Azure Databricks-persoonlijk toegangstokens verificatie

Persoonlijke toegangstokens van Azure Databricks (PAT's) worden gebruikt voor het verifiëren van toegang tot resources en API's op het niveau van de Azure Databricks-werkruimte. Veel opslagmechanismen voor referenties en gerelateerde informatie, zoals omgevingsvariabelen en Azure Databricks-configuratieprofielen, bieden ondersteuning voor persoonlijke toegangstokens van Azure Databricks. Hoewel gebruikers meerdere persoonlijke toegangstokens kunnen hebben in een Azure Databricks-werkruimte, werkt elk persoonlijk toegangstoken slechts voor één Azure Databricks-werkruimte. Het aantal persoonlijke toegangstokens per gebruiker is beperkt tot 600 per werkruimte.

Databricks trekt automatisch persoonlijke toegangstokens in die over 90 of meer dagen niet zijn gebruikt.

Belangrijk

Databricks raadt aan OAuth te gebruiken in plaats van PAT's voor clientverificatie en autorisatie van gebruikersaccounts vanwege de verbeterde beveiliging van OAuth. Voor meer informatie over het gebruik van OAuth voor het uitvoeren van clientverificatie met een Databricks-gebruikersaccount, raadpleegt u Verificatietoegang tot Azure Databricks met een gebruikersaccount met behulp van OAuth (OAuth U2M) (voor verificatie van gebruikersaccounts).

Basisverificatie (niet op tokens gebaseerd) met behulp van een Azure Databricks-gebruikersnaam en -wachtwoord heeft het einde van de levensduur bereikt op 10 juli 2024.

Als u de functionaliteit op accountniveau van Azure Databricks wilt automatiseren, kunt u geen persoonlijke toegangstokens van Azure Databricks gebruiken. In plaats daarvan moet u de Microsoft Entra ID-tokens van Azure Databricks-accountbeheerders gebruiken. Azure Databricks-accountbeheerders kunnen gebruikers of service-principals zijn. Zie voor meer informatie:

• Gebruikers beheren

  • Service-principals beheren
  • Groepen beheren

  Zie ook:

  • Verificatie van door Azure beheerde identiteiten
  • Verificatie van MS Entra-service-principal
  • Azure CLI-verificatie

Persoonlijke toegangstokens van Azure Databricks voor werkruimtegebruikers

Ga als volgt te werk om een persoonlijk Azure Databricks-toegangstoken te maken voor uw Azure Databricks-werkruimtegebruiker:

1. Klik in uw Azure Databricks-werkruimte op uw Azure Databricks-gebruikersnaam in de bovenste balk en selecteer vervolgens Instellingen in de vervolgkeuzelijst.
2. Klik op Ontwikkelaars.
3. Klik naast Access-tokens op Beheren.
4. Klik op Nieuw token genereren.
5. (Optioneel) Voer een opmerking in waarmee u dit token in de toekomst kunt identificeren en de standaardlevensduur van het token van 90 dagen kunt wijzigen. Als u een token zonder levensduur wilt maken (niet aanbevolen), laat u het vak Levensduur (dagen) leeg (leeg).
6. Klik op Genereren.
7. Kopieer het weergegeven token naar een veilige locatie en klik vervolgens op Gereed.

Notitie

Zorg ervoor dat u het gekopieerde token op een veilige locatie opslaat. Deel uw gekopieerde token niet met anderen. Als u het gekopieerde token kwijtraakt, kunt u dat token niet opnieuw genereren. In plaats daarvan moet u deze procedure herhalen om een nieuw token te maken. Als u het gekopieerde token kwijtraakt of als u denkt dat het token is aangetast, raadt Databricks u ten zeerste aan dat u dat token onmiddellijk uit uw werkruimte verwijdert door te klikken op het prullenbakpictogram (Intrekken) naast het token op de pagina Toegangstokens .

