Condividi tramite

Eseguire l'autenticazione con i token di accesso personale di Azure Databricks (legacy)

Azure Databricks token di accesso personale (PAT) consentono di eseguire l'autenticazione alle risorse e alle API a livello di area di lavoro. È possibile archiviarli in variabili di ambiente o Azure Databricks profili di configurazione. Ogni pat è valido per una sola area di lavoro e un utente può creare fino a 600 PAT per area di lavoro. Azure Databricks revoca automaticamente le PT che non sono state usate per 90 giorni.

Importante

L'autenticazione con nome utente e password (senza token) ha raggiunto la fine del ciclo di vita il 10 luglio 2024. Databricks consiglia vivamente l'uso di OAuth invece dei PTP per l'autenticazione dell'account utente perché OAuth offre una sicurezza più avanzata. Per informazioni su come eseguire l'autenticazione con un account utente di Databricks con OAuth, vedere Autorizzare l'accesso utente a Azure Databricks con OAuth.

Non è possibile usare i token di accesso personale per automatizzare le funzionalità a livello di account di Azure Databricks. Usare invece i token di Microsoft Entra ID per gli amministratori dell'account di Azure Databricks. Azure Databricks gli amministratori dell'account possono essere utenti o principali del servizio. Per altre informazioni, vedi:

Creare token di accesso personali per gli utenti dell'area di lavoro

Per creare un token di accesso personale per l'utente dell'area di lavoro Azure Databricks, eseguire le operazioni seguenti:

  1. Nell'area di lavoro Azure Databricks fare clic sul nome utente nella barra superiore e selezionare Impostazioni.
  2. Fare clic su Sviluppatore.
  3. Accanto a Token di accesso fare clic su Gestisci.
  4. Fare clic su Genera nuovo token.
  5. Immettere un commento che consente di identificare questo token in futuro.
  6. Impostare la durata del token in giorni. Vedere Impostare la durata massima dei nuovi token di accesso personale.
  7. Per limitare le autorizzazioni del token, selezionare un tipo di token e aggiungere ambiti API. Vedere Token di accesso personali con ambito.
  8. Fare clic su Genera.
  9. Copiare il token visualizzato in un percorso sicuro, quindi fare clic su Fine. Salvare il token in modo sicuro e non condividerlo. Se si perde, è necessario creare un nuovo token.

Se non è possibile creare o usare token, l'amministratore dell'area di lavoro potrebbe aver disabilitato i token o non ha concesso l'autorizzazione. Consultare l'amministratore dell'area di lavoro o quanto riportato di seguito:

Token di accesso personali con ambiti definiti

I token di accesso personali con ambito limitano le autorizzazioni di un token a operazioni API specifiche. Anziché concedere l'accesso completo all'area di lavoro, assegnare uno o più ambiti API, ad esempio sql, unity-catalogo scim, che limitano le operazioni dell'API REST che il token può chiamare.

Avvertimento

I token con ambito authentication possono creare nuovi token con qualsiasi ambito. Concedere questo ambito solo ai token che devono gestire altri token.

Per creare un token con ambito nell'interfaccia utente dell'area di lavoro, selezionare un tipo di token e aggiungere ambiti API quando si genera un nuovo token. Se non si assegnano ambiti, il token mantiene le autorizzazioni complete dell'identità di creazione.

Per un elenco completo degli ambiti e delle relative operazioni API associate, vedere Ambiti API.

Creare token di accesso personali per i principali del servizio

Un principale del servizio può creare token di accesso personali per se stesso.

  1. Eseguire il comando seguente per generare un token di accesso:

    databricks tokens create \
  --lifetime-seconds <lifetime-seconds> \
  -p <profile-name>

    Sostituire i valori seguenti:

    • <lifetime-seconds>: durata del token in secondi, ad esempio 86400 per 1 giorno. L'impostazione predefinita è impostata sulla durata massima dell'area di lavoro (in genere 730 giorni).
    • <profile-name>: profilo di configurazione con informazioni di autenticazione. Il valore predefinito è DEFAULT.

  2. Copiare il token_value dalla risposta, che è il token di accesso per il service principal. Salvare il token in modo sicuro e non condividerlo. Se si perde, è necessario creare un nuovo token.

