OAuth ile Azure Databricks'e kullanıcı erişimini yetkilendirme

Bu sayfada, Databricks CLI veya Azure Databricks REST API'lerini kullanırken Azure Databricks kaynaklarına kullanıcı erişimini yetkilendirme açıklanmaktadır.

Azure Databricks, kullanıcı yetkilendirmesi ve kullanıcı arabirimi dışında kimlik doğrulaması için tercih edilen protokol olarak OAuth 2.0 kullanır. Birleşik istemci kimlik doğrulaması, belirteç oluşturmayı ve yenilemeyi otomatikleştirir. Kullanıcı oturum açıp onay verdikten sonra, OAuth CLI, SDK veya kullanıcı adına kullanılacak başka bir araç için erişim belirteci verir. Her erişim belirteci bir saat boyunca geçerlidir ve bundan sonra otomatik olarak yeni bir belirteç istenir.

Bu sayfada yetkilendirme , Azure Databricks kaynaklarına erişim vermek için OAuth kullanmayı, kimlik doğrulaması ise kimlik bilgilerini erişim belirteçleri aracılığıyla doğrulamayı ifade eder.

Daha üst düzey ayrıntılar için bkz. Azure Databricks kaynaklarına erişimi yetkilendirme.

Azure Databricks kaynaklarına erişimi yetkilendirmenin yolları

Azure Databricks, OAuth ile kullanıcı hesaplarını yetkilendirmenin iki yolunu destekler:

• Otomatik (önerilir): Azure Databricks Terraform SDK'sı gibi desteklenen araçlar ve SDK'larla çalışıyorsanız birleşik kimlik doğrulamasını kullanın. Bu yaklaşım, belirteç oluşturmayı ve yenilemeyi otomatik olarak gerçekleştirir.

• El ile: Bir kod doğrulayıcı ve sınama oluşturun, ardından bunları OAuth belirteci ile değiştirin. Aracınız birleşik kimlik doğrulamayı desteklemiyorsa bu yöntemi kullanın. Ayrıntılar için bkz. OAuth U2M erişim belirteçlerini el ile oluşturma.

Birleşik kimlik doğrulaması ile otomatik yetkilendirme

Not

Yetkilendirmeyi yapılandırmadan önce, gerçekleştirmeyi planladığınız çalışma alanı işlemlerinin türü için ACL izinlerini gözden geçirin ve hesabınızın gerekli erişim düzeyine sahip olduğunu onaylayın. Ayrıntılar için bkz. Erişim denetim listeleri.

Databricks SDK'ları ve birleşik kimlik doğrulamasını destekleyen araçlarla OAuth yetkilendirmesi gerçekleştirmek için aşağıdakileri kodunuzla tümleştirin:

Ortam

Belirli bir Azure Databricks kimlik doğrulama türü için ortam değişkenlerini bir araç veya SDK ile kullanmak için bkz. Azure Databricks kaynaklarına veya aracın ya da SDK'nın belgelerine erişimi yetkilendirme. Ayrıca bkz . Birleşik kimlik doğrulaması veKimlik doğrulama yöntemi önceliği için ortam değişkenleri ve alanları.

Hesap düzeyinde işlemler için aşağıdaki ortam değişkenlerini ayarlayın:

• DATABRICKS_HOST, Azure Databricks hesap konsolu URL'nizin değeri olan https://accounts.azuredatabricks.net ile ayarlanır.
• DATABRICKS_ACCOUNT_ID

Çalışma alanı düzeyinde işlemler için aşağıdaki ortam değişkenlerini ayarlayın:

• DATABRICKS_HOST, çalışma alanı başına Azure Databricks URL'nizin değerine (örneğin https://adb-1234567890123456.7.azuredatabricks.net) ayarlayın.

Profil

Azure Databricks yapılandırma profili dosyanızda aşağıdaki alanlarla oluşturun veya tanımlayın. Eğer profili oluşturuyorsanız, yer tutucuları uygun değerlerle değiştirin. Profili bir araç veya SDK ile kullanmak için Azure Databricks kaynaklarına erişimi yetkilendirme veya aracın ya da SDK'nın belgelerine bakın. Ayrıca bkz . Birleşik kimlik doğrulaması veKimlik doğrulama yöntemi önceliği için ortam değişkenleri ve alanları.

