Felügyelet nélküli hozzáférés engedélyezése az Azure Databricks-erőforrásokhoz szolgáltatásnévvel az OAuth használatával
Ez a témakör az Azure Databricks CLI-parancsok automatizálása vagy az Azure Databricks REST API-k felügyelet nélküli folyamatból futtatott kódból történő meghívása során az Azure Databricks-erőforrásokhoz való hozzáférés engedélyezésének lépéseit és részleteit ismerteti.
Az Azure Databricks az OAuth protokollt használja a felhasználói engedélyezéshez és hitelesítéshez, amikor az Azure Databricks-erőforrásokkal a felhasználói felületen kívül kommunikál. Az Azure Databricks az egységes ügyfél-hitelesítési eszközt is biztosítja az OAuth hitelesítési módszerének részeként létrehozott hozzáférési jogkivonatok frissítésének automatizálásához. Ez a szolgáltatásnevekre és a felhasználói fiókokra is vonatkozik, de konfigurálnia kell egy szolgáltatásnevet a megfelelő engedélyekkel és jogosultságokkal azon Azure Databricks-erőforrásokhoz, amelyekhez a műveletei részeként hozzá kell férnie.
További részletes információkért lásd Azure Databricks-erőforrásokhoz való hozzáférés engedélyezését.
Milyen lehetőségek vannak az engedélyezésre és hitelesítésre az Azure Databricks szolgáltatásnév használatakor?
Ebben a témakörben engedélyezési az adott Azure Databricks-erőforrások delegáláson keresztüli elérésének egyeztetéséhez használt protokollra (OAuth) hivatkozik. hitelesítési a hitelesítő adatok reprezentálására, továbbítására és ellenőrzésére szolgáló mechanizmusra utal, amely ebben az esetben hozzáférési jogkivonatokat.
Az Azure Databricks OAuth 2.0-alapú engedélyezéssel engedélyezi az Azure Databricks-fiókhoz és a munkaterület erőforrásaihoz való hozzáférést a parancssorból vagy a kódból egy olyan szolgáltatásnév nevében, amely jogosult az erőforrások elérésére. Miután konfigurálta az Azure Databricks szolgáltatásnevet, és hitelesítő adatait a parancssori felületi parancsok futtatásakor vagy REST API-k meghívásakor ellenőrzi, a rendszer egy OAuth-jogkivonatot ad a résztvevő eszköznek vagy az SDK-nak, hogy jogkivonatalapú hitelesítést hajtson végre a szolgáltatásnév nevében az adott időponttól kezdve. Az OAuth hozzáférési jogkivonat élettartama egy óra, amelyet követően az érintett eszköz vagy SDK automatikusan megkísérli beszerezni az egy órán át érvényes új jogkivonatot.
Az Azure Databricks két módszert támogat egy szolgáltatásnév hozzáférésének engedélyezésére az OAuth használatával:
- Többnyire automatikusan, a Databricks egyesített ügyfélhitelesítési támogatásának használatával. Ezt az egyszerűsített módszert akkor használja, ha adott Azure Databricks SDK-kat (például a Databricks Terraform SDK-t) és eszközöket használ. A támogatott eszközök és SDK-k a Databricks egyesített ügyfélhitelesítésében szerepelnek. Ez a megközelítés jól alkalmazható automatizáláshoz vagy más felügyelet nélküli folyamatforgatókönyvekhez.
- Manuálisan, közvetlenül létrehozva egy OAuth-kód ellenőrző/kihívás párját és egy engedélyezési kódot, és ezekkel hozza létre a konfigurációban megadott kezdeti OAuth-jogkivonatot. Ezt a módszert akkor használja, ha nem a Databricks egyesített ügyfélhitelesítés által támogatott API-t használ. Ebben az esetben előfordulhat, hogy saját mechanizmust kell kidolgoznia a használt külső eszközre vagy API-ra vonatkozó hozzáférési jogkivonatok frissítésének kezeléséhez. További részletekért lásd: Hozzáférési jogkivonatok manuális létrehozása és használata az OAuth szolgáltatásnév-hitelesítéshez.
