Autenticação do token de acesso pessoal do Azure Databricks

Os tokens de acesso pessoal (PATs) do Azure Databricks são usados para autenticar o acesso a recursos e APIs no nível do espaço de trabalho do Azure Databricks. Muitos mecanismos de armazenamento para credenciais e informações relacionadas, como variáveis de ambiente e perfis de configuração do Azure Databricks, fornecem suporte para tokens de acesso pessoal do Azure Databricks. Embora os utilizadores possam ter vários tokens de acesso pessoal numa área de trabalho do Azure Databricks, cada token de acesso pessoal funciona apenas para uma única área de trabalho do Azure Databricks. O número de tokens de acesso pessoal por utilizador está limitado a 600 por área de trabalho.

O Databricks revoga automaticamente os tokens de acesso pessoal que não foram usados em 90 ou mais dias.

Importante

O Databricks recomenda o uso de OAuth em vez de PATs para autenticação e autorização de cliente de conta de usuário devido à segurança aprimorada que o OAuth tem. Para saber como usar o OAuth para executar a autenticação de cliente com uma conta de usuário do Databricks, consulte Autenticar o acesso ao Azure Databricks com uma conta de usuário usando OAuth (OAuth U2M) (para autenticação de conta de usuário).

A autenticação básica (não baseada em token) usando um nome de usuário e senha do Azure Databricks chegou ao fim da vida útil em 10 de julho de 2024.

Para automatizar a funcionalidade no nível da conta do Azure Databricks, não é possível usar tokens de acesso pessoal do Azure Databricks. Em vez disso, você deve usar os tokens de ID do Microsoft Entra dos administradores de conta do Azure Databricks. Os administradores da conta do Azure Databricks podem ser utilizadores ou principais de serviço. Para obter mais informações, consulte:

• Gerir utilizadores

  • Gerir principais de serviço
  • Gerir grupos

  Consulte também:

  • Autenticação de identidades gerenciadas do Azure
  • Autenticação da entidade de serviço do MS Entra
  • Autenticação da CLI do Azure

Tokens de acesso pessoal do Azure Databricks para usuários do espaço de trabalho

Para criar um token de acesso pessoal do Azure Databricks para seu usuário do espaço de trabalho do Azure Databricks, faça o seguinte:

1. No seu espaço de trabalho do Azure Databricks, clique no seu nome de utilizador do Azure Databricks na barra superior e, em seguida, selecione Definições na lista pendente.
2. Clique em Desenvolvedor.
3. Ao lado de Tokens de acesso, clique em Gerenciar.
4. Clique em Gerar novo token.
5. (Opcional) Insira um comentário que o ajude a identificar esse token no futuro e altere o tempo de vida padrão do token de 90 dias. Para criar um token sem tempo de vida (não recomendado), deixe a caixa Tempo de vida (dias) vazia (em branco).
6. Clique em Generate (Gerar).
7. Copie o token exibido para um local seguro e clique em Concluído.

Nota

Certifique-se de salvar o token copiado em um local seguro. Não partilhe o seu token copiado com outras pessoas. Se você perder o token copiado, não poderá regenerar exatamente o mesmo token. Em vez disso, você deve repetir esse procedimento para criar um novo token. Se você perder o token copiado ou acreditar que o token foi comprometido, o Databricks recomenda que você exclua imediatamente esse token do seu espaço de trabalho clicando no ícone da lixeira (Revogar) ao lado do token na página de tokens do Access.

Se você não conseguir criar ou usar tokens em seu espaço de trabalho, isso pode ser porque o administrador do espaço de trabalho desabilitou tokens ou não lhe deu permissão para criar ou usar tokens. Consulte o administrador do espaço de trabalho ou os seguintes tópicos:

• Habilitar ou desabilitar a autenticação de token de acesso pessoal para o espaço de trabalho
• Permissões de token de acesso pessoal

Tokens de acesso pessoal do Azure Databricks para entidades de serviço

Uma entidade de serviço pode criar tokens de acesso pessoal Databricks para si mesma, da seguinte maneira:

Este procedimento pressupõe que você esteja usando a autenticação máquina a máquina (M2M) OAuth ou a autenticação principal do serviço Microsoft Entra ID para configurar a CLI do Databricks para autenticar a entidade de serviço para gerar tokens de acesso pessoal do Azure Databricks para si mesmo. Consulte Autenticação OAuth máquina-a-máquina (M2M) ou Autenticação da entidade de serviço Microsoft Entra ID.

