Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze pagina bevat overzichtsinformatie over OAuth-tokenfederatie voor toegang tot Azure Databricks-account- en werkruimtebronnen met behulp van tokens van uw id-provider.
Wat is OAuth-tokenfederatie van Databricks?
Met Databricks OAuth-tokenfederatie kunt u veilig toegang krijgen tot Databricks-API's met behulp van tokens van uw vertrouwde id-providers (IdPs). OAuth-tokenfederatie neemt de noodzaak weg om Databricks-geheimen, zoals persoonlijke toegangstokens en Databricks OAuth-clientgeheimen, te beheren en te roteren.
Met databricks OAuth-tokenfederatie wisselen gebruikers en service-principals JWT-tokens (JSON-webtokens) uit van uw id-provider voor Databricks OAuth-tokens, die vervolgens kunnen worden gebruikt voor toegang tot Databricks-API's.
Waarom wordt OAuth-tokenfederatie sterk aanbevolen voor workloads?
OAuth-tokenfederatie is een eenvoudigere en veiligere methode voor verificatie bij Databricks, met name voor geautomatiseerde workloads. Uw workload wordt geverifieerd bij Databricks als een service-principal in uw Databricks-account, met behulp van identiteitstokens voor workloads die zijn uitgegeven door de automatiseringsomgeving. De Databricks SDK's en Databricks CLI halen deze identiteitstokens voor workloads automatisch op en wisselen ze uit voor Databricks OAuth-tokens, waardoor het beheer en de rotatie van Databricks-geheimen niet meer nodig zijn.
Welke typen tokenfederatie worden ondersteund?
Databricks ondersteunt twee typen tokenfederatie:
- tokenfederatie voor het hele account stelt alle gebruikers en service-principals in uw Databricks-account in staat om toegang te krijgen tot Databricks-API's met behulp van tokens van uw id-provider. Met accountbrede tokenfederatie kunt u het beheer van tokenuitgiftebeleid in uw id-provider centraliseren en wordt meestal gebruikt in combinatie met SCIM, zodat gebruikers in uw id-provider worden gesynchroniseerd in uw Azure Databricks-account. Zie tokenfederatie voor het hele account.
- Workload-identiteitsfederatie maakt het mogelijk dat uw geautomatiseerde workloads die buiten Azure Databricks draaien toegang krijgen tot Databricks-API's zonder dat er Databricks-geheimen nodig zijn. Met workload-identiteitsfederatie authenticeert uw toepassing (workload) zich bij Databricks als een Databricks service-principal met behulp van tokens die zijn uitgegeven door de workload-runtime. Zie Workload-identiteitsfederatie.
Notitie
Microsoft Azure-gebruikers kunnen ook MS Entra-tokens gebruiken om de Azure Databricks CLI en API's veilig te gebruiken.
Hoe configureer ik OAuth-tokenfederatie?
OAuth-tokenfederatie configureren voor uw Databricks-account of -workload:
Bepaal of u accountbrede tokenfederatie of workloadidentiteitsfederatie gebruikt.
Maak een federatiebeleid. U hebt het volgende nodig:
- Uw account-ID (voor accountbrede token-verificatie).
- De ID van de service-principal die u gaat gebruiken (voor workloadidentiteitsfederatie).
- Informatie van het hulpprogramma of de provider die federatieve tokens uitgeeft.
Configureer het hulpprogramma of de id-provider voor verificatie bij Databricks met behulp van federatieve tokens. Zie Werkbelastingidentiteitsfederatie in CI/CD inschakelen voor een voorbeeldconfiguratie voor gangbare CI/CD-identiteitsproviders.