Nastavení ověřování pro ovladač ODBC Databricks
Tento článek popisuje, jak nakonfigurovat nastavení ověřování Azure Databricks pro ovladač ODBC Databricks.
Ovladač ODBC Databricks podporuje následující typy ověřování Azure Databricks:
- Osobní přístupový token Azure Databricks
- Microsoft Entra ID token
- Tokeny OAuth 2.0
- Ověřování uživatele vůči stroji (U2M) pomocí OAuth od Databricks
- Ověřování microsoft Entra ID OAuth uživatelem na počítač (U2M)
- Ověřování OAuth mezi počítači (M2M)
- Ověřování stroj-stroj (M2M) pomocí Microsoft Entra ID OAuth
- Ověřování spravovaných identit Azure
Osobní přístupový token Azure Databricks
Pokud chcete vytvořit osobní přístupový token Azure Databricks, postupujte podle kroků v osobních přístupových tokenech Azure Databricks pro uživatele pracovního prostoru.
Pokud se chcete ověřit pomocí osobního přístupového tokenu Azure Databricks, přidejte do nastavení výpočetních prostředků následující konfigurace a všechna speciální nebo pokročilá nastavení možností ovladače:
| Nastavení | Hodnota |
|---|---|
AuthMech |
3 |
UID |
token |
PWD |
Osobní přístupový token Databricks pro uživatele pracovního prostoru |
Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=3
UID=token
PWD=<personal-access-token>
Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Konce řádků byly přidány pro čitelnost. Řetězec nesmí obsahovat tyto konce řádků:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=3;
UID=token;
PWD=<personal-access-token>
- Pokud chcete získat hodnotu
<path-to-driver>, přečtěte si téma Stažení a instalace ovladače ODBC Databricks. - Pokud chcete získat hodnoty pro
<server-hostname>a<http-path>, přečtěte si nastavení výpočtu pro ovladač ODBC Databricks. - Můžete také přidat speciální nebo pokročilá nastavení možností ovladače.
Microsoft Entra ID token
Ovladač ODBC 2.6.15 a vyšší podporuje tokeny Microsoft Entra ID pro uživatele Azure Databricks nebo aplikační objekt Microsoft Entra ID.
Pokud chcete vytvořit přístupový token Microsoft Entra ID, postupujte takto:
- Pro uživatele Azure Databricks můžete použít Azure CLI. Viz Získání tokenů ID Microsoft Entra pro uživatele pomocí Azure CLI.
- Instanční objekt Microsoft Entra ID najdete v tématu Získání přístupového tokenu Microsoft Entra ID pomocí Azure CLI. Informace o vytvoření spravovaného servisního účtu Microsoft Entra ID najdete v tématu Správa servisních účtů.
Přístupové tokeny Microsoft Entra ID mají výchozí životnost přibližně 1 hodinu. Přístupový token lze aktualizovat programově pro existující relaci bez přerušení připojení spuštěním kódu v aktualizaci přístupového tokenu Microsoft Entra ID. Pokyny k aktualizaci tokenu najdete v části Configuring Authentication on Windows > Providing a New Access Token průvodce ovladačem ODBC Databricks.
Pokud chcete provést ověření pomocí tokenu Microsoft Entra ID, přidejte do nastavení výpočetních prostředků následující konfigurace a všechna speciální nebo pokročilá nastavení možností ovladače:
| Nastavení | Hodnota |
|---|---|
AuthMech |
11 |
Auth_Flow |
0 |
Auth_AccessToken |
Token ID Microsoft Entra |
Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=0
Auth_AccessToken=<microsoft-entra-id-token>
Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Konce řádků byly přidány pro čitelnost. Řetězec nesmí obsahovat tyto zlomy řádků:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=0;
Auth_AccessToken=<microsoft-entra-id-token>
- Pokud chcete získat hodnotu
<path-to-driver>, přečtěte si téma Stažení a instalace ovladače ODBC Databricks. - Chcete-li získat hodnoty pro
<server-hostname>a<http-path>, přečtěte si nastavení výpočtů pro ovladač Databricks ODBC. - Můžete také přidat speciální nebo pokročilá nastavení možností ovladače.
Další informace najdete Token Pass-through v částech průvodce ovladačem ODBC Databricks.
Tokeny OAuth 2.0
Ovladač ODBC 2.7.5 a vyšší podporuje token OAuth 2.0 pro instanční objekt Microsoft Entra ID. Označuje se také jako ověřování předáváním tokenu OAuth 2.0.
