Zarzadzanie jednostkami usługi

W tym artykule wyjaśniono, jak tworzyć jednostki usługi i zarządzać nimi dla konta i obszarów roboczych usługi Azure Databricks.

Aby zapoznać się z omówieniem modelu tożsamości usługi Azure Databricks, zobacz Tożsamości usługi Azure Databricks.

Aby zarządzać dostępem dla jednostek usługi, zobacz Uwierzytelnianie i kontrola dostępu.

Co to jest jednostka usługi?

Jednostka usługi to tożsamość tworzona w usłudze Azure Databricks do użycia ze zautomatyzowanymi narzędziami, zadaniami i aplikacjami. Jednostki usługi zapewniają zautomatyzowanym narzędziom i skryptom dostęp tylko za pośrednictwem interfejsu API do zasobów usługi Azure Databricks, zapewniając większe zabezpieczenia niż korzystanie z użytkowników lub grup.

Możesz udzielić i ograniczyć dostęp jednostki usługi do zasobów w taki sam sposób, jak użytkownik usługi Azure Databricks. Można na przykład wykonać następujące czynności:

• Nadaj administratorowi konta jednostki usługi i administratorowi obszaru roboczego.
• Przyznaj jednostce usługi dostęp do danych na poziomie konta przy użyciu wykazu aparatu Unity lub na poziomie obszaru roboczego.
• Dodaj jednostkę usługi do grupy zarówno na poziomie konta, jak i obszaru roboczego, w tym do grupy obszarów roboczych admins .

Możesz również przyznać użytkownikom usługi Azure Databricks, jednostkom usługi i grupom uprawnienia do używania jednostki usługi. Dzięki temu użytkownicy mogą uruchamiać zadania jako jednostkę usługi, a nie jako tożsamość. Uniemożliwia to niepowodzenie zadań, jeśli użytkownik opuści organizację lub grupę zostanie zmodyfikowana.

W przeciwieństwie do użytkownika usługi Azure Databricks, jednostka usługi jest tożsamością tylko interfejsu API; nie można jej używać do uzyskiwania dostępu do interfejsu użytkownika usługi Azure Databricks.

Usługa Databricks zaleca włączenie obszarów roboczych na potrzeby federacji tożsamości. Federacja tożsamości umożliwia konfigurowanie jednostek usługi w konsoli konta, a następnie przypisywanie im dostępu do określonych obszarów roboczych. Upraszcza to administrowanie usługą Azure Databricks i zarządzanie danymi.

Ważne

Jeśli twoje konto zostało utworzone po 9 listopada 2023 r., federacja tożsamości jest domyślnie włączona we wszystkich nowych obszarach roboczych i nie można jej wyłączyć.

Jednostki usługi Databricks i Microsoft Entra ID (dawniej Azure Active Directory)

Jednostki usługi mogą być jednostkami usługi zarządzanej w usłudze Azure Databricks lub jednostkami usługi zarządzanej identyfikatora entra firmy Microsoft.

Uwierzytelnianie jednostek usługi zarządzanej Azure Databricks w usłudze Azure Databricks może odbywać się przy użyciu uwierzytelniania OAuth usługi Databricks i osobistych tokenów dostępu. Uwierzytelnianie jednostkek usługi zarządzanej Microsoft Entra ID w usłudze Azure Databricks może odbywać się przy użyciu uwierzytelniania OAuth usługi Databricks i tokenów Microsoft Entra ID. Aby uzyskać więcej informacji na temat uwierzytelniania jednostek usługi, zobacz Zarządzanie tokenami dla jednostki usługi.

Jednostki usługi zarządzanej usługi Azure Databricks są zarządzane bezpośrednio w usłudze Azure Databricks. Zarządzane jednostki usługi Microsoft Entra ID są zarządzane w usłudze Microsoft Entra ID, co wymaga dodatkowych uprawnień. Usługa Databricks zaleca używanie jednostek usługi zarządzanej usługi Azure Databricks na potrzeby automatyzacji usługi Azure Databricks i używania jednostek usługi zarządzanej microsoft Entra ID w przypadkach, w których należy uwierzytelnić się w usłudze Azure Databricks i innych zasobach platformy Azure w tym samym czasie.

Aby utworzyć jednostkę usługi zarządzanej usługi Azure Databricks, pomiń tę sekcję i kontynuuj czytanie przy użyciu KtoTo może zarządzać jednostkami usługi i korzystać z nich?.

Aby używać jednostek usługi zarządzanej microsoft Entra ID w usłudze Azure Databricks, administrator musi utworzyć aplikację Microsoft Entra ID na platformie Azure. Aby utworzyć jednostkę usługi zarządzanej identyfikatora entra firmy Microsoft, wykonaj następujące instrukcje:

1. Zaloguj się w witrynie Azure Portal.

   Uwaga

   Portal do użycia różni się w zależności od tego, czy aplikacja Microsoft Entra ID (dawniej Azure Active Directory) działa w chmurze publicznej platformy Azure, czy w krajowej lub suwerennej chmurze. Aby uzyskać więcej informacji, zobacz Chmury krajowe.

