مصادقة Databricks CLI

توضح هذه المقالة كيفية إعداد المصادقة بين Databricks CLI وحسابات Azure Databricks ومساحات العمل. راجع ما هو Databricks CLI؟.

تفترض هذه المقالة أنك قمت بالفعل بتثبيت Databricks CLI. راجع تثبيت Databricks CLI أو تحديثه.

قبل أن تتمكن من تشغيل أوامر Databricks CLI، يجب إعداد المصادقة بين Databricks CLI وحسابات Azure Databricks أو مساحات العمل أو مزيج من هذه، اعتمادا على أنواع أوامر CLI التي تريد تشغيلها.

يجب مصادقة Databricks CLI إلى الموارد ذات الصلة في وقت التشغيل لتشغيل أوامر أتمتة Azure Databricks داخل حساب أو مساحة عمل Azure Databricks. اعتمادا على ما إذا كنت تريد استدعاء الأوامر على مستوى مساحة عمل Azure Databricks أو الأوامر على مستوى حساب Azure Databricks أو كليهما، يجب عليك المصادقة على مساحة عمل Azure Databricks أو الحساب أو كليهما. للحصول على قائمة بمجموعات أوامر Azure Databricks على مستوى مساحة العمل وCLI على مستوى الحساب، قم بتشغيل الأمر databricks -h. للحصول على قائمة بعمليات واجهة برمجة تطبيقات REST على مستوى مساحة عمل Azure Databricks ومستوى الحساب التي تغطيها أوامر Databricks CLI، راجع Databricks REST API.

للحصول على معلومات حول مصادقة Microsoft Entra إلى Databricks باستخدام Azure DevOps على وجه التحديد، راجع المصادقة باستخدام Azure DevOps على Databricks.

توفر الأقسام التالية معلومات حول كيفية إعداد المصادقة بين Databricks CLI وAzure Databricks:

• مصادقة الرمز المميز للوصول الشخصي ل Azure Databricks
• مصادقة OAuth من جهاز إلى جهاز (M2M)
• مصادقة OAuth من مستخدم إلى جهاز (U2M)
• مصادقة الهويات المدارة من Azure
• المصادقة الأساسية لخدمة معرف Microsoft Entra
• مصادقة Azure CLI
• ترتيب المصادقة للتقييم

مصادقة الرمز المميز للوصول الشخصي ل Azure Databricks

تستخدم مصادقة الرمز المميز للوصول الشخصي ل Azure Databricks رمز وصول شخصي ل Azure Databricks لمصادقة كيان Azure Databricks الهدف، مثل حساب مستخدم Azure Databricks. راجع مصادقة الرمز المميز للوصول الشخصي ل Azure Databricks.

لإنشاء رمز مميز للوصول الشخصي، اتبع الخطوات الواردة في رموز الوصول الشخصي Azure Databricks لمستخدمي مساحة العمل.

لتكوين واستخدام مصادقة رمز الوصول الشخصي Azure Databricks، قم بما يلي:

1. استخدم Databricks CLI لتشغيل الأمر التالي:

   databricks configure
   

2. لمضيف Databricks المطالبة، أدخل عنوان URL الخاص بك في Azure Databricks لكل مساحة عمل، على سبيل المثال https://adb-1234567890123456.7.azuredatabricks.net.

3. بالنسبة إلى الرمز المميز للوصول الشخصي الموجه، أدخل رمز الوصول الشخصي Azure Databricks لمساحة العمل الخاصة بك.

   بعد إدخال الرمز المميز للوصول الشخصي إلى Azure Databricks، تتم إضافة ملف تعريف تكوين مطابق إلى ملفك .databrickscfg . إذا تعذر على Databricks CLI العثور على هذا الملف في موقعه الافتراضي، فإنه ينشئ هذا الملف لك أولا ثم يضيف ملف تعريف التكوين هذا إلى الملف الجديد. الموقع الافتراضي لهذا الملف موجود في ~ مجلد (الصفحة الرئيسية للمستخدم) على Unix أو Linux أو macOS أو %USERPROFILE% مجلد (الصفحة الرئيسية للمستخدم) على Windows.

4. يمكنك الآن استخدام خيار Databricks CLI --profile أو -p متبوعا باسم ملف تعريف التكوين الخاص بك، كجزء من استدعاء أمر Databricks CLI، على سبيل المثال databricks clusters list -p <configuration-profile-name>.