Hesap düzeyinde işlemler için dosyanızda .databrickscfg aşağıdaki değerleri ayarlayın. Bu durumda Azure Databricks hesap konsolu URL'si şöyledir https://accounts.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host       = <account-console-url>
account_id = <account-id>

Çalışma alanı düzeyinde işlemler için dosyanızda .databrickscfg aşağıdaki değerleri ayarlayın. Bu durumda ana bilgisayar, Azure Databricks çalışma alanına özgü URL'sidir, örneğin https://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host = <workspace-url>

CLI

Databricks CLI için komutunu aşağıdaki seçeneklerle çalıştırın databricks auth login :

• Hesap düzeyindeki işlemler için, --host https://accounts.cloud.databricks.com --account-id <account-id>.
• Çalışma alanı düzeyindeki işlemler için, --host <workspace-url>.

Ardından Azure Databricks hesabınızda veya çalışma alanınızda oturum açmak için web tarayıcınızdaki yönergeleri izleyin.

Diğer ayrıntılar için bkz. Databricks CLI ileOAuth yetkilendirmesi.

VS Code

Visual Studio Code için Databricks uzantısını yetkilendirme işlemi ayarlama bölümünde belirtilen adımları izleyin.

Bağlan

OAuth U2M kimlik doğrulaması Databricks Runtime 13.1 ile başlayarak Python için Databricks Connect ve Databricks Runtime 13.3 LTS ile başlayan Scala için desteklenir.

Databricks Connect için şunları yapabilirsiniz:

• Yapılandırma profili kullanın: Dosyanızda, çalışma alanı düzeyi değerlerini .databrickscfg, Profil sekmesinde açıklandığı gibi ayarlayın. Ayrıca, 'yi çalışma alanı örneği URL'niz olarak ayarlayın.
• Ortam değişkenlerini kullanın:Ortam sekmesinde gösterildiği gibi aynı değerleri ayarlayın. ayrıca öğesini DATABRICKS_CLUSTER_ID çalışma alanı örneği URL'niz olarak ayarlayın.

içindeki .databrickscfg değerler ortam değişkenlerinden önceliklidir.

Databricks Connect'i bu ayarlarla başlatmak için bkz. Databricks Connect için işlem yapılandırması.

Terraform yazılımı

Terraform yapılandırmanızı uygulamadan önce, yapılandırmanızın çalışma alanı veya hesap işlemlerini kullanıp kullanmadığına bağlı olarak databricks auth login sekmesindeki komutlardan birini çalıştırmanız gerekir. Bu komutlar, kullanıcınızın giriş klasöründe gerekli OAuth belirtecini .databricks/token-cache.json oluşturur ve önbelleğe alır.

Hesap düzeyinde işlemler

Varsayılan kimlik doğrulaması için:

provider "databricks" {
  alias = "account"
}

Doğrudan yapılandırma için:

provider "databricks" {
  alias      = "account"
  host       = <retrieve-account-console-url>
  account_id = <retrieve-account-id>
}

konsoldan veya retrieve-gibi başka bir yapılandırma deposundan değerleri almak için yer tutucularını kendi uygulamanızla değiştirin. Ayrıca Kasa Sağlayıcısı bölümüne bkz. Azure Databricks hesap konsolu URL'sini account_id olarak ayarlayabilirsiniz.

Çalışma alanı düzeyinde işlemler

Varsayılan kimlik doğrulaması için:

  provider "databricks" {
  alias = "workspace"
}

Doğrudan yapılandırma için:

provider "databricks" {
  alias = "workspace"
  host  = <retrieve-workspace-url>
}

Piton

Kodunuzu çalıştırmadan önce databricks auth login sekmesinde çalışma alanı veya hesap işlemleri seçenekleriyle komutunu çalıştırmanız gerekir. Bu komutlar, kullanıcınızın giriş klasöründe gerekli OAuth belirtecini .databricks/token-cache.json oluşturur ve önbelleğe alır.

