Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Op deze pagina wordt uitgelegd hoe u toegang tot Azure Databricks-resources kunt autoriseren met behulp van de Azure Databricks CLI en REST API's. Er worden verschillende autorisatiemethoden beschreven, wanneer deze moeten worden gebruikt en hoe u verificatie configureert voor uw use-case.
Als u toegang wilt krijgen tot Azure Databricks-resources met de CLI of REST API's, moet u zich verifiëren met behulp van een Azure Databricks-account met de juiste machtigingen. Uw Azure Databricks-beheerder of een gebruiker met beheerdersbevoegdheden configureert het account.
Account- en API-typen
Er zijn twee soorten accounts die u kunt gebruiken voor verificatie:
- Gebruikersaccount: Voor interactieve CLI-opdrachten en API-aanroepen.
- Service-principal: Voor geautomatiseerde CLI-opdrachten en API-aanroepen zonder menselijke interactie.
U kunt een MS Entra-service-principal gebruiken om toegang te verlenen tot uw Azure Databricks-account of -werkruimte. Zie Authenticeren met MS Entra serviceprincipals. Databricks raadt echter aan om een Databricks-service-principal met OAuth te gebruiken, omdat de toegangstokens robuuster zijn voor alleen Databricks-autorisatie.
Azure Databricks heeft twee typen API's waarvoor verschillende verificatiemethoden zijn vereist:
- API's op accountniveau: Beschikbaar voor accounteigenaren en beheerders, gehost op de URL van de accountconsole. Zie API's op accountniveau.
- API's op werkruimteniveau: Beschikbaar voor werkruimtegebruikers en -beheerders, gehost op werkruimte-URL's. Zie API's op werkruimteniveau.
Autorisatiemethoden
Kies de autorisatiemethode die het beste past bij uw use-case. Azure Databricks-hulpprogramma's en SDK's ondersteunen meerdere autorisatiemethoden, zodat u de meest geschikte methode voor uw scenario kunt selecteren.
| Method | Description | Gebruiksituatie |
|---|---|---|
| Databricks OAuth-tokenfederatie (aanbevolen) | OAuth-tokens van uw id-provider voor gebruikers of service-principals. | Hiermee kunt u zich verifiëren bij Azure Databricks zonder Databricks-geheimen te beheren. |
| Databricks OAuth voor service-principals (OAuth M2M) | OAuth-tokens met korte levensduur voor service-principals. | Scenario's voor verificatie zonder toezicht, zoals volledig geautomatiseerde en CI/CD-werkstromen. |
| OAuth voor gebruikers (OAuth U2M) | OAuth-tokens met korte levensduur voor gebruikers. | Er is een verificatiescenario gevolgd, waarbij u uw webbrowser gebruikt om in realtime te verifiëren met Azure Databricks, wanneer hierom wordt gevraagd. |
| Azure beheerde service-identiteitsautorisatie | Microsoft Entra ID-tokens voor door Azure beheerde identiteiten. | Gebruik alleen met Azure-resources die beheerde identiteiten ondersteunen, zoals virtuele Azure-machines. |
| autorisatie van de Microsoft Entra ID-service-principal | Microsoft Entra ID-tokens voor Microsoft Entra ID-service-principals. | Gebruik alleen met Azure-resources die Ondersteuning bieden voor Microsoft Entra ID-tokens en geen ondersteuning bieden voor beheerde identiteiten, zoals Azure DevOps. |
| Azure CLI-autorisatie | Microsoft Entra ID-tokens voor gebruikers of Microsoft Entra ID-service-principals. | Gebruik dit om toegang tot Azure-resources en Azure Databricks te autoriseren met behulp van de Azure CLI. |
| gebruikersautorisatie van Microsoft Entra ID | Microsoft Entra ID-tokens voor gebruikers. | Gebruik alleen met Azure-resources die alleen Ondersteuning bieden voor Microsoft Entra ID-tokens. Databricks raadt u niet aan om Handmatig Microsoft Entra ID-tokens te maken voor Azure Databricks-gebruikers. |
Geïntegreerde verificatie
Geïntegreerde verificatie van Azure Databricks biedt een consistente manier om verificatie te configureren voor alle ondersteunde hulpprogramma's en SDK's. Deze benadering maakt gebruik van standaardomgevingsvariabelen en configuratieprofielen om referentiewaarden op te slaan, zodat u CLI-opdrachten kunt uitvoeren of API's kunt aanroepen zonder herhaaldelijk verificatie te configureren.