1. Use a CLI do Databricks para executar o comando a seguir, que gera outro token de acesso para a entidade de serviço.

   Execute o seguinte comando:

   databricks tokens create --comment <comment> --lifetime-seconds <lifetime-seconds> -p <profile-name>
   

   • --comment: Substitua <comment> por um comentário significativo sobre a finalidade do token de acesso. Se a --comment opção não for especificada, nenhum comentário será gerado.
   • --lifetime-seconds: Substitua <lifetime-seconds> pelo número de segundos para os quais o token de acesso é válido. Por exemplo, 1 dia é 86400 segundos. Se a --lifetime-seconds opção não for especificada, o token de acesso será definido como nunca expirar (não recomendado).
   • --profile-name: Substitua <profile-name> pelo nome de um perfil de configuração do Azure Databricks que contém informações de autenticação para a entidade de serviço e o espaço de trabalho de destino. Se a -p opção não for especificada, a CLI do Databricks tentará localizar e usar um perfil de configuração chamado DEFAULT.

2. Na resposta, copie o valor de , que é o token de acesso para a entidade de token_valueserviço.

   Certifique-se de salvar o token copiado em um local seguro. Não partilhe o seu token copiado com outras pessoas. Se você perder o token copiado, não poderá regenerar exatamente o mesmo token. Em vez disso, você deve repetir esse procedimento para criar um novo token.

   Se você não conseguir criar ou usar tokens em seu espaço de trabalho, isso pode ser porque o administrador do espaço de trabalho desabilitou tokens ou não lhe deu permissão para criar ou usar tokens. Consulte o administrador do espaço de trabalho ou o seguinte:

   • Habilitar ou desabilitar a autenticação de token de acesso pessoal para o espaço de trabalho
   • Permissões de token de acesso pessoal

Executar a autenticação de token de acesso pessoal do Azure Databricks

Para configurar a autenticação de token de acesso pessoal do Azure Databricks, você deve definir as seguintes variáveis de ambiente associadas, .databrickscfg campos, campos Terraform ou Config campos:

• O host do Azure Databricks, especificado como a URL de destino do Azure Databricks por espaço de trabalho, por exemplohttps://adb-1234567890123456.7.azuredatabricks.net.
• O token de acesso pessoal do Azure Databricks para a conta de usuário do Azure Databricks.

Para executar a autenticação de token de acesso pessoal do Azure Databricks, integre o seguinte em seu código, com base na ferramenta participante ou SDK:

Environment

Para usar variáveis de ambiente para um tipo de autenticação específico do Azure Databricks com uma ferramenta ou SDK, consulte Autenticar o acesso aos recursos do Azure Databricks ou a documentação da ferramenta ou do SDK. Consulte também Variáveis de ambiente e campos para autenticação unificada do cliente e os métodos padrão para autenticação unificada do cliente.

Defina as seguintes variáveis de ambiente:

• DATABRICKS_HOST, definido como a URL do Azure Databricks por espaço de trabalho, por exemplohttps://adb-1234567890123456.7.azuredatabricks.net.
• DATABRICKS_TOKEN, definido como a cadeia de caracteres do token.

Perfil

Crie ou identifique um perfil de configuração do Azure Databricks com os seguintes campos em seu .databrickscfg arquivo. Se você criar o perfil, substitua os espaços reservados pelos valores apropriados. Para usar o perfil com uma ferramenta ou SDK, consulte Autenticar o acesso aos recursos do Azure Databricks ou à documentação da ferramenta ou do SDK. Consulte também Variáveis de ambiente e campos para autenticação unificada do cliente e os métodos padrão para autenticação unificada do cliente.

Defina os seguintes valores no seu .databrickscfg ficheiro. Nesse caso, o host é a URL do Azure Databricks por espaço de trabalho, por exemplohttps://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host  = <workspace-url>
token = <token>

Em vez de definir manualmente os valores anteriores em seu .databrickscfg arquivo, você pode usar a CLI do Databricks para definir esses valores, da seguinte maneira:

Nota

O procedimento a seguir usa a CLI do Databricks para criar um perfil de configuração do Azure Databricks com o nome DEFAULT. Se você já tiver um perfil de DEFAULT configuração, este procedimento substituirá o perfil de configuração existente DEFAULT .

Para verificar se você já tem um perfil de DEFAULT configuração e para exibir as configurações desse perfil, se ele existir, use a CLI do Databricks para executar o comando databricks auth env --profile DEFAULT.

Para criar um perfil de configuração com um nome diferente DEFAULTde , substitua a DEFAULT parte do comando a seguir databricks configure por um nome diferente para o perfil de --profile DEFAULT configuração.

1. Use a CLI do Databricks para criar um perfil de configuração do Azure Databricks chamado DEFAULT que usa a autenticação de token de acesso pessoal do Azure Databricks. Para tal, execute o seguinte comando:

   databricks configure --profile DEFAULT
   

2. Para o prompt Databricks Host, insira sua URL do Azure Databricks por espaço de trabalho, por exemplohttps://adb-1234567890123456.7.azuredatabricks.net.

