Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här sidan beskriver hur du auktoriserar åtkomst till Azure Databricks-resurser med hjälp av Azure Databricks CLI- och REST-API:er. Den beskriver olika auktoriseringsmetoder, när de ska användas och hur du konfigurerar autentisering för ditt användningsfall.
För att få åtkomst till Azure Databricks-resurser med CLI- eller REST-API:erna måste du autentisera med ett Azure Databricks-konto med lämpliga behörigheter. Din Azure Databricks-administratör eller en användare med administratörsbehörighet konfigurerar kontot.
Konto- och API-typer
Det finns två typer av konton som du kan använda för autentisering:
- Användarkonto: För interaktiva CLI-kommandon och API-anrop.
- Tjänstens huvudnamn: För automatiserade CLI-kommandon och API-anrop utan mänsklig interaktion.
Du kan använda MS Entra tjänsthuvudkonto för att auktorisera åtkomst till ditt Azure Databricks-konto eller din arbetsyta. Se autentisera med MS Entra tjänstens serviceprinciper. Databricks rekommenderar dock att du använder en Databricks-serviceprincipal med OAuth, eftersom dess åtkomsttoken är mer robust för auktorisering endast för Databricks.
Azure Databricks har två typer av API:er som kräver olika autentiseringsmetoder:
- API:er på kontonivå: Tillgänglig för kontoägare och administratörer som finns på kontokonsolens URL. Se API:er på kontonivå.
- Arbetsyte-nivå API:er: Tillgängliga för arbetsyteanvändare och administratörer, hostade på arbetsyta-URL:er. Se API:er på arbetsytenivå.
Auktoriseringsmetoder
Välj den auktoriseringsmetod som passar bäst för ditt användningsfall. Azure Databricks-verktyg och SDK:er stöder flera auktoriseringsmetoder, så att du kan välja den lämpligaste för ditt scenario.
| Method | Description | Användningsfall |
|---|---|---|
| Databricks OAuth-tokenfederation (rekommenderas) | OAuth-token från din identitetsleverantör för användare eller tjänstens huvudkonto. | Gör att du kan autentisera till Azure Databricks utan att hantera Databricks-hemligheter. |
| Databricks OAuth för serviceprincipaler (OAuth M2M) | Kortlivade OAuth-token för tjänst-principaler. | Obevakade autentiseringsscenarier, till exempel helt automatiserade arbetsflöden och CI/CD-arbetsflöden. |
| OAuth för användare (OAuth U2M) | Kortlivade OAuth-token för användare. | Deltog i autentiseringsscenariot, där du använder webbläsaren för att autentisera med Azure Databricks i realtid när du uppmanas att göra det. |
| Azure-hanterad tjänstidentitetsauktorisering | Microsoft Entra-ID-token för Azure-hanterade identiteter. | Använd endast med Azure-resurser som stöder hanterade identiteter, till exempel virtuella Azure-datorer. |
| Auktorisering av Microsoft Entra ID-serviceprincipal | Microsoft Entra ID-token för Microsoft Entra ID-tjänstprincipaler. | Använd endast med Azure-resurser som stöder Microsoft Entra-ID-token och inte stöder hanterade identiteter, till exempel Azure DevOps. |
| Azure CLI-auktorisering | Microsoft Entra ID-token för användare eller Microsoft Entra ID-serviceprincipaler. | Använd för att auktorisera åtkomst till Azure-resurser och Azure Databricks med hjälp av Azure CLI. |
| Användarauktorisering för Microsoft Entra-ID | Microsoft Entra-ID-token för användare. | Använd endast med Azure-resurser som endast stöder Microsoft Entra-ID-token. Databricks rekommenderar inte att du skapar Microsoft Entra-ID-token för Azure Databricks-användare manuellt. |
Enhetlig autentisering
Enhetlig autentisering i Azure Databricks är ett konsekvent sätt att konfigurera autentisering för alla verktyg och SDK:er som stöds. Den här metoden använder standardmiljövariabler och konfigurationsprofiler för att lagra värden för autentiseringsuppgifter, så att du kan köra CLI-kommandon eller anropa API:er utan att konfigurera autentisering upprepade gånger.
