Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En esta página se proporciona información general sobre la federación de tokens de OAuth para acceder a la cuenta de Azure Databricks y a los recursos del área de trabajo mediante tokens del proveedor de identidades.
¿Qué es la federación de tokens de OAuth de Databricks?
La federación de tokens de OAuth de Databricks permite acceder de forma segura a las API de Databricks mediante tokens de los proveedores de identidades de confianza (IDP). La federación de tokens de OAuth elimina la necesidad de administrar y rotar secretos de Databricks, como tokens de acceso personal y secretos de cliente de OAuth de Databricks.
Con la federación de tokens de OAuth de Databricks, los usuarios y las entidades de servicio intercambian tokens JWT (JSON Web Tokens) del proveedor de identidades para tokens de OAuth de Databricks, que luego se pueden usar para acceder a las API de Databricks.
¿Por qué se recomienda encarecidamente la federación de tokens de OAuth para cargas de trabajo?
La federación de tokens de OAuth es un método más sencillo y seguro para autenticarse en Databricks, especialmente para cargas de trabajo automatizadas. La carga de trabajo se autentica en Databricks como principal de servicio dentro de tu cuenta de Databricks, utilizando tokens de identidad emitidos por el entorno automatizado. Los SDK de Databricks y la CLI de Databricks obtienen automáticamente estos tokens de identidad de carga de trabajo y los intercambian por tokens OAuth de Databricks, lo que elimina la necesidad de gestionar y cambiar periódicamente los secretos de Databricks.
¿Qué tipos de federación de tokens se admiten?
Databricks admite dos tipos de federación de tokens:
- La federación de tokens a nivel de cuenta permite que todos los usuarios y principales de servicio de su cuenta de Databricks accedan a las API de Databricks mediante tokens de su proveedor de identidad. La federación de tokens para toda la cuenta permite centralizar la administración de directivas de emisión de tokens en el proveedor de identidades y se usa normalmente en combinación con SCIM, por lo que los usuarios del proveedor de identidades se sincronizan con la cuenta de Azure Databricks. Consulte Federación de tokens para toda la cuenta.
- Federación de identidades de cargas de trabajo permite que las cargas de trabajo automatizadas que se ejecutan fuera de Azure Databricks accedan a las API de Databricks sin necesidad de usar secretos de Databricks. Con la federación de identidades de carga de trabajo, la aplicación (carga de trabajo) se autentica en Databricks como una entidad de servicio de Databricks mediante tokens emitidos por el entorno de ejecución de la carga de trabajo. Consulte Federación de identidades de carga de trabajo.
Nota
Los usuarios de Microsoft Azure también pueden usar tokens de MS Entra para usar de forma segura la CLI y las API de Azure Databricks.
¿Cómo se configura la federación de tokens de OAuth?
Para configurar la federación de tokens de OAuth para la cuenta o carga de trabajo de Databricks:
Determine si va a usar la federación de tokens en toda la cuenta o la federación de identidades de trabajo.
Cree una política de federación. Necesitará lo siguiente:
- Identificador de cuenta (para la federación de tokens en toda la cuenta).
- El identificador de la entidad de servicio que usará (para la federación de identidades de carga de trabajo).
- Información de la herramienta o proveedor que emitirá tokens federados.
Configure la herramienta o el proveedor de identidades para autenticarse en Databricks mediante tokens federados. Para obtener una configuración de ejemplo para proveedores de identidades comunes de CI/CD, consulte Habilitación de la federación de identidades de carga de trabajo en CI/CD.