Partager via

Authentification pour l’interface CLI Databricks

Remarque

Ces informations s’appliquent à Databricks CLI versions 0.205 et ultérieures. L’interface CLI Databricks est en préversion publique.

L’utilisation de l’interface CLI Databricks est soumise à la licence Databricks et à la notification de confidentialité Databricks, y compris les dispositions relatives aux données d’utilisation.

Cet article explique comment configurer l’authentification entre Azure Databricks CLI et vos comptes et espaces de travail Azure Databricks. Il part du principe que vous avez déjà installé l’interface CLI Azure Databricks. Consultez Installer ou mettre à jour l’interface CLI Databricks.

Avant d’exécuter des commandes Azure Databricks CLI, vous devez configurer l’authentification pour les comptes ou les espaces de travail que vous envisagez d’utiliser. La configuration requise dépend de l’exécution des commandes au niveau de l’espace de travail , des commandes au niveau du compte ou des deux.

Pour afficher les groupes de commandes CLI disponibles, exécutez databricks -h. Pour obtenir la liste des opérations d’API REST correspondantes, consultez l’API REST Databricks.

Pour plus d’informations sur l’authentification Microsoft Entra auprès de Databricks avec Azure DevOps spécifiquement, consultez Authentifier auprès d’Azure DevOps sur Azure Databricks.

Authentification OAuth machine à machine (M2M)

L’authentification machine à machine (M2M) avec OAuth permet aux services, scripts ou applications d’accéder aux ressources Databricks sans connexion interactive de l’utilisateur. Au lieu de s’appuyer sur des jetons d’accès personnels (PAT) ou des informations d’identification utilisateur, l’authentification M2M utilise un principal de service et un flux d’informations d’identification du client OAuth pour demander et gérer des jetons.

Pour configurer et utiliser l’authentification OAuth M2M :

  1. Effectuez les étapes de configuration de l’authentification OAuth M2M. Consultez Autoriser l’accès au principal de service à Azure Databricks avec OAuth.

  2. Créez un profil de configuration Azure Databricks avec les champs suivants dans votre .databrickscfg fichier.

    Pour les commandes au niveau du compte

    [<some-unique-configuration-profile-name>]
host          = <account-console-url>
account_id    = <account-id>
client_id     = <service-principal-client-id>
client_secret = <service-principal-oauth-secret>

    Pour les commandes au niveau de l’espace de travail

    [<some-unique-configuration-profile-name>]
host          = <workspace-url>
client_id     = <service-principal-client-id>
client_secret = <service-principal-oauth-secret>

Pour utiliser le profil, transmettez-le avec les --profile commandes CLI ou -p l’indicateur. Par exemple :

databricks account groups list -p <profile-name>

Appuyez sur Tab après --profile ou -p pour afficher une liste de profils disponibles.

Authentification utilisateur à machine (U2M) OAuth

Avec l’authentification utilisateur à machine (U2M) OAuth, vous vous connectez de manière interactive et l’interface CLI gère des jetons de courte durée en votre nom. Les jetons OAuth expirent en moins d’une heure, ce qui réduit le risque si un jeton est exposé accidentellement. Consultez Autoriser l’accès utilisateur à Azure Databricks avec OAuth.

Pour vous connecter :

Pour les commandes au niveau du compte

databricks auth login --host <account-console-url> --account-id <account-id>

Pour les commandes au niveau de l’espace de travail

databricks auth login --host <workspace-url>

L’interface CLI vous guide tout au long d’un flux de connexion basé sur un navigateur. Lorsque vous avez terminé, l’interface CLI enregistre les informations d’identification en tant que profil de configuration. Vous pouvez accepter le nom de profil suggéré ou entrer votre propre nom.

Pour utiliser le profil, transmettez-le avec les --profile commandes CLI ou -p l’indicateur. Par exemple :

databricks clusters list -p <profile-name>

Appuyez sur Tab après --profile ou -p pour afficher une liste de profils disponibles.

Authentification des identités managées Azure

L’authentification des identités managées Azure utilise des identités managées pour les ressources Azure (anciennement Managed Service Identities (MSI)) pour l’authentification. Consultez Que sont les identités managées pour les ressources Azure ? Consultez également S'authentifier avec des identités managées d’Azure.