Als u geen tokens in uw werkruimte kunt maken of gebruiken, kan dit komen doordat uw werkruimtebeheerder tokens heeft uitgeschakeld of u geen toestemming hebt gegeven om tokens te maken of te gebruiken. Raadpleeg uw werkruimtebeheerder of de volgende onderwerpen:

• Verificatie van persoonlijke toegangstokens voor de werkruimte in- of uitschakelen
• Persoonlijke toegangstokenmachtigingen

Persoonlijke toegangstokens van Azure Databricks voor service-principals

Een service-principal kan als volgt persoonlijke toegangstokens voor Databricks maken:

In deze procedure wordt ervan uitgegaan dat u verificatie van OAuth-machine-naar-machine (M2M) of verificatie van de Microsoft Entra ID-service-principal gebruikt om de Databricks CLI in te stellen voor verificatie van de service-principal om persoonlijke toegangstokens voor Azure Databricks voor zichzelf te genereren. Zie Verificatie van OAuth-machine-naar-machine (M2M) of Verificatie van service-principal van Microsoft Entra ID.

1. Gebruik de Databricks CLI om de volgende opdracht uit te voeren, waarmee een ander toegangstoken voor de service-principal wordt gegenereerd.

   Voer de volgende opdracht uit:

   databricks tokens create --comment <comment> --lifetime-seconds <lifetime-seconds> -p <profile-name>
   

   • --comment: Vervang <comment> door een zinvolle opmerking over het doel van het toegangstoken. Als de --comment optie niet is opgegeven, wordt er geen opmerking gegenereerd.
   • --lifetime-seconds: Vervang <lifetime-seconds> door het aantal seconden waarvoor het toegangstoken geldig is. Bijvoorbeeld: 1 dag is 86400 seconden. Als de --lifetime-seconds optie niet is opgegeven, wordt het toegangstoken ingesteld op nooit verlopen (niet aanbevolen).
   • --profile-name: Vervang <profile-name> door de naam van een Azure Databricks-configuratieprofiel dat verificatiegegevens voor de service-principal en de doelwerkruimte bevat. Als de -p optie niet is opgegeven, probeert de Databricks CLI een configuratieprofiel met de naam DEFAULTte zoeken en te gebruiken.

2. Kopieer in het antwoord de waarde van token_value, het toegangstoken voor de service-principal.

   Zorg ervoor dat u het gekopieerde token op een veilige locatie opslaat. Deel uw gekopieerde token niet met anderen. Als u het gekopieerde token kwijtraakt, kunt u dat token niet opnieuw genereren. In plaats daarvan moet u deze procedure herhalen om een nieuw token te maken.

   Als u geen tokens in uw werkruimte kunt maken of gebruiken, kan dit komen doordat uw werkruimtebeheerder tokens heeft uitgeschakeld of u geen toestemming hebt gegeven om tokens te maken of te gebruiken. Neem de werkruimtebeheerder of het volgende weer:

   • Verificatie van persoonlijke toegangstokens voor de werkruimte in- of uitschakelen
   • Persoonlijke toegangstokenmachtigingen

Persoonlijke toegangstokenverificatie van Azure Databricks uitvoeren

Als u persoonlijke toegangstokenverificatie van Azure Databricks wilt configureren, moet u de volgende gekoppelde omgevingsvariabelen, .databrickscfg velden, Terraform-velden of Config -velden instellen:

• De Azure Databricks-host, die is opgegeven als de doel-URL van Azure Databricks per werkruimte, bijvoorbeeldhttps://adb-1234567890123456.7.azuredatabricks.net.
• Het persoonlijke toegangstoken van Azure Databricks voor het Azure Databricks-gebruikersaccount.

