Autentisera åtkomst till Azure Databricks med ett användarkonto med OAuth (OAuth U2M)

Azure Databricks använder OAuth-autentisering från användare till dator (U2M) för att ge CLI- och API-åtkomst till Azure Databricks-konto- och arbetsyteresurser för en användares räkning. När en användare först loggar in och godkänner OAuth-autentiseringsbegäran ges en OAuth-token till det deltagande verktyget eller SDK:n för att utföra tokenbaserad autentisering för användarens räkning från och med den tiden. OAuth-token har en livslängd på en timme, varefter det aktuella verktyget eller SDK:n gör ett automatiskt bakgrundsförsök för att hämta en ny token som också är giltig i en timme.

Azure Databricks stöder två sätt att autentisera åtkomst för ett användarkonto med OAuth:

• Mestadels automatiskt, med hjälp av stöd för enhetlig klientautentisering i Databricks. Använd den här förenklade metoden om du använder specifika Azure Databricks SDK:er (till exempel Databricks Terraform SDK) och verktyg. Verktyg och SDK:er som stöds visas i Databricks enhetlig klientautentisering.
• Manuellt genom att direkt generera ett OAuth-kodverifierare/utmaningspar och en auktoriseringskod, och använda dem för att skapa den första OAuth-token som du anger i konfigurationen. Använd den här metoden när du inte använder ett API som stöds av databricks enhetlig klientautentisering. För mer information, se: Manuell generate och använd åtkomsttoken för OAuth-autentisering av användare till maskin (U2M).

U2M-autentisering med databricks enhetlig klientautentisering

Kommentar

Innan du börjar konfigurera autentiseringen granskar du ACL-behörigheterna för en specifik åtgärdskategori för arbetsyteobjekt och avgör om ditt konto har den åtkomstnivå som du behöver. Mer information finns i Åtkomstkontrollistor.

Om du vill utföra OAuth U2M-autentisering med Azure Databricks SDK:er och verktyg som stöder enhetlig klientautentisering integrerar du följande i koden:

Environment

Information om hur du använder miljövariabler för en specifik Azure Databricks-autentiseringstyp med ett verktyg eller SDK finns i Autentisera åtkomst till Azure Databricks-resurser eller verktygets eller SDK:s dokumentation. Se även Miljövariabler och fält för klient enhetlig autentisering och Standardmetoder för klient enhetlig autentisering.

För åtgärder på kontonivå , använd följande miljövariabler, set:

• DATABRICKS_HOST set till värdet för azure Databricks-kontokonsolens URL https://accounts.azuredatabricks.net.
• DATABRICKS_ACCOUNT_ID

För åtgärder på arbetsytenivåset följande miljövariabler:

• DATABRICKS_HOST set till värdet för din Url för Azure Databricks per arbetsyta, till exempel https://adb-1234567890123456.7.azuredatabricks.net.

Profil

Skapa eller identifiera en Azure Databricks-konfigurationsprofil med följande fält i .databrickscfg filen. Om du skapar profilen ersätter du platshållarna med lämplig values. Information om hur du använder profilen med ett verktyg eller SDK finns i Autentisera åtkomst till Azure Databricks-resurser eller verktygets eller SDK:s dokumentation. Se även Miljövariabler och fält för klient enhetlig autentisering och Standardmetoder för klient enhetlig autentisering.

För åtgärder på kontonivåset du följande values i .databrickscfg-filen. I det här fallet är https://accounts.azuredatabricks.netAzure Databricks-kontokonsolens URL:

[<some-unique-configuration-profile-name>]
host       = <account-console-url>
account_id = <account-id>

För åtgärder på arbetsytenivåset du följande values i .databrickscfg-filen. I det här fallet är värden URL:en för Azure Databricks per arbetsyta, till exempel https://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host = <workspace-url>

CLI

För Databricks CLI kör du databricks auth login kommandot med följande alternativ:

• För Azure Databricks-åtgärder på kontonivå, --host <account-console-url> --account-id <account-id>.
• För åtgärder på Azure Databricks-arbetsytenivå, --host <workspace-url>.

