Autenticazione con token di accesso personale di Azure Databricks

I token di accesso personale di Azure Databricks sono uno dei tipi di credenziali meglio supportati per le risorse e le operazioni a livello di area di lavoro di Azure Databricks. Molti meccanismi di archiviazione per le credenziali e le informazioni correlate, ad esempio le variabili di ambiente e i profili di configurazione di Azure Databricks, forniscono il supporto per i token di accesso personale di Azure Databricks. Anche se gli utenti possono avere più token di accesso personale in un'area di lavoro di Azure Databricks, ogni token di accesso personale funziona per una sola area di lavoro di Azure Databricks. Il numero di token di accesso personale per utente è limitato a 600 per area di lavoro.

Nota

Per automatizzare le funzionalità a livello di account di Azure Databricks, non è possibile usare i token di accesso personali di Azure Databricks. È invece necessario usare i token microsoft Entra ID (in precedenza Azure Active Directory) degli amministratori dell'account Azure Databricks. Gli amministratori dell'account Azure Databricks possono essere utenti o entità servizio. Per altre informazioni, vedi:

• Gestisci utenti
• Gestire le entità servizio
• Gestire i gruppi

Vedere anche:

• Autenticazione delle identità gestite di Azure
• Autenticazione entità servizio di Microsoft Entra
• Autenticazione con interfaccia della riga di comando di Azure

Token di accesso personale di Azure Databricks per gli utenti dell'area di lavoro

Per creare un token di accesso personale di Azure Databricks per l'utente dell'area di lavoro di Azure Databricks, eseguire le operazioni seguenti:

1. Nell'area di lavoro di Azure Databricks fare clic sul nome utente di Azure Databricks nella barra superiore e quindi selezionare Impostazioni dall'elenco a discesa.
2. Fare clic su Sviluppatore.
3. Accanto a Token di accesso fare clic su Gestisci.
4. Fare clic su Genera nuovo token.
5. (Facoltativo) Immettere un commento che consente di identificare questo token in futuro e modificare la durata predefinita del token di 90 giorni. Per creare un token senza durata (scelta non consigliata), lasciare vuota la casella Durata (giorni) (vuota).
6. Fare clic su Genera.
7. Copiare il token visualizzato in un percorso sicuro e quindi fare clic su Fine.

Nota

Assicurarsi di salvare il token copiato in un percorso sicuro. Non condividere il token copiato con altri utenti. Se si perde il token copiato, non è possibile rigenerare lo stesso token esatto. È invece necessario ripetere questa procedura per creare un nuovo token. Se si perde il token copiato o si ritiene che il token sia stato compromesso, Databricks consiglia vivamente di eliminare immediatamente il token dall'area di lavoro facendo clic sull'icona del cestino (Revoca) accanto al token nella pagina Token di accesso.

Se non è possibile creare o usare token nell'area di lavoro, questo potrebbe essere dovuto al fatto che l'amministratore dell'area di lavoro ha disabilitato i token o non ha concesso l'autorizzazione per creare o usare token. Vedere l'amministratore dell'area di lavoro o quanto segue:

• Abilitare o disabilitare l'autenticazione del token di accesso personale per l'area di lavoro
• Autorizzazioni del token di accesso personale

Token di accesso personale di Azure Databricks per le entità servizio

Un'entità servizio può creare token di accesso personali di Databricks per se stessi, come indicato di seguito:

Nota

Non è possibile usare l'interfaccia utente di Azure Databricks per generare token di accesso personali di Azure Databricks per le entità servizio. Questo processo usa l'interfaccia della riga di comando di Databricks versione 0.205 o successiva per generare un token di accesso per un'entità servizio. Se non è già installata l'interfaccia della riga di comando di Databricks, vedere Installare o aggiornare l'interfaccia della riga di comando di Databricks.

Questa procedura presuppone che si usi l'autenticazione da computer a computer OAuth (M2M) o l'autenticazione dell'entità servizio Microsoft Entra ID per configurare l'interfaccia della riga di comando di Databricks per autenticare l'entità servizio per generare token di accesso personali di Azure Databricks. Vedere Autenticazione da computer a computer (M2M) OAuth o autenticazione dell'entità servizio Microsoft Entra ID.

1. Usare l'interfaccia della riga di comando di Databricks per eseguire il comando seguente, che genera un altro token di accesso per l'entità servizio.

