Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta strona zawiera omówienie informacji o federacji tokenów OAuth na potrzeby uzyskiwania dostępu do konta usługi Azure Databricks i zasobów obszaru roboczego przy użyciu tokenów od dostawcy tożsamości.
Co to jest federacja tokenów OAuth usługi Databricks?
Federacja tokenów OAuth usługi Databricks umożliwia bezpieczny dostęp do interfejsów API usługi Databricks przy użyciu tokenów od zaufanych dostawców tożsamości (IDP). Federacja tokenów OAuth eliminuje konieczność zarządzania i rotacji tajnych informacji w Databricks, takich jak osobiste tokeny dostępu i tajne dane klienta OAuth w Databricks.
Przy użyciu federacji tokenów OAuth usługi Databricks użytkownicy i jednostki usługi wymieniają tokeny JWT (JSON Web Tokens) od dostawcy tożsamości dla tokenów OAuth usługi Databricks, które następnie mogą służyć do uzyskiwania dostępu do interfejsów API usługi Databricks.
Dlaczego federacja tokenów OAuth jest zdecydowanie zalecana w przypadku obciążeń?
Federacja tokenów OAuth to prostsza i bezpieczniejsza metoda uwierzytelniania w usłudze Databricks, szczególnie w przypadku zautomatyzowanych obciążeń. Obciążenie uwierzytelnia się w Databricks jako główny klient usługi w Twoim koncie Databricks, używając tokenów tożsamości obciążenia wystawionych przez środowisko automatyzacji. Zestawy SDK usługi Databricks i interfejs wiersza polecenia usługi Databricks automatycznie pobierają te tokeny tożsamości obciążenia i wymieniają je na tokeny OAuth usługi Databricks, co eliminuje konieczność zarządzania tajnymi kluczami usługi Databricks i obracania ich.
Jakie typy federacji tokenów są obsługiwane?
Usługa Databricks obsługuje dwa typy federacji tokenów:
- Federacja tokenów na poziomie całego konta umożliwia wszystkim użytkownikom i podmiotom usług w twoim koncie Databricks dostęp do interfejsów API Databricks przy użyciu tokenów od dostawcy tożsamości. Federacja tokenów dla całego konta umożliwia scentralizowanie zarządzania zasadami wystawiania tokenów u dostawcy tożsamości i jest zwykle używana w połączeniu z usługą SCIM, dzięki czemu użytkownicy dostawcy tożsamości są synchronizowani z kontem usługi Azure Databricks. Zobacz Federacja tokenów dla całego konta.
- Federacja tożsamości dla obciążeń roboczych umożliwia zautomatyzowanym obciążeniom roboczym działającym poza usługą Azure Databricks uzyskiwać dostęp do interfejsów API Databricks bez konieczności używania sekretów Databricks. W federacji tożsamości dla obciążeń, aplikacja (obciążenie) uwierzytelnia się w Databricks jako główny użytkownik usługi Databricks, używając tokenów wydanych przez środowisko uruchomieniowe obciążenia. Zobacz Federacja tożsamości obciążenia.
Notatka
Użytkownicy platformy Microsoft Azure mogą również używać tokenów MS Entra do bezpiecznego korzystania z interfejsu wiersza polecenia i interfejsów API usługi Azure Databricks.
Jak skonfigurować federację tokenów OAuth?
Aby skonfigurować federację tokenu OAuth dla konta lub obciążenia usługi Databricks:
Określ, czy użyjesz federacji tokenów dla całego konta, czy federacji tożsamości dla obciążenia roboczego.
Utwórz zasady federacji. Potrzebne będą następujące elementy:
- Identyfikator konta (dla federacji tokenów dla całego konta).
- Identyfikator podmiotu usługi, którego będziesz używać (dla federacji tożsamości obciążenia).
- Informacje z narzędzia lub dostawcy, które będą wystawiać tokeny federacyjne.
Skonfiguruj narzędzie lub dostawcę tożsamości, aby uwierzytelnić się w usłudze Databricks przy użyciu tokenów federacyjnych. Dla przykładu konfiguracji typowych dostawców tożsamości w systemach CI/CD, zobacz Włączanie federacji tożsamości obciążeń w CI/CD.