När du har kört det här kommandot följer du anvisningarna i webbläsaren för att logga in på ditt Azure Databricks-konto eller din arbetsyta.

Mer information finns i OAuth U2M-autentisering med Databricks CLI.

Anslut

Kommentar

OAuth U2M-autentisering stöds i följande Databricks Connect-versioner:

• För Python, Databricks Connect för Databricks Runtime 13.1 och senare.
• För Scala, Databricks Connect för Databricks Runtime 13.3 LTS och senare.

För Databricks Connect kan du göra något av följande:

• Set values i din .databrickscfg-fil för Azure Databricks åtgärder på arbetsytenivå enligt beskrivningen i avsnittet Profil i den här artikeln. set även cluster_id miljövariabeln i din profil till url:en för per arbetsyta, till exempel https://adb-1234567890123456.7.azuredatabricks.net.
• Set miljövariablerna för Azure Databricks operationer på arbetsplatsnivå enligt beskrivningen i avsnittet "Miljö". set Lägg också till DATABRICKS_CLUSTER_ID miljövariabeln till din URL per arbetsyta, till exempel https://adb-1234567890123456.7.azuredatabricks.net.

Values i din .databrickscfg-fil har alltid företräde framför miljövariabler.

Information om hur du initierar Databricks Connect-klienten med dessa miljövariabler eller values i filen .databrickscfg finns i Compute-konfiguration för Databricks Connect.

VS Code

Gör följande för Databricks-tillägget för Visual Studio Code:

1. I fönstret Konfiguration klickar du på Konfigurera Databricks.
2. I kommandopaletten för Databricks Host anger du url:en per arbetsyta, till exempel https://adb-1234567890123456.7.azuredatabricks.netoch trycker sedan på Enter.
3. Select OAuth (användare till dator).
4. Slutför autentisera med ditt Azure Databricks-konto och ge åtkomst till alla API:er genom att följa anvisningarna på skärmen i webbläsaren.

Mer information finns i OAuth U2M-autentisering med Databricks CLI.

Terraform

Kommentar

OAuth U2M-autentisering stöds ännu inte.

Python

För både åtgärder på kontonivå och arbetsytenivå måste du använda Databricks CLI för att köra följande kommando innan du kör Python-koden. Det här kommandot instruerar Databricks CLI att generate och cachelagra den nödvändiga OAuth-tokenen i sökvägen .databricks/token-cache.json i din användares hemmapp på din dator.

Konfigurera för databricks-åtgärder på kontonivå

databricks auth login --host <account-console-url> --account-id <account-id>

Ersätt följande platshållare:

• Ersätt <account-console-url> med värdet https://accounts.azuredatabricks.net. (görset inte det här med värdet för din Azure Databricks arbetsyta URL.)
• Ersätt <account-id> med värdet för ditt Azure Databricks-konto. Se Hitta ditt konto-ID.

Kommentar

Om du har en befintlig Azure Databricks-konfigurationsprofil med fälten host och account_id redan setkan du ersätta --host <account-console-url> --account-id <account-id> med --profile <profile-name>.

När du har kört auth login kommandot uppmanas du att spara kontots inloggnings-URL och konto-ID som en Azure Databricks-konfigurationsprofil. När du uppmanas till det anger du namnet på en ny eller befintlig profil i .databrickscfg filen. Alla befintliga profiler med samma namn i .databrickscfg filen skrivs över.

Om du uppmanas att göra det slutför du webbläsarens instruktioner på skärmen för att slutföra inloggningen. Använd sedan Python-kod som liknar något av följande kodfragment:

För standardautentisering:

from databricks.sdk import AccountClient

a = AccountClient()
# ...

