Autenticazione per il Databricks CLI

Questo articolo illustra come configurare l'autenticazione tra l'interfaccia della riga di comando di Databricks e gli account e le aree di lavoro Azure Databricks. Si presuppone che il Databricks CLI (interfaccia a riga di comando) sia già installato. Vedere Installare o aggiornare l'interfaccia della riga di comando di Databricks.

Prima di eseguire i comandi dell'interfaccia della riga di comando di Databricks, è necessario configurare l'autenticazione per gli account o le aree di lavoro che si prevede di usare. L'installazione richiesta dipende dal fatto che si vogliano eseguire comandi a livello di area di lavoro , comandi a livello di account o entrambi.

Per visualizzare i gruppi di comandi dell'interfaccia della riga di comando disponibili, eseguire databricks -h. Per l'elenco delle operazioni API REST corrispondenti, vedere API REST di Databricks.

Per informazioni sull'autenticazione Microsoft Entra in Databricks con Azure DevOps in modo specifico, vedere Authenticate with Azure DevOps on Azure Databricks.

Autenticazione OAuth da computer a computer (M2M)

L'autenticazione da computer a computer (M2M) con OAuth consente a servizi, script o applicazioni di accedere alle risorse di Databricks senza l'accesso interattivo dell'utente. Anziché basarsi su token di accesso personali (PAT) o credenziali utente, l'autenticazione M2M usa un'entità servizio e un flusso di credenziali client OAuth per richiedere e gestire i token.

Per configurare e usare l'autenticazione OAuth M2M:

1. Completare i passaggi di configurazione dell'autenticazione M2M OAuth. Consultare Autorizzare l'accesso del principale del servizio a Azure Databricks con OAuth.

2. Creare un profilo di configurazione Azure Databricks con i campi seguenti nel file .databrickscfg.

   Per i comandi a livello di account

   [<some-unique-configuration-profile-name>]
   host          = <account-console-url>
   account_id    = <account-id>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

   Per i comandi a livello di area di lavoro

   [<some-unique-configuration-profile-name>]
   host          = <workspace-url>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

Per usare il profilo, passarlo con il flag --profile o -p nei comandi della riga di comando. Ad esempio:

databricks account groups list -p <profile-name>

Premere TAB dopo --profile o -p per visualizzare un elenco di profili disponibili.

Autenticazione utente-macchina (U2M) OAuth

Con l'autenticazione da utente a computer (U2M) OAuth, si accede in modo interattivo e l'interfaccia della riga di comando gestisce i token di breve durata per conto dell'utente. I token OAuth scadono entro un'ora, riducendo il rischio se un token viene accidentalmente esposto. Vedere Autorizzare l'accesso utente alle Azure Databricks con OAuth.

Per accedere:

Per i comandi a livello di account

databricks auth login --host <account-console-url> --account-id <account-id>

Per i comandi a livello di area di lavoro

databricks auth login --host <workspace-url>

La CLI ti guida attraverso un flusso di login basato su browser. Al termine, l'interfaccia della riga di comando salva le credenziali come profilo di configurazione. È possibile accettare il nome del profilo suggerito o immettere il proprio.

Per usare il profilo, passarlo con il flag --profile o -p nei comandi della riga di comando. Ad esempio:

databricks clusters list -p <profile-name>

Premere TAB dopo --profile o -p per visualizzare un elenco di profili disponibili.

Autenticazione delle identità gestite di Azure

Autenticazione con identità gestite di Azure utilizza le identità gestite per le risorse di Azure (in precedenza identità del servizio gestito) per l'autenticazione. Consulta Cosa sono le identità gestite per le risorse di Azure? Vedi anche Autenticazione con le identità gestite di Azure.

Per creare un'identità gestita assegnata dall'utente Azure, eseguire le operazioni seguenti:

1. Creare o identificare una macchina virtuale Azure e installare il Databricks CLI su di essa, quindi assegnare l'identità gestita alla macchina virtuale Azure, agli account di destinazione di Azure Databricks e alle aree di lavoro, o a entrambi. Consulta Usare identità gestite Azure con Azure Databricks.

2. Nella macchina virtuale Azure creare o identificare un profilo di configurazione Azure Databricks con i campi seguenti nel file .databrickscfg. Se si crea il profilo, sostituire i segnaposto con i valori appropriati.

   Per i comandi a livello di account , impostare i seguenti valori nel file .databrickscfg.

   [<some-unique-configuration-profile-name>]
   host            = <account-console-url>
   account_id      = <account-id>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Per i comandi a livello di area di lavoro , impostare i seguenti valori nel file :

   [<some-unique-configuration-profile-name>]
   host            = <workspace-url>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Databricks consiglia di usare host e assegnare in modo esplicito l'identità all'area di lavoro. In alternativa, usare azure_workspace_resource_id con l'ID risorsa Azure. Questo approccio richiede autorizzazioni di collaboratore o proprietario per la risorsa Azure o un ruolo personalizzato con autorizzazioni di Azure Databricks specifiche.

3. Nella macchina virtuale Azure usare l'opzione --profile o -p seguita dal nome del profilo di configurazione per impostare il profilo di Databricks da usare, ad esempio databricks account groups list -p <configuration-profile-name> o databricks clusters list -p <configuration-profile-name>.