Hesap düzeyinde işlemler

Varsayılan kimlik doğrulaması için:

from databricks.sdk import AccountClient

a = AccountClient()
# ...

Doğrudan yapılandırma için:

from databricks.sdk import AccountClient

a = AccountClient(
  host       = retrieveAccountConsoleUrl(),
  account_id = retrieveAccountId()
)
# ...

retrieve Değerleri konsoldan veya Azure KeyVault gibi başka bir yapılandırma deposundan almak için yer tutucuları kendi uygulamanızla değiştirin.

Çalışma alanı düzeyinde işlemler

Varsayılan kimlik doğrulaması için:

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()
# ...

Doğrudan yapılandırma için:

from databricks.sdk import WorkspaceClient

w = WorkspaceClient(host = retrieve_workspace_url())
# ...

Python kullanan ve Databricks birleşik kimlik doğrulamasını uygulayan Azure Databricks araçları ve SDK'ları ile kimlik doğrulaması hakkında daha fazla bilgi için bkz:

• Python için Databricks Connect istemcisini ayarlama
• Visual Studio Code için Databricks uzantısı için yetkilendirmeyi ayarlama
• Azure Databricks hesabınız veya çalışma alanınızla Python için Databricks SDK'sının kimliğini doğrulama

Java

Kodunuzu çalıştırmadan önce databricks auth login sekmesinde çalışma alanı veya hesap işlemleri seçenekleriyle komutunu çalıştırmanız gerekir. Bu komutlar, kullanıcınızın giriş klasöründe gerekli OAuth belirtecini .databricks/token-cache.json oluşturur ve önbelleğe alır.

Hesap düzeyinde işlemler

Varsayılan kimlik doğrulaması için:

import com.databricks.sdk.AccountClient;
// ...
AccountClient a = new AccountClient();
// ...

Doğrudan yapılandırma için:

import com.databricks.sdk.AccountClient;
import com.databricks.sdk.core.DatabricksConfig;
// ...
DatabricksConfig cfg = new DatabricksConfig()
  .setHost(retrieveAccountConsoleUrl())
  .setAccountId(retrieveAccountId());
AccountClient a = new AccountClient(cfg);
// ...

retrieve Değerleri konsoldan veya Azure KeyVault gibi başka bir yapılandırma deposundan almak için yer tutucuları kendi uygulamanızla değiştirin.

Çalışma alanı düzeyinde işlemler

Varsayılan kimlik doğrulaması için:

import com.databricks.sdk.WorkspaceClient;
// ...
WorkspaceClient w = new WorkspaceClient();
// ...

Doğrudan yapılandırma için:

import com.databricks.sdk.WorkspaceClient;
import com.databricks.sdk.core.DatabricksConfig;
// ...
DatabricksConfig cfg = new DatabricksConfig()
  .setHost(retrieveWorkspaceUrl())
WorkspaceClient w = new WorkspaceClient(cfg);
// ...

Java kullanan ve Databricks birleşik kimlik doğrulamasını uygulayan Azure Databricks araçları ve SDK'ları ile yetkilendirme ve kimlik doğrulaması hakkında daha fazla bilgi için bkz:

• Scala için Databricks Connect istemcisini ayarlama (kimlik doğrulaması için Java için Databricks SDK'sını kullanır)
• Azure Databricks hesabınız veya çalışma alanınızla Java için Databricks SDK'sının kimliğini doğrulama

Başlayın

Kodunuzu çalıştırmadan önce databricks auth login sekmesinde çalışma alanı veya hesap işlemleri seçenekleriyle komutunu çalıştırmanız gerekir. Bu komutlar, kullanıcınızın giriş klasöründe gerekli OAuth belirtecini .databricks/token-cache.json oluşturur ve önbelleğe alır.

Hesap düzeyinde işlemler

Varsayılan kimlik doğrulaması için:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
a := databricks.Must(databricks.NewAccountClient())
// ...