Als u persoonlijke toegangstokenverificatie van Azure Databricks wilt uitvoeren, integreert u het volgende in uw code op basis van het deelnemende hulpprogramma of de SDK:

Omgeving

Als u omgevingsvariabelen wilt gebruiken voor een specifiek verificatietype van Azure Databricks met een hulpprogramma of SDK, raadpleegt u Verificatietoegang tot Azure Databricks-resources of de documentatie van het hulpprogramma of de SDK. Zie ook Omgevingsvariabelen en -velden voor geïntegreerde clientverificatie en de standaardmethoden voor geïntegreerde clientverificatie.

Stel de volgende omgevingsvariabelen in:

• DATABRICKS_HOST, bijvoorbeeld ingesteld op de URLhttps://adb-1234567890123456.7.azuredatabricks.net van Azure Databricks per werkruimte.
• DATABRICKS_TOKEN, ingesteld op de tokentekenreeks.

Profiel

Maak of identificeer een Azure Databricks-configuratieprofiel met de volgende velden in uw .databrickscfg bestand. Als u het profiel maakt, vervangt u de tijdelijke aanduidingen door de juiste waarden. Als u het profiel wilt gebruiken met een hulpprogramma of SDK, raadpleegt u Toegang tot Azure Databricks-resources of de documentatie van het hulpprogramma of de SDK verifiëren. Zie ook Omgevingsvariabelen en -velden voor geïntegreerde clientverificatie en de standaardmethoden voor geïntegreerde clientverificatie.

Stel de volgende waarden in het .databrickscfg bestand in. In dit geval is de host de URL van Azure Databricks per werkruimte, bijvoorbeeldhttps://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host  = <workspace-url>
token = <token>

In plaats van de voorgaande waarden handmatig in te stellen in uw .databrickscfg bestand, kunt u de Databricks CLI gebruiken om deze waarden in te stellen, als volgt:

Notitie

In de volgende procedure wordt de Databricks CLI gebruikt om een Azure Databricks-configuratieprofiel met de naam DEFAULTte maken. Als u al een DEFAULT configuratieprofiel hebt, overschrijft deze procedure uw bestaande DEFAULT configuratieprofiel.

Als u wilt controleren of u al een DEFAULT configuratieprofiel hebt en de instellingen van dit profiel wilt weergeven als dit bestaat, gebruikt u de Databricks CLI om de opdracht databricks auth env --profile DEFAULTuit te voeren.

Als u een configuratieprofiel wilt maken met een andere naam dan DEFAULT, vervangt u het DEFAULT deel van --profile DEFAULT de volgende databricks configure opdracht door een andere naam voor het configuratieprofiel.

1. Gebruik de Databricks CLI om een Azure Databricks-configuratieprofiel te maken met de naam DEFAULT die gebruikmaakt van persoonlijke toegangstokenverificatie van Azure Databricks. Voer hiervoor de volgende opdracht uit:

   databricks configure --profile DEFAULT
   

2. Voer voor de prompt databricks-host de URL van uw Azure Databricks per werkruimte in, bijvoorbeeldhttps://adb-1234567890123456.7.azuredatabricks.net.

3. Voer het persoonlijke toegangstoken van Azure Databricks in voor uw werkruimte voor de prompt persoonlijke toegangstoken.

CLI

Voer de databricks configure opdracht uit voor de Databricks CLI. Voer bij de prompts de volgende instellingen in:

• De Azure Databricks-host, die is opgegeven als de doel-URL van Azure Databricks per werkruimte, bijvoorbeeldhttps://adb-1234567890123456.7.azuredatabricks.net.
• Het persoonlijke toegangstoken van Azure Databricks voor het Azure Databricks-gebruikersaccount.

Zie De verificatie van persoonlijke toegangstokens van Azure Databricks voor meer informatie.

Verbinden

Notitie

Verificatie van persoonlijke toegangstokens van Azure Databricks wordt ondersteund in de volgende Databricks Connect-versies:

• Voor Python, Databricks Connect voor Databricks Runtime 13.3 LTS en hoger.
• Voor Scala, Databricks Connect voor Databricks Runtime 13.3 LTS en hoger.

