本文說明如何為您的 Azure Databricks 帳戶啟用和停用合作夥伴 OAuth 應用程式。
默認會針對您的帳戶啟用 dbt Core、Power BI、Tableau Desktop 和 Tableau Cloud OAuth 應用程式。
注意
OAuth 應用程式的更新可能需要30分鐘才能處理。
使用 Azure Databricks UI 啟用自定義 OAuth 應用程式
您可以使用 Azure Databricks UI 來啟用其他自定義 OAuth 應用程式。
若要在 UI 中啟用自訂 OAuth 應用程式,請執行下列動作:
登入帳戶控制台,然後按下提要欄位中的 [設定] 圖示。
在 [應用程式連線] 索引標籤上,按一下 [新增連線]。
輸入下列詳細資料:
您的連線名稱
OAuth 連線的重新導向 URL。
針對 存取範圍,範圍會決定應用程式應該有權存取的API。
- 針對 BI 應用程式,
SQL必須有範圍,才能讓連線的應用程式存取 Databricks SQL API。 - 對於需要存取 Databricks API 的應用程式,除了查詢之外,
ALL APIs還需要範圍。
系統會自動允許下列範圍:
-
openid、email、profile:生成ID令牌所需的項目。 -
offline_access:產生重新整理令牌的必要條件。
如果您不想允許應用程式的這些範圍,您可以使用 POST /api/2.0/accounts/{account_id}/oauth2/custom-app-integrations API 來建立自定義應用程式,來管理更細緻的範圍。
- 針對 BI 應用程式,
存取令牌存留時間 (TTL) 以分鐘為單位。 預設值:
60。刷新令牌存留時間(TTL)以分鐘為單位。 預設值:
10080。是否要產生客戶端密碼。 這是非公用(機密)用戶端的必要專案。
[ 已建立 的連線] 對話框會顯示連線的用戶端標識碼和客戶端密碼,如果適用的話。
如果您選取 [產生客戶端密碼,請複製並安全地儲存客戶端密碼。 您稍後無法擷取客戶端密碼。
您可以在帳戶主控台中,於[設定]>[應用程式連線] 頁面上點擊應用程式名稱,來編輯 UI 中現有自定義 OAuth 應用程式的重新導向 URL、令牌 TTL 和重新整理令牌 TTL。 您也可以在UI中檢視現有的已發佈OAuth應用程式(dbt Core、Power BI、Tableau)。
您可以在 UI 中停用已發佈和自訂的 OAuth 應用程式,方法是點擊應用程式名稱或應用程式名稱旁邊的下拉選單,然後點擊 [ 移除]。
注意
停用應用程式會中斷應用程式連線,因此停用 OAuth 應用程式時請小心。 如果您在 UI 中停用已發佈的 OAuth 應用程式,則無法在 UI 中重新啟用。 若要重新啟用已發佈的應用程式,請參閱 使用 CLI 重新啟用 dbt Core、Power BI、Tableau Desktop 或 Tableau Cloud OAuth 應用程式。
注意
你只能透過 API 設定額外的 OAuth 安全功能(例如一次性刷新權杖)。 請參見一次性 刷新令牌 以啟用一次性刷新令牌以增強安全性。
使用 Databricks CLI 啟用或停用應用程式
本節說明如何使用 Databricks CLI 停用預設為您的帳戶啟用的合作夥伴 OAuth 應用程式,以及如何在停用之後重新啟用它們。 它也描述如何啟用和停用預設未啟用的Tableau Server。
開始之前
使用 Databricks CLI 啟用或停用合作夥伴 OAuth 應用程式整合之前,請執行下列動作:
若要停用或修改現有的 OAuth 應用程式,請找出整合標識碼。
針對 dbt Core、Power BI、Tableau Desktop 或 Tableau Cloud,請執行下列命令:
databricks account published-app-integration list針對自訂應用程式,例如 Tableau Server,請執行下列命令:
databricks account custom-app-integration list
會傳回每個 OAuth 應用程式的唯一整合標識碼。
使用 CLI 停用 dbt Core、Power BI、Tableau Desktop 或 Tableau Cloud OAuth 應用程式
若要停用 dbt Core、Power BI、Tableau Desktop 或 Tableau Cloud OAuth 應用程式,請執行下列命令,並將 取代 <integration-id> 為您想要刪除之 OAuth 應用程式的整合標識符:
databricks account published-app-integration delete <integration-id>
使用 CLI 重新啟用 dbt Core、Power BI、Tableau Desktop 或 Tableau Cloud OAuth 應用程式
dbt Core、Power BI、Tableau Desktop 和 Tableau Cloud 預設會啟用為帳戶中的 OAuth 應用程式。 若要在停用下列其中一個 OAuth 應用程式之後重新啟用,請執行下列命令,將 取代<application-id>為 databricks-dbt-adapter、 power-bitableau-desktop或 7de584d0-b7ad-4850-b915-be7de7d58711 (Tableau Cloud):
databricks account published-app-integration create <application-id>
會傳回 OAuth 應用程式的唯一整合標識碼。
使用 CLI 啟用自定義 OAuth 應用程式
默認會針對您的帳戶啟用 dbt Core、Power BI、Tableau Desktop 和 Tableau Cloud OAuth 應用程式。 您可以使用 Azure Databricks CLI 來啟用其他自定義 OAuth 應用程式。
如需啟用自定義 Tableau Server OAuth 應用程式的步驟,請參閱 從 Tableau Server 設定 Azure Databricks 登入。 如需使用 CLI 啟用任何自定義 OAuth 應用程式的一般步驟,請參閱下列各項:
執行
custom-app-integration create命令。 下列範例會建立非公用 (機密) 應用程式:databricks account custom-app-integration create --confidential --json '{"name":"<name>", "redirect_urls":["<redirect-url>"], "scopes":[<scopes>]}'- 將取代
<name>為自定義 OAuth 應用程式的名稱。 - 將取代
<redirect-url>為應用程式的重新導向URL。 - 將
<scopes>替換為您允許應用程式使用的範圍清單。- 針對 BI 應用程式,
SQL必須有範圍,才能讓連線的應用程式存取 Databricks SQL API。 - 對於需要存取 Databricks API 以用於 SQL 以外的用途的應用程式,
ALL APIs則需要範圍。 - 產生標識元令牌需要
openid、email和profile範圍。 - 需要
offline_access範圍,才能產生重新整理令牌。
- 針對 BI 應用程式,
如需支援值的詳細資訊,請參閱 REST API 參考中的 POST /api/2.0/accounts/{account_id}/oauth2/custom-app-integrations。
會產生用戶端識別碼。 對於非公用(機密)應用程式,也會產生客戶端密碼。 會傳回下列輸出:
{"integration_id":"<integration-id>","client_id":"<client-id>","client_secret":"<client-secret>"}注意
啟用 OAuth 應用程式可能需要 30 分鐘才能處理。
- 將取代
如果適用,請安全地儲存客戶端密碼。
重要
您稍後無法擷取客戶端密碼。
使用 CLI 停用自定義 OAuth 應用程式
若要停用現有的自定義 OAuth 應用程式,例如 Tableau Server,請執行下列命令,並將 取代 <integration-id> 為您要停用之 OAuth 應用程式的整合識別碼:
databricks account custom-app-integration delete <integration-id>