Enhetlig autentisering hanterar kontotyper på olika sätt:
- Användarauktorisering: OAuth skapar och hanterar automatiskt åtkomsttoken för verktyg som stöder enhetlig autentisering. Se Auktorisera användaråtkomst till Azure Databricks med OAuth.
- Auktorisering av tjänstens huvudnamn: OAuth kräver klientautentiseringsuppgifter (klient-ID och hemlighet) som Azure Databricks tillhandahåller när du har tilldelat tjänstens huvudnamn till arbetsytor. Se Auktorisera tjänstens huvudnamnsåtkomst till Azure Databricks med OAuth.
Om du vill använda OAuth-åtkomsttoken måste din Azure Databricks-arbetsyta eller kontoadministratör ge ditt användarkonto eller tjänstens huvudnamn CAN USE behörighet för de konto- och arbetsytefunktioner som koden kommer åt.
Miljövariabler
Konfigurera enhetlig autentisering genom att ange följande miljövariabler. Vissa variabler gäller för både användarens och tjänstens huvudnamnsauktorisering, medan andra endast krävs för tjänstens huvudnamn.
| Miljövariabel | Description |
|---|---|
DATABRICKS_HOST |
URL:en för azure databricks-kontokonsolen (https://accounts.azuredatabricks.net) eller din Azure Databricks-arbetsyta (https://{workspace-url-prefix}.azuredatabricks.net). Välj baserat på vilken typ av åtgärder koden utför. |
DATABRICKS_ACCOUNT_ID |
Används för Azure Databricks-kontoåtgärder. Det här är ditt Azure Databricks-konto-ID. Information om hur du hämtar det finns i Hitta ditt konto-ID. |
DATABRICKS_CLIENT_ID |
(Endast OAuth för tjänstens huvudnamn) Klient-ID:t som du tilldelades när du skapade tjänstens huvudnamn. |
DATABRICKS_CLIENT_SECRET |
(Endast OAuth för tjänstens huvudnamn) Klienthemligheten som du genererade när du skapade tjänstens huvudnamn. |
I stället för att ange miljövariabler manuellt bör du överväga att definiera dem i en Databricks-konfigurationsprofil (.databrickscfg) på klientdatorn.
Konfigurationsprofiler
Azure Databricks-konfigurationsprofiler innehåller inställningar och autentiseringsuppgifter som Azure Databricks-verktyg och SDK:er behöver för att auktorisera åtkomst. Dessa profiler lagras i lokala klientfiler (vanligtvis med namnet .databrickscfg) för dina verktyg, SDK:er, skript och appar som ska användas.
Mer information finns i Konfigurationsprofiler för Azure Databricks.
Integreringar från tredje part
När du integrerar med tjänster och verktyg från tredje part måste du använda de autentiseringsmekanismer som tillhandahålls av dessa tjänster. Azure Databricks har dock stöd för vanliga integreringar:
- Databricks Terraform-provider: Få åtkomst till Azure Databricks-API:er från Terraform med ditt Azure Databricks-användarkonto. Se Etablera ett huvudnamn för tjänsten med hjälp av Terraform.
- Git-leverantörer: GitHub, GitLab och Bitbucket har åtkomst till Azure Databricks-API:er med hjälp av ett huvudnamn för Databricks-tjänsten. Se Serviceprincipaler för CI/CD.
- Jenkins: Få åtkomst till Azure Databricks-API:er med hjälp av en Databricks-tjänstens service principal. Se CI/CD med Jenkins på Azure Databricks.
- Azure DevOps: Få åtkomst till Azure Databricks-API:er med hjälp av ett MS Entra ID-baserat huvudnamn för tjänsten. Se Autentisera med Azure DevOps på Azure Databricks.