Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page explique comment autoriser l’accès aux ressources Azure Databricks à l’aide de l’interface CLI Azure Databricks et des API REST. Il décrit différentes méthodes d’autorisation, quand les utiliser et comment configurer l’authentification pour votre cas d’usage.
Pour accéder aux ressources Azure Databricks avec les API CLI ou REST, vous devez vous authentifier à l’aide d’un compte Azure Databricks avec les autorisations appropriées. Votre administrateur Azure Databricks ou un utilisateur disposant de privilèges d’administrateur configure le compte.
Types de comptes et d’API
Il existe deux types de comptes que vous pouvez utiliser pour l’authentification :
- Compte d’utilisateur : Pour les commandes CLI interactives et les appels d’API.
- Entité de service : Pour les commandes CLI automatisées et les appels d’API sans interaction humaine.
Vous pouvez utiliser un principal de service MS Entra pour autoriser l’accès à votre compte ou espace de travail Azure Databricks. Consultez s’authentifier auprès des principaux de service Microsoft Entra. Toutefois, Databricks recommande d’utiliser un principal de service Databricks avec OAuth, car ses jetons d’accès sont plus robustes pour l’autorisation Databricks uniquement.
Azure Databricks a deux types d’API qui nécessitent différentes approches d’authentification :
- API au niveau du compte : Disponible pour les propriétaires de compte et les administrateurs, hébergés sur l’URL de la console de compte. Consultez les API au niveau du compte.
- API au niveau de l’espace de travail : Disponible pour les utilisateurs et les administrateurs de l’espace de travail, hébergés sur les URL de l’espace de travail. Consultez les API au niveau de l’espace de travail.
Méthodes d’autorisation
Choisissez la méthode d’autorisation qui convient le mieux à votre cas d’usage. Les outils et kits sdk Azure Databricks prennent en charge plusieurs méthodes d’autorisation. Vous pouvez donc en sélectionner la plus appropriée pour votre scénario.
| Method | Description | Cas d’utilisation |
|---|---|---|
| Fédération des jetons OAuth Databricks (recommandé) | Jetons OAuth de votre fournisseur d'identité pour les utilisateurs ou les principaux de services. | Vous permet de vous authentifier auprès d’Azure Databricks sans gérer les secrets Databricks. |
| Databricks OAuth pour les principaux de service (OAuth M2M) | Jetons OAuth de courte durée pour les principaux de service. | Scénarios d’authentification sans assistance, tels que des flux de travail CI/CD entièrement automatisés. |
| OAuth pour les utilisateurs (OAuth U2M) | Jetons OAuth de courte durée pour les utilisateurs. | Scénario d’authentification assisté, où vous utilisez votre navigateur web pour vous authentifier auprès d’Azure Databricks en temps réel, quand vous y êtes invité. |
| Autorisation d’identité de service géré Azure | Jetons d’identification Microsoft Entra pour les identités gérées par Azure. | Utilisez-les uniquement avec les ressources Azure qui prennent en charge les identités managées, telles que les machines virtuelles Azure. |
| Autorisation du principal de service Microsoft Entra ID | Jetons Microsoft Entra ID pour les principaux de service Microsoft Entra ID. | Utilisez-les seulement avec les ressources Azure qui prennent en charge les jetons Microsoft Entra ID et non les identités managées, comme Azure DevOps. |
| Autorisation Azure CLI | Jetons Microsoft Entra ID pour les utilisateurs ou les principaux de service Microsoft Entra ID. | Permet d’autoriser l’accès aux ressources Azure et Azure Databricks à l’aide d’Azure CLI. |
| Autorisation utilisateur Microsoft Entra ID | Jetons d'identification Microsoft Entra pour les utilisateurs. | Utilisez-les seulement avec les ressources Azure qui prennent uniquement en charge les jetons Microsoft Entra ID. Databricks ne recommande pas de créer manuellement des jetons Microsoft Entra ID pour les utilisateurs Azure Databricks. |
Authentification unifiée
L’authentification unifiée Azure Databricks offre un moyen cohérent de configurer l’authentification sur tous les outils et kits sdk pris en charge. Cette approche utilise des variables d’environnement standard et des profils de configuration pour stocker les valeurs d’informations d’identification. Vous pouvez donc exécuter des commandes CLI ou appeler des API sans configurer l’authentification à plusieurs reprises.