مصادقة OAuth من جهاز إلى جهاز (M2M)

بدلا من المصادقة باستخدام Azure Databricks باستخدام مصادقة رمز الوصول الشخصي Azure Databricks، يمكنك استخدام مصادقة OAuth. يوفر OAuth رموزا مميزة بأوقات انتهاء صلاحية أسرع من الرموز المميزة للوصول الشخصي ل Azure Databricks، ويوفر إبطال جلسة عمل أفضل من جانب الخادم وتحديد النطاق. نظرا لأن الرموز المميزة للوصول إلى OAuth تنتهي صلاحيتها في أقل من ساعة، فإن هذا يقلل من المخاطر المرتبطة بالتحقق من الرموز المميزة عن طريق الخطأ في التحكم بالمصادر. راجع أيضا مصادقة الوصول إلى Azure Databricks باستخدام كيان خدمة باستخدام OAuth (OAuth M2M) .

لتكوين مصادقة OAuth M2M واستخدامها، قم بما يلي:

1. أكمل إرشادات إعداد مصادقة OAuth M2M. راجع مصادقة الوصول إلى Azure Databricks باستخدام كيان خدمة باستخدام OAuth (OAuth M2M)

2. إنشاء ملف تعريف تكوين Azure Databricks أو تعريفه باستخدام الحقول التالية في ملفك.databrickscfg. إذا قمت بإنشاء ملف التعريف، فاستبدل العناصر النائبة بالقيم المناسبة.

   بالنسبة للأوامر على مستوى الحساب، قم بتعيين القيم التالية في ملفك .databrickscfg :

   [<some-unique-configuration-profile-name>]
   host          = <account-console-url>
   account_id    = <account-id>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

   بالنسبة للأوامر على مستوى مساحة العمل، قم بتعيين القيم التالية في الملف:.databrickscfg

   [<some-unique-configuration-profile-name>]
   host          = <workspace-url>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

   إشعار

   الموقع الافتراضي للملف .databrickscfg موجود في الدليل الرئيسي للمستخدم. هذا ل ~ Linux وmacOS وWindows %USERPROFILE% .

3. استخدم خيار Databricks CLI --profile أو -p متبوعا باسم ملف تعريف التكوين كجزء من استدعاء أمر Databricks CLI، على سبيل المثال، databricks account groups list -p <configuration-profile-name> أو databricks clusters list -p <configuration-profile-name>.

   تلميح

   اضغط Tab بعد --profile أو -p لعرض قائمة بملفات تعريف التكوين المتوفرة الحالية للاختيار من بينها، بدلا من إدخال اسم ملف تعريف التكوين يدويا.

مصادقة OAuth من مستخدم إلى جهاز (U2M)

بدلا من المصادقة باستخدام Azure Databricks باستخدام مصادقة الرمز المميز، يمكنك استخدام مصادقة OAuth. يوفر OAuth رموزا مميزة بأوقات انتهاء صلاحية أسرع من الرموز المميزة للوصول الشخصي ل Azure Databricks، ويوفر إبطال جلسة عمل أفضل من جانب الخادم وتحديد النطاق. نظرا لأن الرموز المميزة للوصول إلى OAuth تنتهي صلاحيتها في أقل من ساعة، فإن هذا يقلل من المخاطر المرتبطة بالتحقق من الرموز المميزة عن طريق الخطأ في التحكم بالمصادر. راجع أيضا مصادقة الوصول إلى Azure Databricks باستخدام حساب مستخدم باستخدام OAuth (OAuth U2M) .

لتكوين مصادقة OAuth U2M واستخدامها، قم بما يلي:

1. قبل استدعاء أي أوامر على مستوى حساب Azure Databricks، يجب بدء إدارة الرمز المميز OAuth محليا عن طريق تشغيل الأمر التالي. يجب تشغيل هذا الأمر بشكل منفصل لكل حساب تريد تشغيل الأوامر عليه. إذا كنت لا تريد استدعاء أي عمليات على مستوى الحساب، فانتقل إلى الخطوة 5.

   في الأمر التالي، استبدل العناصر النائبة التالية:

   • استبدل <account-console-url> ب Azure Databricks https://accounts.azuredatabricks.net.
   • استبدل <account-id> بمعرف حساب Azure Databricks الخاص بك. راجع تحديد موقع معرف حسابك.

   databricks auth login --host <account-console-url> --account-id <account-id>
   

2. يطالبك Databricks CLI بحفظ عنوان URL لوحدة تحكم الحساب ومعرف الحساب محليا كملف تعريف تكوين Azure Databricks. اضغط Enter لقبول اسم ملف التعريف المقترح، أو أدخل اسم ملف تعريف جديد أو موجود. يتم استبدال أي ملف تعريف موجود بنفس الاسم بعنوان URL لوحدة تحكم الحساب هذا ومعرف الحساب.

