Параметры проверки подлинности для драйвера ODBC Databricks
В этой статье описывается настройка параметров проверки подлинности Azure Databricks для драйвера ODBC Databricks.
Драйвер ODBC Databricks поддерживает следующие типы проверки подлинности Azure Databricks:
- Личный маркер доступа Azure Databricks
- Токен идентификатора Microsoft Entra
- Токены OAuth 2.0
- Проверка подлинности пользователей и компьютеров Databricks OAuth (U2M)
- Проверка подлинности OAuth на компьютере (U2M) идентификатора Microsoft Entra ID OAuth
- Проверка подлинности на компьютере (M2M) OAuth
- Проверка подлинности OAuth на компьютере (M2M) с идентификатором Microsoft Entra ID
- Проверка подлинности управляемых удостоверений Azure
Личный маркер доступа Azure Databricks
Чтобы создать личный маркер доступа Azure Databricks, выполните действия, описанные в разделе "Личные маркеры доступа Azure Databricks" для пользователей рабочей области.
Чтобы выполнить проверку подлинности с помощью личного маркера доступа Azure Databricks, добавьте следующие конфигурации в параметры вычислений и любые специальные или расширенные параметры возможностей драйвера:
| Параметр | Значение |
|---|---|
AuthMech |
3 |
UID |
token |
PWD |
Маркер личного доступа Databricks для пользователя рабочей области |
Чтобы создать DSN для систем, отличных от Windows, используйте следующий формат:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=3
UID=token
PWD=<personal-access-token>
Чтобы создать строка подключения с dsN, используйте следующий формат. Для удобочитаемости добавлены разрывы строк. Строка не должна содержать эти разрывы строк:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=3;
UID=token;
PWD=<personal-access-token>
- Чтобы получить значение
<path-to-driver>, см. раздел Скачайте и установите драйвер ODBC Databricks. - Чтобы получить значения для
<server-hostname>и<http-path>, см. параметры вычислений для драйвера ODBC Databricks. - Вы также можете добавить специальные или расширенные параметры возможностей драйвера.
Токен идентификатора Microsoft Entra
Драйвер ODBC 2.6.15 и выше поддерживает маркеры идентификатора Microsoft Entra для пользователя Azure Databricks или субъекта-службы идентификатора Microsoft Entra.
Чтобы создать маркер доступа идентификатора Microsoft Entra, сделайте следующее:
- Для пользователя Azure Databricks можно использовать Azure CLI. См. , как получить токены идентификатора Microsoft Entra для пользователей с помощью Azure CLI.
- Сведения об основном субъекте службы идентификатора Microsoft Entra см. в статье Получение токена доступа к идентификатору Microsoft Entra с помощью Azure CLI. Сведения о создании управляемого субъекта-службы идентификатора Microsoft Entra см. в разделе "Управление субъектами-службами".
Маркеры доступа к идентификатору Microsoft Entra имеют время существования по умолчанию около 1 часа. Токен доступа можно программно обновить в существующей сессии без разрыва соединения, выполнив код из раздела Обновление токена доступа Microsoft Entra ID. Для получения инструкций по обновлению токена см. раздел Configuring Authentication on Windows > Providing a New Access Token в руководстве по драйверу ODBC Databricks.
Чтобы пройти проверку подлинности с помощью маркера идентификатора Microsoft Entra, добавьте следующие конфигурации в параметры вычислений и любые специальные или расширенные параметры возможностей драйвера:
| Параметр | Значение |
|---|---|
AuthMech |
11 |
Auth_Flow |
0 |
Auth_AccessToken |
Маркер идентификатора Microsoft Entra |
Чтобы создать DSN для систем, отличных от Windows, используйте следующий формат:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=0
Auth_AccessToken=<microsoft-entra-id-token>
Чтобы создать строка подключения с dsN, используйте следующий формат. Для удобочитаемости добавлены разрывы строк. Строка не должна содержать эти разрывы строк:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=0;
Auth_AccessToken=<microsoft-entra-id-token>
- Чтобы получить значение
<path-to-driver>, см. раздел Скачайте и установите драйвер ODBC Databricks. - Чтобы получить значения для
<server-hostname>и<http-path>, см. параметры вычислений для драйвера ODBC Databricks. - Вы также можете добавить специальные или расширенные параметры возможностей драйвера.
Дополнительные сведения смToken Pass-through. в разделах руководства по драйверу ODBC Databricks.
Токены OAuth 2.0
Драйвер ODBC 2.7.5 и выше поддерживает маркер OAuth 2.0 для субъекта-службы Идентификатора Microsoft Entra. Это также называется сквозной проверкой подлинности маркера OAuth 2.0.
