Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Seite enthält Übersichtsinformationen zum OAuth-Tokenverbund für den Zugriff auf Azure Databricks-Konto- und Arbeitsbereichsressourcen mithilfe von Token von Ihrem Identitätsanbieter.
Was ist der OAuth-Tokenverbund von Databricks?
Der OAuth-Tokenverbund von Databricks ermöglicht Ihnen den sicheren Zugriff auf Databricks-APIs mithilfe von Token von Ihren vertrauenswürdigen Identitätsanbietern (IdPs). Die OAuth-Token-Federation beseitigt die Notwendigkeit, Databricks-Geheimnisse wie persönliche Zugriffstokens und OAuth-Clientgeheimnisse von Databricks verwalten und erneuern zu müssen.
Mithilfe des Databricks OAuth-Tokenverbunds tauschen Benutzer und Dienstkonten JWTs (JSON Web Tokens) von ihrem Identitätsanbieter gegen Databricks OAuth-Tokens aus, die dann für den Zugriff auf Databricks-APIs verwendet werden können.
Warum wird der OAuth-Tokenverbund für Workloads dringend empfohlen?
Der OAuth-Tokenverbund ist eine einfachere und sicherere Methode für die Authentifizierung bei Databricks, insbesondere für automatisierte Workloads. Ihre Workload authentifiziert sich bei Databricks als Dienstprinzipal in Ihrem Databricks-Konto und verwendet dabei Workload-Identitäts-Token, die von der Automatisierungsumgebung ausgestellt wurden. Die Databricks-SDKs und Databricks CLI rufen diese Workload-Identitätstoken automatisch ab und tauschen sie für Databricks OAuth-Token aus, wodurch die Notwendigkeit beseitigt wird, Databricks-Geheimschlüssel zu verwalten und zu drehen.
Welche Arten von Tokenverbund werden unterstützt?
Databricks unterstützt zwei Arten von Tokenverbund:
- Der kontoweite Tokenverbund ermöglicht allen Benutzern und Dienstprinzipalen in Ihrem Databricks-Konto den Zugriff auf Databricks-APIs mithilfe von Token von Ihrem Identitätsanbieter. Mithilfe eines kontoweiten Tokenverbunds können Sie die Verwaltung von Tokenausstellungsrichtlinien in Ihrem Identitätsanbieter zentralisieren und in der Regel in Kombination mit SCIM verwendet werden, sodass Benutzer in Ihrem Identitätsanbieter mit Ihrem Azure Databricks-Konto synchronisiert werden. Siehe Kontoweite Tokenverbund.
- Der Workload-Identitätsverbund ermöglicht Es Ihren automatisierten Workloads, die außerhalb von Azure Databricks ausgeführt werden, auf Databricks-APIs zuzugreifen, ohne dass Databricks geheime Schlüssel erforderlich sind. Mit dem Workload-Identitätsverbund authentifiziert sich Ihre Anwendung (Workload) bei Databricks als Databricks-Dienstprinzipal mithilfe von Token, die von der Workload-Laufzeit ausgegeben werden. Siehe Workload-Identitätsverbund.
Hinweis
Microsoft Azure-Benutzer können auch MS Entra-Token verwenden, um die Azure Databricks CLI und APIs sicher zu verwenden.
Wie kann ich den OAuth-Tokenverbund konfigurieren?
So konfigurieren Sie den OAuth-Tokenverbund für Ihr Databricks-Konto oder Ihre Workload:
Bestimmen Sie, ob Sie einen kontoweiten Tokenverbund oder einen Workload-Identitätsverbund verwenden.
Erstellen Sie eine Verbundrichtlinie. Sie benötigen Folgendes:
- Ihre Konto-ID (für einen kontoweiten Tokenverbund).
- Die ID des Service Principals, den Sie verwenden (für den Workload-Identitätsverbund).
- Informationen vom Tool oder Anbieter, das Verbundtoken ausgibt.
Konfigurieren Sie das Tool oder den Identitätsanbieter für die Authentifizierung bei Databricks mithilfe von Verbundtoken. Beispielkonfiguration für allgemeine CI/CD-Identitätsanbieter finden Sie unter Aktivieren des Workloadidentitätsverbunds in CI/CD.