   للحصول على قائمة بأي ملفات تعريف موجودة، في محطة طرفية أو موجه أوامر منفصل، قم بتشغيل الأمر databricks auth profiles. لعرض الإعدادات الموجودة لملف تعريف معين، قم بتشغيل الأمر databricks auth env --profile <profile-name>.

3. في مستعرض الويب الخاص بك، أكمل الإرشادات التي تظهر على الشاشة لتسجيل الدخول إلى حساب Azure Databricks الخاص بك.

4. لعرض قيمة الرمز المميز OAuth الحالية والطوابع الزمنية القادمة لانتهاء الصلاحية، قم بتشغيل الأمر databricks auth token --host <account-console-url> --account-id <account-id>.

5. قبل استدعاء أي أوامر على مستوى مساحة عمل Azure Databricks، يجب بدء إدارة الرمز المميز OAuth محليا عن طريق تشغيل الأمر التالي. يجب تشغيل هذا الأمر بشكل منفصل لكل مساحة عمل تريد تشغيل الأوامر مقابلها.

   في الأمر التالي، استبدل <workspace-url> بعنوان URL الخاص ب Azure Databricks لكل مساحة عمل، على سبيل المثال https://adb-1234567890123456.7.azuredatabricks.net.

   databricks auth login --host <workspace-url>
   

6. يطالبك Databricks CLI بحفظ عنوان URL لمساحة العمل محليا كملف تعريف تكوين Azure Databricks. اضغط Enter لقبول اسم ملف التعريف المقترح، أو أدخل اسم ملف تعريف جديد أو موجود. تتم الكتابة فوق أي ملف تعريف موجود بنفس الاسم باستخدام عنوان URL لمساحة العمل هذا.

   للحصول على قائمة بأي ملفات تعريف موجودة، في محطة طرفية أو موجه أوامر منفصل، قم بتشغيل الأمر databricks auth profiles. لعرض الإعدادات الموجودة لملف تعريف معين، قم بتشغيل الأمر databricks auth env --profile <profile-name>.

7. في مستعرض الويب الخاص بك، أكمل الإرشادات التي تظهر على الشاشة لتسجيل الدخول إلى مساحة عمل Azure Databricks.

8. لعرض قيمة الرمز المميز OAuth الحالية والطوابع الزمنية القادمة لانتهاء الصلاحية، قم بتشغيل الأمر databricks auth token --host <workspace-url>.

9. استخدم خيار Databricks CLI --profile أو -p متبوعا باسم ملف تعريف التكوين الخاص بك، كجزء من استدعاء أمر Databricks CLI، على سبيل المثال databricks account groups list -p <configuration-profile-name> أو databricks clusters list -p <configuration-profile-name>.

   تلميح

   يمكنك الضغط Tab بعد --profile أو -p لعرض قائمة بملفات تعريف التكوين المتوفرة الحالية للاختيار من بينها، بدلا من إدخال اسم ملف تعريف التكوين يدويا.

مصادقة الهويات المدارة من Azure

تستخدم مصادقة الهويات المدارة من Azure الهويات المدارة لموارد Azure (المعروف سابقا ب هويات الخدمة المدارة (MSI)) للمصادقة. راجع ما هي الهويات المدارة لموارد Azure؟. راجع أيضا مصادقة الهويات المدارة من Azure.

لإنشاء هوية مدارة يعينها مستخدم Azure، قم بما يلي:

1. إنشاء أو تحديد جهاز Azure الظاهري وتثبيت Databricks CLI عليه، ثم تعيين هويتك المدارة إلى Azure VM وحسابات Azure Databricks المستهدفة أو مساحات العمل أو كليهما. راجع إعداد واستخدام مصادقة الهويات المدارة من Azure لأتمتة Azure Databricks.

2. على جهاز Azure الظاهري، قم بإنشاء أو تعريف ملف تعريف تكوين Azure Databricks مع الحقول التالية في ملفك.databrickscfg. إذا قمت بإنشاء ملف التعريف، فاستبدل العناصر النائبة بالقيم المناسبة.

