Aracılığıyla paylaş

Azure Databricks kişisel erişim belirteci kimlik doğrulaması

  • Makale

Azure Databricks kişisel erişim belirteçleri (PAT), Azure Databricks çalışma alanı düzeyinde kaynaklara ve API'lere erişimin kimliğini doğrulamak için kullanılır. Ortam değişkenleri ve Azure Databricks yapılandırma profilleri gibi kimlik bilgileri ve ilgili bilgiler için birçok depolama mekanizması, Azure Databricks kişisel erişim belirteçleri için destek sağlar. Kullanıcılar, Azure Databricks çalışma alanında birden çok kişisel erişim belirtecine sahip olabilse de her kişisel erişim belirteci yalnızca tek bir Azure Databricks çalışma alanında çalışır. Kullanıcı başına kişisel erişim belirteci sayısı çalışma alanı başına 600 ile sınırlıdır.

Databricks, 90 veya daha fazla gün içinde kullanılmayan kişisel erişim belirteçlerini otomatik olarak iptal eder.

Önemli

Databricks, geliştirilmiş OAuth güvenliği nedeniyle kullanıcı hesabı istemci kimlik doğrulaması ve yetkilendirmesi için OAuth yerine OAuth kullanılmasını önerir. Databricks kullanıcı hesabıyla istemci kimlik doğrulaması gerçekleştirmek için OAuth kullanmayı öğrenmek için bkz. OAuth kullanarak (kullanıcı hesabı kimlik doğrulaması için) kullanıcı hesabıyla Azure Databricks kaynaklarına etkileşimli erişim yetkilendirme.

Azure Databricks kullanıcı adı ve parolası kullanan temel (belirteç tabanlı değil) kimlik doğrulaması 10 Temmuz 2024'te kullanım ömrüne ulaşmıştır.

Azure Databricks hesap düzeyi işlevselliğini otomatikleştirmek için Azure Databricks kişisel erişim belirteçlerini kullanamazsınız. Bunun yerine, Azure Databricks hesap yöneticilerinin Microsoft Entra Id belirteçlerini kullanmanız gerekir. Azure Databricks hesabı yöneticileri, kullanıcı veya hizmet sorumlusu olabilir. Daha fazla bilgi için bkz.

Çalışma alanı kullanıcıları için Azure Databricks kişisel erişim belirteçleri

Azure Databricks çalışma alanı kullanıcınıza yönelik bir Azure Databricks kişisel erişim belirteci oluşturmak için aşağıdakileri yapın:

  1. Azure Databricks çalışma alanınızda üst çubukta Azure Databricks kullanıcı adınıza tıklayın ve açılan listeden Ayarlar'ı seçin.

  2. Geliştirici'ye tıklayın.

  3. Erişim belirteçleri'nin yanındaki Yönet'e tıklayın.

  4. Yeni belirteç oluştur'a tıklayın.

  5. Gelecekte bu belirteci tanımlamanıza yardımcı olacak bir açıklama girin.

  6. Belirtecin ömrünü gün olarak ayarlayın.

    Yaşam Süresi (gün) kutusunu boş bırakırsanız, belirteç ömrü çalışma alanınız için en uzun yaşam süresine ayarlanır. Varsayılan olarak, çalışma alanı için belirteç ömrü üst sınırı 730 gündür. bkz. yeni kişisel erişim belirteçlerinin maksimum kullanım ömrünü ayarlama.

  7. Generate (Oluştur) düğmesine tıklayın.

  8. Görüntülenen belirteci güvenli bir konuma kopyalayın ve bitti'ye tıklayın.

Not

Kopyalanan belirteci güvenli bir konuma kaydettiğinizden emin olun. Kopyalanan belirtecinizi başkalarıyla paylaşmayın. Kopyalanan belirteci kaybederseniz, tam olarak aynı belirteci yeniden oluşturamazsınız. Bunun yerine, yeni bir belirteç oluşturmak için bu yordamı yinelemeniz gerekir. Kopyalanan belirteci kaybederseniz veya belirtecin gizliliğinin ihlal edildiğini düşünüyorsanız Databricks, Erişim belirteçleri sayfasındaki belirtecin yanındaki çöp kutusu (İptal Et) simgesine tıklayarak bu belirteci çalışma alanınızdan hemen silmenizi kesinlikle önerir.