För direkt konfiguration (ersätt platshållarna för retrieve med din egen implementering för att hämta values från konsolen eller något annat konfigurationsarkiv, till exempel Azure KeyVault). I det här fallet är https://accounts.azuredatabricks.netAzure Databricks-kontokonsolens URL:

from databricks.sdk import AccountClient

a = AccountClient(
  host       = retrieveAccountConsoleUrl(),
  account_id = retrieveAccountId()
)
# ...

Konfigurera för databricks-åtgärder på arbetsytenivå

databricks auth login --host <worskpace-url>

Ersätt platshållaren <workspace-url> med mål-URL:en för Azure Databricks per arbetsyta, till exempel https://adb-1234567890123456.7.azuredatabricks.net.

Kommentar

Om du har en befintlig Azure Databricks-konfigurationsprofil med fältet host redan setkan du ersätta --host <workspace-url> med --profile <profile-name>.

När du har kört auth login kommandot uppmanas du att spara arbetsytans URL som en Azure Databricks-konfigurationsprofil. När du uppmanas till det anger du namnet på en ny eller befintlig profil i .databrickscfg filen. Alla befintliga profiler med samma namn i .databrickscfg filen skrivs över.

Om du uppmanas att göra det slutför du webbläsarens instruktioner på skärmen för att slutföra inloggningen. Använd sedan Python-kod som liknar något av följande kodfragment:

För standardautentisering:

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()
# ...

För direkt konfiguration (ersätt platshållarna för retrieve med din egen implementering för att hämta values från konsolen eller något annat konfigurationsarkiv, till exempel Azure KeyVault). I det här fallet är värden URL:en för Azure Databricks per arbetsyta, till exempel https://adb-1234567890123456.7.azuredatabricks.net:

from databricks.sdk import WorkspaceClient

w = WorkspaceClient(host = retrieveWorkspaceUrl())
# ...

Mer information om autentisering med Databricks-verktyg och SDK:er som använder Python och som implementerar enhetlig autentisering med Databricks-klienten finns i:

• Set ställ in Databricks Connect-klienten för Python
• Autentiseringskonfiguration för Databricks-tillägget för Visual Studio Code
• Autentisera Databricks SDK för Python med ditt Azure Databricks-konto eller din arbetsyta

Java

För både åtgärder på kontonivå och arbetsytenivå måste du använda Databricks CLI för att köra följande kommando innan du kör Java-koden. Det här kommandot instruerar Databricks CLI att generate och att cachelagra det nödvändiga OAuth-token i sökvägen .databricks/token-cache.json i din användares hemmapp på datorn.

Konfigurera för databricks-åtgärder på kontonivå

databricks auth login --host <account-console-url> --account-id <account-id>

Ersätt följande platshållare:

• Ersätt <account-console-url> med värdet https://accounts.azuredatabricks.net. (Gör inteset detta på värdet för din URL till Azure Databricks arbetsyta.)
• Ersätt <account-id> med värdet för ditt Azure Databricks-konto. Se Hitta ditt konto-ID.

Kommentar

Om du har en befintlig Azure Databricks-konfigurationsprofil med fälten host och account_id redan setkan du ersätta --host <account-console-url> --account-id <account-id> med --profile <profile-name>.

När du har kört auth login kommandot uppmanas du att spara kontots inloggnings-URL och konto-ID som en Azure Databricks-konfigurationsprofil. När du uppmanas till det anger du namnet på en ny eller befintlig profil i .databrickscfg filen. Alla befintliga profiler med samma namn i .databrickscfg filen skrivs över.

Om du uppmanas att göra det slutför du webbläsarens instruktioner på skärmen för att slutföra inloggningen. Använd sedan Java-kod som liknar något av följande kodfragment:

För standardautentisering:

import com.databricks.sdk.AccountClient;
// ...
AccountClient a = new AccountClient();
// ...