Mielőtt hozzákezd, konfigurálnia kell egy Azure Databricks-szolgáltatásnevet, és hozzá kell rendelnie a megfelelő engedélyeket ahhoz, hogy hozzáférhessen a szükséges erőforrásokhoz, amikor az automatizálási kód vagy parancsok kérik őket.
Előfeltétel: Szolgáltatásnév létrehozása
A fiókadminisztrátor és a munkaterület rendszergazdái szolgáltatásnevek létrehozására is képesek. Ez a lépés egy szolgáltatásnév létrehozását ismerteti egy Azure Databricks-munkaterületen. Az Azure Databricks-fiókkonzolról az Szolgáltatási főbb pontok kezelése a fiókbancímű témakörben található további információ.
Létrehozhat egy Felügyelt Microsoft Entra-azonosítójú szolgáltatásnevet is, és hozzáadhatja az Azure Databrickshez. További információ: Databricks és Microsoft Entra ID szolgáltatásnevek.
- Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
- Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállításoklehetőséget.
- Kattintson az Identitás és hozzáférés lapra.
- A Szolgáltatásnevek mellett kattintson a Kezelés gombra.
- Kattintson a Szolgáltatásnév hozzáadása elemre.
- Kattintson a keresőmezőben a legördülő nyílra, majd az Új hozzáadása parancsra.
- A Felügyelet területen válassza a Felügyelt Databricks lehetőséget.
- Adja meg a szolgáltatásnév nevét.
- Kattintson a Hozzáadás gombra.
A szolgáltatásnév hozzáadódik a munkaterülethez és az Azure Databricks-fiókhoz is.
1. lépés: Engedélyek hozzárendelése a szolgáltatásfőkulcshoz
- Kattintson a szolgáltatásnév nevére a részletek lap megnyitásához.
- A Konfigurációk lapon jelölje be a munkaterülethez tartozó összes jogosultság melletti jelölőnégyzetet, majd kattintson a Frissítésgombra.
- Az Engedélyek lapon adjon hozzáférést azoknak az Azure Databricks-felhasználóknak, szolgáltatásfőszereplőknek és csoportoknak, amelyeket használni és kezelni kíván ezzel a szolgáltatásfőszereplővel. Lásd: Szerepkörök kezelése szolgáltatásnéven.
2. lépés: Hozzon létre egy OAuth titkot egy szolgáltatásfelelős számára
Ahhoz, hogy az OAuth használatával engedélyezze az Azure Databricks-erőforrásokhoz való hozzáférést, először létre kell hoznia egy OAuth-titkos kulcsot, amely OAuth-hozzáférési jogkivonatok létrehozására használható a hitelesítéshez. Egy szolgáltatásnév legfeljebb öt OAuth-titkos kódtal rendelkezhet. A fiókadminisztrátor és a munkaterület rendszergazdái OAuth-titkos kulcsot hozhatnak létre egy szolgáltatásnévhez.
A szolgáltatásnév részletek lapján kattintson a Titkos kulcsok fülre.
A OAuth titkos kulcsokcsoportban kattintson a Titkos kódok létrehozásaelemre.
Másolja ki a megjelenített titkos kulcsot és ügyfélazonosítót, majd kattintson a Kész gombra.
A titkos kód csak egyszer lesz felfedve a létrehozás során. Az ügyfélazonosító megegyezik a szolgáltatásnév alkalmazásazonosítójával.
A fiókgazdák OAuth-titkos kulcsot is létrehozhatnak a fiókkonzol szolgáltatásnév-részleteinek oldaláról.
Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
Kattintson a
Felhasználókezelés elemre.A Szolgáltatásnevek lapon válassza ki a szolgáltatásnevet.
A OAuth titkos kulcsokcsoportban kattintson a Titkos kódok létrehozásaelemre.
Másolja ki a megjelenített titkos kulcsot és ügyfélazonosítót, majd kattintson a Kész gombra.