- Чтобы создать токен OAuth 2.0 для сквозной аутентификации учетной записи службы Microsoft Entra ID, см. вручную создавать и использовать токены доступа для аутентификации OAuth M2M. Запишите значение OAuth
access_tokenсубъекта-службы. - Сведения о создании управляемого субъекта-службы идентификатора Microsoft Entra см. в разделе "Управление субъектами-службами".
Внимание
Драйвер ODBC 2.7.5 и выше поддерживает использование секретов OAuth Azure Databricks для создания токенов OAuth 2.0. Секреты идентификатора Microsoft Entra не поддерживаются.
Маркеры OAuth 2.0 имеют время существования по умолчанию 1 час. Чтобы создать новый токен OAuth 2.0, повторите этот процесс.
Чтобы выполнить проверку подлинности с помощью сквозной проверки подлинности маркера OAuth 2.0, добавьте следующие конфигурации в параметры вычислений и любые специальные или расширенные параметры возможностей драйвера:
| Параметр | Значение |
|---|---|
AuthMech |
11 |
Auth_Flow |
0 |
Auth_AccessToken |
Токен OAuth Azure Databricks (Маркеры идентификатора Microsoft Entra не поддерживаются для сквозной проверки подлинности маркера OAuth 2.0.) |
Чтобы создать DSN для систем, отличных от Windows, используйте следующий формат:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=0
Auth_AccessToken=<databricks-oauth-token>
Чтобы создать строка подключения с dsN, используйте следующий формат. Для удобочитаемости добавлены разрывы строк. Строка не должна содержать эти разрывы строк:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=0;
Auth_AccessToken=<databricks-oauth-token>
- Чтобы получить значение
<path-to-driver>, см. раздел Скачайте и установите драйвер ODBC Databricks. - Чтобы получить значения для
<server-hostname>и<http-path>, см. параметры вычислений для драйвера ODBC Databricks. - Вы также можете добавить специальные или расширенные параметры возможностей драйвера.
Дополнительные сведения смToken Pass-through. в разделах руководства по драйверу ODBC Databricks.
Проверка подлинности пользователей и компьютеров Databricks OAuth (U2M)
Драйвер ODBC 2.8.2 и более поздних версий поддерживает проверку подлинности пользователя OAuth на компьютере (U2M) для пользователя Azure Databricks. Это также называется проверкой подлинности на основе браузера OAuth 2.0.
Проверка подлинности на основе браузера OAuth U2M или OAuth 2.0 не имеет предварительных требований. Маркеры OAuth 2.0 имеют время существования по умолчанию 1 час. Аутентификация на основе браузера OAuth U2M или OAuth 2.0 должна автоматически обновлять истекшие токены OAuth 2.0 для вас.
Примечание.
Проверка подлинности на основе браузера OAuth U2M или OAuth 2.0 работает только с приложениями, которые выполняются локально. Он не работает с серверными или облачными приложениями.
Чтобы пройти проверку подлинности с помощью проверки подлинности на основе браузера OAuth с помощью пользовательской проверки подлинности (U2M) или OAuth 2.0, добавьте следующие конфигурации в параметры вычислений и любые специальные или расширенные параметры возможностей драйвера:
| Параметр | Значение |
|---|---|
AuthMech |
11 |
Auth_Flow |
2 |
PWD |
Пароль по вашему выбору. Драйвер использует этот ключ для шифрования токенов обновления. |
Auth_Client_ID (необязательно) |
databricks-sql-odbc (по умолчанию) Можно найти все применимые приложения в разделе "Параметры подключений приложений" в консоли учетной записи Databricks см. Включить пользовательские приложения OAuth с помощью пользовательского интерфейса Azure Databricks. |
Auth_Scope (необязательно) |
sql offline_access (по умолчанию) |
OAuth2RedirectUrlPort (необязательно) |
8020 (по умолчанию) |
Чтобы создать DSN для систем, отличных от Windows, используйте следующий формат:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=2
PWD=<password>
Чтобы создать строка подключения с dsN, используйте следующий формат. Для удобочитаемости добавлены разрывы строк. Строка не должна содержать эти разрывы строк:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=2;
PWD=<password>
- Чтобы получить значение
<path-to-driver>, см. раздел Скачайте и установите драйвер ODBC Databricks. - Чтобы получить значения для
<server-hostname>и<http-path>, см. параметры вычислений для драйвера ODBC Databricks. - Вы также можете добавить специальные или расширенные параметры возможностей драйвера.
Дополнительные сведения смBrowser Based. в разделах руководства по драйверу ODBC Databricks.
Проверка подлинности OAuth на компьютере (U2M) идентификатора Microsoft Entra ID OAuth
Драйвер ODBC 2.8.2 и более поздних версий поддерживает проверку подлинности пользователя OAuth OAuth (U2M) для пользователя Azure Databricks.
