Aracılığıyla paylaş

Azure DevOps Pipelines için iş yükü kimlik federasyonu etkinleştirme

OpenID Connect (OIDC) olarak da bilinen Databricks OAuth belirteci federasyonu, Databricks dışında çalışan otomatik iş yüklerinizin Databricks gizli dizilerine gerek kalmadan Databricks'e güvenli bir şekilde erişmesini sağlar. Bkz . OAuth belirteci federasyonu kullanarak Azure Databricks'e erişimin kimliğini doğrulama.

Azure DevOps Pipelines için iş yükü kimlik federasyonu etkinleştirmek için:

  1. Federasyon ilkesi oluşturma
  2. Azure DevOps Pipeline YAML'yi yapılandırma

İş yükü kimlik federasyonu etkinleştirildikten sonra Databricks SDK'ları ve Databricks CLI, Azure DevOps Pipelines'dan iş yükü kimlik belirteçlerini otomatik olarak getirir ve Databricks OAuth belirteçleriyle değiştirir.

Federasyon ilkesi oluşturma

İlk olarak, özel bir iş yükü kimliği federasyon ilkesi oluşturun. Yönergeler için bkz. Hizmet sorumlusu federasyon ilkesi yapılandırma. Azure DevOps için ilke için aşağıdaki değerleri ayarlayın:

  • Veren URL:https://vstoken.dev.azure.com/<org_id>, burada <org-id> Azure DevOps kuruluşunuzun GUID'sidir
  • Kitle -lere:api://AzureADTokenExchange
  • Konu:p://<org-name>/<project-name>/<pipeline-name> Burada <org-name> Azure DevOps kuruluşunuzun adı, <project-name> Azure DevOps projenizin adı ve <pipeline-name> Azure DevOps işlem hattınızın adıdır

Örneğin, aşağıdaki Databricks CLI komutu bir kuruluş kimliği ve databricks hizmet sorumlusu sayısal kimliği 7f1078d6-b20d-4a20-9d88-05a2f0d645a35581763342009999için bir federasyon ilkesi oluşturur:

databricks account service-principal-federation-policy create 5581763342009999 --json '{
  "oidc_policy": {
	"issuer": "https://vstoken.dev.azure.com/7f1078d6-b20d-4a20-9d88-05a2f0d645a3",
	"audiences": [
  	    "api://AzureADTokenExchange"
	],
	"subject": "p://my-org/my-project/my-pipeline"
  }
}
'

Azure DevOps Pipeline YAML'yi yapılandırma

Ardından Azure DevOps Pipeline YAML dosyasını yapılandırın. Aşağıdaki ortam değişkenlerini ayarlayın:

  • DATABRICKS_AUTH_TYPE: azure-devops-oidc
  • DATABRICKS_HOST: Databricks çalışma alanı URL'niz
  • DATABRICKS_CLIENT_ID: Hizmet sorumlusu (uygulama) kimliği
  • SYSTEM_ACCESSTOKEN: İşlem hattı değişkenini $(System.AccessToken) bu ortam değişkeniyle eşleyin
trigger: none
pool: test # my self-hosted pool name

variables:
  DATABRICKS_HOST: https://my-workspace.cloud.databricks.com/
  DATABRICKS_AUTH_TYPE: azure-devops-oidc
  DATABRICKS_CLIENT_ID: a1b2c3d4-ee42-1eet-1337-f00b44r

steps:
  - script: |
      databricks current-user me
    displayName: 'Display Databricks current user information'
    env:
      SYSTEM_ACCESSTOKEN: $(System.AccessToken)
  • Last updated on