Doğrudan yapılandırma için:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
a := databricks.Must(databricks.NewAccountClient(&databricks.Config{
  Host:      retrieveAccountConsoleUrl(),
  AccountId: retrieveAccountId(),
}))
// ...

retrieve Değerleri konsoldan veya Azure KeyVault gibi başka bir yapılandırma deposundan almak için yer tutucuları kendi uygulamanızla değiştirin.

Çalışma alanı düzeyinde işlemler

Varsayılan kimlik doğrulaması için:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient())
// ...

Doğrudan yapılandırma için:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient(&databricks.Config{
  Host: retrieveWorkspaceUrl(),
}))
// ...

Go kullanan ve Databricks istemcisi birleşik kimlik doğrulaması uygulayan Databricks araçları ve SDK'ları ile kimlik doğrulaması hakkında daha fazla bilgi için bkz . Azure Databricks hesabınız veya çalışma alanınızla Go için Databricks SDK'sının kimliğini doğrulama.

OAuth U2M erişim belirteçlerini el ile oluşturma

Bu bölüm, Databricks birleşik kimlik doğrulama standardını desteklemeyen üçüncü taraf araçlar veya hizmetlerle çalışan kullanıcılara yöneliktir. OAuth U2M kimlik doğrulaması için Azure Databricks OAuth belirteçlerini el ile oluşturmanız, yenilemeniz veya kullanmanız gerekiyorsa, bu bölümdeki adımları izleyin.

1. Adım: Kod doğrulayıcı ve sınama oluşturma

OAuth U2M erişim belirteçlerini el ile oluşturmak için bir kod doğrulayıcı ve eşleşen bir kod sınaması oluşturarak işe başlayın. Yetkilendirme kodu almak için 2. Adım'daki sınamayı ve bu kodu erişim belirteci ile değiştirmek için 3. Adım'daki doğrulayıcıyı kullanacaksınız.

Not

OAuth PKCE standardını izleyin:

• Kod doğrulayıcı , A–Za–z0–9karakterlerini -._~kullanan şifreli rastgele bir dizedir (43-128 karakter).
• Kod sınaması, doğrulayıcının Base64 URL ile kodlanmış SHA256 karmasıdır.

Daha fazla bilgi için bkz . Yetkilendirme İsteği.

Aşağıdaki Python betiği bir doğrulayıcı ve sınama oluşturur. Bunları birden çok kez kullanabilirsiniz ancak Azure Databricks, erişim belirteçlerini her el ile oluşturduğunuzda yeni bir çift oluşturmanızı önerir.

import hashlib, base64, secrets, string

# Allowed characters for the code verifier, per PKCE spec
allowed_chars = string.ascii_letters + string.digits + "-._~"

# Generate a secure code verifier (43–128 characters)
code_verifier = ''.join(secrets.choice(allowed_chars) for _ in range(64))

# Create the SHA256 hash of the code verifier
sha256_hash = hashlib.sha256(code_verifier.encode()).digest()

# Base64-url-encode the hash and strip any trailing '=' padding
code_challenge = base64.urlsafe_b64encode(sha256_hash).decode().rstrip("=")

# Output values
print(f"code_verifier:  {code_verifier}")
print(f"code_challenge: {code_challenge}")

2. Adım: Yetkilendirme kodu oluşturma

Azure Databricks OAuth erişim belirtecini almak için önce bir OAuth yetkilendirme kodu oluşturmanız gerekir. Bu kodun süresi kullanımdan hemen sonra dolar. Kodu hesap veya çalışma alanı düzeyinde oluşturabilirsiniz:

• Hesap düzeyi: Kullanıcınızın erişebileceği tüm çalışma alanlarında hem hesap düzeyinde hem de çalışma alanı düzeyinde REST API'lerini çağırmak için kullanın.
• Çalışma alanı düzeyi: Tek bir çalışma alanı içinde REST API'leri çağırmak için kullanın.

Not

Bu örnekler istemci kimliği olarak kullanılır databricks-cli . CLI veya SDK'lar gibi yerleşik bir Azure Databricks aracı kullanmıyorsanız, özel bir OAuth uygulamasını etkinleştirmeniz ve isteklerinizde bunu client_id kullanmanız gerekir. Bkz . İş ortağı OAuth uygulamalarını etkinleştirme veya devre dışı bırakma.

