Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta página explica como autorizar o acesso aos recursos do Azure Databricks usando a CLI do Azure Databricks e as APIs REST. Ele descreve diferentes métodos de autorização, quando usá-los e como configurar a autenticação para seu caso de uso.
Para acessar os recursos do Azure Databricks com as APIs CLI ou REST, você deve autenticar usando uma conta do Azure Databricks com as permissões apropriadas. Seu administrador do Azure Databricks ou um usuário com privilégios de administrador configura a conta.
Tipos de conta e API
Há dois tipos de contas que você pode usar para autenticação:
- Conta de utilizador: Para comandos interativos da CLI e chamadas de API.
- Entidade de serviço: Para a execução de comandos CLI automatizados e chamadas de API sem interação humana.
Você pode usar um principal de serviço do MS Entra para autorizar o acesso à sua conta ou espaço de trabalho do Azure Databricks. Consulte princípios de serviço Autenticar com Microsoft Entra. No entanto, a Databricks recomenda o uso de um principal de serviço Databricks com OAuth, pois os seus tokens de acesso são mais robustos para autorização exclusiva para o Databricks.
O Azure Databricks tem dois tipos de APIs que exigem abordagens de autenticação diferentes:
- APIs no nível da conta: Disponível para proprietários e administradores de contas, hospedado no URL do console da conta. Consulte APIs no nível da conta.
- APIs no nível do espaço de trabalho: Disponível para usuários e administradores do espaço de trabalho, hospedado em URLs do espaço de trabalho. Consulte APIs no nível do espaço de trabalho.
Métodos de autorização
Escolha o método de autorização que melhor se adapta ao seu caso de uso. As ferramentas e SDKs do Azure Databricks dão suporte a vários métodos de autorização, para que você possa selecionar o mais apropriado para seu cenário.
| Method | Description | Caso de uso |
|---|---|---|
| Federação de tokens Databricks OAuth (Recomendado) | Tokens OAuth do seu provedor de identidade para usuários ou entidades de serviço. | Permite que você se autentique no Azure Databricks sem gerenciar segredos do Databricks. |
| Databricks OAuth para entidades de serviço (OAuth M2M) | Tokens OAuth de curta duração para entidades de serviço. | Cenários de autenticação autônoma, como fluxos de trabalho totalmente automatizados e de CI/CD. |
| OAuth para usuários (OAuth U2M) | Tokens OAuth de curta duração para utilizadores. | Cenário de autenticação assistida, onde você usa seu navegador da Web para autenticar com o Azure Databricks em tempo real, quando solicitado. |
| Autorização de identidade de serviço gerido do Azure | Tokens de ID do Microsoft Entra para identidades gerenciadas do Azure. | Use apenas com recursos do Azure que dão suporte a identidades gerenciadas, como máquinas virtuais do Azure. |
| autorização da entidade de serviço do Microsoft Entra ID | Tokens de ID do Microsoft Entra para entidades de serviço do Microsoft Entra ID. | Use apenas com recursos do Azure que dão suporte a tokens de ID do Microsoft Entra e não oferecem suporte a identidades gerenciadas, como o Azure DevOps. |
| Autorização da CLI do Azure | Tokens de ID do Microsoft Entra para usuários ou entidades de serviço do Microsoft Entra ID. | Use para autorizar o acesso aos recursos do Azure e ao Azure Databricks usando a CLI do Azure. |
| Autorização de utilizador do Microsoft Entra ID | Tokens de identificação do Microsoft Entra para utilizadores. | Use somente com recursos do Azure que suportam exclusivamente tokens de ID do Microsoft Entra. O Databricks não recomenda que você crie tokens de ID do Microsoft Entra para usuários do Azure Databricks manualmente. |
Autenticação unificada
A autenticação unificada do Azure Databricks fornece uma maneira consistente de configurar a autenticação em todas as ferramentas e SDKs com suporte. Essa abordagem usa variáveis de ambiente padrão e perfis de configuração para armazenar valores de credenciais, para que você possa executar comandos da CLI ou chamar APIs sem configurar repetidamente a autenticação.
A autenticação unificada lida com tipos de conta de forma diferente:
- Autorização do utilizador: O OAuth cria e gerencia automaticamente tokens de acesso para ferramentas que suportam autenticação unificada. Consulte Autorizar o acesso do usuário ao Azure Databricks com OAuth.
- Autorização da entidade de serviço: O OAuth requer credenciais de cliente (ID do cliente e segredo) que o Azure Databricks fornece depois de atribuir a entidade de serviço aos espaços de trabalho. Consulte Autorizar o acesso da entidade de serviço ao Azure Databricks com OAuth.
Para usar tokens de acesso OAuth, o seu administrador de conta ou do espaço de trabalho do Azure Databricks deve conceder à sua conta de utilizador ou principal de serviço a CAN USE permissão para os recursos de conta e espaço de trabalho que o seu código acessará.
Variáveis de ambiente
Para configurar a autenticação unificada, defina as seguintes variáveis de ambiente. Algumas variáveis se aplicam à autorização do usuário e da entidade de serviço, enquanto outras são necessárias apenas para entidades de serviço.
| Variável de ambiente | Description |
|---|---|
DATABRICKS_HOST |
A URL do console da conta do Azure Databricks (https://accounts.azuredatabricks.net) ou do espaço de trabalho do Azure Databricks (https://{workspace-url-prefix}.azuredatabricks.net). Escolha com base no tipo de operações que seu código executa. |
DATABRICKS_ACCOUNT_ID |
Usado para operações de conta do Azure Databricks. Esta é a sua ID de conta do Azure Databricks. Para obtê-lo, consulte Localizar o ID da sua conta. |
DATABRICKS_CLIENT_ID |
(Apenas OAuth da entidade de serviço) O ID do cliente que lhe foi atribuído quando da criação da sua entidade de serviço . |
DATABRICKS_CLIENT_SECRET |
(Apenas OAuth da entidade de serviço) O segredo do cliente que você gerou ao criar sua entidade de serviço. |
Em vez de definir variáveis de ambiente manualmente, considere defini-las em um perfil de configuração Databricks (.databrickscfg) em sua máquina cliente.
Perfis de configuração
Os perfis de configuração do Azure Databricks contêm definições e credenciais de que as ferramentas e SDKs do Azure Databricks precisam para autorizar o acesso. Esses perfis são armazenados em arquivos de cliente locais (normalmente nomeados .databrickscfg) para suas ferramentas, SDKs, scripts e aplicativos usarem.
Para obter mais informações, consulte Perfis de configuração do Azure Databricks.
Integrações de terceiros
Ao integrar com serviços e ferramentas de terceiros, você deve usar os mecanismos de autenticação fornecidos por esses serviços. No entanto, o Azure Databricks fornece suporte para integrações comuns:
- Databricks Terraform Provedor: Acesse as APIs do Azure Databricks do Terraform usando sua conta de usuário do Azure Databricks. Consulte Provisionar uma entidade de serviço usando o Terraform.
- Fornecedores Git: GitHub, GitLab e Bitbucket podem aceder às APIs do Azure Databricks usando um Service Principal do Databricks. Consulte Entidades de serviço para CI/CD.
- Jenkins: Acesse as APIs da Azure Databricks usando um service principal do Databricks. Consulte CI/CD com Jenkins no Azure Databricks.
- Azure DevOps: Aceda às APIs do Azure Databricks utilizando uma entidade de serviço baseada no MS Entra ID. Consulte Autenticar com o Azure DevOps no Azure Databricks.