Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página explica como autorizar o acesso aos recursos do Azure Databricks usando a CLI do Azure Databricks e as APIs REST. Ele descreve diferentes métodos de autorização, quando usá-los e como configurar a autenticação para seu caso de uso.
Para acessar os recursos do Azure Databricks com a CLI ou AS APIs REST, você deve autenticar usando uma conta do Azure Databricks com as permissões apropriadas. O administrador do Azure Databricks ou um usuário com privilégios de administrador configura a conta.
Tipos de conta e API
Há dois tipos de contas que você pode usar para autenticação:
- Conta de usuário: Para comandos interativos da CLI e chamadas à API.
- Entidade de serviço: Para comandos automatizados da CLI e chamadas à API sem interação humana.
Você pode usar um principal de serviço do MS Entra para autorizar o acesso à sua conta ou espaço de trabalho do Azure Databricks. Consulte Autenticar com entidades de serviço do MS Entra. No entanto, o Databricks recomenda usar uma entidade de serviço do Databricks com o OAuth, pois seus tokens de acesso são mais robustos para autorização somente do Databricks.
O Azure Databricks tem dois tipos de APIs que exigem diferentes abordagens de autenticação:
- APIs no nível da conta: Disponível para proprietários de conta e administradores, hospedados na URL do console da conta. Consulte APIs de nível de conta.
- APIs de nível de espaço de trabalho: Disponíveis para usuários e administradores do espaço de trabalho, hospedadas em URLs do espaço de trabalho. Consulte APIs no nível do workspace.
Métodos de autorização
Escolha o método de autorização que melhor se ajusta ao seu caso de uso. As ferramentas e os SDKs do Azure Databricks dão suporte a vários métodos de autorização, para que você possa selecionar o mais apropriado para seu cenário.
| Method | Description | Caso de uso |
|---|---|---|
| Federação de token OAuth do Databricks (recomendado) | Tokens OAuth do seu provedor de identidade para usuários ou entidades de serviço. | Permite que você se autentique no Azure Databricks sem gerenciar segredos do Databricks. |
| OAuth do Databricks para entidades de serviço (OAuth M2M) | Tokens OAuth de curta duração para as entidades de serviço. | Cenários de autenticação não assistida, como fluxos de trabalho totalmente automatizados e CI/CD. |
| OAuth para usuários (OAuth U2M) | Tokens de OAuth de curta-duração para usuários. | Cenário de autenticação assistido, em que você usa seu navegador da Web para autenticar com o Azure Databricks em tempo real, quando solicitado. |
| Autorização de identidade de serviço gerenciado do Azure | Tokens do Microsoft Entra ID para identidades gerenciadas do Azure. | Use somente com recursos do Azure que oferecem suporte a identidades gerenciadas, como máquinas virtuais do Azure. |
| Autenticação de entidades de serviço do Microsoft Entra ID | Tokens do Microsoft Entra ID para entidades de serviço do Microsoft Entra ID. | Use somente com recursos do Azure que oferecem suporte a tokens do Microsoft Entra ID e não a identidades gerenciadas, como o Azure DevOps. |
| Autorização da CLI do Azure | Tokens do Microsoft Entra ID para usuários ou entidades de serviço do Microsoft Entra ID. | Use para autorizar o acesso aos recursos do Azure e ao Azure Databricks usando a CLI do Azure. |
| Autorização do Microsoft Entra ID | Tokens do Microsoft Entra ID para usuários. | Use somente com recursos do Azure que suportam exclusivamente tokens Microsoft Entra ID. O Databricks não recomenda que você crie manualmente tokens do Microsoft Entra ID para usuários do Azure Databricks. |
Autenticação unificada
A autenticação unificada do Azure Databricks fornece uma maneira consistente de configurar a autenticação em todas as ferramentas e SDKs com suporte. Essa abordagem usa variáveis de ambiente padrão e perfis de configuração para armazenar valores de credencial, para que você possa executar comandos da CLI ou chamar APIs sem configurar repetidamente a autenticação.
A autenticação unificada manipula os tipos de conta de forma diferente:
- Autorização do usuário: O OAuth cria e gerencia automaticamente tokens de acesso para ferramentas que dão suporte à autenticação unificada. Consulte Autorizar o acesso do usuário ao Azure Databricks com o OAuth.
- Autorização da entidade de serviço: O OAuth requer credenciais de cliente (ID do cliente e segredo) que o Azure Databricks fornece depois que você atribui a entidade de serviço a workspaces. Consulte Autorizar o acesso da entidade de serviço ao Azure Databricks com o OAuth.
Para usar tokens de acesso OAuth, o administrador do seu espaço de trabalho ou conta do Azure Databricks deve conceder à sua conta de usuário ou entidade de serviço a(s) permissão(ões) para os recursos da conta e do espaço de trabalho que seu código acessará.
Variáveis de ambiente
Para configurar a autenticação unificada, defina as variáveis de ambiente a seguir. Algumas variáveis se aplicam à autorização da entidade de serviço e do usuário, enquanto outras são necessárias apenas para entidades de serviço.
| Variável de ambiente | Description |
|---|---|
DATABRICKS_HOST |
A URL do console da conta do Azure Databricks (https://accounts.azuredatabricks.net) ou do espaço de trabalho do Azure Databricks (https://{workspace-url-prefix}.azuredatabricks.net). Escolha com base no tipo de operações executadas pelo código. |
DATABRICKS_ACCOUNT_ID |
Usado para operações de conta do Azure Databricks. Essa é sua ID da conta do Azure Databricks. Para obtê-la, consulte Localizar a ID da sua conta. |
DATABRICKS_CLIENT_ID |
(Somente OAuth da entidade de serviço) A ID do cliente que você recebeu ao criar sua entidade de serviço. |
DATABRICKS_CLIENT_SECRET |
(Somente OAuth da entidade de serviço) O segredo do cliente gerado ao criar sua entidade de serviço. |
Em vez de definir variáveis de ambiente manualmente, considere defini-las em um perfil de configuração do Databricks (.databrickscfg) em seu computador cliente.
Perfis de configuração
Os perfis de configuração do Azure Databricks contêm configurações e credenciais de que as ferramentas e os SDKs do Azure Databricks precisam para autorizar o acesso. Esses perfis são armazenados em arquivos de cliente locais (normalmente nomeados .databrickscfg) para suas ferramentas, SDKs, scripts e aplicativos a serem usados.
Para obter mais informações, consulte Perfis de configuração do Azure Databricks.
Integrações de terceiros
Ao integrar com serviços e ferramentas de terceiros, você deve usar os mecanismos de autenticação fornecidos por esses serviços. No entanto, o Azure Databricks fornece suporte para integrações comuns:
- Provedor Terraform do Databricks: Use sua conta de usuário do Azure Databricks para acessar as APIs do Azure Databricks a partir do Terraform. Consulte Provisionar um principal de serviço usando o Terraform.
- Provedores Git: GitHub, GitLab e Bitbucket podem acessar as APIs do Azure Databricks usando um principal de serviço do Databricks. Consulte principais de serviço para CI/CD.
- Jenkins: Acesse as APIs do Azure Databricks usando um princípio de serviço do Databricks. Consulte CI/CD com Jenkins no Azure Databricks.
- Azure DevOps: Acesse as APIs do Azure Databricks usando um principal de serviço baseado em MS Entra ID. Consulte Authenticate with Azure DevOps on Azure Databricks.