För direkt konfiguration (ersätt platshållarna för retrieve med din egen implementering för att hämta values från konsolen eller något annat konfigurationsarkiv, till exempel Azure KeyVault). I det här fallet är https://accounts.azuredatabricks.netAzure Databricks-kontokonsolens URL:

import com.databricks.sdk.AccountClient;
import com.databricks.sdk.core.DatabricksConfig;
// ...
DatabricksConfig cfg = new DatabricksConfig()
  .setHost(retrieveAccountConsoleUrl())
  .setAccountId(retrieveAccountId());
AccountClient a = new AccountClient(cfg);
// ...

Konfigurera för databricks-åtgärder på arbetsytenivå

För åtgärder på arbetsytenivå bör du först använda Databricks CLI för att köra följande kommando innan du kör Java-koden. Det här kommandot instruerar Databricks CLI att generate och cachelagra den nödvändiga OAuth-token i sökvägen .databricks/token-cache.json inom användarens hemkatalog på din dator.

databricks auth login --host <worskpace-url>

Ersätt platshållaren <workspace-url> med mål-URL:en för Azure Databricks per arbetsyta, till exempel https://adb-1234567890123456.7.azuredatabricks.net.

Kommentar

Om du har en befintlig Azure Databricks-konfigurationsprofil med fältet host redan setkan du ersätta --host <workspace-url> med --profile <profile-name>.

När du har kört auth login kommandot uppmanas du att spara arbetsytans URL som en Azure Databricks-konfigurationsprofil. När du uppmanas till det anger du namnet på en ny eller befintlig profil i .databrickscfg filen. Alla befintliga profiler med samma namn i .databrickscfg filen skrivs över.

Om du uppmanas att göra det slutför du webbläsarens instruktioner på skärmen för att slutföra inloggningen. Använd sedan Java-kod som liknar något av följande kodfragment:

För standardautentisering:

import com.databricks.sdk.WorkspaceClient;
// ...
WorkspaceClient w = new WorkspaceClient();
// ...

För direkt konfiguration (ersätt platshållarna för retrieve med din egen implementering för att hämta values från konsolen eller något annat konfigurationsarkiv, till exempel Azure KeyVault). I det här fallet är värden URL:en för Azure Databricks per arbetsyta, till exempel https://adb-1234567890123456.7.azuredatabricks.net:

import com.databricks.sdk.WorkspaceClient;
import com.databricks.sdk.core.DatabricksConfig;
// ...
DatabricksConfig cfg = new DatabricksConfig()
  .setHost(retrieveWorkspaceUrl())
WorkspaceClient w = new WorkspaceClient(cfg);
// ...

Mer information om autentisering med Databricks-verktyg och SDK:er som använder Java och som implementerar enhetlig autentisering för Databricks-klienten finns i:

• Set upp Databricks Connect-klienten för Scala (Databricks Connect-klienten för Scala använder den inkluderade Databricks SDK för Java för autentisering)
• Autentisera Databricks SDK för Java med ditt Azure Databricks-konto eller din arbetsyta

Go

För både åtgärder på kontonivå och arbetsytenivå måste du använda Databricks CLI för att köra följande kommando innan du kör Go-koden. Det här kommandot instruerar Databricks CLI att generate och cachelagra den nödvändiga OAuth-tokenen i sökvägen .databricks/token-cache.json i användarens hemmapp på din dator.

Konfigurera för databricks-åtgärder på kontonivå

databricks auth login --host <account-login-url> --account-id <account-id>

Ersätt följande platshållare:

• Ersätt <account-console-url> med värdet https://accounts.azuredatabricks.net. (inteset detta till värdet för din Azure Databricks--arbetsyta URL.)
• Ersätt <account-id> med värdet för ditt Azure Databricks-konto. Se Hitta ditt konto-ID.

Kommentar

Om du har en befintlig Azure Databricks-konfigurationsprofil med fälten host och account_id redan setkan du ersätta --host <account-console-url> --account-id <account-id> med --profile <profile-name>.

När du har kört auth login kommandot uppmanas du att spara kontots inloggnings-URL och konto-ID som en Azure Databricks-konfigurationsprofil. När du uppmanas till det anger du namnet på en ny eller befintlig profil i .databrickscfg filen. Alla befintliga profiler med samma namn i .databrickscfg filen skrivs över.

