使用 Microsoft Entra ID 对 Azure DevOps 自动化中的 Azure Databricks Git 文件夹的访问权限进行身份验证。 本页介绍如何使用 Microsoft Entra 配置 Azure Databricks 服务主体进行授权。
要求
在开始之前,请验证是否具有以下各项:
- Azure Databricks 帐户中的工作区管理员权限
- Azure Databricks 帐户中的服务主体用户权限
- Azure DevOps 应用程序的 Microsoft Entra 应用程序 ID,以及修改其凭据的权限。
如果没有Microsoft Entra 应用程序 ID,请参阅 使用 Azure Entra 向 Azure DevOps 进行身份验证 ,并在 Microsoft Entra ID 中注册应用程序。
配置 Microsoft Entra 服务主体
满足要求后,在 Azure Databricks 中配置服务主体,并在 Microsoft Entra ID 中设置联合凭据。
以工作区管理员身份登录到 Azure Databricks 工作区。
单击顶部栏中的用户名,然后选择 “设置”。
单击“ 标识和访问 ”选项卡。
在服务主体旁边,单击管理。
单击“ 添加服务主体 ”或选择要重新配置的现有服务主体。 如果选择现有服务主体,请跳过下一步。
若要创建新的 Microsoft Entra ID 托管服务主体,请执行以下操作:
- 选择 Microsoft Entra ID 托管 单选按钮。
- 在“Microsoft Entra 应用程序 ID”字段中输入你的 Microsoft Entra ID 应用 ID。
- 在 “服务主体名称 ”字段中输入名称。
- 选择 Azure DevOps 自动化所需的 权利 ,包括 工作区访问权限。
- 如果您的服务主体运行可从 Git 文件夹访问构件的 Lakeflow 作业,请选择不受限制的群集创建。
- 单击 添加。 新的服务主体出现在服务主体列表中。
在 “服务主体 ”列表中,找到并选择Microsoft Entra ID 服务主体。
单击 “Git 集成 ”选项卡,然后选择“ 添加 Git 凭据”。
在 Git 提供程序菜单中,选择 Azure DevOps Services (Microsoft Entra ID)。
复制联合凭据信息。 在下一步中,请使用此信息。
重要
不要选择 “我已完成上述步骤 ”或单击“ 保存 ”。
在新浏览器窗口或选项卡中,打开 Azure 订阅的 Microsoft Entra ID 门户。
查找 Azure 应用程序。
选择“ 管理>证书和机密”。
单击“ 联合凭据 ”选项卡。
单击“ 添加凭据”。
在 Microsoft Entra ID 门户中,使用从 Azure Databricks 复制的联合凭据信息来填充“连接帐户”下的“颁发者”、“类型和值”字段。
使用服务主体 Git 集成配置返回到 Azure Databricks 浏览器窗口。
选择 已完成上述步骤。
单击“ 保存”。
现在,服务主体已配置为通过 Azure DevOps 访问 Azure Databricks Git 文件夹。 共享此服务主体时,请向 服务主体用户 授予对需要该服务的任何工作区用户的访问权限。 这包括运行 Git 作业或使用访问 Repos API 的自动化代码的用户。
故障排除
如果遇到服务主体配置问题,请检查以下常见问题。
Azure DevOps 中的服务主体访问级别
服务主体必须在目标存储库的 Azure DevOps 组织中具有 基本 或更高的访问级别。 对此进行配置:
- 在 Azure DevOps 订阅中,转到 “组织设置>用户>添加用户”。
- 将服务主体的应用程序(客户端)ID 复制并粘贴到“用户或服务主体”搜索框中。
- 选择您的服务主体帐户。
有关详细信息,请参阅 Azure DevOps 文档中 的“更改访问级别 ”。
服务主体权限
必须将服务主体添加到 Azure 工作区。 Azure 帐户上的其他用户必须有权使用它。 请参阅 服务主体。
后续步骤
使用服务主体和托管标识 (Azure DevOps 文档)