Met geïntegreerde verificatie worden accounttypen anders verwerkt:
- Gebruikersautorisatie: OAuth maakt en beheert automatisch toegangstokens voor hulpprogramma's die geïntegreerde verificatie ondersteunen. Zie Gebruikerstoegang tot Azure Databricks autoriseren met OAuth.
- Autorisatie van service-principal: OAuth vereist clientreferenties (client-id en geheim) die Azure Databricks biedt nadat u de service-principal hebt toegewezen aan werkruimten. Zie Toegang tot de service-principal autoriseren voor Azure Databricks met OAuth.
Als u OAuth-toegangstokens wilt gebruiken, moet uw Azure Databricks-werkruimte of accountbeheerder uw gebruikersaccount of service-principal de CAN USE machtiging verlenen voor de account- en werkruimtefuncties waartoe uw code toegang heeft.
Omgevingsvariabelen
Als u geïntegreerde verificatie wilt configureren, stelt u de volgende omgevingsvariabelen in. Sommige variabelen zijn van toepassing op zowel autorisatie van gebruikers- als service-principals, terwijl andere alleen vereist zijn voor service-principals.
| Omgevingsvariabele | Description |
|---|---|
DATABRICKS_HOST |
De URL van uw Azure Databricks-accountconsole (https://accounts.azuredatabricks.net) of uw Azure Databricks-werkruimte (https://{workspace-url-prefix}.azuredatabricks.net). Kies op basis van het type bewerkingen dat uw code uitvoert. |
DATABRICKS_ACCOUNT_ID |
Wordt gebruikt voor bewerkingen van Azure Databricks-accounts. Dit is uw Azure Databricks-account-id. Om het te verkrijgen, zie Zoek uw account-id. |
DATABRICKS_CLIENT_ID |
(Alleen OAuth voor service-principal) De client-id die u is toegewezen bij het aanmaken van uw service-principal. |
DATABRICKS_CLIENT_SECRET |
(Alleen OAuth voor service-principal) De clientsleutel die u hebt gegenereerd tijdens het aanmaken van uw service-principal. |
In plaats van omgevingsvariabelen handmatig in te stellen, kunt u deze definiëren in een Databricks-configuratieprofiel (.databrickscfg) op uw clientcomputer.
Configuratieprofielen
Azure Databricks-configuratieprofielen bevatten instellingen en referenties die azure Databricks-hulpprogramma's en SDK's nodig hebben om toegang te verlenen. Deze profielen worden opgeslagen in lokale clientbestanden (meestal genoemd .databrickscfg) voor uw hulpprogramma's, SDK's, scripts en apps die u wilt gebruiken.
Zie Azure Databricks-configuratieprofielen voor meer informatie.
Integraties van derden
Wanneer u integreert met services en hulpprogramma's van derden, moet u de verificatiemechanismen van deze services gebruiken. Azure Databricks biedt echter ondersteuning voor algemene integraties:
- Databricks Terraform Provider: Toegang tot Azure Databricks-API's vanuit Terraform met behulp van uw Azure Databricks-gebruikersaccount. Zie Een service-principal inrichten met behulp van Terraform.
- Git-providers: GitHub, GitLab en Bitbucket hebben toegang tot Azure Databricks-API's met behulp van een Databricks-service-principal. Zie Service-principals voor CI/CD.
- Jenkins: Toegang tot Azure Databricks-API's met behulp van een Databricks-service-principal. Zie CI/CD met Jenkins in Azure Databricks.
- Azure DevOps: Toegang tot Azure Databricks-API's met behulp van een service-principal op basis van MS Entra ID. Zie Verifiëren met Azure DevOps in Azure Databricks.