Se non è possibile creare o usare token, l'amministratore dell'area di lavoro potrebbe aver disabilitato i token o non ha concesso l'autorizzazione. Consultare l'amministratore dell'area di lavoro o quanto riportato di seguito:

Eseguire l'autenticazione del token di accesso personale

Per configurare l'autenticazione del token di accesso personale di Azure Databricks, impostare le seguenti variabili di ambiente associate, campi .databrickscfg, campi Terraform o campi Config:

  • L'host Azure Databricks, specificato come URL di destinazione per Azure Databricks per-workspace, ad esempio https://adb-1234567890123456.7.azuredatabricks.net.
  • Token di accesso personale Azure Databricks per l'account utente Azure Databricks.

Per eseguire l'autenticazione tramite token di accesso personale di Azure Databricks, integrare quanto segue nel codice, in base allo strumento o all'SDK partecipante:

Ambiente

Per usare le variabili di ambiente per un tipo di autenticazione Azure Databricks specifico con uno strumento o un SDK, vedere Autorizzare l'accesso alle risorse Azure Databricks o alla documentazione dello strumento o dell'SDK. Vedere anche Variabili di ambiente e campi per l'autenticazione unificata e la priorità del metodo di autenticazione.

Impostare le seguenti variabili di ambiente:

  • DATABRICKS_HOST, imposta all'URL di Azure Databricks per area di lavoro, come ad esempio https://adb-1234567890123456.7.azuredatabricks.net.
  • DATABRICKS_TOKEN, impostato sulla stringa del token.

Profilo

Creare o identificare un profilo di configurazione Azure Databricks con i campi seguenti nel file . Se si crea il profilo, sostituire i segnaposto con i valori appropriati. Per usare il profilo con uno strumento o un SDK, vedere Autorizzare l'accesso alle risorse Azure Databricks o alla documentazione dello strumento o dell'SDK. Vedere anche Variabili di ambiente e campi per l'autenticazione unificata e la priorità del metodo di autenticazione.

Aggiungere i valori seguenti nel file .databrickscfg. In questo caso, l'host è l'URL Azure Databricks per-workspace, ad esempio https://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host  = <workspace-url>
token = <token>

Anziché impostare manualmente i valori, è possibile usare l'interfaccia della riga di comando di Databricks per impostare questi valori:

Nota

La procedura seguente usa l'interfaccia della riga di comando Databricks per creare un profilo di configurazione Azure Databricks con il nome DEFAULT. Se si dispone già di un DEFAULT profilo di configurazione, questa procedura sovrascrive il profilo di configurazione DEFAULT esistente.

Per verificare se si dispone già di un DEFAULT profilo di configurazione e per visualizzare le impostazioni di questo profilo, usare l'interfaccia della riga di comando di Databricks per eseguire il comando databricks auth env --profile DEFAULT.

Per creare un profilo di configurazione con un nome diverso da DEFAULT, sostituire la parte DEFAULT di --profile DEFAULT nel comando seguente databricks configure, come illustrato nel passaggio seguente, con un nome diverso per il profilo di configurazione.

  1. Usare l'interfaccia della riga di comando Databricks per creare un profilo di configurazione di Azure Databricks denominato DEFAULT che usa l'autenticazione tramite token di accesso personale di Azure Databricks. A tale scopo, usare il comando seguente:

    databricks configure --profile DEFAULT

  2. Per il prompt Databricks Host immettere l'URL Azure Databricks per-workspace, ad esempio https://adb-1234567890123456.7.azuredatabricks.net.

  3. Per il prompt Token di accesso personale immettere il token di accesso personale Azure Databricks per l'area di lavoro.

Interfaccia a riga di comando (CLI)

Per la CLI di Databricks, eseguire il comando databricks configure. Immettere i valori seguenti al prompt:

  • L'host Azure Databricks, specificato come URL di destinazione per-workspace di Azure Databricks, ad esempio https://adb-1234567890123456.7.azuredatabricks.net.
  • Token di accesso personale Azure Databricks per l'account utente Azure Databricks.

Per altre informazioni, vedere Autenticazione del token di accesso personale (deprecata).