Çalışma alanınızda belirteç oluşturamıyor veya kullanamıyorsanız, bunun nedeni çalışma alanı yöneticinizin belirteçleri devre dışı bırakmış olması veya size belirteç oluşturma veya kullanma izni vermemiş olması olabilir. Çalışma alanı yöneticinize veya aşağıdaki konulara bakın:

Hizmet sorumluları için Azure Databricks kişisel erişim belirteçleri

Hizmet sorumlusu, kendisi için databricks kişisel erişim belirteçlerini aşağıdaki gibi oluşturabilir:

Bu yordamda, kendisi için Azure Databricks kişisel erişim belirteçleri oluşturmak üzere hizmet sorumlusunun kimliğini doğrulamak üzere Databricks CLI'yı ayarlamak üzere OAuth makineden makineye (M2M) kimlik doğrulaması veya Microsoft Entra ID hizmet sorumlusu kimlik doğrulaması kullandığınız varsayılır. Bkz . OAuth makineden makineye (M2M) kimlik doğrulaması veya Microsoft Entra ID hizmet sorumlusu kimlik doğrulaması.

  1. Hizmet sorumlusu için başka bir erişim belirteci oluşturan aşağıdaki komutu çalıştırmak için Databricks CLI'yi kullanın.

    Şu komutu çalıştırın:

    databricks tokens create --comment <comment> --lifetime-seconds <lifetime-seconds> -p <profile-name>
    • --comment: öğesini erişim belirtecinin amacı hakkında anlamlı bir açıklamayla değiştirin <comment> . --comment Seçenek belirtilmezse, açıklama oluşturulmaz.
    • --lifetime-seconds: değerini erişim belirtecinin geçerli olduğu saniye sayısıyla değiştirin <lifetime-seconds> . Örneğin, 1 gün 86400 saniyedir. --lifetime-seconds seçeneği belirtilmezse, erişim belirteci çalışma alanınız için en uzun yaşam süresine ayarlanır. Varsayılan olarak, çalışma alanı için belirteç ömrü üst sınırı 730 gündür.
    • --profile-name: değerini, hizmet sorumlusu ve hedef çalışma alanı için kimlik doğrulama bilgilerini içeren bir Azure Databricks yapılandırma profilinin adıyla değiştirin <profile-name> . -p Seçenek belirtilmezse, Databricks CLI adlı DEFAULTbir yapılandırma profilini bulmaya ve kullanmaya çalışır.

  2. Yanıtta, hizmet sorumlusunun erişim belirteci olan değerini token_valuekopyalayın.

    Kopyalanan belirteci güvenli bir konuma kaydettiğinizden emin olun. Kopyalanan belirtecinizi başkalarıyla paylaşmayın. Kopyalanan belirteci kaybederseniz, tam olarak aynı belirteci yeniden oluşturamazsınız. Bunun yerine, yeni bir belirteç oluşturmak için bu yordamı yinelemeniz gerekir.

    Çalışma alanınızda belirteç oluşturamıyor veya kullanamıyorsanız, bunun nedeni çalışma alanı yöneticinizin belirteçleri devre dışı bırakmış olması veya size belirteç oluşturma veya kullanma izni vermemiş olması olabilir. Çalışma alanı yöneticinize veya aşağıdakilere bakın:

Azure Databricks kişisel erişim belirteci kimlik doğrulaması gerçekleştirme

Azure Databricks kişisel erişim belirteci kimlik doğrulamasını yapılandırmak için aşağıdaki ilişkili ortam değişkenlerini, alanları, .databrickscfg Terraform alanlarını veya Config alanları ayarlamanız gerekir:

  • Hedef Azure Databricks çalışma alanı başına URL olarak belirtilen Azure Databricks konağı, örneğinhttps://adb-1234567890123456.7.azuredatabricks.net.
  • Azure Databricks kullanıcı hesabı için Azure Databricks kişisel erişim belirteci.