Pour créer une identité managée affectée par l’utilisateur Azure, procédez comme suit :

  1. Créez ou identifiez une machine virtuelle Azure et installez l’interface CLI Databricks sur celle-ci, puis affectez votre identité managée à votre machine virtuelle Azure et à vos comptes Azure Databricks, espaces de travail ou les deux cibles. Voir Utilisation des identités managées d'Azure avec Azure Databricks.

  2. Sur la machine virtuelle Azure, créez ou identifiez un profil de configuration Azure Databricks avec les champs suivants dans votre fichier .databrickscfg. Si vous créez le profil, remplacez les espaces réservés par les valeurs appropriées.

    Pour les commandes au niveau du compte, définissez les valeurs suivantes dans votre fichier .databrickscfg :

    [<some-unique-configuration-profile-name>]
host            = <account-console-url>
account_id      = <account-id>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

    Pour les commandes au niveau de l’espace de travail, définissez les valeurs suivantes dans votre fichier .databrickscfg :

    [<some-unique-configuration-profile-name>]
host            = <workspace-url>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

    Databricks recommande d’utiliser host et d’affecter explicitement l’identité à l’espace de travail. Vous pouvez également utiliser azure_workspace_resource_id avec l’ID de ressource Azure. Cette approche nécessite des autorisations Contributeur ou Propriétaire sur la ressource Azure, ou un rôle personnalisé avec des autorisations Azure Databricks spécifiques.

  3. Sur la machine virtuelle Azure, utilisez l'option --profile ou -p de l'interface CLI Databricks suivie du nom de votre profil de configuration pour indiquer le profil que Databricks doit utiliser, par exemple, databricks account groups list -p <configuration-profile-name> ou databricks clusters list -p <configuration-profile-name>.

    Conseil

    Vous pouvez appuyer sur Tab après --profile ou -p pour afficher une liste de profils de configuration disponibles existants à choisir, au lieu d’entrer manuellement le nom du profil de configuration.

Authentification du principal du service Microsoft Entra ID

L’authentification du principal de service Microsoft Entra ID utilise les informations d’identification d’un principal de service Microsoft Entra ID pour s’authentifier. Pour créer et gérer des principaux de service pour Azure Databricks, consultez les principaux de service. Consultez également s’authentifier auprès des principaux de service Microsoft Entra.

Pour configurer et utiliser l’authentification du principal du service Microsoft Entra ID, vous devez disposer de l’authentification avec Azure CLI installée localement. Vous devez également effectuer les étapes suivantes :

  1. Créez ou identifiez un profil de configuration Azure Databricks avec les champs suivants dans votre fichier .databrickscfg. Si vous créez le profil, remplacez les espaces réservés par les valeurs appropriées.

    Pour les commandes au niveau du compte, définissez les valeurs suivantes dans votre fichier .databrickscfg :

    [<some-unique-configuration-profile-name>]
host                = <account-console-url>
account_id          = <account-id>
azure_tenant_id     = <azure-service-principal-tenant-id>
azure_client_id     = <azure-service-principal-application-id>
azure_client_secret = <azure-service-principal-client-secret>

    Pour les commandes au niveau de l’espace de travail, définissez les valeurs suivantes dans votre fichier .databrickscfg :

    [<some-unique-configuration-profile-name>]
host                = <workspace-url>
azure_tenant_id     = <azure-service-principal-tenant-id>
azure_client_id     = <azure-service-principal-application-id>
azure_client_secret = <azure-service-principal-client-secret>

    Databricks recommande d’utiliser host et d’affecter explicitement le principal de service Microsoft Entra ID au workspace. Vous pouvez également utiliser azure_workspace_resource_id avec l’ID de ressource Azure. Cette approche nécessite des autorisations Contributeur ou Propriétaire sur la ressource Azure, ou un rôle personnalisé avec des autorisations Azure Databricks spécifiques.