Connessione

Nota

Azure Databricks supporta l'autenticazione tramite token di accesso personale nelle seguenti versioni di Databricks Connect:

  • Per quanto riguarda Python, Databricks Connect per Databricks Runtime 13.3 LTS e versioni successive.
  • Per Scala, è disponibile Databricks Connect per Databricks Runtime 13.3 LTS e versioni successive.

Per Databricks Connect, usare l'interfaccia della riga di comando di Databricks per impostare i valori nel file .databrickscfg, per le operazioni a livello di Azure Databricks workspace come specificato nella sezione Profile.

La procedura seguente crea un profilo di configurazione Azure Databricks denominato DEFAULT, che sovrascrive qualsiasi profilo di DEFAULT esistente. Per verificare se esiste un DEFAULT profilo, eseguire databricks auth env --profile DEFAULT. Se esiste, usare un nome di profilo diverso.

  1. Eseguire il comando seguente per creare un profilo di configurazione Azure Databricks denominato DEFAULT che usa l'autenticazione del token di accesso personale.

    databricks configure \
  --configure-cluster \
  --profile DEFAULT

  2. Per il prompt Databricks Host immettere l'URL Azure Databricks per-workspace, ad esempio https://adb-1234567890123456.7.azuredatabricks.net.

  3. Al prompt Token di accesso personale, inserisci il token di accesso personale relativo al tuo spazio di lavoro.

  4. Nell'elenco dei cluster disponibili selezionare il cluster di destinazione Azure Databricks nell'area di lavoro. È possibile digitare qualsiasi parte del nome visualizzato del cluster per filtrare l'elenco dei cluster disponibili.

Usare l'API REST Azure Databricks per rilasciare token di accesso personali

Azure Databricks fornisce un endpoint REST /api/2.0/token/create per rilasciare PAT. Per informazioni dettagliate sull'API, vedere Creare un token utente .

Nell'esempio seguente impostare questi valori:

  • <databricks-instance>: URL dell'area di lavoro di Databricks. Ad esempio: dbc-abcd1234-5678.cloud.databricks.com.
  • <your-existing-access-token>: Un PAT valido esistente (stringa) che dispone delle autorizzazioni per creare nuovi token.
  • <lifetime-seconds>: durata del token in secondi.
  • <scopes>: elenco di ambiti da assegnare al token. Vedere Token di accesso personali con ambito specificato.
curl -X POST https://<databricks-instance>/api/2.0/token/create \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "lifetime_seconds": <lifetime-seconds>,
  "scopes": [
    "sql",
    "authentication"
  ]
}'

In caso di esito positivo, viene restituito un payload di risposta simile al seguente:

{
  "token_value": "<your-newly-issued-pat>",
  "token_info": {
    "token_id": "<token-id>",
    "creation_time": <creation-timestamp>,
    "expiry_time": <expiry-timestamp>,
    "comment": "<comment>",
    "scopes": ["authentication", "sql"],
    "last_accessed_time": 0
  }
}

Specificare il nuovo token dalla risposta nell'intestazione Autorizzazione delle chiamate successive alle API REST di Databricks. Ad esempio:

# This example uses a simple GET. For POST or other REST verbs, you may need to provide additional parameters.
curl -X GET "https://<databricks-instance>/api/2.0/<path-to-endpoint>" \
     -H "Authorization: Bearer <your-new-pat>"

import requests

headers = {
    'Authorization': 'Bearer <your-new-pat>'
}
# This example is for an HTTP GET operation.
response = requests.get('https://<databricks-instance>/api/2.0/<path-to-endpoint>', headers=headers)

Aggiornare gli ambiti di un token di accesso personale

Se un token con ambito manca l'ambito necessario per una chiamata API, la richiesta ha esito negativo con un errore che indica l'ambito mancante. Per aggiornare gli ambiti di un token, usare l'endpoint /api/2.0/token/<token_id>REST . Il token chiamante deve avere l'ambito authentication , che consente la gestione di altri token. Usare il update_mask campo per specificare i campi del token da aggiornare.

curl -X PATCH https://<databricks-instance>/api/2.0/token/<token_id> \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "token": {
    "scopes": ["sql", "unity-catalog"]
  },
  "update_mask": "scopes"
}'

La propagazione delle modifiche all'ambito può richiedere fino a dieci minuti.

Per visualizzare tutti gli ambiti disponibili, usare GET /api/2.0/token-scopes.

  • Last updated on