   بالنسبة للأوامر على مستوى الحساب، قم بتعيين القيم التالية في ملفك .databrickscfg :

   [<some-unique-configuration-profile-name>]
   host            = <account-console-url>
   account_id      = <account-id>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   بالنسبة للأوامر على مستوى مساحة العمل، قم بتعيين القيم التالية في الملف:.databrickscfg

   [<some-unique-configuration-profile-name>]
   host            = <workspace-url>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   بالنسبة للأوامر على مستوى مساحة العمل، إذا لم تتم إضافة الهوية الهدف بالفعل إلى مساحة العمل، فحدد azure_workspace_resource_id مع معرف مورد Azure، بدلا من host عنوان URL لمساحة العمل. في هذه الحالة، يجب أن يكون للهوية الهدف أذونات المساهم أو المالك على الأقل على مورد Azure.

   إشعار

   الموقع الافتراضي للملف .databrickscfg موجود في الدليل الرئيسي للمستخدم. هذا ل ~ Linux وmacOS وWindows %USERPROFILE% .

3. على جهاز Azure الظاهري، استخدم خيار Databricks CLI --profile أو -p متبوعا باسم ملف تعريف التكوين لتعيين ملف تعريف Databricks لاستخدامه، على سبيل المثال، databricks account groups list -p <configuration-profile-name> أو databricks clusters list -p <configuration-profile-name>.

   تلميح

   يمكنك الضغط Tab بعد --profile أو -p لعرض قائمة بملفات تعريف التكوين المتوفرة الحالية للاختيار من بينها، بدلا من إدخال اسم ملف تعريف التكوين يدويا.

المصادقة الأساسية لخدمة معرف Microsoft Entra

تستخدم المصادقة الأساسية لخدمة معرف Microsoft Entra بيانات اعتماد كيان خدمة معرف Microsoft Entra للمصادقة. لإنشاء وإدارة كيانات الخدمة ل Azure Databricks، راجع إدارة أساسيات الخدمة. راجع أيضا مصادقة مدير خدمة MS Entra.

لتكوين واستخدام المصادقة الأساسية لخدمة Microsoft Entra ID، يجب أن يكون لديك مصادقة Azure CLI مثبتة محليا. يجب عليك أيضا القيام بما يلي:

1. إنشاء ملف تعريف تكوين Azure Databricks أو تعريفه باستخدام الحقول التالية في ملفك.databrickscfg. إذا قمت بإنشاء ملف التعريف، فاستبدل العناصر النائبة بالقيم المناسبة.

   بالنسبة للأوامر على مستوى الحساب، قم بتعيين القيم التالية في ملفك .databrickscfg :

   [<some-unique-configuration-profile-name>]
   host                = <account-console-url>
   account_id          = <account-id>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   بالنسبة للأوامر على مستوى مساحة العمل، قم بتعيين القيم التالية في الملف:.databrickscfg

   [<some-unique-configuration-profile-name>]
   host                = <workspace-url>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   بالنسبة للأوامر على مستوى مساحة العمل، إذا لم تتم إضافة أساس خدمة معرف Microsoft Entra الهدف بالفعل إلى مساحة العمل، فحدد azure_workspace_resource_id جنبا إلى جنب مع معرف مورد Azure، بدلا من host عنوان URL لمساحة العمل. في هذه الحالة، يجب أن يكون لمدير خدمة معرف Microsoft Entra الهدف أذونات المساهم أو المالك على الأقل على مورد Azure.

   إشعار

   الموقع الافتراضي للملف .databrickscfg موجود في الدليل الرئيسي للمستخدم. هذا ل ~ Linux وmacOS وWindows %USERPROFILE% .

2. استخدم خيار Databricks CLI --profile أو -p متبوعا باسم ملف تعريف التكوين الخاص بك، كجزء من استدعاء أمر Databricks CLI، على سبيل المثال databricks account groups list -p <configuration-profile-name> أو databricks clusters list -p <configuration-profile-name>.

   تلميح

   يمكنك الضغط Tab بعد --profile أو -p لعرض قائمة بملفات تعريف التكوين المتوفرة الحالية للاختيار من بينها، بدلا من إدخال اسم ملف تعريف التكوين يدويا.

مصادقة Azure CLI

تستخدم مصادقة Azure CLI Azure CLI لمصادقة الكيان الذي تم تسجيل الدخول إليه. راجع أيضا مصادقة Azure CLI.

لتكوين مصادقة Azure CLI، يجب عليك القيام بما يلي:

1. تثبيت Azure CLI محليا.

2. استخدم Azure CLI لتسجيل الدخول إلى Azure Databricks عن طريق تشغيل az login الأمر . راجع تسجيل الدخول إلى Azure CLI باستخدام حساب مستخدم Azure Databricks.

