Compartilhar via

Configurações de autenticação para o Simba (Driver ODBC) do Databricks

Esta página descreve como definir as configurações de autenticação do Azure Databricks para o Driver ODBC do Databricks.

O Driver ODBC do Databricks dá suporte para os seguintes tipos de autenticação do Azure Databricks:

Token do Microsoft Entra ID

O driver ODBC 2.6.15 e superior dá suporte a tokens do Microsoft Entra ID para um usuário do Azure Databricks ou uma entidade de serviço do Microsoft Entra ID.

Para criar um token de acesso do Microsoft Entra ID, faça o seguinte:

Os tokens de acesso da ID do Microsoft Entra têm um tempo de vida padrão de cerca de uma hora. Atualize um token de acesso programaticamente para uma sessão existente sem interromper a conexão executando o código em tokens de atualização. Para obter instruções, consulte Como usar o OAuth 2.0 no Guia do Driver ODBC do Databricks.

Para autenticar usando um token do Microsoft Entra ID, adicione as seguintes configurações às suas configurações de computação e a todas as configurações especiais ou avançadas de funcionalidades do driver:

Configuração Valor
AuthMech 11
Auth_Flow 0
Auth_AccessToken O token do Microsoft Entra ID

Para criar um DSN para sistemas que não sejam Windows, use o seguinte formato:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=0
Auth_AccessToken=<microsoft-entra-id-token>

Para criar uma cadeia de conexão sem DSN, use o seguinte formato. Este exemplo inclui quebras de linha para legibilidade. Não inclua essas quebras de linha na cadeia de conexão:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=0;
Auth_AccessToken=<microsoft-entra-id-token>

Para obter mais informações, consulte a seção Passagem de Token no Guia do Driver ODBC do Databricks (HTML ou PDF).

Entidades de serviço com funções do Azure

Se o principal de serviço do Microsoft Entra ID tiver uma função atribuída no recurso de workspace no Azure, mas não estiver presente no workspace do Azure Databricks, você precisará configurar cabeçalhos HTTP adicionais na conexão ODBC. O Driver ODBC do Simba Spark dá suporte à adição de cabeçalhos usando o formato http.header.[HeaderKey]=[HeaderValue].

Defina os seguintes cabeçalhos necessários das entidades de serviço com função do Azure na cadeia de conexão com ou sem DSN:

  • http.header.X-Databricks-Azure-SP-Management-Token=<management-access-token>
  • http.header.X-Databricks-Azure-Workspace-Resource-Id=<workspace-resource-id>

Para obter o token de gerenciamento, consulte Service principals com função do Azure. Para obter a ID do recurso do workspace, consulte a autenticação de identidades gerenciadas do Azure.

Tokens OAuth 2.0

O driver ODBC 2.7.5 e versões posteriores dão suporte a um token OAuth 2.0 para uma entidade de serviço do Microsoft Entra ID. Isso também é conhecido como autenticação de passagem do OAuth 2.0.

  • Para criar um token OAuth 2.0 para autenticação de passagem por token para uma entidade de serviço do Microsoft Entra ID, consulte Gerar manualmente tokens de acesso OAuth M2M. Anote o valor OAuth access_token da entidade de serviço.
  • Para criar uma entidade de serviço gerenciada do Microsoft Entra ID, veja Entidades de serviço.

Importante

O driver ODBC 2.7.5 e versões superiores dão suporte ao uso de segredos do Azure Databricks OAuth para criar tokens OAuth 2.0. Segredos de Identidade do Microsoft Entra não são suportados.

Os tokens OAuth 2.0 têm um tempo de vida padrão de 1 hora. Para gerar um novo token OAuth 2.0, repita esse processo.

Para autenticar usando a autenticação de passagem do token OAuth 2.0, adicione as seguintes configurações às suas configurações de computação e a todas as configurações especiais ou avançadas de funcionalidades do driver:

Configuração Valor
AuthMech 11
Auth_Flow 0
Auth_AccessToken O token OAuth do Azure Databricks
(A autenticação de passagem de token OAuth 2.0 não dá suporte a tokens de ID do Microsoft Entra.)

Para criar um DSN para sistemas que não sejam Windows, use o seguinte formato:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=0
Auth_AccessToken=<databricks-oauth-token>

Para criar uma cadeia de conexão sem DSN, use o seguinte formato. Este exemplo inclui quebras de linha para legibilidade. Não inclua essas quebras de linha na cadeia de conexão:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=0;
Auth_AccessToken=<databricks-oauth-token>

Para obter mais informações, consulte a seção Passagem de Token no Guia do Driver ODBC do Databricks (HTML ou PDF).

Autenticação OAuth de usuário para máquina (U2M) do Databricks

O driver ODBC 2.8.2 e versões posteriores dão suporte para a autenticação OAuth de usuário para máquina (U2M) para um usuário do Azure Databricks. Isso também é conhecido como autenticação baseada em navegador OAuth 2.0.