Feljegyzés
Ahhoz, hogy a szolgáltatásnév fürtöket vagy SQL-raktárakat használhasson, hozzáférést kell adnia a szolgáltatásnévnek. Lásd: Számítási engedélyek vagy SQL-raktár kezelése.
3. lépés: OAuth-hitelesítés használata
Az OAuth-hitelesítés egyesített ügyfél-hitelesítési eszközzel való használatához a következő környezeti változókat, .databrickscfg mezőket, Terraform-mezőket vagy Config mezőket kell beállítania:
- Az Azure Databricks-gazdagép, amely
https://accounts.azuredatabricks.neta fiókműveletekhez vagy a munkaterületenkénti URL-címhez van megadva, példáulhttps://adb-1234567890123456.7.azuredatabricks.netmunkaterület-műveletekhez. - Az Azure Databricks-fiókműveletek Azure Databricks-fiókazonosítója.
- A szolgáltatásnév ügyfélazonosítója.
- A szolgáltatásnév titkos kódja.
Az OAuth szolgáltatásfiók hitelesítésének végrehajtásához integrálja a következőket a kódjába, a résztvevő eszköz vagy az SDK alapján:
Környezet
Ha környezeti változókat szeretne használni egy adott Azure Databricks-hitelesítési típushoz egy eszközzel vagy SDK-val, tekintse meg Az Azure Databricks-erőforrásokhoz való hozzáférés engedélyezése, illetve az eszköz vagy az SDK dokumentációjában. Lásd még az ügyfél egyesített hitelesítésének környezeti változóit és mezőit, valamint az ügyfél egyesített hitelesítésének alapértelmezett módszereit.
fiókszintű műveletekesetén állítsa be a következő környezeti változókat:
-
DATABRICKS_HOST, állítsa be az Azure Databricks-fiók konzoljának URL-címét,https://accounts.azuredatabricks.net. DATABRICKS_ACCOUNT_IDDATABRICKS_CLIENT_IDDATABRICKS_CLIENT_SECRET
A munkaterületszintű műveletek
- Állítsd be a(z)
DATABRICKS_HOSTaz Azure Databricks munkaterületenkénti URL címre, példáulhttps://adb-1234567890123456.7.azuredatabricks.net. DATABRICKS_CLIENT_IDDATABRICKS_CLIENT_SECRET
Profil
Hozzon létre vagy azonosítsa az Azure Databricks konfigurációs profilját a fájl alábbi .databrickscfg mezőivel. Profil létrehozásakor cserélje le a helyőrzőket a megfelelő értékekre. Ha a profilt eszközrel vagy SDK-val szeretné használni, tekintse meg Az Azure Databricks-erőforrásokhoz való hozzáférés engedélyezése vagy az eszköz vagy az SDK dokumentációjában. Lásd még az ügyfél egyesített hitelesítésének környezeti változóit és mezőit, valamint az ügyfél egyesített hitelesítésének alapértelmezett módszereit.
fiókszintű műveletekesetén állítsa be a következő értékeket a .databrickscfg fájlban. Ebben az esetben az Azure Databricks-fiók konzoljának URL-címe a következő https://accounts.azuredatabricks.net:
[<some-unique-configuration-profile-name>]
host = <account-console-url>
account_id = <account-id>
client_id = <service-principal-client-id>
client_secret = <service-principal-secret>
Munkaterületszintűhttps://adb-1234567890123456.7.azuredatabricks.net:
[<some-unique-configuration-profile-name>]
host = <workspace-url>
client_id = <service-principal-client-id>
client_secret = <service-principal-secret>
CLI
A Databricks parancssori felületéhez tegye az alábbiak egyikét:
- Állítsa be a környezeti változókat a jelen cikk "Környezet" szakaszában megadottak szerint.
- Állítsa be a
.databrickscfgfájlban lévő értékeket a jelen cikk "Profil" szakaszában megadottak szerint.
A környezeti változók mindig elsőbbséget élveznek a .databrickscfg fájl értékeinél.
Lásd még : OAuth machine-to-machine (M2M) hitelesítés.