- Pokud chcete vytvořit token OAuth 2.0 pro ověřování propustnosti tokenu pro servisní účet Microsoft Entra ID, přečtěte si téma Ruční generování a používání přístupových tokenů pro ověřování servisního účtu OAuth. Poznamenejte si hodnotu OAuth
access_tokenslužebního principálu. - Jak vytvořit spravovaný služební principál Microsoft Entra ID, najdete v tématu Správa služebních principálů.
Důležité
Ovladač ODBC 2.7.5 a vyšší podporuje použití tajných kódů OAuth v Azure Databricks k vytvoření tokenů OAuth 2.0. Tajné kódy MICROSOFT Entra ID nejsou podporovány.
Tokeny OAuth 2.0 mají výchozí životnost 1 hodinu. Pokud chcete vygenerovat nový token OAuth 2.0, opakujte tento proces.
Pokud se chcete ověřit pomocí předávacího ověřování pomocí tokenu OAuth 2.0, přidejte do nastavení výpočetních prostředků následující konfigurace a všechna speciální nebo pokročilá nastavení možností ovladače:
| Nastavení | Hodnota |
|---|---|
AuthMech |
11 |
Auth_Flow |
0 |
Auth_AccessToken |
Token Azure Databricks OAuth (Tokeny Microsoft Entra ID nejsou podporovány pro předávací ověřování pomocí tokenu OAuth 2.0.) |
Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=0
Auth_AccessToken=<databricks-oauth-token>
Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Konce řádků byly přidány pro čitelnost. Řetězec nesmí obsahovat tyto zlomy řádků:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=0;
Auth_AccessToken=<databricks-oauth-token>
- Pokud chcete získat hodnotu
<path-to-driver>, přečtěte si téma Stažení a instalace ovladače ODBC Databricks. - Pokud chcete získat hodnoty pro
<server-hostname>a<http-path>, podívejte se na nastavení výpočetních prostředků pro ovladač ODBC Databricks. - Můžete také přidat speciální nebo pokročilá nastavení možností ovladače.
Další informace najdete Token Pass-through v částech průvodce ovladačem ODBC Databricks.
Ověřování typu uživatel-stroj (U2M) pomocí Databricks OAuth
Ovladač ODBC 2.8.2 a novější podporuje ověřování U2M (user-to-machine) OAuth pro uživatele Azure Databricks. Označuje se také jako ověřování založené na prohlížeči OAuth 2.0.
Ověřování založené na prohlížeči OAuth U2M nebo OAuth 2.0 nemá žádné požadavky. Tokeny OAuth 2.0 mají výchozí životnost 1 hodinu. OAuth U2M nebo ověřování založené na prohlížeči OAuth 2.0 by mělo automaticky aktualizovat vypršelé tokeny OAuth 2.0.
Poznámka:
Ověřování založené na prohlížeči OAuth U2M nebo OAuth 2.0 funguje jenom s aplikacemi, které běží místně. Nefunguje s serverovými nebo cloudovými aplikacemi.
Pokud se chcete ověřit pomocí ověřování založeného na prohlížeči OAuth od uživatele do počítače (U2M) nebo OAuth 2.0, přidejte do nastavení výpočetních prostředků následující konfigurace a do všech speciálních nebo pokročilých nastavení možností ovladače:
| Nastavení | Hodnota |
|---|---|
AuthMech |
11 |
Auth_Flow |
2 |
PWD |
Heslo podle vašeho výběru. Ovladač používá tento klíč k šifrování obnovovacího tokenu. |
Auth_Client_ID (volitelné) |
databricks-sql-odbc (výchozí) Všechny příslušné aplikace najdete v nastavení připojení aplikací v konzole účtu Databricks, kde najdete informace o povolení vlastních aplikací OAuth pomocí uživatelského rozhraní Azure Databricks. |
Auth_Scope (volitelné) |
sql offline_access (výchozí) |
OAuth2RedirectUrlPort (volitelné) |
8020 (výchozí) |
Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=2
PWD=<password>
Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Konce řádků byly přidány pro čitelnost. Řetězec nesmí obsahovat tyto konce odstavců:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=2;
PWD=<password>
- Pokud chcete získat hodnotu
<path-to-driver>, přečtěte si téma Stažení a instalace ovladače ODBC Databricks. - Abychom získali hodnoty pro
<server-hostname>a<http-path>, přečtěte si nastavení výpočetních prostředků pro ovladač ODBC Databricks. - Můžete také přidat speciální nebo pokročilá nastavení možností ovladače.
Další informace najdete Browser Based v částech průvodce ovladačem ODBC Databricks.
