Autentisera med Azure Databricks personliga åtkomsttoken (äldre)

Azure Databricks personliga åtkomsttoken (PATs) låter dig autentisera till resurser och API:er på arbetsytans nivå. Du kan lagra dem i miljövariabler eller Azure Databricks konfigurationsprofiler. Varje PAT är endast giltig för en arbetsyta och en användare kan skapa upp till 600 PAT per arbetsyta. Azure Databricks återkallar automatiskt PAT:er som inte har använts på 90 dagar.

Viktigt!

Där det är möjligt rekommenderar Databricks att du använder OAuth i stället för PAT för användarkontoautentisering eftersom OAuth ger starkare säkerhet. Information om hur du autentiserar med ett Databricks-användarkonto med OAuth finns i Authorize user access to Azure Databricks with OAuth.

Du kan inte använda personliga åtkomsttokens för att automatisera Azure Databricks kontonivå funktionalitet. Använd i stället Microsoft Entra ID token för Azure Databricks kontoadministratörer. Azure Databricks kontoadministratörer kan vara användare eller tjänsthuvudprinciper. Mer information finns i:

• Hantera användare
• Tjänstens huvudnamn
• Grupper

Skapa personliga åtkomsttoken för arbetsyteanvändare

Gör följande för att skapa en personlig åtkomsttoken för din Azure Databricks-arbetsyteanvändare:

1. I din Azure Databricks arbetsyta klickar du på ditt användarnamn i det övre fältet och väljer Inställningar.
2. Klicka på Utvecklare.
3. Bredvid Åtkomsttoken klickar du på Hantera.
4. Klicka på Generera ny token.
5. Ange en kommentar som hjälper dig att identifiera den här token i framtiden.
6. Ange tokens livslängd i dagar. Se Ange maximal livslängd för nya personliga åtkomsttoken.
7. Om du vill begränsa tokens behörigheter väljer du en tokentyp och lägger till API-omfång. Se Begränsade personliga åtkomsttoken.
8. Klicka på Generera.
9. Kopiera den visade token till en säker plats och klicka sedan på Klar. Spara token på ett säkert sätt och dela den inte. Om du förlorar den måste du skapa en ny token.

Om du inte kan skapa eller använda token kan arbetsyteadministratören ha inaktiverat token eller inte gett dig behörighet. Se din arbetsyteadministratör eller följande:

• Aktivera eller inaktivera personlig åtkomsttokenautentisering för arbetsytan
• Behörigheter för personlig åtkomsttoken

Begränsade personliga åtkomsttoken

Begränsade personliga åtkomsttoken begränsar en tokens behörigheter till specifika API-åtgärder. I stället för att bevilja fullständig åtkomst till arbetsytan tilldelar du ett eller flera API-omfång, till exempel sql, unity-catalogeller scim, som begränsar vilka REST API-åtgärder som token kan anropa.

Varning

Token med omfånget authentication kan skapa nya token med valfritt omfång. Bevilja det här omfånget endast till tokener som behöver hantera andra tokener.

Om du vill skapa en begränsad token i arbetsytans användargränssnitt väljer du en tokentyp och lägger till API-omfång när du genererar en ny token. Om du inte tilldelar några omfång behåller token de fullständiga behörigheterna för att skapa identiteten.

En fullständig lista över omfång och deras associerade API-åtgärder finns i API-omfång.

Skapa personliga åtkomsttokens för tjänstprincipaler

Ett tjänstehuvudnamn kan skapa personliga åtkomsttokenar för sig själv.

1. Kör följande kommando för att generera en åtkomsttoken:

   databricks tokens create \
     --lifetime-seconds <lifetime-seconds> \
     -p <profile-name>
   

   Ersätt följande värden:

   • <lifetime-seconds>: Tokens livslängd i sekunder, till exempel 86400 för 1 dag. Standardinställningen är arbetsytans maximala värde (vanligtvis 730 dagar).
   • <profile-name>: Konfigurationsprofil med autentiseringsinformation. Standardinställningen är DEFAULT.

2. Kopiera token_value från svaret, vilket är åtkomsttoken för ditt tjänstehuvudkonto. Spara token på ett säkert sätt och dela den inte. Om du förlorar den måste du skapa en ny token.