Kapcsolódás
Feljegyzés
Az OAuth szolgáltatási identitás hitelesítése a következő Databricks Connect-verziókban támogatott:
- Python esetén a Databricks Connect for Databricks Runtime 14.0-s vagy újabb verziója.
- A Scala esetében a Databricks Connect for Databricks Runtime 13.3 LTS és újabb verziója. A Databricks Connect for Databricks Runtime 13.3 LTS-hez és újabb verziókhoz készült Java Databricks SDK-t frissíteni kell a Java 0.17.0-s vagy újabb verziójához készült Databricks SDK-ra.
A Databricks Connect esetében az alábbiak egyikét teheti meg:
- Állítsa be az Azure Databricks
.databrickscfgfájljának értékeit a jelen cikk "Profil" szakaszában megadottak szerint. A profilban lévőkörnyezeti változót is állítsa a munkaterületenkénti URL- , például . - Állítsa be az Azure Databricks munkaterületszintű műveletek környezeti változóit a jelen cikk "Környezet" szakaszában meghatározottak szerint. A
DATABRICKS_CLUSTER_IDkörnyezeti változót is állítsa be a munkaterületenkénti URL-értékre, példáulhttps://adb-1234567890123456.7.azuredatabricks.net.
A .databrickscfg fájl értékei mindig elsőbbséget élveznek a környezeti változókkal szemben.
Ha inicializálni szeretné a Databricks Connect-ügyfelet ezekkel a környezeti változókkal vagy értékekkel a .databrickscfg fájlban, tekintse meg Databricks Connectszámítási konfigurációját.
VS Code
A Visual Studio Code Databricks-bővítményéhez tegye a következőket:
- Állítsa be az Azure Databricks
.databrickscfgfájljának értékeit a jelen cikk "Profil" szakaszában megadottak szerint. - A Visual Studio Code Databricks-bővítményének Konfiguráció panelén kattintson a Databricks konfigurálása elemre.
- A Parancskatalógus
- A parancskeresőbenválassza ki az URL-cím listájából a célprofil nevét.
További részletekért lásd: A Databricks bővítmény engedélyezésének beállítása a Visual Studio Code-hoz.
Terraform
Fiókszintű műveletek esetén az alapértelmezett hitelesítéshez:
provider "databricks" {
alias = "accounts"
}
Közvetlen konfiguráció esetén (cserélje le a retrieve helyőrzőket a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, például HashiCorp Vault. Lásd még tárolószolgáltató). Ebben az esetben az Azure Databricks-fiók konzoljának URL-címe a következő https://accounts.azuredatabricks.net:
provider "databricks" {
alias = "accounts"
host = <retrieve-account-console-url>
account_id = <retrieve-account-id>
client_id = <retrieve-client-id>
client_secret = <retrieve-client-secret>
}
Munkaterületszintű műveletek esetén az alapértelmezett hitelesítéshez:
provider "databricks" {
alias = "workspace"
}
Közvetlen konfiguráció esetén (cserélje le a retrieve helyőrzőket a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, például HashiCorp Vault. Lásd még tárolószolgáltató). Ebben az esetben a gazdagép az Azure Databricks munkaterületenkénti URL-címe, például https://adb-1234567890123456.7.azuredatabricks.net:
provider "databricks" {
alias = "workspace"
host = <retrieve-workspace-url>
client_id = <retrieve-client-id>
client_secret = <retrieve-client-secret>
}
A Databricks Terraform-szolgáltatóval való hitelesítésről további információt a Hitelesítés című témakörben talál.
Python
Fiókszintű műveletek esetén használja a következőket az alapértelmezett hitelesítéshez:
from databricks.sdk import AccountClient
a = AccountClient()
# ...
A közvetlen konfiguráláshoz az alábbi módon cserélje le a retrieve helyőrzőket a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, például Azure KeyVault. Ebben az esetben az Azure Databricks-fiók konzoljának URL-címe a következő https://accounts.azuredatabricks.net:
from databricks.sdk import AccountClient
a = AccountClient(
host = retrieve_account_console_url(),
account_id = retrieve_account_id(),
client_id = retrieve_client_id(),
client_secret = retrieve_client_secret()
)