3. إنشاء ملف تعريف تكوين Azure Databricks أو تعريفه باستخدام الحقول التالية في ملفك.databrickscfg. إذا قمت بإنشاء ملف التعريف، فاستبدل العناصر النائبة بالقيم المناسبة.

   بالنسبة للأوامر على مستوى الحساب، قم بتعيين القيم التالية في ملفك .databrickscfg :

   [<some-unique-configuration-profile-name>]
   host       = <account-console-url>
   account_id = <account-id>
   

   بالنسبة للأوامر على مستوى مساحة العمل، قم بتعيين القيم التالية في الملف:.databrickscfg

   [<some-unique-configuration-profile-name>]
   host = <workspace-url>
   

   إشعار

   الموقع الافتراضي للملف .databrickscfg موجود في الدليل الرئيسي للمستخدم. هذا ل ~ Linux وmacOS وWindows %USERPROFILE% .

4. استخدم خيار Databricks CLI --profile أو -p متبوعا باسم ملف تعريف التكوين الخاص بك، كجزء من استدعاء أمر Databricks CLI، على سبيل المثال databricks account groups list -p <configuration-profile-name> أو databricks clusters list -p <configuration-profile-name>.

   تلميح

   يمكنك الضغط Tab بعد --profile أو -p لعرض قائمة بملفات تعريف التكوين المتوفرة الحالية للاختيار من بينها، بدلا من إدخال اسم ملف تعريف التكوين يدويا.

ترتيب المصادقة للتقييم

عندما يحتاج Databricks CLI إلى جمع الإعدادات المطلوبة لمحاولة المصادقة باستخدام مساحة عمل أو حساب Azure Databricks، فإنه يبحث عن هذه الإعدادات في المواقع التالية، بالترتيب التالي.

1. لأي أمر يتم تشغيله من دليل عمل الحزمة (جذر المجموعة وأي مسار متداخل)، قيم الحقول داخل ملفات إعداد حزمة المشروع. (ملفات إعداد الحزمة لا تدعم التضمين المباشر لقيم بيانات اعتماد الوصول.)
2. قيم متغيرات البيئة، كما هو موضح في هذه المقالة وفي متغيرات البيئة والحقول للمصادقة الموحدة للعميل.
3. قيم حقل ملف تعريف التكوين داخل .databrickscfg الملف، كما هو موضح سابقا في هذه المقالة.

كلما عثر Databricks CLI على الإعدادات المطلوبة التي يحتاجها، فإنه يتوقف عن البحث في مواقع أخرى. على سبيل المثال:

• يحتاج Databricks CLI إلى قيمة رمز وصول شخصي Azure Databricks. DATABRICKS_TOKEN يتم تعيين متغير بيئة، ويحتوي .databrickscfg الملف أيضا على رموز وصول شخصية متعددة. في هذا المثال، يستخدم Databricks CLI قيمة DATABRICKS_TOKEN متغير البيئة ولا يبحث في .databrickscfg الملف.
• databricks bundle deploy -t dev يحتاج الأمر إلى قيمة رمز مميز للوصول الشخصي ل Azure Databricks. DATABRICKS_TOKEN لم يتم تعيين متغير بيئة، ويحتوي .databrickscfg الملف على رموز وصول شخصية متعددة. يحتوي ملف إعدادات حزمة المشروع على dev إعلان بيئة يشير من خلال حقله profile إلى ملف تعريف تكوين يسمى DEV. في هذا المثال، يبحث Databricks CLI في .databrickscfg الملف عن ملف تعريف يسمى DEV ويستخدم قيمة حقل ملف التعريف token هذا.
• databricks bundle run -t dev hello-job يحتاج الأمر إلى قيمة رمز مميز للوصول الشخصي ل Azure Databricks. DATABRICKS_TOKEN لم يتم تعيين متغير بيئة، ويحتوي .databrickscfg الملف على رموز وصول شخصية متعددة. يحتوي ملف إعدادات حزمة المشروع على dev إعلان بيئة يشير من خلال حقله host إلى عنوان URL محدد لمساحة عمل Azure Databricks. في هذا المثال، يبحث Databricks CLI من خلال ملفات تعريف التكوين داخل .databrickscfg الملف عن ملف تعريف يحتوي على host حقل بعنوان URL لمساحة عمل مطابقة. يعثر Databricks CLI على حقل مطابق host ثم يستخدم قيمة حقل ملف التعريف token هذا.