Чтобы использовать идентификатор OAuth OAuth (U2M), клиент OAuth (приложение) должен быть зарегистрирован в идентификаторе Microsoft Entra ID, см . инструкцию.
Чтобы пройти проверку подлинности с помощью идентификатора OAuth OAuth для компьютера (U2M), добавьте следующие конфигурации в параметры вычислений и любые специальные или расширенные параметры возможностей драйвера:
| Параметр | Значение |
|---|---|
AuthMech |
11 |
Auth_Flow |
2 |
PWD |
Пароль по вашему выбору. Драйвер использует этот ключ для шифрования токенов обновления |
Auth_Client_ID |
Идентификатор приложения (клиента) приложения Azure |
Auth_Scope |
2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access |
OIDCDiscoveryEndpoint |
https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration |
OAuth2RedirectUrlPort |
Порт перенаправления приложения Azure |
Чтобы создать DSN для систем, отличных от Windows, используйте следующий формат:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<application-id-azure-application>
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration
OAuth2RedirectUrlPort=<redirect port of the Azure application>
Чтобы создать строка подключения с dsN, используйте следующий формат. Для удобочитаемости добавлены разрывы строк. Строка не должна содержать эти разрывы строк:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<application-id-azure-application>;
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/user_impersonation offline_access;
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<azureTenantId>/v2.0/.well-known/openid-configuration;
OAuth2RedirectUrlPort=<redirect port of the Azure application>;
- Чтобы получить значение
<path-to-driver>, см. раздел Скачайте и установите драйвер ODBC Databricks. - Чтобы получить значения для
<server-hostname>и<http-path>, см. параметры вычислений для драйвера ODBC Databricks. - Вы также можете добавить специальные или расширенные параметры возможностей драйвера.
Проверка подлинности на компьютере (M2M) OAuth
Драйвер ODBC поддерживает проверку подлинности OAuth на компьютере (M2M) для субъекта-службы Azure Databricks. Это также называется OAuth 2.0 учетными данными клиента аутентификации.
Чтобы настроить проверку подлинности учетных данных клиента OAuth M2M или OAuth 2.0, сделайте следующее:
Создайте субъект-службу Azure Databricks в рабочей области Azure Databricks и создайте секрет OAuth для этого субъекта-службы.
Чтобы создать субъект-службу и секрет OAuth, ознакомьтесь с проверкой подлинности доступа к Azure Databricks с помощью субъекта-службы с помощью OAuth (OAuth M2M). Запишите значение UUID или идентификатора приложения субъекта-службы и значение секрета для секрета OAuth субъекта-службы.
Предоставьте субъекту-службе доступ к кластеру или хранилищу. См . сведения о разрешениях вычислений или управлении хранилищем SQL.
Чтобы пройти аутентификацию, используя OAuth machine-to-machine (M2M) или проверку подлинности с помощью учетных данных клиента OAuth 2.0, добавьте следующие конфигурации в настройки вычислений и любые специальные или расширенные настройки возможностей драйвера:
| Параметр | Значение |
|---|---|
AuthMech |
11 |
Auth_Flow |
1 |
Auth_Client_ID |
Значение идентификатора приложения UUID/субъекта-службы. |
Auth_Client_Secret |
Значение секрета OAuth субъекта-службы. |
Auth_Scope (необязательно) |
all-apis (по умолчанию) |
Чтобы создать DSN для систем, отличных от Windows, используйте следующий формат:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<service-principal-application-ID>
Auth_Client_Secret=<service-principal-secret>
Auth_Scope=all-apis
Чтобы создать строка подключения с dsN, используйте следующий формат. Для удобочитаемости добавлены разрывы строк. Строка не должна содержать эти разрывы строк:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<service-principal-application-ID>;
Auth_Client_Secret=<service-principal-secret>;
Auth_Scope=all-apis
- Чтобы получить значение
<path-to-driver>, см. раздел Скачайте и установите драйвер ODBC Databricks. - Чтобы получить значения для
<server-hostname>и<http-path>, см. параметры вычислений для драйвера ODBC Databricks. - Вы также можете добавить специальные или расширенные параметры возможностей драйвера.
Дополнительные сведения смClient Credentials. в разделах руководства по драйверу ODBC Databricks.
Проверка подлинности OAuth на компьютере (M2M) с идентификатором Microsoft Entra ID
Драйвер ODBC 2.8.2 и более поздних версий поддерживает проверку подлинности id OAuth на компьютере (M2M) для субъекта-службы Microsoft Entra ID.
Чтобы настроить проверку подлинности OAuth на компьютере (M2M), сделайте следующее:
- Создайте управляемый субъект-службу идентификатора Microsoft Entra. Для этого см. раздел "Управление субъектами-службами".
- Предоставьте субъекту-службе доступ к кластеру или хранилищу. См . сведения о разрешениях вычислений или управлении хранилищем SQL.