# ...
Munkaterületszintű műveletekhez, különösen az alapértelmezett hitelesítéshez:
from databricks.sdk import WorkspaceClient
w = WorkspaceClient()
# ...
Közvetlen konfiguráció esetén cserélje le a retrieve helyőrzőket a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, például Azure KeyVault. Ebben az esetben a gazdagép az Azure Databricks munkaterületenkénti URL-címe, például https://adb-1234567890123456.7.azuredatabricks.net:
from databricks.sdk import WorkspaceClient
w = WorkspaceClient(
host = retrieve_workspace_url(),
client_id = retrieve_client_id(),
client_secret = retrieve_client_secret()
)
# ...
A Pythont használó és a Databricks-ügyfél egységes hitelesítését implementáló Databricks-eszközökkel és SDK-kkal való hitelesítésről a következő témakörben talál további információt:
- A Databricks Connect kliens beállítása Pythonhoz
- A Pythonhoz készült Databricks SDK hitelesítése az Azure Databricks-fiókkal vagy -munkaterülettel
Feljegyzés
A Visual Studio Code Databricks-bővítménye Pythont használ, de még nem implementálta az OAuth szolgáltatásnév-hitelesítést.
Java
munkaterületszintű műveletekalapértelmezett hitelesítésihasználatával:
import com.databricks.sdk.WorkspaceClient;
// ...
WorkspaceClient w = new WorkspaceClient();
// ...
Közvetlen konfiguráció esetén (cserélje le a retrieve helyőrzőket a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, például Azure KeyVault). Ebben az esetben a gazdagép az Azure Databricks munkaterületenkénti URL-címe, például https://adb-1234567890123456.7.azuredatabricks.net:
import com.databricks.sdk.WorkspaceClient;
import com.databricks.sdk.core.DatabricksConfig;
// ...
DatabricksConfig cfg = new DatabricksConfig()
.setHost(retrieveWorkspaceUrl())
.setClientId(retrieveClientId())
.setClientSecret(retrieveClientSecret());
WorkspaceClient w = new WorkspaceClient(cfg);
// ...
A Java-t használó és a Databricks-ügyfél egységes hitelesítését implementáló Databricks-eszközökkel és SDK-kkal való hitelesítésről a következő témakörben talál további információt:
- Databricks Connect-ügyfél beállítása a Scala számára (a Scala Databricks Connect-ügyfele a mellékelt Java Databricks SDK-t használja hitelesítéshez)
- A Java Databricks SDK hitelesítése az Azure Databricks-fiókkal vagy -munkaterülettel
Go
fiókszintű műveletekhezalapértelmezett hitelesítési:
import (
"github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient())
// ...
Közvetlen konfiguráció esetén (cserélje le a retrieve helyőrzőket a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, például Azure KeyVault). Ebben az esetben az Azure Databricks-fiók konzoljának URL-címe a következő https://accounts.azuredatabricks.net:
import (
"github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient(&databricks.Config{
Host: retrieveAccountConsoleUrl(),
AccountId: retrieveAccountId(),
ClientId: retrieveClientId(),
ClientSecret: retrieveClientSecret(),
}))
// ...
munkaterületszintű műveletekalapértelmezett hitelesítésihasználatával:
import (
"github.com/databricks/databricks-sdk-go"
)
// ...
a := databricks.Must(databricks.NewAccountClient())
// ...
Közvetlen konfiguráció esetén (cserélje le a retrieve helyőrzőket a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, például Azure KeyVault). Ebben az esetben a gazdagép az Azure Databricks munkaterületenkénti URL-címe, például https://adb-1234567890123456.7.azuredatabricks.net:
import (
"github.com/databricks/databricks-sdk-go"
)
// ...
a := databricks.Must(databricks.NewAccountClient(&databricks.Config{
Host: retrieveWorkspaceUrl(),
ClientId: retrieveClientId(),
ClientSecret: retrieveClientSecret(),
}))
// ...