Azure Databricks kişisel erişim belirteci kimlik doğrulamasını gerçekleştirmek için, katılan aracı veya SDK'yı temel alarak aşağıdakileri kodunuzla tümleştirin:

Ortam

Belirli bir Azure Databricks kimlik doğrulama türü için ortam değişkenlerini bir araç veya SDK ile kullanmak için azure databricks kaynaklarına erişimi yetkilendirme veya aracın ya da SDK'nın belgelerine bakın. Ayrıca bkz. İstemci birleşik kimlik doğrulaması için ortam değişkenleri ve alanları ve istemci birleşik kimlik doğrulaması için Varsayılan yöntemler.

Aşağıdaki ortam değişkenlerini ayarlayın:

  • DATABRICKS_HOST, çalışma alanı başına Azure Databricks URL'sine ayarlayın, örneğin https://adb-1234567890123456.7.azuredatabricks.net.
  • DATABRICKS_TOKEN, belirteç dizesine ayarlayın.

Profil

Dosyanızda aşağıdaki alanlarla bir Azure Databricks .databrickscfg oluşturun veya tanımlayın. Profili oluşturursanız yer tutucuları uygun değerlerle değiştirin. Profili bir araç veya SDK ile kullanmak için Azure Databricks kaynaklarına erişimi yetkilendirme veya aracın ya da SDK'nın belgelerine bakın. Ayrıca bkz. İstemci birleşik kimlik doğrulaması için ortam değişkenleri ve alanları ve istemci birleşik kimlik doğrulaması için Varsayılan yöntemler.

Dosyanızda .databrickscfg aşağıdaki değerleri ayarlayın. Bu durumda konak, çalışma alanı başına Azure Databricks URL'sidir, örneğin https://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host  = <workspace-url>
token = <token>

Dosyanızdaki .databrickscfg önceki değerleri el ile ayarlamak yerine Databricks CLI'yı kullanarak bu değerleri aşağıdaki gibi ayarlayabilirsiniz:

Not

Aşağıdaki yordam, kullanır. Zaten bir DEFAULT yapılandırma profiliniz varsa, bu yordam mevcut DEFAULT yapılandırma profilinizin üzerine yazar.

Zaten bir DEFAULT yapılandırma profiliniz olup olmadığını denetlemek ve varsa bu profilin ayarlarını görüntülemek için Databricks CLI'sini kullanarak komutunu databricks auth env --profile DEFAULTçalıştırın.

dışında DEFAULTbir ada sahip bir yapılandırma profili oluşturmak için, aşağıdaki DEFAULT komutta öğesinin --profile DEFAULT bölümünü yapılandırma profili için farklı bir adla değiştirindatabricks configure.

  1. Databricks CLI kullanarak oluşturun. Bunu yapmak için aşağıdaki komutu çalıştırın:

    databricks configure --profile DEFAULT

  2. Databricks Konağı istemi

  3. Kişisel Erişim Belirteci istemi için çalışma alanınız için Azure Databricks kişisel erişim belirtecini girin.

CLI

Databricks CLI için komutunu çalıştırın databricks configure . İstemlerde aşağıdaki ayarları girin:

  • Hedef Azure Databricks çalışma alanı başına URL olarak belirtilen Azure Databricks konağı, örneğinhttps://adb-1234567890123456.7.azuredatabricks.net.
  • Azure Databricks kullanıcı hesabı için Azure Databricks kişisel erişim belirteci.

Diğer ayrıntılar için bkz . Azure Databricks kişisel erişim belirteci kimlik doğrulaması.

