Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här sidan innehåller översiktsinformation om OAuth-tokenfederation för åtkomst till Azure Databricks-konto- och arbetsyteresurser med hjälp av token från din identitetsprovider.
Vad är Databricks OAuth-tokenfederation?
Med Databricks OAuth-tokenfederation kan du på ett säkert sätt komma åt Databricks-API:er med hjälp av token från dina betrodda identitetsprovidrar (IDP:er). OAuth-tokenfederation eliminerar behovet av att hantera och rotera Databricks-hemligheter, till exempel personliga åtkomsttoken och Databricks OAuth-klienthemligheter.
Med hjälp av Databricks OAuth-tokenfederation utbyter användare och tjänsthuvudnamn JWT-token (JSON-webbtoken) från din identitetsprovider för Databricks OAuth-token, som sedan kan användas för att komma åt Databricks-API:er.
Varför rekommenderas OAuth-tokenfederation starkt för arbetsbelastningar?
OAuth-tokenfederation är en enklare och säkrare metod för autentisering till Databricks, särskilt för automatiserade arbetsbelastningar. Din arbetsbelastning autentiserar till Databricks som ett tjänstehuvudnamn i ditt Databricks-konto, med hjälp av arbetsbelastningsidentitetstoken som utfärdats av automationsmiljön. Databricks SDK:er och Databricks CLI hämtar automatiskt dessa arbetsbelastningsidentitetstoken och utbyter dem mot Databricks OAuth-token, vilket eliminerar behovet av att hantera och rotera Databricks-hemligheter.
Vilka typer av tokenfederation stöds?
Databricks stöder två typer av tokenfederation:
- Kontoomfattande tokenfederation gör det möjligt för alla användare och tjänsteprincipaler i ditt Databricks-konto att använda Databricks API:er med token från din identitetsleverantör. Med kontoomfattande tokenfederation kan du centralisera hanteringen av tokenutfärdandeprinciper i din identitetsprovider och används vanligtvis i kombination med SCIM, så att användare i din identitetsprovider synkroniseras till ditt Azure Databricks-konto. Se Kontoomfattande tokenfederation.
- Arbetsbelastningsidentitetsfederation gör att dina automatiserade arbetsbelastningar som körs utanför Azure Databricks kan komma åt Databricks-API:er utan att databricks-hemligheter behövs. Med arbetsbelastningsidentitetsfederation autentiserar ditt program (arbetsbelastning) sig till Databricks som en service-principal med hjälp av token som utfärdats av körmiljön för arbetsbelastningen. Se Federation för arbetsbelastningsidentitet.
Anteckning
Microsoft Azure-användare kan också använda MS Entra-token för att på ett säkert sätt använda Azure Databricks CLI och API:er.
Hur konfigurerar jag OAuth-tokenfederation?
Så här konfigurerar du OAuth-tokenfederation för ditt Databricks-konto eller din arbetsbelastning:
Avgör om du ska använda tokenfederation för hela kontot eller identitetsfederation för arbetsbelastning.
Skapa en federationspolicy. Du behöver:
- Ditt konto-ID (för kontoomfattande tokenfederation).
- ID:t för tjänstens huvudnamn som du ska använda (för arbetsbelastningsidentitetsfederation).
- Information från verktyget eller providern som ska utfärda federerade token.
Konfigurera verktyget eller identitetsprovidern för att autentisera till Databricks med hjälp av federerade token. Exempel på konfiguration för vanliga CI/CD-identitetsprovidrar finns i Aktivera arbetsbelastningsidentitetsfederation i CI/CD.