Ověřování tokenu PAT služby Azure Databricks

Tokeny PAT (Azure Databricks) slouží k ověřování přístupu k prostředkům a rozhraním API na úrovni pracovního prostoru Azure Databricks. Mnoho mechanismů úložiště přihlašovacích údajů a souvisejících informací, jako jsou proměnné prostředí a profily konfigurace Azure Databricks ,, poskytují podporu pro osobní přístupové tokeny Azure Databricks. Ačkoli uživatelé mohou mít v pracovním prostoru Azure Databricks více osobních přístupových tokenů, každý osobní přístupový token funguje pouze pro jeden pracovní prostor Azure Databricks. Počet osobních přístupových tokenů na uživatele je omezený na 600 na pracovní prostor.

Databricks automaticky odvolá osobní přístupové tokeny, které se nepoužívaly za 90 nebo více dnů.

Důležité

Databricks doporučuje místo ověřování klientů uživatelských účtů používat OAuth místo ověřování a autorizace uživatelských účtů kvůli vylepšenému zabezpečení OAuth. Informace o použití OAuth k ověřování klientů pomocí uživatelského účtu Databricks najdete v tématu Autorizace interaktivního přístupu k prostředkům Azure Databricks pomocí uživatelského účtu pomocí OAuth (pro ověřování uživatelských účtů).

10. července 2024 bylo dosaženo základního ověřování (bez tokenů) s použitím uživatelského jména a hesla Azure Databricks.

Pokud chcete automatizovat funkce na úrovni účtu Azure Databricks, nemůžete používat osobní přístupové tokeny Azure Databricks. Místo toho musíte použít tokeny MICROSOFT Entra ID správců účtu Azure Databricks. Správci účtu Azure Databricks můžou být uživatelé nebo instanční objekty. Další informace naleznete v tématu:

• Spravovat uživatele

  • Správa instančních objektů
  • Správa skupin

  Viz také:

  • Ověřování spravovaných identit Azure
  • Ověřování instančního objektu MS Entra
  • Ověřování přes Azure CLI

Osobní přístupové tokeny Azure Databricks pro uživatele pracovního prostoru

Pokud chcete vytvořit osobní přístupový token Azure Databricks pro uživatele pracovního prostoru Azure Databricks, postupujte takto:

1. V pracovním prostoru Azure Databricks klikněte na své uživatelské jméno Azure Databricks v horním panelu a pak v rozevíracím seznamu vyberte Nastavení.

2. Klikněte na Vývojář.

3. Vedle přístupových tokenů klikněte na Spravovat.

4. Klikněte na Vygenerovat nový token.

5. Zadejte komentář, který vám pomůže identifikovat tento token v budoucnu.

6. Nastavte životnost tokenu ve dnech.

   Pokud ponecháte pole Životnost (dny) prázdné, doba života tokenu se nastaví na maximální dobu života vašeho pracovního prostoru. Ve výchozím nastavení je maximální životnost tokenu pro pracovní prostor 730 dnů. Viz Nastavení maximální životnosti nových osobních přístupových tokenů.

7. Klikněte na Generovat.

8. Zkopírujte zobrazený token do zabezpečeného umístění a klikněte na tlačítko Hotovo.

Poznámka:

Nezapomeňte zkopírovaný token uložit do zabezpečeného umístění. Nesdílejte svůj zkopírovaný token s ostatními. Pokud ztratíte zkopírovaný token, nemůžete tento úplně stejný token znovu vygenerovat. Místo toho musíte tento postup zopakovat, abyste vytvořili nový token. Pokud ztratíte zkopírovaný token nebo se domníváte, že došlo k ohrožení zabezpečení tokenu, databricks důrazně doporučuje tento token okamžitě odstranit z pracovního prostoru kliknutím na ikonu koše (Odvolat) vedle tokenu na stránce Access tokeny.

Pokud v pracovním prostoru nemůžete vytvářet nebo používat tokeny, může to být proto, že správce pracovního prostoru zakázal tokeny nebo vám neudělil oprávnění k vytváření nebo používání tokenů. Projděte si správce pracovního prostoru nebo následující témata:

• Povolení nebo zakázání ověřování osobního přístupového tokenu pro pracovní prostor
• Oprávnění osobního přístupového tokenu

Osobní přístupové tokeny Azure Databricks pro instanční objekty

Instanční objekt může vytvořit osobní přístupové tokeny Databricks pro sebe následujícím způsobem:

Tento postup předpokládá, že používáte ověřování M2M (machine-to-machine) nebo ověřování instančního objektu Microsoft Entra ID k nastavení rozhraní příkazového řádku Databricks pro ověřování instančního objektu k vygenerování osobních přístupových tokenů Azure Databricks pro sebe. Viz ověřování M2M (machine-to-machine) OAuth nebo ověřování instančního objektu Microsoft Entra ID.

1. Pomocí rozhraní příkazového řádku Databricks spusťte následující příkaz, který vygeneruje další přístupový token pro instanční objekt.