Чтобы выполнить проверку подлинности с помощью идентификатора записи OAuth на компьютере (M2M), добавьте следующие конфигурации в параметры вычислений и любые специальные или расширенные параметры возможностей драйвера:
| Параметр | Значение |
|---|---|
AuthMech |
11 |
Auth_Flow |
1 |
Auth_Client_ID |
Идентификатор приложения субъекта-службы в идентификаторе Entra |
Auth_Client_Secret |
Секрет клиента субъекта-службы в идентификаторе Entra. Это секрет клиента, который вы создаете в сертификатах и секретах в идентификаторе Microsoft Entra. |
Auth_Scope |
2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default |
OIDCDiscoveryEndpoint |
https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration |
Чтобы создать DSN для систем, отличных от Windows, используйте следующий формат:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=1
Auth_Client_ID=<entra-id-service-principal-application-ID>
Auth_Client_Secret=<entra-id-service-principal-client-secret>
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration
Чтобы создать строка подключения с dsN, используйте следующий формат. Для удобочитаемости добавлены разрывы строк. Строка не должна содержать эти разрывы строк:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=1;
Auth_Client_ID=<entra-id-service-principal-application-ID>>;
Auth_Client_Secret=<entra-id-service-principal-client-secret>;
Auth_Scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/.default;
OIDCDiscoveryEndpoint=https://login.microsoftonline.com/<AzureTenantId>/v2.0/.well-known/openid-configuration
- Чтобы получить значение
<path-to-driver>, см. раздел Скачайте и установите драйвер ODBC Databricks. - Чтобы получить значения для
<server-hostname>и<http-path>, см. параметры вычислений для драйвера ODBC Databricks. - Вы также можете добавить специальные или расширенные параметры возможностей драйвера.
Проверка подлинности управляемых удостоверений Azure
Драйвер ODBC 2.7.7 и выше поддерживает проверку подлинности управляемых удостоверений Azure, которая использует управляемые удостоверения для ресурсов Azure (ранее управляемые удостоверения службы (MSI)) для проверки подлинности с помощью Azure Databricks. Программные вызовы к операциям рабочей области Azure Databricks используют эти управляемые удостоверения при работе с ресурсами Azure, поддерживающими управляемые удостоверения, такие как виртуальные машины Azure.
- Сведения об управляемых удостоверениях см. в статье "Что такое управляемые удостоверения для ресурсов Azure?".
- Сведения о том, как создать управляемое удостоверение и предоставить ему разрешение на доступ к рабочим областям Azure Databricks, см. в статье Настройка и использование проверки подлинности управляемых удостоверений Azure для автоматизации Azure Databricks.
Чтобы выполнить проверку подлинности с помощью проверки подлинности управляемых удостоверений Azure, добавьте следующие конфигурации в параметры вычислений и любые специальные или расширенные параметры возможностей драйвера:
| Параметр | Значение |
|---|---|
AuthMech |
11 |
Auth_Flow |
3 |
Auth_Client_ID |
Идентификатор управляемого удостоверения Azure. |
Azure_workspace_resource_id |
Идентификатор ресурса Azure для рабочей области Azure Databricks. Чтобы получить этот идентификатор, в верхней панели навигации рабочей области Azure Databricks щелкните имя пользователя и нажмите кнопку . Портал Azure. На странице ресурсов рабочей области Azure Databricks щелкните "Свойства " в разделе "Параметры " на боковой панели. Идентификатор находится в разделе"Основные сведения". |
Чтобы создать DSN для систем, отличных от Windows, используйте следующий формат:
[Databricks]
Driver=<path-to-driver>
Host=<server-hostname>
Port=443
HTTPPath=<http-path>
SSL=1
ThriftTransport=2
AuthMech=11
Auth_Flow=3
Auth_Client_ID=<azure-managed-identity-ID>
Azure_workspace_resource_id=<azure-workspace-resource-ID>
Чтобы создать строка подключения с dsN, используйте следующий формат. Для удобочитаемости добавлены разрывы строк. Строка не должна содержать эти разрывы строк:
Driver=<path-to-driver>;
Host=<server-hostname>;
Port=443;
HTTPPath=<http-path>;
SSL=1;
ThriftTransport=2;
AuthMech=11;
Auth_Flow=3;
Auth_Client_ID=<azure-managed-identity-ID>;
Azure_workspace_resource_id=<azure-workspace-resource-ID>
- Чтобы получить значение
<path-to-driver>, см. раздел Скачайте и установите драйвер ODBC Databricks. - Чтобы получить значения для
<server-hostname>и<http-path>, см. параметры вычислений для драйвера ODBC Databricks. - Вы также можете добавить специальные или расширенные параметры возможностей драйвера.