Om du inte kan skapa eller använda token kan arbetsyteadministratören ha inaktiverat token eller inte gett dig behörighet. Se din arbetsyteadministratör eller följande:

• Aktivera eller inaktivera personlig åtkomsttokenautentisering för arbetsytan
• Behörigheter för personlig åtkomsttoken

Utföra personlig åtkomsttokenautentisering

Konfigurera Azure Databricks personlig åtkomsttokenautentisering genom att ange följande associerade miljövariabler, .databrickscfg fält, Terraform-fält eller Config fält:

• Azure Databricks-värden, som anges som måladress för Azure Databricks per-workspace URL, till exempel https://adb-1234567890123456.7.azuredatabricks.net.
• Azure Databricks personliga åtkomsttokenen för Azure Databricks användarkontot.

Om du vill utföra Azure Databricks autentisering med personlig åtkomsttoken integrerar du följande i koden baserat på det deltagande verktyget eller SDK:t:

Miljö

Information om hur du använder miljövariabler för en specifik Azure Databricks autentiseringstyp med ett verktyg eller SDK finns i Authorize access to Azure Databricks resources or the tool's or SDK's documentation. Se även Miljövariabler och fält för enhetlig autentisering och autentiseringsmetodprioritet.

Ange följande miljövariabler:

• DATABRICKS_HOST sätts till Azure Databricks URL per arbetsyta, till exempel https://adb-1234567890123456.7.azuredatabricks.net.
• Ange DATABRICKS_TOKENtill tokensträngen.

Profil

Skapa eller identifiera en Azure Databricks konfigurationsprofil med följande fält i filen .databrickscfg. Om du skapar profilen ersätter du platshållarna med lämpliga värden. Om du vill använda profilen med ett verktyg eller SDK kan du läsa Auktorisera åtkomst till Azure Databricks resurser eller verktygets eller SDK:s dokumentation. Se även Miljövariabler och fält för enhetlig autentisering och autentiseringsmetodprioritet.

Ange följande värden i filen .databrickscfg. I det här fallet är värden Azure Databricks per-workspace-URL, till exempel https://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host  = <workspace-url>
token = <token>

I stället för att ange värdena manuellt kan du använda Databricks CLI för att ange dessa värden i stället:

Anteckning

Följande procedur använder Databricks CLI för att skapa en Azure Databricks konfigurationsprofil med namnet DEFAULT. Om du redan har en DEFAULT konfigurationsprofil skriver den här proceduren över din befintliga DEFAULT konfigurationsprofil.

Om du vill kontrollera om du redan har en DEFAULT konfigurationsprofil och visa profilens inställningar om den finns använder du Databricks CLI för att köra kommandot databricks auth env --profile DEFAULT.

Om du vill skapa en konfigurationsprofil med ett annat namn än DEFAULTersätter du DEFAULT delen i --profile DEFAULT i följande databricks configure kommando med ett annat namn för konfigurationsprofilen.

1. Använd Databricks CLI för att skapa en Azure Databricks konfigurationsprofil med namnet DEFAULT som använder Azure Databricks personlig åtkomsttokenautentisering. Gör detta genom att köra följande kommando:

   databricks configure --profile DEFAULT
   

2. För uppmaningen Databricks Host anger du din Azure Databricks URL för varje arbetsyta, till exempel https://adb-1234567890123456.7.azuredatabricks.net.

3. För uppmaningen Personlig åtkomsttoken anger du Azure Databricks personlig åtkomsttoken för din arbetsyta.

Kommandoradsgränssnitt (CLI)

Kör kommandot Databricks CLI databricks configure. Ange följande inställningar i anvisningarna:

• Azure Databricks-värden, som anges som måladress för Azure Databricks per-workspace URL, till exempel https://adb-1234567890123456.7.azuredatabricks.net.
• Azure Databricks personliga åtkomsttokenen för Azure Databricks användarkontot.

Mer information finns i Personlig åtkomsttokenautentisering (äldre).