   Nel comando seguente sostituire questi segnaposto:

   • Facoltativamente, sostituire <comment> con qualsiasi commento significativo sullo scopo del token di accesso. Se l'opzione --comment non è specificata, non viene generato alcun commento.
   • Facoltativamente, sostituire <lifetime-seconds> con il numero di secondi per cui il token di accesso è valido. Ad esempio, 1 giorno è 86400 secondi. Se l'opzione --lifetime-seconds non è specificata, il token di accesso viene impostato su non scadere (non consigliato).
   • Facoltativamente, sostituire <profile-name> con il nome di un profilo di configurazione di Azure Databricks che contiene informazioni di autenticazione per l'entità servizio e l'area di lavoro di destinazione. Se l'opzione -p non è specificata, l'interfaccia della riga di comando di Databricks tenterà di trovare e usare un profilo di configurazione denominato DEFAULT.

   databricks tokens create --comment <comment> --lifetime-seconds <lifetime-seconds> -p <profile-name>
   

2. Nella risposta copiare il valore di , ovvero il token di token_valueaccesso per l'entità servizio.

   Assicurarsi di salvare il token copiato in un percorso sicuro. Non condividere il token copiato con altri utenti. Se si perde il token copiato, non è possibile rigenerare lo stesso token esatto. È invece necessario ripetere questa procedura per creare un nuovo token.

   Se non è possibile creare o usare token nell'area di lavoro, questo potrebbe essere dovuto al fatto che l'amministratore dell'area di lavoro ha disabilitato i token o non ha concesso l'autorizzazione per creare o usare token. Vedere l'amministratore dell'area di lavoro o quanto segue:

   • Abilitare o disabilitare l'autenticazione del token di accesso personale per l'area di lavoro
   • Autorizzazioni del token di accesso personale

Eseguire l'autenticazione del token di accesso personale di Azure Databricks

Per configurare l'autenticazione del token di accesso personale di Azure Databricks, è necessario impostare le variabili di ambiente, .databrickscfg i campi, i campi terraform o Config i campi associati seguenti:

• L'host di Azure Databricks, specificato come URL di Azure Databricks per area di lavoro di destinazione, ad esempio https://adb-1234567890123456.7.azuredatabricks.net.
• Token di accesso personale di Azure Databricks per l'account utente di Azure Databricks.

Per eseguire l'autenticazione del token di accesso personale di Azure Databricks, integrare quanto segue all'interno del codice, in base allo strumento o all'SDK partecipante:

Ambiente

Per usare le variabili di ambiente per uno specifico tipo di autenticazione di Azure Databricks con uno strumento o un SDK, vedere Tipi di autenticazione supportati dallo strumento o dall'SDK di Azure Databricks o dalla documentazione dello strumento o dell'SDK. Vedere anche Variabili di ambiente e campi per l'autenticazione unificata client e l'ordine di valutazione predefinito per i metodi e le credenziali di autenticazione unificata client.

Impostare le seguenti variabili di ambiente:

• DATABRICKS_HOST, impostare sull'URL di Azure Databricks per area di lavoro, ad esempio https://adb-1234567890123456.7.azuredatabricks.net.
• DATABRICKS_TOKEN

Profilo

Creare o identificare un profilo di configurazione di Azure Databricks con i campi seguenti nel .databrickscfg file. Se si crea il profilo, sostituire i segnaposto con i valori appropriati. Per usare il profilo con uno strumento o un SDK, vedere Tipi di autenticazione supportati dallo strumento o dall'SDK di Azure Databricks o dalla documentazione dello strumento o dell'SDK . Vedere anche Variabili di ambiente e campi per l'autenticazione unificata client e l'ordine di valutazione predefinito per i metodi e le credenziali di autenticazione unificata client.

Impostare i valori seguenti nel .databrickscfg file. In questo caso, l'host è l'URL di Azure Databricks per area di lavoro, ad esempio https://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host  = <workspace-url>
token = <token>

Anziché impostare manualmente i valori precedenti nel .databrickscfg file, è possibile usare l'interfaccia della riga di comando di Databricks per impostare questi valori, come indicato di seguito:

Nota

La procedura seguente usa l'interfaccia della riga di comando di Databricks per creare un profilo di configurazione di Azure Databricks con il nome DEFAULT. Se si dispone già di un DEFAULT profilo di configurazione, questa procedura sovrascrive il profilo di configurazione esistente DEFAULT .

Per verificare se si dispone già di un DEFAULT profilo di configurazione e per visualizzare le impostazioni di questo profilo, usare l'interfaccia della riga di comando di Databricks per eseguire il comando databricks auth env --profile DEFAULT.

Per creare un profilo di configurazione con un nome diverso da DEFAULT, sostituire la DEFAULT parte di --profile DEFAULT nel comando seguente databricks configure con un nome diverso per il profilo di configurazione.

