本文概述了有关使用标识提供者中的令牌访问 Azure Databricks 帐户和工作区资源的 OAuth 令牌联合的概述信息。
什么是 Databricks OAuth 令牌联合认证?
使用 Databricks OAuth 令牌联合,可以使用受信任的标识提供者(IdP)中的令牌安全地访问 Databricks API。 OAuth 令牌联合机制免去管理和轮换 Databricks 机密等的必要,例如个人访问令牌和 Databricks OAuth 客户端机密。
使用 Databricks OAuth 令牌联合身份验证,用户和服务主体可以从身份提供者交换 JWT(JSON Web 令牌),以获得 Databricks OAuth 令牌,然后可用于访问 Databricks API。
强烈建议对负载使用 OAuth 令牌联合身份验证。
OAuth 令牌联合是一种更简单、更安全的方法,用于对 Databricks 进行身份验证,尤其是针对自动化工作负荷。 您的工作负载使用自动化环境颁发的工作负载标识令牌,以服务主体身份在您的 Databricks 帐户中进行身份验证。 Databricks SDK 和 Databricks CLI 会自动提取这些工作负荷标识令牌并将其交换为 Databricks OAuth 令牌,这样就无需管理和轮换 Databricks 机密。
支持哪些类型的令牌对接?
Databricks 支持两种类型的令牌联合:
- 帐户范围的令牌联合 使 Databricks 帐户中的所有用户和服务主体都可以使用标识提供者的令牌访问 Databricks API。 使用帐户范围的令牌联合可以集中管理标识提供者中的令牌颁发策略,并且通常与 SCIM 结合使用,因此标识提供者中的用户将同步到 Azure Databricks 帐户。 请参阅 帐户范围的令牌联盟。
- 工作负载身份联合 允许在 Azure Databricks 外部运行的自动化工作负载访问 Databricks APIs,而无需 Databricks 密钥。 通过工作负载身份联合,应用程序(工作负荷)使用工作负荷运行时颁发的令牌以 Databricks 服务主体身份向 Databricks 进行身份验证。 请参阅 工作负载标识联合。
注释
Azure 用户还可以使用 MS Entra 令牌安全地使用 Azure Databricks CLI 和 API。
如何设置 OAuth 令牌联邦化?
若要为 Databricks 帐户或工作负荷配置 OAuth 令牌联合身份验证,请执行以下作:
确定是使用帐户范围的令牌联合身份验证还是工作负荷标识联合。
创建 联合策略。 您将需要:
将工具或标识提供者配置为使用联合令牌向 Databricks 进行身份验证。 有关常见 CI/CD 身份提供商的配置示例,请参阅 在 CI/CD 中启用工作负载身份联合。