  2. Utilisez l’option --profile ou -p de l’interface CLI de Databricks, suivie du nom de votre profil de configuration, dans le cadre de l’appel de commande Databricks CLI, par exemple databricks account groups list -p <configuration-profile-name> ou databricks clusters list -p <configuration-profile-name>.

    Conseil

    Vous pouvez appuyer sur Tab après --profile ou -p pour afficher une liste de profils de configuration disponibles existants à choisir, au lieu d’entrer manuellement le nom du profil de configuration.

Authentification Azure CLI

L’authentification Azure CLI utilise Azure CLI pour authentifier l’entité connectée. Consultez également s’authentifier auprès d’Azure CLI.

Pour configurer l’authentification Azure CLI, vous devez effectuer les opérations suivantes :

  1. Installer Azure CLI localement.

  2. Utiliser Azure CLI pour vous connecter à Azure Databricks en exécutant la commande az login. Consultez Se connecter avec Azure CLI.

  3. Créez ou identifiez un profil de configuration Azure Databricks avec les champs suivants dans votre fichier .databrickscfg. Si vous créez le profil, remplacez les espaces réservés par les valeurs appropriées.

    Pour les commandes au niveau du compte, définissez les valeurs suivantes dans votre fichier .databrickscfg :

    [<some-unique-configuration-profile-name>]
host       = <account-console-url>
account_id = <account-id>

    Pour les commandes au niveau de l’espace de travail, définissez les valeurs suivantes dans votre fichier .databrickscfg :

    [<some-unique-configuration-profile-name>]
host = <workspace-url>

  4. Utilisez l’option --profile ou -p de l’interface CLI de Databricks, suivie du nom de votre profil de configuration, dans le cadre de l’appel de commande Databricks CLI, par exemple databricks account groups list -p <configuration-profile-name> ou databricks clusters list -p <configuration-profile-name>.

    Conseil

    Vous pouvez appuyer sur Tab après --profile ou -p pour afficher une liste de profils de configuration disponibles existants à choisir, au lieu d’entrer manuellement le nom du profil de configuration.

Ordre d’évaluation de l’authentification

Chaque fois que l’interface CLI Databricks s’authentifie auprès d’un espace de travail ou d’un compte Azure Databricks, elle recherche les paramètres requis dans l’ordre suivant :

  1. Fichiers de paramètres de bundle, pour les commandes exécutées à partir d’un répertoire de travail groupé. Les fichiers de paramètres groupés ne peuvent pas contenir de valeurs d’informations d’identification directement.
  2. Variables d’environnement, comme indiqué dans cet article et dans variables d’environnement et champs pour l’authentification unifiée.
  3. Profils de configuration dans le .databrickscfg fichier.

Dès que l’interface CLI trouve le paramètre requis, elle cesse de rechercher d’autres emplacements.

Exemples :

  • Si une variable d’environnement DATABRICKS_TOKEN est définie, l’interface CLI l’utilise, même si plusieurs jetons existent dans .databrickscfg.
  • Si aucun paramètre n’est DATABRICKS_TOKEN défini et qu’un environnement groupé fait référence à un nom de profil tel que dev → profil DEV, l’interface CLI utilise les informations d’identification de ce profil dans .databrickscfg.
  • Si aucun paramètre n’est DATABRICKS_TOKEN défini et qu’un environnement de bundle spécifie une host valeur, l’interface CLI recherche un profil avec .databrickscfg une correspondance host et utilise son token.

Authentification par jeton d’accès personnel (déconseillée)

Important

L’authentification de base à l’aide d’un nom d’utilisateur et d’un mot de passe Azure Databricks a atteint la fin de vie le 10 juillet 2024. Pour vous authentifier auprès du compte Azure Databricks, utilisez l’une des méthodes d’authentification suivantes à la place :

L’authentification par jeton d’accès personnel Azure Databricks utilise un jeton d’accès personnel Azure Databricks pour authentifier l’entité Azure Databricks cible, telle qu’un compte d’utilisateur Azure Databricks. Consultez S'authentifier avec des jetons d’accès personnels Azure Databricks (hérités).

Pour créer un jeton d’accès personnel, suivez les étapes décrites dans Créer des jetons d’accès personnels pour les utilisateurs de l’espace de travail.

  • Last updated on