Bağlan

Not

Azure Databricks kişisel erişim belirteci kimlik doğrulaması aşağıdaki Databricks Connect sürümlerinde desteklenir:

  • Python için Databricks Runtime 13.3 LTS ve üzeri için Databricks Connect.
  • Scala için Databricks Runtime 13.3 LTS ve üzeri için Databricks Connect.

Databricks Connect için, bu makalenin "Profil" bölümünde belirtildiği gibi Azure Databricks çalışma alanı düzeyindeki işlemler için dosyanızdaki .databrickscfg değerleri ayarlamak için Databricks CLI'yi kullanabilirsiniz:

Not

Aşağıdaki yordam, kullanır. Zaten bir DEFAULT yapılandırma profiliniz varsa, bu yordam mevcut DEFAULT yapılandırma profilinizin üzerine yazar.

Zaten bir DEFAULT yapılandırma profiliniz olup olmadığını denetlemek ve varsa bu profilin ayarlarını görüntülemek için Databricks CLI'sini kullanarak komutunu databricks auth env --profile DEFAULTçalıştırın.

dışında DEFAULTbir ada sahip bir yapılandırma profili oluşturmak için, aşağıdaki adımda gösterildiği gibi komutun içindeki DEFAULT bölümünü --profile DEFAULT yapılandırma profili için farklı bir adla değiştirindatabricks configure.

  1. Databricks CLI kullanarak oluşturun. Bunu yapmak için aşağıdaki komutu çalıştırın:

    databricks configure --configure-cluster --profile DEFAULT

  2. Databricks Konağı istemi

  3. Kişisel Erişim Belirteci istemi için çalışma alanınız için Azure Databricks kişisel erişim belirtecini girin.

  4. Görüntülenen kullanılabilir kümeler listesinde, çalışma alanınızda hedef Azure Databricks kümesini seçmek için yukarı ve aşağı ok tuşlarınızı kullanın ve ardından tuşuna basın Enter. Kullanılabilir kümelerin listesini filtrelemek için kümenin görünen adının herhangi bir bölümünü de yazabilirsiniz.

Kişisel erişim belirteçleri vermek için Azure Databricks REST API'sini kullanma

Azure Databricks, PAT'ları vermek için bir REST uç noktası /api/2.0/token/create sağlar. API ayrıntıları için bkz . Kullanıcı belirteci oluşturma.

REST API'ye belirli değerler sağlamanız gerekir. Aşağıdaki örnekte şu değerleri ayarlayın:

  • değerini Databricks çalışma alanı URL'nizle değiştirin <databricks-instance> . Örneğin, dbc-abcd1234-5678.cloud.databricks.com.
  • değerini, yeni belirteç oluşturma izinlerine sahip geçerli bir PAT (dize) ile değiştirin <your-existing-access-token> .

Bu parametreler için değerleri sağlayın:

  • comment: Yeni belirteç için bir açıklama.
  • lifetime_seconds: Belirtecin ömrü saniye olarak değişir.
curl -X POST https://<databricks-instance>/api/2.0/token/create \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "comment": "New PAT using DB API",
  "lifetime_seconds": <lifetime-of-pat-in-seconds>
}'

-d bayrağı, istek için JSON yükünü sağlar.

Başarılı olursa aşağıdakine benzer bir yanıt yükü elde edin:

{
  "access_token": "<your-newly-issued-pat>",
  "token_type": "Bearer",
  "expires_in": <the-duration-of-the-new-pat>
}

Sonraki Databricks REST API'lerine yapılan çağrıların Yetkilendirme üst bilgisindeki yanıttan yeni belirteci sağlayın. Örnek:

# This example uses a simple GET. For POST or other REST verbs, you may need to provide additional parameters.
curl -X GET "https://<databricks-instance>/api/2.0/<path-to-endpoint>" \
     -H "Authorization: Bearer <your-new-pat>"

import requests

headers = {
    'Authorization': 'Bearer <your-new-pat>'
}
# This example is for an HTTP GET operation.
response = requests.get('https://<databricks-instance>/api/2.0/<path-to-endpoint>', headers=headers)