Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page fournit des informations de vue d’ensemble sur la fédération des jetons OAuth pour accéder aux ressources de compte et d’espace de travail Azure Databricks à l’aide de jetons de votre fournisseur d’identité.
Qu’est-ce que la fédération de jetons OAuth Databricks ?
La fédération des jetons OAuth Databricks vous permet d’accéder en toute sécurité aux API Databricks à l’aide de jetons provenant de vos fournisseurs d’identité approuvés (IDP). La fédération des jetons OAuth élimine la nécessité de gérer et de faire pivoter les secrets Databricks, tels que les jetons d’accès personnels et les secrets client OAuth Databricks.
À l’aide de la fédération des jetons OAuth Databricks, les utilisateurs et les principaux de service échangent des jetons JWT (JSON Web Tokens) à partir de votre fournisseur d’identité pour les jetons OAuth Databricks, qui peuvent ensuite être utilisés pour accéder aux API Databricks.
Pourquoi la fédération des jetons OAuth est-elle fortement recommandée pour les charges de travail ?
La fédération de jetonS OAuth est une méthode plus simple et plus sécurisée pour l’authentification auprès de Databricks, en particulier pour les charges de travail automatisées. Votre charge de travail s’authentifie auprès de Databricks en tant que principal de service dans votre compte Databricks, à l’aide de jetons d’identité de charge de travail émis par l’environnement Automation. Les SDK Databricks et l’interface CLI Databricks récupèrent automatiquement ces jetons d'identité de charge de travail et les échangent contre des jetons OAuth Databricks. Cela supprime le besoin de gérer et de renouveler les secrets Databricks.
Quels types de fédération de jetons sont pris en charge ?
Databricks prend en charge deux types de fédération de jetons :
- fédération de jetons à l’échelle du compte permet à tous les utilisateurs et principaux de service de votre compte Databricks d’accéder aux API Databricks à l’aide de jetons de votre fournisseur d’identité. La fédération des jetons à l’échelle du compte vous permet de centraliser la gestion des stratégies d’émission de jetons dans votre fournisseur d’identité et est généralement utilisée en combinaison avec SCIM, afin que les utilisateurs de votre fournisseur d’identité soient synchronisés dans votre compte Azure Databricks. Consultez la fédération des jetons à l’échelle du compte.
- La Fédération des identités de charge de travail permet à vos charges de travail automatisées s'exécutant en dehors d’Azure Databricks d’accéder aux API Databricks sans avoir besoin de secrets Databricks. Avec la fédération des identités de charge de travail, votre application (charge de travail) s’authentifie auprès de Databricks en tant que principal de service en utilisant des jetons émis par le runtime de charge de travail. Consultez la fédération des identités de charge de travail.
Remarque
Les utilisateurs Microsoft Azure peuvent également utiliser des jetons MS Entra pour utiliser en toute sécurité l’interface CLI et les API Azure Databricks.
Comment configurer la fédération des jetons OAuth ?
Pour configurer la fédération des jetons OAuth pour votre compte ou charge de travail Databricks :
Déterminez si vous utiliserez la fédération de jetons à l’échelle du compte ou la fédération d'identité pour les charges de travail.
Créez une stratégie de fédération. Vous aurez besoin des éléments suivants :
- VOTRE ID de compte (pour la fédération de jetons à l’échelle du compte).
- ID du principal de service que vous allez utiliser (pour la fédération des identités de charge de travail).
- Informations de l’outil ou du fournisseur qui émettra des jetons fédérés.
Configurez l’outil ou le fournisseur d’identité pour l’authentification auprès de Databricks à l’aide de jetons fédérés. Pour une configuration exemple des fournisseurs d’identité courants pour CI/CD, consultez Activer la fédération des identités de charge de travail dans CI/CD.