   Spusťte následující příkaz:

   databricks tokens create --comment <comment> --lifetime-seconds <lifetime-seconds> -p <profile-name>
   

   • --comment: Nahraďte <comment> smysluplným komentářem k účelu přístupového tokenu. Pokud není zadána --comment možnost, nevygeneruje se žádný komentář.
   • --lifetime-seconds: Nahraďte <lifetime-seconds> počtem sekund, pro který je přístupový token platný. Například 1 den je 86400 sekund. Pokud není zadaná možnost --lifetime-seconds, přístupový token se nastaví na maximální životnost vašeho pracovního prostoru. Ve výchozím nastavení je maximální životnost tokenu pro pracovní prostor 730 dnů.
   • --profile-name: Nahraďte <profile-name> názvem konfiguračního profilu Azure Databricks, který obsahuje ověřovací informace pro instanční objekt a cílový pracovní prostor. Pokud není tato -p možnost zadaná, pokusí se rozhraní příkazového řádku Databricks najít a použít konfigurační profil s názvem DEFAULT.

2. V odpovědi zkopírujte hodnotu token_value, což je přístupový token pro instanční objekt.

   Nezapomeňte zkopírovaný token uložit do zabezpečeného umístění. Nesdílejte svůj zkopírovaný token s ostatními. Pokud ztratíte zkopírovaný token, nemůžete tento úplně stejný token znovu vygenerovat. Místo toho musíte tento postup zopakovat, abyste vytvořili nový token.

   Pokud v pracovním prostoru nemůžete vytvářet nebo používat tokeny, může to být proto, že správce pracovního prostoru zakázal tokeny nebo vám neudělil oprávnění k vytváření nebo používání tokenů. Obraťte se na správce pracovního prostoru nebo následující:

   • Povolení nebo zakázání ověřování osobního přístupového tokenu pro pracovní prostor
   • Oprávnění osobního přístupového tokenu

Provedení ověřování tokenů pat pro Azure Databricks

Pokud chcete nakonfigurovat ověřování osobního přístupového tokenu Azure Databricks, musíte nastavit následující přidružené proměnné prostředí, .databrickscfg pole, pole Terraformu nebo pole Config:

• Hostitel Azure Databricks určený jako cílová adresa URL Služby Azure Databricks pro jednotlivé pracovní prostory, například https://adb-1234567890123456.7.azuredatabricks.net.
• Osobní přístupový token Azure Databricks pro uživatelský účet Azure Databricks.

Pokud chcete provést ověřování osobního přístupového tokenu Azure Databricks, integrujte následující kód na základě zúčastněného nástroje nebo sady SDK:

Prostředí

Informace o použití proměnných prostředí pro konkrétní typ ověřování Azure Databricks pomocí nástroje nebo sady SDK najdete v tématu Autorizace přístupu k prostředkům Azure Databricks nebo dokumentaci k nástroji nebo sadě SDK. Viz také proměnné prostředí a pole pro jednotné ověřování klienta a výchozí metody pro jednotné ověřování klienta.

Nastavte následující proměnné prostředí:

• DATABRICKS_HOST, nastavte na adresu URL Azure Databricks propracovního prostoru, například https://adb-1234567890123456.7.azuredatabricks.net.
• DATABRICKS_TOKEN, nastavte na řetězec tokenu.

Profil

Vytvořte nebo identifikujte konfigurační profil Azure Databricks s následujícími poli v .databrickscfg souboru. Pokud vytvoříte profil, nahraďte zástupné symboly příslušnými hodnotami. Pokud chcete profil použít s nástrojem nebo sadou SDK, přečtěte si téma Autorizace přístupu k prostředkům Azure Databricks nebo dokumentaci k nástroji nebo sadě SDK. Viz také proměnné prostředí a pole pro jednotné ověřování klienta a výchozí metody pro jednotné ověřování klienta.

V souboru .databrickscfg nastavte následující hodnoty. V tomto případě je hostitelem adresa URL azure Databricks pro jednotlivé pracovní prostory, napříkladhttps://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host  = <workspace-url>
token = <token>

Místo ručního nastavení předchozích hodnot v souboru .databrickscfg můžete tyto hodnoty nastavit pomocí rozhraní příkazového řádku Databricks následujícím způsobem:

Poznámka:

Následující postup používá rozhraní příkazového řádku Databricks k vytvoření konfiguračního profilu Azure Databricks s názvem DEFAULT. Pokud už máte DEFAULT konfigurační profil, tento postup přepíše stávající DEFAULT konfigurační profil.

Pokud chcete zkontrolovat, jestli už máte DEFAULT konfigurační profil, a pokud chcete zobrazit nastavení tohoto profilu, použijte k spuštění příkazu rozhraní databricks auth env --profile DEFAULTpříkazového řádku Databricks .

Chcete-li vytvořit konfigurační profil s jiným názvem než DEFAULT, nahraďte DEFAULT část --profile DEFAULT v následujícím databricks configure příkazu jiným názvem konfiguračního profilu.