Ověřování microsoft Entra ID OAuth uživatelem na počítač (U2M)
Ovladač ODBC 2.8.2 a novější podporuje ověřování Microsoft Entra ID OAuth uživatele na počítači (U2M) pro uživatele Azure Databricks.
Pokud chcete používat Microsoft Entra ID OAuth user-to-machine (U2M), musí být klient OAuth (aplikace) zaregistrovaný v Microsoft Entra ID, viz pokyny.
Pokud se chcete ověřit pomocí microsoft Entra ID OAuth user-to-machine (U2M), přidejte do nastavení výpočetních prostředků následující konfigurace a všechna speciální nebo pokročilá nastavení možností ovladače:
| Nastavení | Hodnota |
|---|---|
AuthMech |
11 |
Auth_Flow |
2 |
PWD |
Heslo podle vašeho výběru. Ovladač používá tento klíč k šifrování obnovovacího tokenu. |
Auth_Client_ID |
ID aplikace (klienta) aplikace Azure |
Auth_Scope |
2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access |
OIDCDiscoveryEndpoint |
https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration |
OAuth2RedirectUrlPort |
Přesměrování portu aplikace Azure |
Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<application-id-azure-application>
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration
OAuth2RedirectUrlPort=<redirect port of the Azure application>
Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Konce řádků byly přidány pro čitelnost. Řetězec nesmí obsahovat tato zalomení řádků:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<application-id-azure-application>;
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access;
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration;
OAuth2RedirectUrlPort=<redirect port of the Azure application>;
- Pokud chcete získat hodnotu
<path-to-driver>, přečtěte si téma Stažení a instalace ovladače ODBC Databricks. - Pro zjištění hodnot pro
<server-hostname>a<http-path>si přečtěte nastavení výpočetních prostředků pro ovladač ODBC Databricks. - Můžete také přidat speciální nebo pokročilá nastavení možností ovladače.
Ověřování OAuth mezi stroji (M2M)
Ovladač ODBC podporuje ověřování OAuth typu machine-to-machine (M2M) pro instanční objekt Azure Databricks. To se také označuje jako ověřování přihlašovacích údajů klienta OAuth 2.0.
Pokud chcete nakonfigurovat ověřování přihlašovacích údajů klienta OAuth M2M nebo OAuth 2.0, postupujte takto:
V pracovním prostoru Azure Databricks vytvořte instanční objekt Azure Databricks a vytvořte pro tento instanční objekt tajný klíč OAuth.
Pokud chcete vytvořit instanční objekt a jeho tajný klíč OAuth, přečtěte si téma Autorizace bezobslužného přístupu k prostředkům Azure Databricks pomocí instančního objektu pomocí OAuth. cs-CZ: Poznamenejte si hodnotu UUID nebo ID aplikace pro instanci služby, a hodnotu Secret pro tajný klíč OAuth této instance služby.
Dejte služebnímu principálu přístup ke clusteru nebo skladu. Přečtěte si informace o výpočetních oprávněních nebo spravujte službu skladu SQL.
Pokud se chcete ověřit pomocí ověřování pomocí přihlašovacích údajů klienta OAuth na počítač (M2M) nebo OAuth 2.0, přidejte do nastavení výpočetních prostředků následující konfigurace a do všech speciálních nebo pokročilých nastavení možností ovladačů:
| Nastavení | Hodnota |
|---|---|
AuthMech |
11 |
Auth_Flow |
1 |
Auth_Client_ID |
Hodnota UUID/ID aplikace hlavního objektu služby. |
Auth_Client_Secret |
Hodnota tajného klíče OAuth instančního objektu. |
Auth_Scope (volitelné) |
all-apis (výchozí) |
Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<service-principal-application-ID>
Auth_Client_Secret=<service-principal-secret>
Auth_Scope=all-apis
Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Konce řádků byly přidány pro čitelnost. Řetězec nesmí obsahovat tyto zlomy řádků:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<service-principal-application-ID>;
Auth_Client_Secret=<service-principal-secret>;
Auth_Scope=all-apis
- Pokud chcete získat hodnotu
<path-to-driver>, přečtěte si téma Stažení a instalace ovladače ODBC Databricks. - Chcete-li získat hodnoty pro
<server-hostname>a<http-path>, přečtěte si nastavení výpočtu pro ovladač Databricks ODBC. - Můžete také přidat speciální nebo pokročilá nastavení možností ovladače.
Další informace najdete Client Credentials v částech průvodce ovladačem ODBC Databricks.
Ověřování Microsoft Entra ID OAuth na počítač (M2M)
Ovladač ODBC 2.8.2 a novější podporuje ověřování Entra ID OAuth (machine-to-machine) pro instanční objekt Microsoft Entra ID.