1. Usare l'interfaccia della riga di comando di Databricks per creare un profilo di configurazione di Azure Databricks denominato DEFAULT che usa l'autenticazione del token di accesso personale di Azure Databricks. A tale scopo, usare il comando seguente:

   databricks configure --profile DEFAULT
   

2. Per il prompt dell'host Databricks immettere l'URL di Azure Databricks per area di lavoro, ad esempio https://adb-1234567890123456.7.azuredatabricks.net.

3. Per il prompt del token di accesso personale immettere il token di accesso personale di Azure Databricks per l'area di lavoro.

Cli

Per l'interfaccia della riga di comando di Databricks, eseguire il databricks configure comando . Al prompt immettere le impostazioni seguenti:

• L'host di Azure Databricks, specificato come URL di Azure Databricks per area di lavoro di destinazione, ad esempio https://adb-1234567890123456.7.azuredatabricks.net.
• Token di accesso personale di Azure Databricks per l'account utente di Azure Databricks.

Per altre informazioni, vedere Autenticazione del token di accesso personale di Azure Databricks.

Connessione

Nota

L'autenticazione del token di accesso personale di Azure Databricks è supportata nelle versioni seguenti di Databricks Connessione:

• Per Python, Databricks Connessione per Databricks Runtime 13.3 LTS e versioni successive.
• Per Scala, Databricks Connessione per Databricks Runtime 13.3 LTS e versioni successive.

Per databricks Connessione, è possibile usare l'interfaccia della riga di comando di Databricks per impostare i valori nel .databrickscfg file, per le operazioni a livello di area di lavoro di Azure Databricks come specificato nella sezione "Profilo" di questo articolo, come indicato di seguito:

Nota

La procedura seguente usa l'interfaccia della riga di comando di Databricks per creare un profilo di configurazione di Azure Databricks con il nome DEFAULT. Se si dispone già di un DEFAULT profilo di configurazione, questa procedura sovrascrive il profilo di configurazione esistente DEFAULT .

Per verificare se si dispone già di un DEFAULT profilo di configurazione e per visualizzare le impostazioni di questo profilo, usare l'interfaccia della riga di comando di Databricks per eseguire il comando databricks auth env --profile DEFAULT.

Per creare un profilo di configurazione con un nome diverso da DEFAULT, sostituire la DEFAULT parte di --profile DEFAULT nel databricks configure comando come illustrato nel passaggio seguente con un nome diverso per il profilo di configurazione.

1. Usare l'interfaccia della riga di comando di Databricks per creare un profilo di configurazione di Azure Databricks denominato DEFAULT che usa l'autenticazione del token di accesso personale di Azure Databricks. A tale scopo, usare il comando seguente:

   databricks configure --configure-cluster --profile DEFAULT
   

2. Per il prompt dell'host Databricks immettere l'URL di Azure Databricks per area di lavoro, ad esempio https://adb-1234567890123456.7.azuredatabricks.net.

3. Per il prompt del token di accesso personale immettere il token di accesso personale di Azure Databricks per l'area di lavoro.

4. Nell'elenco dei cluster disponibili visualizzati, usare i tasti freccia su e freccia giù per selezionare il cluster di Azure Databricks di destinazione nell'area di lavoro e quindi premere Enter. È anche possibile digitare qualsiasi parte del nome visualizzato del cluster per filtrare l'elenco dei cluster disponibili.

Altri approcci supportati per Databricks Connessione includono:

• Impostare manualmente i valori nel .databrickscfg file per le operazioni a livello di area di lavoro di Azure Databricks come specificato nella sezione "Profilo" di questo articolo. Impostare anche la cluster_id variabile di ambiente nel profilo sull'URL per area di lavoro, ad esempio https://adb-1234567890123456.7.azuredatabricks.net.
• Impostare le variabili di ambiente per le operazioni a livello di area di lavoro di Azure Databricks come specificato nella sezione "Ambiente" di questo articolo. Impostare anche la variabile di ambiente sull'URL DATABRICKS_CLUSTER_IDper area di lavoro, ad esempio https://adb-1234567890123456.7.azuredatabricks.net.

I valori nel .databrickscfg file hanno sempre la precedenza sulle variabili di ambiente.

Per inizializzare il client di Databricks Connessione con queste variabili di ambiente o valori nel .databrickscfg file, vedere una delle opzioni seguenti:

• Per Python, vedere Configurare le proprietà di connessione per Python.
• Per Scala, vedere Configurare le proprietà di connessione per Scala.