Hesap düzeyinde yetkilendirme kodu oluşturma

1. Hesap kimliğinizi bulun.

2. Tarayıcınızda, aşağıdaki değişiklikleri içeren URL'ye gidin:

   • <account-id>: Azure Databricks hesap kimliğiniz
   • <redirect-url>: Yerel yeniden yönlendirme URI'si (örneğin, http://localhost:8020)
   • <state>: Yanıtı doğrulamak için herhangi bir düz metin dizesi
   • <code-challenge>: 1. Adım'dan kodlama meydan okuması

   https://accounts.azuredatabricks.net/oidc/accounts/<account-id>/v1/authorize
   ?client_id=databricks-cli
   &redirect_uri=<redirect-url>
   &response_type=code
   &state=<state>
   &code_challenge=<code-challenge>
   &code_challenge_method=S256
   &scope=all-apis+offline_access
   

3. Azure Databricks hesabınıza erişmeniz istendiğinde oturum açın.

4. Oturum açtığınızda tarayıcı yeniden yönlendirme URL'nize gider. Bu barındırıcı ve bağlantı noktasında (örneğin, http://localhost:8020) hiçbir şey dinlemiyorsa, sayfada beklenen gibi bir bağlantı hatası gösterilir. Yetkilendirme kodunu adres çubuğundan kopyalayın. Sorgu dizesinde code='dan sonra ve sonraki &'den önce gelen alt dizedir.

   http://localhost:8020/?code=dcod...7fe6&state=<state>
   

   Değerin state başlangıçta sağladığınız değerle eşleştiğinden emin olun. Aksi takdirde kodu atın.

5. Hesap düzeyinde erişim belirteci oluşturmaya devam edin.

Çalışma alanı düzeyinde yetkilendirme kodu oluşturma

1. Tarayıcınızda, aşağıdaki değişiklikleri içeren URL'ye gidin:

   • <databricks-instance>: Sizin <databricks-instance> Azure Databricks çalışma alanı örneği adınızla, örneğin adb-1234567890123456.7.azuredatabricks.net
   • <redirect-url>: Yerel bir yeniden yönlendirme (örneğin, http://localhost:8020)
   • <state>: Yanıt doğrulaması için herhangi bir düz metin değeri
   • <code-challenge>: 1. Adım'dan alınan meydan okuma dizesi

   https://<databricks-instance>/oidc/v1/authorize
   ?client_id=databricks-cli
   &redirect_uri=<redirect-url>
   &response_type=code
   &state=<state>
   &code_challenge=<code-challenge>
   &code_challenge_method=S256
   &scope=all-apis+offline_access
   

2. Azure Databricks hesabınıza erişmeniz istendiğinde oturum açın.

3. Oturum açtığınızda tarayıcı yeniden yönlendirme URL'nize gider. Bu barındırıcı ve bağlantı noktasında (örneğin, http://localhost:8020) hiçbir şey dinlemiyorsa, sayfada beklenen gibi bir bağlantı hatası gösterilir. Yetkilendirme kodunu adres çubuğundan kopyalayın. Sorgu dizesinde code='den sonraki ve bir sonraki &'den önceki alt dizidir.

   http://localhost:8020/?code=dcod...7fe6&state=<state>
   

   Değerin state başlangıçta sağladığınız değerle eşleştiğinden emin olun. Aksi takdirde kodu atın.

4. Çalışma alanı düzeyinde erişim belirteci oluşturmaya devam edin.

3. Adım: Erişim belirteci için yetkilendirme kodunu değiştirme

Azure Databricks OAuth erişim belirtecinin yetkilendirme kodunu değiştirmek için uygun düzeyi seçin:

• Hesap düzeyi: Kullanıcınızın erişebileceği tüm çalışma alanlarında hem hesap düzeyinde hem de çalışma alanı düzeyinde REST API'leri çağırmak için kullanın.
• Çalışma alanı düzeyi: Tek bir çalışma alanı içinde REST API'leri çağırmak için kullanın.