1. Pomocí rozhraní příkazového řádku Databricks vytvořte konfigurační profil Azure Databricks s názvemDEFAULT, který používá ověřování tokenů pat Azure Databricks. Provedete to spuštěním následujícího příkazu:

   databricks configure --profile DEFAULT
   

2. Pro výzvu Databricks Host

3. V případě výzvy osobního přístupového tokenu zadejte osobní přístupový token Azure Databricks pro váš pracovní prostor.

Rozhraní příkazového řádku

Pro Rozhraní příkazového řádku Databricks spusťte databricks configure příkaz. Na příkazovém řádku zadejte následující nastavení:

• Hostitel Azure Databricks určený jako cílová adresa URL Služby Azure Databricks pro jednotlivé pracovní prostory, například https://adb-1234567890123456.7.azuredatabricks.net.
• Osobní přístupový token Azure Databricks pro uživatelský účet Azure Databricks.

Další podrobnosti najdete v tématu Ověřování tokenů pat pro Azure Databricks.

Propojit

Poznámka:

Ověřování osobního přístupového tokenu Azure Databricks je podporováno v následujících verzích Databricks Connect:

• Pro Python databricks Connect pro Databricks Runtime 13.3 LTS a novější.
• Pro Scala, Databricks Connect pro Databricks Runtime 13.3 LTS a vyšší.

Pro Databricks Connect můžete pomocí rozhraní příkazového řádku Databricks nastavit hodnoty v souboru .databrickscfg pro operace na úrovni pracovního prostoru Azure Databricks , jak je uvedeno v části Profil v tomto článku:

Poznámka:

Následující postup používá rozhraní příkazového řádku Databricks k vytvoření konfiguračního profilu Azure Databricks s názvem DEFAULT. Pokud už máte DEFAULT konfigurační profil, tento postup přepíše stávající DEFAULT konfigurační profil.

Pokud chcete zkontrolovat, jestli už máte DEFAULT konfigurační profil, a pokud chcete zobrazit nastavení tohoto profilu, použijte k spuštění příkazu rozhraní databricks auth env --profile DEFAULTpříkazového řádku Databricks .

Chcete-li vytvořit konfigurační profil s jiným názvem než DEFAULT, nahraďte DEFAULT část --profile DEFAULTdatabricks configure příkazu, jak je znázorněno v následujícím kroku jiným názvem konfiguračního profilu.

1. Pomocí rozhraní příkazového řádku Databricks vytvořte konfigurační profil Azure Databricks s názvemDEFAULT, který používá ověřování tokenů pat Azure Databricks. Provedete to spuštěním následujícího příkazu:

   databricks configure --configure-cluster --profile DEFAULT
   

2. Pro výzvu Databricks Host

3. V případě výzvy osobního přístupového tokenu zadejte osobní přístupový token Azure Databricks pro váš pracovní prostor.

4. Ve zobrazeném seznamu dostupných clusterů použijte klávesy se šipkami nahoru a dolů k výběru cílového clusteru Azure Databricks ve vašem pracovním prostoru a poté stiskněte Enter. Pokud chcete filtrovat seznam dostupných clusterů, můžete také zadat libovolnou část zobrazovaného názvu clusteru.

Použití rozhraní AZURE Databricks REST API k vydávání tokenů pat

Azure Databricks poskytuje koncový bod /api/2.0/token/create REST pro vydávání PAT. Podrobnosti o rozhraní API najdete v tématu Vytvoření tokenu uživatele.

Do rozhraní REST API musíte zadat konkrétní hodnoty. V následujícím příkladu nastavte tyto hodnoty:

• Nahraďte <databricks-instance> adresou URL pracovního prostoru Databricks. Například dbc-abcd1234-5678.cloud.databricks.com.
• Nahraďte <your-existing-access-token> existující platnou pat (řetězec), který má oprávnění k vytváření nových tokenů.

Zadejte hodnoty pro tyto parametry:

• comment: Popis nového tokenu.
• lifetime_seconds: Životnost tokenu v sekundách.

curl -X POST https://<databricks-instance>/api/2.0/token/create \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "comment": "New PAT using DB API",
  "lifetime_seconds": <lifetime-of-pat-in-seconds>
}'

Příznak -d poskytuje datovou část JSON pro požadavek.

Pokud to proběhne úspěšně, výsledkem je datová část odpovědi podobná této:

{
  "access_token": "<your-newly-issued-pat>",
  "token_type": "Bearer",
  "expires_in": <the-duration-of-the-new-pat>
}

Zadejte nový token z odpovědi v hlavičce autorizace následných volání rozhraní REST API Databricks. Příklad:

# This example uses a simple GET. For POST or other REST verbs, you may need to provide additional parameters.
curl -X GET "https://<databricks-instance>/api/2.0/<path-to-endpoint>" \
     -H "Authorization: Bearer <your-new-pat>"

import requests

headers = {
    'Authorization': 'Bearer <your-new-pat>'
}
# This example is for an HTTP GET operation.
response = requests.get('https://<databricks-instance>/api/2.0/<path-to-endpoint>', headers=headers)