A Go-t használó Databricks-eszközökkel és SDK-kkal való hitelesítésről és a Databricks-ügyfél egységes hitelesítésének implementálásáról további információt a Databricks SDK for Go hitelesítése az Azure Databricks-fiókkal vagy -munkaterülettel című témakörben talál.
Hozzáférési jogkivonatok manuális létrehozása és használata az OAuth szolgáltatásfőnök hitelesítés céljából
Az Databricks-ügyfél egységes hitelesítését szabványt megvalósító Azure Databricks-eszközök és SDK-k automatikusan létrehoznak, frissítenek és használnak Azure Databricks OAuth hozzáférési jogkivonatokat az Ön nevében az OAuth szolgáltatásnév-hitelesítéshez szükséges módon.
A Databricks az ügyfél egységes hitelesítését javasolja, azonban ha manuálisan kell létrehoznia, frissítenie vagy használnia kell az Azure Databricks OAuth hozzáférési jogkivonatait, kövesse az ebben a szakaszban található utasításokat.
A szolgáltatásnév ügyfélazonosítójával és OAuth-titkos kódjával OAuth hozzáférési jogkivonatot kérhet a fiókszintű REST API-k és a munkaterületszintű REST API-k hitelesítéséhez. A hozzáférési jogkivonat egy órán belül lejár. A lejárat után új OAuth hozzáférési jogkivonatot kell kérnie. Az OAuth hozzáférési jogkivonat hatóköre attól függ, hogy milyen szinten hozza létre a jogkivonatot. Jogkivonatot a fiók vagy a munkaterület szintjén hozhat létre az alábbiak szerint:
- Ha fiókszintű és munkaterületszintű REST API-kat szeretne meghívni azon fiókokban és munkaterületeken, amelyekhez a szolgáltatásnév rendelkezik hozzáféréssel, manuálisan hozzon létre egy hozzáférési jogkivonatot a fiók szintjén.
- Ha a REST API-kat csak azon munkaterületek egyikén szeretné meghívni, amelyekhez a szolgáltatásfelelős hozzáféréssel rendelkezik, manuálisan hozzon létre egy hozzáférési jogkivonatot a munkaterület szintjén, kizárólag ahhoz a munkaterülethez.
Fiókszintű hozzáférési jogkivonat manuális létrehozása
A fiókszintről létrehozott OAuth hozzáférési jogkivonat a fiók Databricks REST API-jaival használható, és bármely olyan munkaterületen, amelyhez a szolgáltatásnévnek hozzáférése van.
Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
Kattintson a felhasználónév melletti lefelé mutató nyílra a jobb felső sarokban.
Másolja ki a fiókazonosítót.
A jogkivonat végpontJÁNAK URL-címét úgy hozhatja létre, hogy az alábbi URL-címet lecseréli
<my-account-id>a másolt fiókazonosítóra.https://accounts.azuredatabricks.net/oidc/accounts/<my-account-id>/v1/tokenHasználjon például
curlegy OAuth hozzáférési jogkivonatot a jogkivonat végpontJÁNAK URL-címével, a szolgáltatásnév ügyfélazonosítójával (más néven alkalmazásazonosítóval) és a szolgáltatásnév által létrehozott OAuth-titkos kóddal. Aall-apishatókör egy OAuth hozzáférési jogkivonatot kér, amely az összes Olyan Databricks REST API eléréséhez használható, amelyhez a szolgáltatásnév hozzáférést kapott.- Cserélje le
<token-endpoint-URL>az előző jogkivonatvégpont URL-címére. - Cserélje le
<client-id>a szolgáltatásnév ügyfél-azonosítójára, amely más néven alkalmazásazonosító. - Cserélje le
<client-secret>a szolgáltatásnév által létrehozott OAuth-titkos kódra.
export CLIENT_ID=<client-id> export CLIENT_SECRET=<client-secret> curl --request POST \ --url <token-endpoint-URL> \ --user "$CLIENT_ID:$CLIENT_SECRET" \ --data 'grant_type=client_credentials&scope=all-apis'Ez a következőhöz hasonló választ hoz létre:
{ "access_token": "eyJraWQiOiJkYTA4ZTVjZ…", "token_type": "Bearer", "expires_in": 3600 }Másolja ki a
access_tokenválaszból.- Cserélje le
Munkaterületszintű hozzáférési jogkivonat manuális létrehozása
A munkaterület szintjén létrehozott OAuth hozzáférési jogkivonatok csak akkor férhetnek hozzá a munkaterület REST API-jaihoz, ha a szolgáltatásnév fiókadminisztrátor, vagy más munkaterületek tagja.