Pokud chcete nakonfigurovat ověřování Entra ID OAuth pro stroj-na-stroj (M2M), postupujte takto:
- Vytvoření spravovaného instančního objektu Microsoft Entra ID Postup najdete v tématu Správa instančních objektů.
- Udělejte instančnímu objektu (service principal) přístup k vašemu clusteru nebo skladu. Přečtěte si informace o výpočetních oprávněních nebo správě SLUŽBY SQL Warehouse.
Pokud se chcete ověřit pomocí Entra ID OAuth machine-to-machine (M2M), přidejte do svého výpočetního nastavení následující konfigurace a všechna speciální nebo pokročilá nastavení funkcí ovladače:
| Nastavení | Hodnota |
|---|---|
AuthMech |
11 |
Auth_Flow |
1 |
Auth_Client_ID |
ID aplikace principála služby v Entra ID |
Auth_Client_Secret |
Klientské tajemství aplikačního objektu v Entra ID. Toto je tajný klíč klienta, který vytvoříte v certifikátech a tajných kódech v MICROSOFT Entra ID. |
Auth_Scope |
2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default |
OIDCDiscoveryEndpoint |
https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration |
Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<entra-id-service-principal-application-ID>
Auth_Client_Secret=<entra-id-service-principal-client-secret>
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration
Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Konce řádků byly přidány pro čitelnost. Řetězec nesmí obsahovat tato přerušení řádků.
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<entra-id-service-principal-application-ID>>;
Auth_Client_Secret=<entra-id-service-principal-client-secret>;
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default;
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration
- Pokud chcete získat hodnotu
<path-to-driver>, přečtěte si téma Stažení a instalace ovladače ODBC Databricks. - Chcete-li získat hodnoty pro
<server-hostname>a<http-path>, přečtěte si nastavení výpočetních prostředků pro ovladač Databricks ODBC. - Můžete také přidat speciální nebo pokročilá nastavení možností ovladače.
Ověřování spravovaných identit Azure
Ovladač ODBC 2.7.7 a novější podporuje ověřování pomocí spravovaných identit Azure, které používá spravované identity pro prostředky Azure (dříve Spravované identity (MSI)) k ověřování přístupu k Azure Databricks. Programová volání operací pracovního prostoru Azure Databricks používají tyto spravované identity při práci s prostředky Azure, které podporují spravované identity, jako jsou virtuální počítače Azure.
- Informace o spravovaných identitách najdete v tématu Co jsou spravované identity pro prostředky Azure?
- Informace o tom, jak vytvořit spravovanou identitu a udělit jí oprávnění pro přístup k pracovním prostorům Azure Databricks, najdete v tématu Nastavení a použití ověřování spravovaných identit Azure pro automatizaci Azure Databricks.
Pokud se chcete ověřit pomocí ověřování spravovaných identit Azure, přidejte do nastavení výpočetních prostředků následující konfigurace a všechna speciální nebo pokročilá nastavení možností ovladače:
| Nastavení | Hodnota |
|---|---|
AuthMech |
11 |
Auth_Flow |
3 |
Auth_Client_ID |
Identifikátor spravované identity Azure. |
Azure_workspace_resource_id |
ID prostředku Azure pro váš pracovní prostor Azure Databricks. Toto ID získáte tak, že v horním navigačním panelu pracovního prostoru Azure Databricks kliknete na svoje uživatelské jméno a pak kliknete na Azure Portal Na stránce prostředku pracovního prostoru Azure Databricks, která se zobrazí, klikněte na Vlastnosti v části Nastavení na bočním panelu. ID je v Id v sekci Essentials. |
Pokud chcete vytvořit dsN pro systémy jiné než Windows, použijte následující formát:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=3
Auth_Client_ID=<azure-managed-identity-ID>
Azure_workspace_resource_id=<azure-workspace-resource-ID>
Pokud chcete vytvořit připojovací řetězec bez dsN, použijte následující formát. Konce řádků byly přidány pro čitelnost. Řetězec nesmí obsahovat tyto zlomy řádků:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=3;
Auth_Client_ID=<azure-managed-identity-ID>;
Azure_workspace_resource_id=<azure-workspace-resource-ID>
- Pokud chcete získat hodnotu
<path-to-driver>, přečtěte si téma Stažení a instalace ovladače ODBC Databricks. - Pro hodnoty pro
<server-hostname>a<http-path>se podívejte na Nastavení výpočetních prostředků pro ovladač Databricks ODBC. - Můžete také přidat speciální nebo pokročilá nastavení možností ovladače.