислений" для драйвера ODBC Databricks. - Вы также можете добавить специальные или расширенные параметры возможностей драйвера.
Дополнительные сведения смToken Pass-through. в разделах руководства по драйверу ODBC Databricks.
Проверка подлинности пользователей и компьютеров Databricks OAuth (U2M)
Драйвер ODBC 2.8.2 и более поздних версий поддерживает проверку подлинности пользователя OAuth на компьютере (U2M) для пользователя Azure Databricks. Это также называется проверкой подлинности на основе браузера OAuth 2.0.
Проверка подлинности на основе браузера OAuth U2M или OAuth 2.0 не имеет предварительных требований. Маркеры OAuth 2.0 имеют время существования по умолчанию 1 час. Проверка подлинности на основе браузера OAuth U2M или OAuth 2.0 должна обновляться автоматически с истекшим сроком действия маркеров OAuth 2.0.
Примечание.
Проверка подлинности на основе браузера OAuth U2M или OAuth 2.0 работает только с приложениями, которые выполняются локально. Он не работает с серверными или облачными приложениями.
Чтобы пройти проверку подлинности с помощью проверки подлинности на основе браузера OAuth с помощью пользовательской проверки подлинности (U2M) или OAuth 2.0, добавьте следующие конфигурации в параметры вычислений и любые специальные или расширенные параметры возможностей драйвера:
| Параметр | Значение |
|---|---|
AuthMech |
11 |
Auth_Flow |
2 |
PWD |
Пароль по вашему выбору. Драйвер использует этот ключ для шифрования маркеров обновления. |
Auth_Client_ID (необязательно) |
databricks-sql-odbc (по умолчанию) Все применимые приложения можно найти в разделе "Параметры подключений приложений" в консоли учетной записи Databricks См . раздел "Включить пользовательские приложения OAuth" с помощью пользовательского интерфейса Azure Databricks. |
Auth_Scope (необязательно) |
sql offline_access (по умолчанию) |
OAuth2RedirectUrlPort (необязательно) |
8020 (по умолчанию) |
Чтобы создать DSN для систем, отличных от Windows, используйте следующий формат:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=2
PWD=<password>
Чтобы создать строка подключения с dsN, используйте следующий формат. Для удобочитаемости добавлены разрывы строк. Строка не должна содержать эти разрывы строк:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=2;
PWD=<password>
- Чтобы получить значение,
<path-to-driver>см. раздел "Скачать и установить драйвер ODBC Databricks". - Сведения о получении значений и
<http-path><server-hostname>см. в разделе "Параметры вычислений" для драйвера ODBC Databricks. - Вы также можете добавить специальные или расширенные параметры возможностей драйвера.
Дополнительные сведения смBrowser Based. в разделах руководства по драйверу ODBC Databricks.
Проверка подлинности OAuth на компьютере (U2M) идентификатора Microsoft Entra ID OAuth
Драйвер ODBC 2.8.2 и более поздних версий поддерживает проверку подлинности пользователя OAuth OAuth (U2M) для пользователя Azure Databricks.
Чтобы использовать идентификатор OAuth OAuth (U2M), клиент OAuth (приложение) должен быть зарегистрирован в идентификаторе Microsoft Entra ID, см . инструкцию.
Чтобы пройти проверку подлинности с помощью идентификатора OAuth OAuth для компьютера (U2M), добавьте следующие конфигурации в параметры вычислений и любые специальные или расширенные параметры возможностей драйвера:
| Параметр | Значение |
|---|---|
AuthMech |
11 |
Auth_Flow |
2 |
PWD |
Пароль по вашему выбору. Драйвер использует этот ключ для шифрования маркеров обновления |
Auth_Client_ID |
Идентификатор приложения (клиента) приложения Azure |
Auth_Scope |
2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access |
OIDCDiscoveryEndpoint |
https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration |
OAuth2RedirectUrlPort |
Порт перенаправления приложения Azure |
Чтобы создать DSN для систем, отличных от Windows, используйте следующий формат:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<application-id-azure-application>
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration
OAuth2RedirectUrlPort=<redirect port of the Azure application>
Чтобы создать строка подключения с dsN, используйте следующий формат. Для удобочитаемости добавлены разрывы строк. Строка не должна содержать эти разрывы строк:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<application-id-azure-application>;
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access;
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration;
OAuth2RedirectUrlPort=<redirect port of the Azure application>;
- Чтобы получить значение,
<path-to-driver>см. раздел "Скачать и установить драйвер ODBC Databricks". - Сведения о получении значений и
<http-path><server-hostname>см. в разделе "Параметры вычислений" для драйвера ODBC Databricks. - Вы также можете добавить специальные или расширенные параметры возможностей драйвера.