   Suggerimento

   È possibile premere Tab dopo --profile o -p per visualizzare un elenco di profili di configurazione disponibili esistenti tra cui scegliere, anziché immettere manualmente il nome del profilo di configurazione.

autenticazione del principale del servizio Microsoft Entra ID

Principale del servizio Microsoft Entra ID l'autenticazione utilizza le credenziali di un principale del servizio Microsoft Entra ID per autenticarsi. Per creare e gestire entità servizio per Azure Databricks, vedere Entità servizio. Vedi anche Autenticare con i principali del servizio di Microsoft Entra.

Per configurare e usare l'autenticazione dell'entità servizio di Microsoft Entra ID, è necessario disporre dell'Autenticazione con l'interfaccia della riga di comando di Azure installata localmente. Devi anche eseguire le seguenti operazioni:

1. Creare o identificare un profilo di configurazione di Azure Databricks con i seguenti campi nel tuo file .databrickscfg. Se si crea il profilo, sostituire i segnaposto con i valori appropriati.

   Per i comandi a livello di account , impostare i seguenti valori nel file .databrickscfg.

   [<some-unique-configuration-profile-name>]
   host                = <account-console-url>
   account_id          = <account-id>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Per i comandi a livello di area di lavoro , impostare i seguenti valori nel file :

   [<some-unique-configuration-profile-name>]
   host                = <workspace-url>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Databricks consiglia di usare host e di assegnare esplicitamente il principale del servizio Microsoft Entra ID all'area di lavoro. In alternativa, usare azure_workspace_resource_id con l'ID risorsa Azure. Questo approccio richiede autorizzazioni di collaboratore o proprietario per la risorsa Azure o un ruolo personalizzato con autorizzazioni di Azure Databricks specifiche.

2. Usare l'opzione --profile o -p seguita dal nome del profilo di configurazione, come parte della chiamata al comando dell'interfaccia della riga di comando di Databricks, ad esempio databricks account groups list -p <configuration-profile-name> o databricks clusters list -p <configuration-profile-name>.

   Suggerimento

   È possibile premere Tab dopo --profile o -p per visualizzare un elenco di profili di configurazione disponibili esistenti tra cui scegliere, anziché immettere manualmente il nome del profilo di configurazione.

Autenticazione di interfaccia della riga di comando di Azure

interfaccia della riga di comando di Azure autentica l'entità connessa utilizzando interfaccia della riga di comando di Azure. Vedere anche Authenticate con il interfaccia della riga di comando di Azure.

Per configurare interfaccia della riga di comando di Azure'autenticazione, è necessario eseguire le operazioni seguenti:

1. Installare interfaccia della riga di comando di Azure in locale.

2. Usare il interfaccia della riga di comando di Azure per accedere a Azure Databricks eseguendo il comando az login. Consulta Accedi con l'interfaccia della riga di comando di Azure.

3. Creare o identificare un profilo di configurazione di Azure Databricks con i seguenti campi nel tuo file .databrickscfg. Se si crea il profilo, sostituire i segnaposto con i valori appropriati.

   Per i comandi a livello di account , impostare i seguenti valori nel file .databrickscfg.

   [<some-unique-configuration-profile-name>]
   host       = <account-console-url>
   account_id = <account-id>
   

   Per i comandi a livello di area di lavoro , impostare i seguenti valori nel file :

   [<some-unique-configuration-profile-name>]
   host = <workspace-url>
   

4. Usare l'opzione --profile o -p seguita dal nome del profilo di configurazione, come parte della chiamata al comando dell'interfaccia della riga di comando di Databricks, ad esempio databricks account groups list -p <configuration-profile-name> o databricks clusters list -p <configuration-profile-name>.

   Suggerimento

   È possibile premere Tab dopo --profile o -p per visualizzare un elenco di profili di configurazione disponibili esistenti tra cui scegliere, anziché immettere manualmente il nome del profilo di configurazione.

Ordine di valutazione dell'autenticazione

Ogni volta che l'interfaccia della riga di comando di Databricks esegue l'autenticazione a un'area di lavoro o a un account Azure Databricks, cerca le impostazioni necessarie nell'ordine seguente:

1. File di impostazioni bundle, per i comandi eseguiti da una directory di lavoro bundle. I file di impostazioni bundle non possono contenere direttamente i valori delle credenziali.
2. Variabili di ambiente, come elencato in questo articolo e in Variabili di ambiente e campi per l'autenticazione unificata.
3. Profili di configurazione nel .databrickscfg file.

Non appena l'interfaccia della riga di comando trova l'impostazione richiesta, interrompe la ricerca in altre posizioni.

Examples:

• Se viene impostata una DATABRICKS_TOKEN variabile di ambiente, l'interfaccia della riga di comando la usa, anche se esistono più token in .databrickscfg.
• Se non è impostato alcun DATABRICKS_TOKEN e un ambiente pacchetto fa riferimento a un nome di profilo come dev → profilo DEV, l'interfaccia a riga di comando utilizza le credenziali di quel profilo in .databrickscfg.
• Se non è impostato DATABRICKS_TOKEN e un ambiente bundle specifica un valore host, la CLI cerca un profilo in .databrickscfg con una corrispondenza host e utilizza il suo token.

Autenticazione del token di accesso personale (legacy)

L'autenticazione tramite token di accesso personale di Azure Databricks utilizza un token di accesso personale di Azure Databricks per autenticare l'entità di destinazione di Azure Databricks, ad esempio un account utente di Azure Databricks. Vedere Autenticazione con i token di accesso personale di Azure Databricks (legacy).

Per creare un token di accesso personale, seguire la procedura descritta in Creare token di accesso personali per gli utenti dell'area di lavoro.