A autenticação baseada em navegador OAuth U2M ou OAuth 2.0 não tem pré-requisitos. Os tokens OAuth 2.0 têm um tempo de vida padrão de 1 hora. A autenticação baseada em navegador OAuth U2M ou OAuth 2.0 atualiza automaticamente tokens OAuth 2.0 expirados.

Observação

A autenticação baseada em navegador OAuth U2M ou OAuth 2.0 funciona apenas com aplicativos executados localmente. Ele não funciona com aplicativos baseados em servidor ou na nuvem.

Para autenticar usando a autenticação OAuth de usuário para computador (U2M) ou a autenticação baseada em navegador OAuth 2.0, adicione as seguintes configurações às suas configurações de computação e a todas as configurações especiais ou avançadas de funcionalidades do driver:

Configuração Valor
AuthMech 11
Auth_Flow 2
PWD Uma senha de sua escolha. O driver usa essa chave para atualizar a criptografia de token.
Auth_Client_ID (opcional) databricks-sql-odbc (padrão). Para todos os aplicativos disponíveis, consulte as configurações de conexões de aplicativo no console da conta.
Auth_Scope (opcional) sql offline_access (padrão)
OAuth2RedirectUrlPort (opcional) 8020 (padrão)

Para criar um DSN para sistemas que não sejam Windows, use o seguinte formato:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=2
PWD=<password>

Para criar uma cadeia de conexão sem DSN, use o seguinte formato. Este exemplo inclui quebras de linha para legibilidade. Não inclua essas quebras de linha na cadeia de conexão:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=2;
PWD=<password>

Para obter mais informações, consulte a seção Baseada em Navegador no Guia do Driver ODBC do Databricks (HTML ou PDF).

Autenticação OAuth de usuário para máquina (U2M) do Microsoft Entra ID

O driver ODBC 2.8.2 e posteriores suportam a autenticação OAuth de usuário-para-máquina (U2M) do Microsoft Entra ID para um usuário do Azure Databricks.

Para usar o U2M (usuário para máquina) do Microsoft Entra ID OAuth, você deve registrar o cliente OAuth (aplicativo) na ID do Microsoft Entra, consulte Registrar um aplicativo cliente na ID do Microsoft Entra.

Para autenticar usando o OAuth de usuário para máquina (U2M) do Microsoft Entra ID, adicione as seguintes configurações às suas configurações de computação e a todas as configurações de funcionalidades do driver especiais ou avançadas:

Configuração Valor
AuthMech 11
Auth_Flow 2
PWD Uma senha de sua escolha. O driver usa essa chave para atualizar a criptografia de token
Auth_Client_ID ID do aplicativo (cliente) do aplicativo do Azure
Auth_Scope 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access
OIDCDiscoveryEndpoint https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration
OAuth2RedirectUrlPort Porta de redirecionamento do aplicativo do Azure

Para criar um DSN para sistemas que não sejam Windows, use o seguinte formato:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<application-id-azure-application>
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration
OAuth2RedirectUrlPort=<redirect port of the Azure application>

Para criar uma cadeia de conexão sem DSN, use o seguinte formato. Este exemplo inclui quebras de linha para legibilidade. Não inclua essas quebras de linha na cadeia de conexão:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<application-id-azure-application>;
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access;
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration;
OAuth2RedirectUrlPort=<redirect port of the Azure application>;

Autenticação M2M (de computador para computador) do OAuth

O driver ODBC dá suporte à autenticação OAuth de máquina para máquina (M2M) para uma entidade de serviço do Azure Databricks. Isso também é conhecido como autenticação de credenciais de cliente OAuth 2.0.

Para configurar a autenticação de credenciais do cliente OAuth M2M ou OAuth 2.0, faça o seguinte:

  1. Crie uma entidade de serviço do Azure Databricks em seu workspace do Azure Databricks e crie um segredo OAuth para essa entidade de serviço.

    Para criar a entidade de serviço e seu segredo de OAuth, consulte Autorizar o acesso da entidade de serviço ao Azure Databricks com OAuth. Anote o valor da UUID ou da ID do aplicativo da entidade de serviço e o valor secreto do segredo OAuth da entidade de serviço.

  2. Conceda à entidade de serviço acesso ao cluster ou ao warehouse. Consulte Permissões de computação ou Gerenciar um SQL warehouse.