Om du uppmanas att göra det slutför du webbläsarens instruktioner på skärmen för att slutföra inloggningen. Använd sedan Go-kod som liknar något av följande kodfragment:

För standardautentisering:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
a := databricks.Must(databricks.NewAccountClient())
// ...

För direkt konfiguration (ersätt platshållarna för retrieve med din egen implementering för att hämta values från konsolen eller något annat konfigurationsarkiv, till exempel Azure KeyVault). I det här fallet är https://accounts.azuredatabricks.netAzure Databricks-kontokonsolens URL:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
a := databricks.Must(databricks.NewAccountClient(&databricks.Config{
  Host:      retrieveAccountConsoleUrl(),
  AccountId: retrieveAccountId(),
}))
// ...

Konfigurera för databricks-åtgärder på arbetsytenivå

För åtgärder på arbetsytenivå bör du först använda Databricks CLI för att köra följande kommando innan du kör Go-koden. Det här kommandot instruerar Databricks CLI att generate och cachelagra den nödvändiga OAuth-token i sökvägen .databricks/token-cache.json inom din användares hemmapp på din dator.

databricks auth login --host <worskpace-url>

Ersätt platshållaren <workspace-url> med mål-URL:en för Azure Databricks per arbetsyta, till exempel https://adb-1234567890123456.7.azuredatabricks.net.

Kommentar

Om du har en befintlig Azure Databricks-konfigurationsprofil med fältet host redan setkan du ersätta --host <workspace-url> med --profile <profile-name>.

När du har kört auth login kommandot uppmanas du att spara arbetsytans URL som en Azure Databricks-konfigurationsprofil. När du uppmanas till det anger du namnet på en ny eller befintlig profil i .databrickscfg filen. Alla befintliga profiler med samma namn i .databrickscfg filen skrivs över.

Om du uppmanas att göra det slutför du webbläsarens instruktioner på skärmen för att slutföra inloggningen. Använd sedan Go-kod som liknar något av följande kodfragment:

För standardautentisering:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient())
// ...

För direkt konfiguration (ersätt platshållarna för retrieve med din egen implementering för att hämta values från konsolen eller något annat konfigurationsarkiv, till exempel Azure KeyVault). I det här fallet är värden URL:en för Azure Databricks per arbetsyta, till exempel https://adb-1234567890123456.7.azuredatabricks.net:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient(&databricks.Config{
  Host: retrieveWorkspaceUrl(),
}))
// ...

Mer information om autentisering med Databricks-verktyg och SDK:er som använder Go och som implementerar enhetlig autentisering för Databricks-klienten finns i Autentisera Databricks SDK för Go med ditt Azure Databricks-konto eller din arbetsyta.

generate manuellt och använda åtkomsttoken för U2M-autentisering (OAuth från användare till dator)

Kommentar

Det här avsnittet tillhandahålls för användare med verktyg eller tjänster från tredje part som inte fungerar med databricks-klientens enhetliga autentiseringsstandard .

Om du av någon anledning måste generate, refresheller använda Azure Databricks OAuth-åtkomsttoken för OAuth U2M-autentisering, så följ anvisningarna i det här avsnittet.

steg 1: Generate ett OAuth-kodverifierare och kodutmaningspar

Om du vill generate och använda åtkomsttoken manuellt för OAuth U2M-autentisering måste du först ha en OAuth-kodverifierare och en OAuth-kodutmaning som härleds från kodverifieraren. Du använder koduppgiften i steg 2 för att generate en OAuth-auktoriseringskod. Du använder kodverifieraren och auktoriseringskoden i steg 3 för att generate OAuth-åtkomsttoken.

Kommentar

Det är tekniskt möjligt att använda okodade okodade okodade textsträngar för kodverifieraren och kodutmaningen, men Databricks rekommenderar starkt att du följer OAuth-standarden för att generera kodverifieraren och kodutmaningen i stället.