Hozza létre a jogkivonat végpontJÁNAK URL-címét az
https://<databricks-instance>cserélve:https://<databricks-instance>/oidc/v1/tokenHasználjon például
curlegy OAuth hozzáférési jogkivonatot a jogkivonat végpontJÁNAK URL-címével, a szolgáltatásnév ügyfélazonosítójával (más néven alkalmazásazonosítóval) és a szolgáltatásnév által létrehozott OAuth-titkos kóddal. Aall-apishatókör egy OAuth hozzáférési jogkivonatot kér, amely az összes Databricks REST API eléréséhez használható, amelyhez a szolgáltatásnév hozzáférést kapott azon a munkaterületen belül, ahonnan a jogkivonatot kéri.- Cserélje le
<token-endpoint-URL>az előző jogkivonatvégpont URL-címére. - Cserélje le
<client-id>a szolgáltatásnév ügyfél-azonosítójára, amely más néven alkalmazásazonosító. - Cserélje le
<client-secret>a szolgáltatásnév által létrehozott OAuth-titkos kódra.
export CLIENT_ID=<client-id> export CLIENT_SECRET=<client-secret> curl --request POST \ --url <token-endpoint-URL> \ --user "$CLIENT_ID:$CLIENT_SECRET" \ --data 'grant_type=client_credentials&scope=all-apis'Ez a következőhöz hasonló választ hoz létre:
{ "access_token": "eyJraWQiOiJkYTA4ZTVjZ…", "token_type": "Bearer", "expires_in": 3600 }Másolja ki a
access_tokenválaszból.- Cserélje le
Databricks REST API meghívása
Az OAuth hozzáférési jogkivonat használatával hitelesítést végezhet az Azure Databricks fiókszintű REST API-kban és munkaterületszintű REST API-kban. A szolgáltatásnévnek fiókadminisztrátori jogosultságokkal kell rendelkeznie a fiókszintű REST API-k meghívásához.
Adja hozzá a hozzáférési tokent az autorizációs fejlécbe Bearer hitelesítéssel. Ezt a megközelítést használhatja bármely olyan ügyféllel, amelyet curl létrehoz.
Példa fiókszintű REST API-kérésre
Ez a példa Bearer hitelesítést használ a fiókhoz társított összes munkaterület listájának lekéréséhez.
- Cserélje le
<oauth-access-token>a szolgáltatásnév OAuth hozzáférési jogkivonatára, amelyet az előző lépésben másolt. - Cserélje le
<account-id>a fiókazonosítót.
export OAUTH_TOKEN=<oauth-access-token>
curl --request GET --header "Authorization: Bearer $OAUTH_TOKEN" \
'https://accounts.azuredatabricks.net/api/2.0/accounts/<account-id>/workspaces'
Példa munkaterületszintű REST API-kérésre
Ez a példa a Bearer hitelesítést használja az adott munkaterület összes elérhető fürtjének listázásához.
- Cserélje le
<oauth-access-token>a szolgáltatásnév OAuth hozzáférési jogkivonatára, amelyet az előző lépésben másolt. - Cserélje le
<workspace-URL>az alap-munkaterület URL-címét, amely az űrlaphozdbc-a1b2345c-d6e7.cloud.databricks.comhasonló.
export OAUTH_TOKEN=<oauth-access-token>
curl --request GET --header "Authorization: Bearer $OAUTH_TOKEN" \
'https://<workspace-URL>/api/2.0/clusters/list'
További erőforrások
- Szolgáltatási elvek
- A Databricks-identitásmodell áttekintése
- További információ a hitelesítésről és a hozzáférés-vezérlésről