Voor Databricks Connect kunt u de Databricks CLI gebruiken om de waarden in uw .databrickscfg bestand in te stellen voor bewerkingen op azure Databricks-werkruimteniveau, zoals opgegeven in de sectie Profiel van dit artikel, als volgt:

Notitie

In de volgende procedure wordt de Databricks CLI gebruikt om een Azure Databricks-configuratieprofiel met de naam DEFAULTte maken. Als u al een DEFAULT configuratieprofiel hebt, overschrijft deze procedure uw bestaande DEFAULT configuratieprofiel.

Als u wilt controleren of u al een DEFAULT configuratieprofiel hebt en de instellingen van dit profiel wilt weergeven als dit bestaat, gebruikt u de Databricks CLI om de opdracht databricks auth env --profile DEFAULTuit te voeren.

Als u een configuratieprofiel wilt maken met een andere naam dan DEFAULT, vervangt u het DEFAULT deel van --profile DEFAULT de databricks configure opdracht, zoals wordt weergegeven in de volgende stap door een andere naam voor het configuratieprofiel.

1. Gebruik de Databricks CLI om een Azure Databricks-configuratieprofiel te maken met de naam DEFAULT die gebruikmaakt van persoonlijke toegangstokenverificatie van Azure Databricks. Voer hiervoor de volgende opdracht uit:

   databricks configure --configure-cluster --profile DEFAULT
   

2. Voer voor de prompt databricks-host de URL van uw Azure Databricks per werkruimte in, bijvoorbeeldhttps://adb-1234567890123456.7.azuredatabricks.net.

3. Voer het persoonlijke toegangstoken van Azure Databricks in voor uw werkruimte voor de prompt persoonlijke toegangstoken.

4. Gebruik uw pijl-omhoog en pijl-omlaag in de lijst met beschikbare clusters die worden weergegeven om het Azure Databricks-doelcluster in uw werkruimte te selecteren en druk op Enter. U kunt ook een deel van de weergavenaam van het cluster typen om de lijst met beschikbare clusters te filteren.

De Azure Databricks REST API gebruiken om persoonlijke toegangstokens uit te geven

Azure Databricks biedt een REST-eindpunt /api/2.0/token/create voor het uitgeven van PAW's. Zie Een gebruikerstoken maken voor API-details.

U moet specifieke waarden opgeven voor de REST API. Stel in het volgende voorbeeld deze waarden in:

• Vervang door <databricks-instance> de URL van uw Databricks-werkruimte. Bijvoorbeeld: dbc-abcd1234-5678.cloud.databricks.com.
• Vervang <your-existing-access-token> door een bestaande geldige PAT (tekenreeks) met machtigingen voor het maken van nieuwe tokens.

Geef de waarden op voor deze parameters:

• comment: Een beschrijving voor het nieuwe token.
• lifetime_seconds: De levensduur van het token in seconden.

curl -X POST https://<databricks-instance>/api/2.0/token/create \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "comment": "New PAT using DB API",
  "lifetime_seconds": <lifetime-of-pat-in-seconds>
}'

De -d vlag levert de JSON-nettolading voor de aanvraag.

Als dit lukt, resulteert dit in een nettolading van een antwoord die vergelijkbaar is met:

{
  "access_token": "<your-newly-issued-pat>",
  "token_type": "Bearer",
  "expires_in": <the-duration-of-the-new-pat>
}

Geef het nieuwe token op uit het antwoord in de autorisatieheader van volgende aanroepen naar Databricks REST API's. Voorbeeld:

# This example uses a simple GET. For POST or other REST verbs, you may need to provide additional parameters.
curl -X GET "https://<databricks-instance>/api/2.0/<path-to-endpoint>" \
     -H "Authorization: Bearer <your-new-pat>"

import requests

headers = {
    'Authorization': 'Bearer <your-new-pat>'
}
# This example is for an HTTP GET operation.
response = requests.get('https://<databricks-instance>/api/2.0/<path-to-endpoint>', headers=headers)