Vs code

Per l'estensione Databricks per Visual Studio Code, eseguire le operazioni seguenti:

1. Impostare i valori nel .databrickscfg file per le operazioni a livello di area di lavoro di Azure Databricks come specificato nella sezione "Profilo" di questo articolo.
2. Nel riquadro Configurazione dell'estensione Databricks per Visual Studio Code fare clic su Configura Databricks.
3. Nel riquadro comandi, per Host Databricks, immettere l'URL per area di lavoro, ad esempio https://adb-1234567890123456.7.azuredatabricks.net, e quindi premere Enter.
4. Nel riquadro comandi selezionare il nome del profilo di destinazione nell'elenco per l'URL.

Per altre informazioni, vedere Configurazione dell'autenticazione per l'estensione Databricks per VS Code.

Terraform

Per l'autenticazione predefinita:

provider "databricks" {
  alias = "workspace"
}

Per la configurazione diretta (sostituire i retrieve segnaposto con la propria implementazione per recuperare i valori dalla console o da un altro archivio di configurazione, ad esempio HashiCorp Vault. Vedere anche Provider di insiemi di credenziali. In questo caso, l'host è l'URL di Azure Databricks per area di lavoro, ad esempio https://adb-1234567890123456.7.azuredatabricks.net:

provider "databricks" {
  alias = "workspace"
  host  = <retrieve-workspace-url>
  token = <retrieve-token>
}

Per altre informazioni sull'autenticazione con il provider Databricks Terraform, vedere Autenticazione.

Python

Per l'autenticazione predefinita:

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()
# ...

Per la configurazione diretta (sostituire i retrieve segnaposto con la propria implementazione per recuperare i valori dalla console o da un altro archivio di configurazione, ad esempio Azure KeyVault). In questo caso, l'host è l'URL di Azure Databricks per area di lavoro, ad esempio https://adb-1234567890123456.7.azuredatabricks.net:

from databricks.sdk import WorkspaceClient

w = WorkspaceClient(
  host  = retrieve_workspace_url(),
  token = retrieve_token()
)
# ...

Per altre informazioni sull'autenticazione con gli strumenti e gli SDK di Databricks che usano Python e che implementano l'autenticazione unificata del client Databricks, vedere:

• Configurare il client di Connessione di Databricks per Python
• Configurazione dell'autenticazione per l'estensione Databricks per VS Code
• Autenticare Databricks SDK per Python con l'account o l'area di lavoro di Azure Databricks

Java

Per l'autenticazione predefinita:

import com.databricks.sdk.WorkspaceClient;
// ...
WorkspaceClient w = new WorkspaceClient();
// ...

Per la configurazione diretta (sostituire i retrieve segnaposto con la propria implementazione per recuperare i valori dalla console o da un altro archivio di configurazione, ad esempio Azure KeyVault). In questo caso, l'host è l'URL di Azure Databricks per area di lavoro, ad esempio https://adb-1234567890123456.7.azuredatabricks.net:

import com.databricks.sdk.WorkspaceClient;
import com.databricks.sdk.core.DatabricksConfig;
// ...
DatabricksConfig cfg = new DatabricksConfig()
  .setHost(retrieveWorkspaceUrl())
  .setToken(retrieveToken());
WorkspaceClient w = new WorkspaceClient(cfg);
// ...

Per altre informazioni sull'autenticazione con gli strumenti e gli SDK di Databricks che usano Java e che implementano l'autenticazione unificata del client Databricks, vedere:

• Configurare il client di databricks Connessione per Scala (il client di databricks Connessione per Scala usa l'SDK di Databricks incluso per Java per l'autenticazione)
• Autenticare Databricks SDK per Java con l'account o l'area di lavoro di Azure Databricks

Go

Per l'autenticazione predefinita:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient())
// ...

Per la configurazione diretta (sostituire i retrieve segnaposto con la propria implementazione per recuperare i valori dalla console o da un altro archivio di configurazione, ad esempio Azure KeyVault). In questo caso, l'host è l'URL di Azure Databricks per area di lavoro, ad esempio https://adb-1234567890123456.7.azuredatabricks.net:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient(&databricks.Config{
  Host:  retrieveWorkspaceUrl(),
  Token: retrieveToken(),
}))
// ...

Per altre informazioni sull'autenticazione con gli strumenti e gli SDK di Databricks che usano Go e che implementano l'autenticazione unificata del client Databricks, vedere Autenticare Databricks SDK for Go con l'account o l'area di lavoro di Azure Databricks.