Para autenticar usando a autenticação de credenciais de cliente OAuth M2M (machine-to-machine) ou OAuth 2.0, adicione as seguintes configurações às suas configurações de computação e a quaisquer configurações especiais ou avançadas de funcionalidade do driver:

Configuração Valor
AuthMech 11
Auth_Flow 1
Auth_Client_ID O valor do UUID/ID do aplicativo da entidade de serviço.
Auth_Client_Secret O valor do OAuth Segredo do serviço principal.
Auth_Scope (opcional) all-apis (padrão)

Para criar um DSN para sistemas que não sejam Windows, use o seguinte formato:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<service-principal-application-ID>
Auth_Client_Secret=<service-principal-secret>
Auth_Scope=all-apis

Para criar uma cadeia de conexão sem DSN, use o seguinte formato. Este exemplo inclui quebras de linha para legibilidade. Não inclua essas quebras de linha na cadeia de conexão:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<service-principal-application-ID>;
Auth_Client_Secret=<service-principal-secret>;
Auth_Scope=all-apis

Para obter mais informações, consulte a seção Credenciais do Cliente no Guia do Driver ODBC do Databricks (HTML ou PDF).

Autenticação OAuth de máquina para máquina (M2M) do Microsoft Entra ID

O driver ODBC 2.8.2 e superior dá suporte à autenticação máquina a máquina (M2M) do Microsoft Entra ID para uma entidade de serviço do Microsoft Entra ID.

Para configurar a autenticação de máquina para máquina (M2M) do OAuth do Entra ID, faça o seguinte:

  1. Criar uma entidade de serviço gerenciada do Microsoft Entra ID. Para fazer isso, consulte Gerenciar entidades de serviço.
  2. Conceda à entidade de serviço acesso ao cluster ou ao warehouse. Consulte Permissões de computação ou Gerenciar um SQL warehouse.

Para autenticar usando o OAuth de máquina para máquina (M2M) do Microsoft Entra ID, adicione as seguintes configurações às suas configurações de computação e a todas as configurações de funcionalidades do driver especiais e avançadas:

Configuração Valor
AuthMech 11
Auth_Flow 1
Auth_Client_ID A ID do aplicativo da entidade de serviço na ID do Entra
Auth_Client_Secret O segredo do cliente da entidade de serviço na ID do Entra. Esse é o segredo do cliente que você cria em Certificados e segredos no Microsoft Entra ID.
Auth_Scope 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default
OIDCDiscoveryEndpoint https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration

Para criar um DSN para sistemas que não sejam Windows, use o seguinte formato:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<entra-id-service-principal-application-ID>
Auth_Client_Secret=<entra-id-service-principal-client-secret>
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration

Para criar uma cadeia de conexão sem DSN, use o seguinte formato. Este exemplo inclui quebras de linha para legibilidade. Não inclua essas quebras de linha na cadeia de conexão:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<entra-id-service-principal-application-ID>>;
Auth_Client_Secret=<entra-id-service-principal-client-secret>;
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default;
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration

Autenticação de identidades gerenciadas do Azure

O driver ODBC 2.7.7 e superior dá suporte à autenticação de identidades gerenciadas do Azure. Use esse método de autenticação ao trabalhar com recursos do Azure que dão suporte a identidades gerenciadas, como VMs do Azure.

Para autenticar usando a autenticação de identidades gerenciadas do Azure, adicione as seguintes definições às suas configurações de computação e a quaisquer configurações de capacidades de driver especiais ou avançadas:

Configuração Valor
AuthMech 11
Auth_Flow 3
Auth_Client_ID A ID da identidade gerenciada do Azure.
Azure_workspace_resource_id A ID do recurso do Azure para seu workspace do Azure Databricks.
Para obter essa ID, na barra de navegação superior do workspace do Azure Databricks, clique em seu nome de usuário e clique em
Portal do Azure. Na página de recursos do workspace do Azure Databricks que aparece, clique em Propriedades em Configurações na barra lateral. A ID está em Id em Essentials.

Para criar um DSN para sistemas que não sejam Windows, use o seguinte formato:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=3
Auth_Client_ID=<azure-managed-identity-ID>
Azure_workspace_resource_id=<azure-workspace-resource-ID>

Para criar uma cadeia de conexão sem DSN, use o seguinte formato. Este exemplo inclui quebras de linha para legibilidade. Não inclua essas quebras de linha na cadeia de conexão:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=3;
Auth_Client_ID=<azure-managed-identity-ID>;
Azure_workspace_resource_id=<azure-workspace-resource-ID>

Token de acesso pessoal do Azure Databricks (herdado)

Para criar um token de acesso pessoal do Azure Databricks, siga as etapas em Criar tokens de acesso pessoal para usuários do workspace.

Para autenticar usando um token de acesso pessoal do Azure Databricks, adicione as seguintes configurações às suas configurações de computação e a quaisquer configurações especiais ou avançadas de funcionalidade do driver:

Configuração Valor
AuthMech 3
UID token
PWD O token de acesso pessoal do Databricks para o usuário do workspace

Para criar um DSN para sistemas que não sejam Windows, use o seguinte formato:

[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=3
UID=token
PWD=<personal-access-token>

Para criar uma cadeia de conexão sem DSN, use o seguinte formato. Este exemplo inclui quebras de linha para legibilidade. Não inclua essas quebras de linha na cadeia de conexão:

Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=3;
UID=token;
PWD=<personal-access-token>
  • Last updated on