Mer specifikt bör kodverifieraren vara en kryptografiskt slumpmässig sträng med tecken från uppsättningarna A-Z, a-z, 0-9och skiljetecken -._~ (bindestreck, punkt, understreck och tilde), mellan 43 och 128 tecken långa. Koduppgiften ska vara en Base64-URL-kodad sträng i SHA256-hashen för kodverifieraren. Mer information finns i Auktoriseringsbegäran.

Du kan köra följande Python-skript för att snabbt generate ett unikt kodverifierare och kodutmaningspar. Även om du kan återanvända den här genererade kodverifieraren och kodutmaningsparet flera gånger rekommenderar Databricks att du generate ett nytt kodverifierare och kodutmaningspar varje gång du manuellt generate åtkomsttoken för OAuth U2M-autentisering.

import uuid, hashlib, base64

# Generate a UUID.
uuid1 = uuid.uuid4()

# Convert the UUID to a string.
uuid_str1 = str(uuid1).upper()

# Create the code verifier.
code_verifier = uuid_str1 + "-" + uuid_str1

# Create the code challenge based on the code verifier.
code_challenge = base64.urlsafe_b64encode(hashlib.sha256(code_verifier.encode()).digest()).decode('utf-8')

# Remove all padding from the code challenge.
code_challenge = code_challenge.replace('=', '')

# Print the code verifier and the code challenge.
# Use these in your calls to manually generate
# access tokens for OAuth U2M authentication.
print(f"code_verifier:  {code_verifier}")
print(f"code_challenge: {code_challenge}")

Steg 2: Generate en auktoriseringskod

Du använder en OAuth-auktoriseringskod för att generate en Azure Databricks OAuth-åtkomsttoken. Auktoriseringskoden upphör omedelbart efter att du har använt den för att generate en Azure Databricks OAuth-åtkomsttoken. Omfånget för auktoriseringskoden beror på vilken nivå du generate den från. Du kan generate en auktoriseringskod på antingen Azure Databricks-kontonivå eller arbetsytenivå enligt följande:

• Om du vill anropa och arbetsytenivå REST-API:er inom konton och arbetsytor som ditt Azure Databricks-användarkonto har åtkomst till generate en auktoriseringskod på kontonivå.
• Om du bara vill anropa REST-API:er på en arbetsyta som ditt användarkonto har åtkomst till kan du generate en auktoriseringskod på arbetsytenivå endast för den arbetsytan.

Generate en auktoriseringskod på kontonivå

1. Logga in på kontokonsolen som kontoadministratör.

2. Klicka på nedåtpilen bredvid ditt användarnamn i det övre högra hörnet.

3. Kopiera ditt konto-ID.

4. I webbläsarens adressfält bläddrar du till följande URL. Radbrytningar har lagts till för läsbarhet. Url:en får inte innehålla dessa radbrytningar.

   Ersätt följande i följande URL:

   • Ersätt <account-id> med det konto-ID som du kopierade.
   • Ersätt <redirect-url> med en omdirigerings-URL till den lokala datorn, till exempel http://localhost:8020.
   • Ersätt <state> med en sträng med oformaterad text som du kan använda för att verifiera auktoriseringskodens integritet.
   • Ersätt <code-challenge> med den koduppgift som du genererade i steg 1.

   https://accounts.azuredatabricks.net/oidc/accounts/<account-id>/v1/authorize
   ?client_id=databricks-cli
   &redirect_uri=<redirect-url>
   &response_type=code
   &state=<state>
   &code_challenge=<code-challenge>
   &code_challenge_method=S256
   &scope=all-apis+offline_access
   

5. När du uppmanas att göra det följer du anvisningarna på skärmen för att logga in på ditt Azure Databricks-konto.

6. Kopiera auktoriseringskoden i webbläsarens adressfält. Auktoriseringskoden är den fullständiga strängen code= med tecken mellan & och tecknet i URL:en. Auktoriseringskoden i följande URL är dcod...7fe6till exempel :

   http://localhost:8020/?code=dcod...7fe6&state=<state>
   

   Du bör kontrollera integriteten för den här auktoriseringskoden genom att visuellt bekräfta att <state> värdet i den här svars-URL:en matchar det state värde som du angav i din begärande-URL. Om values skiljer sig bör du inte använda den här auktoriseringskoden eftersom den kan komprometteras.