Проверка подлинности на компьютере (M2M) OAuth
Драйвер ODBC поддерживает проверку подлинности OAuth на компьютере (M2M) для субъекта-службы Azure Databricks. Это также называется проверкой подлинности учетных данных клиента OAuth 2.0.
Чтобы настроить проверку подлинности учетных данных клиента OAuth M2M или OAuth 2.0, сделайте следующее:
Создайте субъект-службу Azure Databricks в рабочей области Azure Databricks и создайте секрет OAuth для этого субъекта-службы.
Чтобы создать субъект-службу и секрет OAuth, ознакомьтесь с проверкой подлинности доступа к Azure Databricks с помощью субъекта-службы с помощью OAuth (OAuth M2M). Запишите значение UUID или идентификатора приложения субъекта-службы и значение секрета для секрета OAuth субъекта-службы.
Предоставьте субъекту-службе доступ к кластеру или хранилищу. См . сведения о разрешениях вычислений или управлении хранилищем SQL.
Чтобы пройти проверку подлинности с помощью проверки подлинности с использованием учетных данных клиента OAuth (M2M) или OAuth 2.0, добавьте следующие конфигурации в параметры вычислений и любые специальные или расширенные параметры возможностей драйвера:
| Параметр | Значение |
|---|---|
AuthMech |
11 |
Auth_Flow |
1 |
Auth_Client_ID |
Значение идентификатора приложения UUID/субъекта-службы. |
Auth_Client_Secret |
Значение секрета OAuth субъекта-службы. |
Auth_Scope (необязательно) |
all-apis (по умолчанию) |
Чтобы создать DSN для систем, отличных от Windows, используйте следующий формат:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<service-principal-application-ID>
Auth_Client_Secret=<service-principal-secret>
Auth_Scope=all-apis
Чтобы создать строка подключения с dsN, используйте следующий формат. Для удобочитаемости добавлены разрывы строк. Строка не должна содержать эти разрывы строк:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<service-principal-application-ID>;
Auth_Client_Secret=<service-principal-secret>;
Auth_Scope=all-apis
- Чтобы получить значение,
<path-to-driver>см. раздел "Скачать и установить драйвер ODBC Databricks". - Сведения о получении значений и
<http-path><server-hostname>см. в разделе "Параметры вычислений" для драйвера ODBC Databricks. - Вы также можете добавить специальные или расширенные параметры возможностей драйвера.
Дополнительные сведения смClient Credentials. в разделах руководства по драйверу ODBC Databricks.
Проверка подлинности OAuth на компьютере (M2M) с идентификатором Microsoft Entra ID
Драйвер ODBC 2.8.2 и более поздних версий поддерживает проверку подлинности id OAuth на компьютере (M2M) для субъекта-службы Microsoft Entra ID.
Чтобы настроить проверку подлинности OAuth на компьютере (M2M), сделайте следующее:
- Создайте управляемый субъект-службу идентификатора Microsoft Entra. Для этого см. раздел "Управление субъектами-службами".
- Предоставьте субъекту-службе доступ к кластеру или хранилищу. См . сведения о разрешениях вычислений или управлении хранилищем SQL.