Anslut

Anteckning

Azure Databricks autentisering med personlig åtkomsttoken stöds i följande Databricks Connect-versioner:

• För Python, Databricks Connect för Databricks Runtime 13.3 LTS och nyare.
• För Scala, Databricks Connect för Databricks Runtime 13.3 LTS och senare.

För Databricks Connect använder du Databricks CLI för att ange värdena i filen .databrickscfg för åtgärder på Azure Databricks arbetsyta enligt beskrivningen i avsnittet Profile.

Följande procedur skapar en Azure Databricks konfigurationsprofil med namnet DEFAULT, som skriver över alla befintliga DEFAULT profil. Om du vill kontrollera om det finns en DEFAULT profil kör du databricks auth env --profile DEFAULT. Om den finns använder du ett annat profilnamn.

1. Kör följande kommando för att skapa en Azure Databricks konfigurationsprofil med namnet DEFAULT som använder personlig åtkomsttokenautentisering.

   databricks configure \
     --configure-cluster \
     --profile DEFAULT
   

2. För uppmaningen Databricks Host anger du din Azure Databricks URL för varje arbetsyta, till exempel https://adb-1234567890123456.7.azuredatabricks.net.

3. För frågan Personlig åtkomsttoken anger du den personliga åtkomsttoken för din arbetsyta.

4. I listan över tillgängliga kluster väljer du målklustret Azure Databricks på din arbetsyta. Du kan ange valfri del av klustrets visningsnamn för att filtrera listan över tillgängliga kluster.

Använd Azure Databricks REST-API för att utfärda personliga åtkomsttokenar

Azure Databricks tillhandahåller en REST-slutpunkt /api/2.0/token/create för att utfärda PATs. Se Skapa en användartoken för API-information.

I följande exempel anger du följande värden:

• <databricks-instance>: Url:en för Databricks-arbetsytan. Exempel: dbc-abcd1234-5678.cloud.databricks.com
• <your-existing-access-token>: En befintlig giltig PAT (sträng) som har behörighet att skapa nya token.
• <lifetime-seconds>: Tokens livslängd i sekunder.
• <scopes>: En lista över omfång som token ska tilldelas. Se Begränsade personliga åtkomsttoken.

curl -X POST https://<databricks-instance>/api/2.0/token/create \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "lifetime_seconds": <lifetime-seconds>,
  "scopes": [
    "sql",
    "authentication"
  ]
}'

Om det lyckas resulterar detta i en svarspayload som liknar:

{
  "token_value": "<your-newly-issued-pat>",
  "token_info": {
    "token_id": "<token-id>",
    "creation_time": <creation-timestamp>,
    "expiry_time": <expiry-timestamp>,
    "comment": "<comment>",
    "scopes": ["authentication", "sql"],
    "last_accessed_time": 0
  }
}

Ange den nya token från svaret i auktoriseringshuvudet för efterföljande anrop till Databricks REST-API:er. Till exempel:

# This example uses a simple GET. For POST or other REST verbs, you may need to provide additional parameters.
curl -X GET "https://<databricks-instance>/api/2.0/<path-to-endpoint>" \
     -H "Authorization: Bearer <your-new-pat>"

import requests

headers = {
    'Authorization': 'Bearer <your-new-pat>'
}
# This example is for an HTTP GET operation.
response = requests.get('https://<databricks-instance>/api/2.0/<path-to-endpoint>', headers=headers)

Uppdatera omfången för en personlig åtkomsttoken

Om en begränsad token saknar det nödvändiga omfånget för ett API-anrop misslyckas begäran med ett fel som anger att omfånget saknas. Om du vill uppdatera en tokens omfång använder du REST-slutpunkten /api/2.0/token/<token_id>. Den anropande token måste ha omfånget authentication , vilket gör det möjligt att hantera andra token. Använd fältet update_mask för att ange vilka tokenfält som ska uppdateras.

curl -X PATCH https://<databricks-instance>/api/2.0/token/<token_id> \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "token": {
    "scopes": ["sql", "unity-catalog"]
  },
  "update_mask": "scopes"
}'

Omfångsändringar kan ta upp till tio minuter att propageras.

Om du vill visa alla tillgängliga omfång använder du GET /api/2.0/token-scopes.