7. Gå vidare till Generate en åtkomsttoken på kontonivå.

Generate auktoriseringskod på arbetsytenivå

1. I webbläsarens adressfält bläddrar du till följande URL. Radbrytningar har lagts till för läsbarhet. Url:en får inte innehålla dessa radbrytningar.

   Ersätt följande i följande URL:

   • Ersätt <databricks-instance> med instansnamnet för Azure Databricks-arbetsytan, till exempel adb-1234567890123456.7.azuredatabricks.net.
   • Ersätt <redirect-url> med en omdirigerings-URL till den lokala datorn, till exempel http://localhost:8020.
   • Ersätt <state> med en sträng med oformaterad text som du kan använda för att verifiera auktoriseringskodens integritet.
   • Ersätt <code-challenge> med den koduppgift som du genererade i steg 1.

   https://<databricks-instance>/oidc/v1/authorize
   ?client_id=databricks-cli
   &redirect_uri=<redirect-url>
   &response_type=code
   &state=<state>
   &code_challenge=<code-challenge>
   &code_challenge_method=S256
   &scope=all-apis+offline_access
   

2. När du uppmanas att göra det följer du anvisningarna på skärmen för att logga in på din Azure Databricks-arbetsyta.

3. Kopiera auktoriseringskoden i webbläsarens adressfält. Auktoriseringskoden är den fullständiga strängen code= med tecken mellan & och tecknet i URL:en. Auktoriseringskoden i följande URL är dcod...7fe6till exempel :

   http://localhost:8020/?code=dcod...7fe6&state=<state>
   

   Du bör kontrollera integriteten för den här auktoriseringskoden genom att visuellt bekräfta att <state> värdet i den här svars-URL:en matchar det state värde som du angav i din begärande-URL. Om values skiljer sig bör du inte använda den här auktoriseringskoden eftersom den kan komprometteras.

Steg 3: Använd auktoriseringskoden för att generate en OAuth-åtkomsttoken

Du använder OAuth-auktoriseringskoden från föregående steg för att generate en Azure Databricks OAuth-åtkomsttoken på följande sätt:

• Om du vill anropa och arbetsytenivå REST-API:er i konton och arbetsytor som ditt Azure Databricks-användarkonto har åtkomst till använder du auktoriseringskoden på kontonivå för att generate en åtkomsttoken på kontonivå.
• Om du bara vill anropa REST-API:er på en arbetsyta som ditt användarkonto har åtkomst till kan du använda auktoriseringskoden på arbetsytenivå för att generate en åtkomsttoken på arbetsytenivå endast för den arbetsytan.

Generate en åtkomsttoken på kontonivå

1. Använd en klient som curl tillsammans med auktoriseringskoden på kontonivå för att generate OAuth-åtkomsttoken på kontonivå. Ersätt följande platshållare i följande curl anrop:

   • Ersätt <account-id> med konto-ID från steg 2.
   • Ersätt <redirect-url> med omdirigerings-URL:en från steg 2.
   • Ersätt <code-verifier> med kodverifieraren som du genererade i steg 1.
   • Ersätt <authorization-code> med auktoriseringskoden på kontonivå som du genererade i steg 2.

   curl --request POST \
   https://accounts.azuredatabricks.net/oidc/accounts/<account-id>/v1/token \
   --data "client_id=databricks-cli" \
   --data "grant_type=authorization_code" \
   --data "scope=all-apis offline_access" \
   --data "redirect_uri=<redirect-url>" \
   --data "code_verifier=<code-verifier>" \
   --data "code=<authorization-code>"
   

2. I svaret kopierar du OAuth-åtkomsttoken på kontonivå. Åtkomsttoken är den fullständiga strängen access_token med tecken i objektet. Åtkomsttoken i följande svar är eyJr...Dkagtill exempel :

   {
     "access_token": "eyJr...Dkag",
     "refresh_token": "doau...f26e",
     "scope": "all-apis offline_access",
     "token_type": "Bearer",
     "expires_in": 3600
   }
   

   Den här åtkomsttoken upphör att gälla om en timme. Om du vill generate en ny åtkomsttoken upprepar du proceduren från steg 1.