L’authentification unifiée gère les types de comptes différemment :
- Autorisation de l’utilisateur : OAuth crée et gère automatiquement des jetons d’accès pour les outils qui prennent en charge l’authentification unifiée. Consultez Autoriser l’accès utilisateur à Azure Databricks avec OAuth.
- Autorisation du principal de service : OAuth nécessite des informations d’identification client (ID client et secret) qu’Azure Databricks fournit après avoir affecté le principal de service aux espaces de travail. Consultez Autoriser l’accès au principal de service à Azure Databricks avec OAuth.
Pour utiliser des jetons d’accès OAuth, votre espace de travail Ou administrateur de compte Azure Databricks doit accorder à votre compte d’utilisateur ou à votre principal de service l’autorisation CAN USE pour les fonctionnalités de compte et d’espace de travail auxquelles votre code accède.
Variables d'environnement
Pour configurer l’authentification unifiée, définissez les variables d’environnement suivantes. Certaines variables s’appliquent à l’autorisation d’utilisateur et de principal de service, tandis que d’autres sont requises uniquement pour les principaux de service.
| Variable d’environnement | Description |
|---|---|
DATABRICKS_HOST |
URL de votre console de compte Azure Databricks (https://accounts.azuredatabricks.net) ou de votre espace de travail Azure Databricks (https://{workspace-url-prefix}.azuredatabricks.net). Choisissez en fonction du type d’opérations effectuées par votre code. |
DATABRICKS_ACCOUNT_ID |
Utilisé pour les opérations de compte Azure Databricks. Il s’agit de l’ID de votre compte Azure Databricks. Pour l’obtenir, consultez Localiser votre ID de compte. |
DATABRICKS_CLIENT_ID |
(Principal de service OAuth uniquement) ID client que vous avez affecté lors de la création de votre principal de service. |
DATABRICKS_CLIENT_SECRET |
(Service principal OAuth uniquement) Le secret client que vous avez généré lors de la création de votre service principal. |
Au lieu de définir manuellement des variables d’environnement, envisagez de les définir dans un profil de configuration Databricks (.databrickscfg) sur votre ordinateur client.
Profils de configuration
Les profils de configuration Azure Databricks contiennent des paramètres et des informations d’identification dont les outils et kits SDK Azure Databricks ont besoin pour autoriser l’accès. Ces profils sont stockés dans des fichiers clients locaux (généralement nommés .databrickscfg) pour vos outils, sdk, scripts et applications à utiliser.
Pour plus d’informations, consultez Profils de configuration Azure Databricks.
Intégrations tierces
Lors de l’intégration à des services et outils tiers, vous devez utiliser les mécanismes d’authentification fournis par ces services. Toutefois, Azure Databricks prend en charge les intégrations courantes :
- Fournisseur Terraform Databricks : Accédez aux API Azure Databricks à partir de Terraform à l’aide de votre compte d’utilisateur Azure Databricks. Consultez Provisionner un principal de service à l’aide de Terraform.
- Fournisseurs Git : GitHub, GitLab et Bitbucket peuvent accéder aux API Azure Databricks à l’aide d’un principal de service Databricks. Consultez les principaux de service pour CI/CD.
- Jenkins: Accédez aux API Azure Databricks à l’aide d’un principal de service Databricks. Consultez CI/CD avec Jenkins sur Azure Databricks.
- Azure DevOps : Accédez aux API Azure Databricks à l'aide d'un principal de service basé sur un ID MS Entra. Consultez s’authentifier auprès d’Azure DevOps sur Azure Databricks.