Hesap düzeyinde erişim belirteci oluşturma

1. OAuth erişim belirteci için hesap düzeyinde yetkilendirme kodunu değiştirmek için kullanın curl .

   İstekte aşağıdakini değiştirin:

   • <account-id>: Azure Databricks hesap kimliğiniz
   • <redirect-url>: Önceki adımdaki yeniden yönlendirme URL'si
   • <code-verifier>: Daha önce oluşturduğunuz doğrulayıcı
   • <authorization-code>: Önceki adımda yer alan yetkilendirme kodu

   curl --request POST \
   https://accounts.azuredatabricks.net/oidc/accounts/<account-id>/v1/token \
   --data "client_id=databricks-cli" \
   --data "grant_type=authorization_code" \
   --data "scope=all-apis offline_access" \
   --data "redirect_uri=<redirect-url>" \
   --data "code_verifier=<code-verifier>" \
   --data "code=<authorization-code>"
   

2. Yanıttan access_token değeri kopyalayın. Örneğin:

   {
     "access_token": "eyJr...Dkag",
     "refresh_token": "doau...f26e",
     "scope": "all-apis offline_access",
     "token_type": "Bearer",
     "expires_in": 3600
   }
   

   Belirteç bir saat geçerlidir.

3. 4. Adıma Geçin: Azure Databricks REST API'sini çağırma.

Çalışma alanı düzeyinde erişim belirteci oluşturma

1. OAuth erişim belirtecinin çalışma alanı düzeyinde yetkilendirme kodunu değiştirmek için kullanın curl .

   İstekte aşağıdakini değiştirin:

   • <databricks-instance>: Sizin <databricks-instance> Azure Databricks çalışma alanı örneği adınızla, örneğin adb-1234567890123456.7.azuredatabricks.net
   • <redirect-url>: Önceki adımdaki yeniden yönlendirme URL'si
   • <code-verifier>: Daha önce oluşturduğunuz doğrulayıcı
   • <authorization-code>: Çalışma alanı düzeyinde yetkilendirme kodu

   curl --request POST \
   https://<databricks-instance>/oidc/v1/token \
   --data "client_id=databricks-cli" \
   --data "grant_type=authorization_code" \
   --data "scope=all-apis offline_access" \
   --data "redirect_uri=<redirect-url>" \
   --data "code_verifier=<code-verifier>" \
   --data "code=<authorization-code>"
   

2. Yanıttan access_token değeri kopyalayın. Örneğin:

   {
     "access_token": "eyJr...Dkag",
     "refresh_token": "doau...f26e",
     "scope": "all-apis offline_access",
     "token_type": "Bearer",
     "expires_in": 3600
   }
   

   Belirteç bir saat geçerlidir.

4. Adım: Azure Databricks REST API'sini çağırma

Kapsamına bağlı olarak hesap düzeyinde veya çalışma alanı düzeyinde REST API'leri çağırmak için erişim belirtecini kullanın. Hesap düzeyinde API'leri çağırmak için Azure Databricks kullanıcınızın hesap yöneticisi olması gerekir.

Örnek hesap düzeyinde REST API isteği

Bu örnek, bir hesapla ilişkili tüm çalışma alanlarının listesini almak için curl ve Bearer kimlik doğrulamasıyla birlikte kullanır.

• <oauth-access-token> değerini hesap düzeyi OAuth erişim belirteci ile değiştirin.
• Hesap kimliğiniz ile <account-id> değerini değiştirin.

export OAUTH_TOKEN=<oauth-access-token>

curl --request GET --header "Authorization: Bearer $OAUTH_TOKEN" \
"https://accounts.azuredatabricks.net/api/2.0/accounts/<account-id>/workspaces"

Örnek çalışma alanı düzeyinde REST API isteği

Bu örnek, belirtilen çalışma alanındaki kullanılabilir tüm kümeleri listelemek için curl ve Bearer kimlik doğrulamasını birlikte kullanır.