3. Gå vidare till Steg 4: Anropa ett Databricks REST API.

Generate en åtkomsttoken på arbetsytenivå

1. Använd en klient, till exempel curl tillsammans med auktoriseringskoden på arbetsytenivå för att generate OAuth-åtkomsttoken på arbetsytenivå. Ersätt följande platshållare i följande curl anrop:

   • Ersätt <databricks-instance> med instansnamnet för Azure Databricks-arbetsytan, till exempel adb-1234567890123456.7.azuredatabricks.net.
   • Ersätt <redirect-url> med omdirigerings-URL:en från steg 2.
   • Ersätt <code-verifier> med kodverifieraren som du genererade i steg 1.
   • Ersätt <authorization-code> med auktoriseringskoden på arbetsytan som du genererade i steg 2.

   curl --request POST \
   https://<databricks-instance>/oidc/v1/token \
   --data "client_id=databricks-cli" \
   --data "grant_type=authorization_code" \
   --data "scope=all-apis offline_access" \
   --data "redirect_uri=<redirect-url>" \
   --data "code_verifier=<code-verifier>" \
   --data "code=<authorization-code>"
   

2. I svaret kopierar du OAuth-åtkomsttoken på arbetsytenivå. Åtkomsttoken är den fullständiga strängen access_token med tecken i objektet. Åtkomsttoken i följande svar är eyJr...Dkagtill exempel :

   {
    "access_token": "eyJr...Dkag",
    "refresh_token": "doau...f26e",
    "scope": "all-apis offline_access",
    "token_type": "Bearer",
    "expires_in": 3600
   }
   

   Den här åtkomsttoken upphör att gälla om en timme. Om du vill generate en ny åtkomsttoken upprepar du den här proceduren från steg 1.

Steg 4: Anropa ett Databricks REST API

Du använder OAuth-åtkomsttoken på kontonivå eller arbetsytenivå för att autentisera till REST-API:er på Azure Databricks-kontonivå och REST-API:er på arbetsytenivå, beroende på åtkomsttokens omfång. Ditt Azure Databricks-användarkonto måste vara kontoadministratör för att anropa REST-API:er på kontonivå.

Exempel på REST API-begäran på kontonivå

I det här exemplet används curl tillsammans med Bearer-autentisering för att get en list av alla arbetsytor som är associerade med ett konto.

• Ersätt <oauth-access-token> med OAuth-åtkomsttoken på kontonivå.
• Ersätt <account-id> med ditt konto-ID.

export OAUTH_TOKEN=<oauth-access-token>

curl --request GET --header "Authorization: Bearer $OAUTH_TOKEN" \
"https://accounts.azuredatabricks.net/api/2.0/accounts/<account-id>/workspaces"

Exempel på REST API-begäran på arbetsytenivå

I det här exemplet används curl tillsammans med Bearer autentisering för att list alla tillgängliga kluster på den angivna arbetsytan.

• Ersätt <oauth-access-token> med OAuth-åtkomsttoken på kontonivå eller arbetsytenivå.
• Ersätt <databricks-instance> med instansnamnet för Azure Databricks-arbetsytan, till exempel adb-1234567890123456.7.azuredatabricks.net.

export OAUTH_TOKEN=<oauth-access-token>

curl --request GET --header "Authorization: Bearer $OAUTH_TOKEN" \
"https://<databricks-instance>/api/2.0/clusters/list"