3. Para o prompt Personal Access Token, insira o token de acesso pessoal do Azure Databricks para seu espaço de trabalho.

CLI

Para a CLI do Databricks, execute o databricks configure comando. Nos prompts, insira as seguintes configurações:

• O host do Azure Databricks, especificado como a URL de destino do Azure Databricks por espaço de trabalho, por exemplohttps://adb-1234567890123456.7.azuredatabricks.net.
• O token de acesso pessoal do Azure Databricks para a conta de usuário do Azure Databricks.

Para obter mais detalhes, consulte Autenticação de token de acesso pessoal do Azure Databricks.

Ligar

Nota

A autenticação de token de acesso pessoal do Azure Databricks é suportada nas seguintes versões do Databricks Connect:

• Para Python, Databricks Connect for Databricks Runtime 13.3 LTS e superior.
• Para Scala, Databricks Connect for Databricks Runtime 13.3 LTS e superior.

Para o Databricks Connect, você pode usar a CLI do Databricks para definir os valores em seu .databrickscfg arquivo, para operações no nível do espaço de trabalho do Azure Databricks, conforme especificado na seção "Perfil" deste artigo, da seguinte maneira:

Nota

O procedimento a seguir usa a CLI do Databricks para criar um perfil de configuração do Azure Databricks com o nome DEFAULT. Se você já tiver um perfil de DEFAULT configuração, este procedimento substituirá o perfil de configuração existente DEFAULT .

Para verificar se você já tem um perfil de DEFAULT configuração e para exibir as configurações desse perfil, se ele existir, use a CLI do Databricks para executar o comando databricks auth env --profile DEFAULT.

Para criar um perfil de configuração com um nome diferente de DEFAULT, substitua a DEFAULT parte de no comando, databricks configure conforme mostrado na etapa a seguir, por um nome diferente para o perfil de --profile DEFAULT configuração.

1. Use a CLI do Databricks para criar um perfil de configuração do Azure Databricks chamado DEFAULT que usa a autenticação de token de acesso pessoal do Azure Databricks. Para tal, execute o seguinte comando:

   databricks configure --configure-cluster --profile DEFAULT
   

2. Para o prompt Databricks Host, insira sua URL do Azure Databricks por espaço de trabalho, por exemplohttps://adb-1234567890123456.7.azuredatabricks.net.

3. Para o prompt Personal Access Token, insira o token de acesso pessoal do Azure Databricks para seu espaço de trabalho.

4. Na lista de clusters disponíveis exibida, use as teclas de seta para cima e seta para baixo para selecionar o cluster de destino do Azure Databricks em seu espaço de trabalho e pressione Enter. Você também pode digitar qualquer parte do nome de exibição do cluster para filtrar a lista de clusters disponíveis.

Usar a API REST do Azure Databricks para emitir tokens de acesso pessoal

O Azure Databricks fornece um ponto de extremidade /api/2.0/token/create REST para emitir PATs. Consulte Criar um token de usuário para obter detalhes da API.

Você deve fornecer valores específicos para a API REST. No exemplo a seguir, defina esses valores:

• Substitua <databricks-instance> pelo URL do espaço de trabalho do Databricks. Por exemplo, dbc-abcd1234-5678.cloud.databricks.com.
• Substitua <your-existing-access-token> por uma PAT (cadeia de caracteres) válida existente que tenha permissões para criar novos tokens.

Forneça os valores para estes parâmetros:

• comment: Uma descrição para o novo token.
• lifetime_seconds: O tempo de vida do token em segundos.

curl -X POST https://<databricks-instance>/api/2.0/token/create \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "comment": "New PAT using DB API",
  "lifetime_seconds": <lifetime-of-pat-in-seconds>
}'

O -d sinalizador fornece a carga JSON para a solicitação.

Se for bem-sucedido, isso resultará em uma carga útil de resposta semelhante a:

{
  "access_token": "<your-newly-issued-pat>",
  "token_type": "Bearer",
  "expires_in": <the-duration-of-the-new-pat>
}

Forneça o novo token da resposta no cabeçalho Authorization de chamadas subsequentes para APIs REST do Databricks. Por exemplo:

# This example uses a simple GET. For POST or other REST verbs, you may need to provide additional parameters.
curl -X GET "https://<databricks-instance>/api/2.0/<path-to-endpoint>" \
     -H "Authorization: Bearer <your-new-pat>"

import requests

headers = {
    'Authorization': 'Bearer <your-new-pat>'
}
# This example is for an HTTP GET operation.
response = requests.get('https://<databricks-instance>/api/2.0/<path-to-endpoint>', headers=headers)