Чтобы выполнить проверку подлинности с помощью идентификатора записи OAuth на компьютере (M2M), добавьте следующие конфигурации в параметры вычислений и любые специальные или расширенные параметры возможностей драйвера:
| Параметр | Значение |
|---|---|
AuthMech |
11 |
Auth_Flow |
1 |
Auth_Client_ID |
Идентификатор приложения субъекта-службы в идентификаторе Entra |
Auth_Client_Secret |
Секрет клиента субъекта-службы в идентификаторе Entra. Это секрет клиента, который вы создаете в сертификатах и секретах в идентификаторе Microsoft Entra. |
Auth_Scope |
2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default |
OIDCDiscoveryEndpoint |
https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration |
Чтобы создать DSN для систем, отличных от Windows, используйте следующий формат:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<entra-id-service-principal-application-ID>
Auth_Client_Secret=<entra-id-service-principal-client-secret>
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration
Чтобы создать строка подключения с dsN, используйте следующий формат. Для удобочитаемости добавлены разрывы строк. Строка не должна содержать эти разрывы строк:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<entra-id-service-principal-application-ID>>;
Auth_Client_Secret=<entra-id-service-principal-client-secret>;
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default;
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration
- Чтобы получить значение,
<path-to-driver>см. раздел "Скачать и установить драйвер ODBC Databricks". - Сведения о получении значений и
<http-path><server-hostname>см. в разделе "Параметры вычислений" для драйвера ODBC Databricks. - Вы также можете добавить специальные или расширенные параметры возможностей драйвера.
Проверка подлинности управляемых удостоверений Azure
Драйвер ODBC 2.7.7 и выше поддерживает проверку подлинности управляемых удостоверений Azure, которая использует управляемые удостоверения для ресурсов Azure (ранее управляемые удостоверения службы (MSI)) для проверки подлинности с помощью Azure Databricks. Программные вызовы к операциям рабочей области Azure Databricks используют эти управляемые удостоверения при работе с ресурсами Azure, поддерживающими управляемые удостоверения, такие как виртуальные машины Azure.
- Сведения об управляемых удостоверениях см. в статье "Что такое управляемые удостоверения для ресурсов Azure?".
- Сведения о том, как создать управляемое удостоверение и предоставить ему разрешение на доступ к рабочим областям Azure Databricks, см. в статье Настройка и использование проверки подлинности управляемых удостоверений Azure для автоматизации Azure Databricks.
Чтобы выполнить проверку подлинности с помощью проверки подлинности управляемых удостоверений Azure, добавьте следующие конфигурации в параметры вычислений и любые специальные или расширенные параметры возможностей драйвера:
| Параметр | Значение |
|---|---|
AuthMech |
11 |
Auth_Flow |
3 |
Auth_Client_ID |
Идентификатор управляемого удостоверения Azure. |
Azure_workspace_resource_id |
Идентификатор ресурса Azure для рабочей области Azure Databricks. Чтобы получить этот идентификатор, в верхней панели навигации рабочей области Azure Databricks щелкните имя пользователя и нажмите кнопку . Портал Azure. На странице ресурсов рабочей области Azure Databricks щелкните "Свойства " в разделе "Параметры " на боковой панели. Идентификатор находится в разделе "Основные сведения". |
Чтобы создать DSN для систем, отличных от Windows, используйте следующий формат:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=3
Auth_Client_ID=<azure-managed-identity-ID>
Azure_workspace_resource_id=<azure-workspace-resource-ID>
Чтобы создать строка подключения с dsN, используйте следующий формат. Для удобочитаемости добавлены разрывы строк. Строка не должна содержать эти разрывы строк:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=3;
Auth_Client_ID=<azure-managed-identity-ID>;
Azure_workspace_resource_id=<azure-workspace-resource-ID>
- Чтобы получить значение,
<path-to-driver>см. раздел "Скачать и установить драйвер ODBC Databricks". - Сведения о получении значений и
<http-path><server-hostname>см. в разделе "Параметры вычислений" для драйвера ODBC Databricks. - Вы также можете добавить специальные или расширенные параметры возможностей драйвера.