• <oauth-access-token> değerini hesap düzeyinde veya çalışma alanı düzeyinde OAuth erişim belirteci ile değiştirin.
• Azure Databricks <databricks-instance> ile değiştirin, örneğin adb-1234567890123456.7.azuredatabricks.net.

export OAUTH_TOKEN=<oauth-access-token>

curl --request GET --header "Authorization: Bearer $OAUTH_TOKEN" \
"https://<databricks-instance>/api/2.0/clusters/list"

OAuth U2M kullanarak hizmet sorumlusu olarak kimlik doğrulaması

Important

Bu özellik Beta sürümündedir. Çalışma alanı yöneticileri Bu özelliğe erişimi Önizlemeler sayfasından denetleyebilir. Bkz. Azure Databricks önizlemelerini yönetme.

Hizmet sorumlusu adına belirteç almak ve kendi kullanıcı hesabınız yerine hizmet sorumlusunun kimliğini kullanarak Azure Databricks API'lere erişmek için standart U2M OAuth akışını kullanın.

Kimlik doğrulaması yapmak istediğiniz hizmet sorumlusunda Hizmet Sorumlusu Yöneticisi rolüne sahip olmanız gerekir. Hizmet sorumlusunu oluşturduysanız, bu role otomatik olarak sahip olursunuz. Bkz. Hizmet sorumlularını yönetme rolleri.

1. Standart U2M akışını başlatın. Aşağıdaki örnekte Databricks CLI kullanılmaktadır:

   databricks auth login --host <workspace-url>
   

2. Yetkilendirme için bir tarayıcı penceresi açılır. Açılan listeden kimlik doğrulaması için hizmet sorumlusunu seçin ve ardından uygulamayı yetkileyin.

3. OAuth belirteci hizmet sorumlusunun kimliğiyle verilir. Belirteçteki sub talebi, seçilen hizmet sorumlusuna karşılık gelir. Belirteci görüntülemek için şunu çalıştırın:

   databricks auth token --host <workspace-url>
   

Bu akış, standart U2M kimlik doğrulamayı destekleyen tüm uygulamalarla çalışır. Adımların tamamı için bkz. Birleşik kimlik doğrulaması ile otomatik yetkilendirme veya OAuth U2M erişim belirteçlerini el ile oluşturma.

OAuth onayınızı yönetme

OAuth U2M yetkilendirme akışı sırasında tarayıcınız bir uygulama tarafından istenen kapsamları onaylamanızı isteyen bir onay ekranı görüntüleyebilir. Zaten verilen onayı görüntüleyebilir veya iptal edebilirsiniz.

Onayı görüntülemek veya iptal etmek için uygulamanın tümleştirme kimliği gerekir. Uygulama bir Databricks uygulamasıysa, oauth2_app_client_id REST API'sini çağırarak alanından kimliği alın. Databricks Uygulamalarının kapsamlarını yapılandırmak için bkz. Uygulamaya kapsam ekleme. Diğer uygulamalar için hesap yöneticinize başvurun.

Bir uygulama için onaylanan kapsamları görüntülemek için:

curl --request GET \
  --header "Authorization: Bearer $OAUTH_TOKEN" \
  "https://<databricks-instance>/api/2.0/oauth-app-integrations/<app-integration-id>/user-consent/me"

Bir uygulamaya verdiğiniz onayı iptal etmek için:

curl --request DELETE \
  --header "Authorization: Bearer $OAUTH_TOKEN" \
  "https://<databricks-instance>/api/2.0/oauth-app-integrations/<app-integration-id>/user-consent/me"

Not

Onayın iptali mevcut belirteçleri geçersiz kılmaz. Uygulama, bu belirteçlerin süresi dolana kadar yeni erişim belirteçleri almak için mevcut yenileme belirteçlerini kullanmaya devam edebilir. Süre dolduktan sonra, uygulama yeni belirteçleri almak için yeni bir yetkilendirme akışı başlatamaz.

Aşağıdakileri değiştirin:

• <databricks-instance>: Sizin <databricks-instance> Azure Databricks çalışma alanı örneği adınızla, örneğin adb-1234567890123456.7.azuredatabricks.net
• <app-integration-id>: Uygulama tümleştirme kimliği