Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta página fornece informações gerais sobre a federação de tokens OAuth para acessar a conta do Azure Databricks e os recursos do espaço de trabalho usando tokens do seu provedor de identidade.
O que é a federação de tokens Databricks OAuth?
A federação de tokens OAuth do Databricks permite que você acesse APIs do Databricks com segurança usando tokens de seus provedores de identidade confiáveis (IdPs). A federação de tokens OAuth elimina a necessidade de gerir e alternar segredos do Databricks, como tokens de acesso pessoal do Databricks e segredos do cliente OAuth do Databricks.
Usando a federação de tokens OAuth do Databricks, os usuários e entidades de serviço trocam tokens JWT (JSON Web Tokens) do seu provedor de identidade por tokens Databricks OAuth, que podem ser usados para acessar APIs do Databricks.
Por que a federação de tokens OAuth é altamente recomendada para cargas de trabalho?
A federação de tokens OAuth é um método mais simples e seguro para autenticação no Databricks, especialmente para cargas de trabalho automatizadas. Sua carga de trabalho é autenticada no Databricks como uma entidade de serviço em sua conta Databricks, usando tokens de identidade de carga de trabalho emitidos pelo ambiente de automação. Os SDKs do Databricks e a CLI do Databricks buscam automaticamente esses tokens de identidade de carga de trabalho e os trocam por tokens OAuth do Databricks, o que elimina a necessidade de lidar com ou renovar os segredos do Databricks.
Que tipos de federação de tokens são suportados?
O Databricks suporta dois tipos de federação de tokens:
- Federação de tokens em toda a conta permite que todos os utilizadores e entidades de serviço na sua conta do Databricks acedam às APIs do Databricks usando tokens do seu fornecedor de identidade. A federação de tokens em toda a conta permite centralizar o gerenciamento de políticas de emissão de token em seu provedor de identidade e normalmente é usada em combinação com o SCIM, para que os usuários em seu provedor de identidade sejam sincronizados em sua conta do Azure Databricks. Consulte Federação de tokens em toda a conta.
- A federação de identidade de carga de trabalho permite que as suas cargas de trabalho automatizadas, executadas fora do Azure Databricks, acedam às APIs do Databricks sem a necessidade de credenciais do Databricks. Com a federação de identidade de carga de trabalho, a sua aplicação (carga de trabalho) autentica-se no Databricks como um principal de serviço do Databricks, utilizando tokens emitidos pelo runtime da carga de trabalho. Consulte Federação de identidades de carga de trabalho.
Observação
Os usuários do Microsoft Azure também podem usar tokens do MS Entra para usar com segurança a CLI e as APIs do Azure Databricks.
Como configuro a federação de tokens OAuth?
Para configurar a federação de tokens OAuth para sua conta ou carga de trabalho do Databricks:
Determine se você usará a federação de tokens em toda a conta ou a federação de identidades de carga de trabalho.
Crie uma política de federação. Irá necessitar de:
- O ID da sua conta (para federação de tokens em toda a conta).
- A ID da entidade de serviço que você usará (para federação de identidade de carga de trabalho).
- Informações da ferramenta ou provedor que emitirá tokens federados.
Configure a ferramenta ou o provedor de identidade para autenticar no Databricks usando tokens federados. Por exemplo, para configurações de provedores de identidade comuns de CI/CD, consulte Habilitar federação de identidades em cargas de trabalho em CI/CD.