2. Jeśli masz dostęp do wielu dzierżaw, subskrypcji lub katalogów, kliknij ikonę Katalogi i subskrypcje (katalog z filtrem) w górnym menu, aby przełączyć się do katalogu, w którym chcesz aprowizować jednostkę usługi.

3. W obszarze Wyszukaj zasoby, usługi i dokumenty wyszukaj i wybierz pozycję Microsoft Entra ID.

4. Kliknij pozycję + Dodaj i wybierz pozycję Rejestracja aplikacji.

5. W polu Nazwa wprowadź nazwę aplikacji.

6. W sekcji Obsługiwane typy kont wybierz pozycję Konta w tym katalogu organizacyjnym (tylko jedna dzierżawa).

7. Kliknij pozycję Zarejestruj.

8. Na stronie Przegląd aplikacji w sekcji Podstawy skopiuj następujące wartości:

   • Identyfikator aplikacji (klienta)
   • Identyfikator katalogu (dzierżawy)

   

9. Aby wygenerować klucz tajny klienta, w obszarze Zarządzanie kliknij pozycję Certyfikaty i wpisy tajne.

   Uwaga

   Ten klucz tajny klienta służy do generowania tokenów identyfikatora entra firmy Microsoft na potrzeby uwierzytelniania jednostek usługi Microsoft Entra ID za pomocą usługi Azure Databricks. Aby określić, czy narzędzie usługi Azure Databricks lub zestaw SDK mogą używać tokenów identyfikatora Entra firmy Microsoft, zapoznaj się z dokumentacją narzędzia lub zestawu SDK.

10. Na karcie Wpisy tajne klienta kliknij pozycję Nowy klucz tajny klienta.

    

11. W okienku Dodawanie wpisu tajnego klienta w polu Opis wprowadź opis wpisu tajnego klienta.

12. W obszarze Wygasa wybierz okres wygaśnięcia wpisu tajnego klienta, a następnie kliknij przycisk Dodaj.

13. Skopiuj i zapisz wartość wpisu tajnego klienta w bezpiecznym miejscu, ponieważ ten klucz tajny klienta jest hasłem dla aplikacji.

KtoTo może zarządzać jednostkami usługi i korzystać z nich?

Aby zarządzać jednostkami usługi w usłudze Azure Databricks, musisz mieć jedną z następujących funkcji: rolę administratora konta, rolę administratora obszaru roboczego lub rolę menedżera lub użytkownika w jednostce usługi.

• Administratorzy kont mogą dodawać jednostki usługi do konta i przypisywać im role administratora. Mogą również przypisywać jednostki usługi do obszarów roboczych, o ile te obszary robocze używają federacji tożsamości.
• Administratorzy obszaru roboczego mogą dodawać jednostki usługi do obszaru roboczego usługi Azure Databricks, przypisywać im rolę administratora obszaru roboczego i zarządzać dostępem do obiektów i funkcji w obszarze roboczym, takich jak możliwość tworzenia klastrów lub uzyskiwania dostępu do określonych środowisk opartych na osobach.
• Menedżerowie jednostki usługi mogą zarządzać rolami w jednostce usługi. Autor jednostki usługi staje się menedżerem jednostki usługi. Administratorzy kont to menedżerowie jednostki usługi na wszystkich jednostkach usługi na koncie.

Uwaga

Jeśli jednostka usługi została utworzona przed 13 czerwca 2023 r., twórca jednostki usługi nie ma domyślnie roli menedżera jednostki usługi. Poproś administratora konta o przyznanie Ci roli menedżera jednostki usługi.

• Użytkownicy jednostki usługi mogą uruchamiać zadania jako jednostkę usługi. Zadanie jest uruchamiane przy użyciu tożsamości jednostki usługi zamiast tożsamości właściciela zadania. Aby uzyskać więcej informacji, zobacz Uruchamianie zadania jako jednostki usługi.

Aby uzyskać informacje na temat udzielania ról menedżera jednostki usługi i ról użytkowników, zobacz Role do zarządzania jednostkami usługi.

Zarządzanie jednostkami usługi na koncie

Administratorzy konta mogą dodawać jednostki usługi do konta usługi Azure Databricks przy użyciu konsoli konta.

Dodawanie jednostek usługi do konta przy użyciu konsoli konta

Jednostki usługi można utworzyć w usłudze Azure Databricks lub połączyć z istniejącą jednostką usługi Microsoft Entra ID (dawniej Azure Active Directory). Zobacz Jednostki usługi Databricks i Microsoft Entra ID (dawniej Azure Active Directory).

1. Jako administrator konta zaloguj się do konsoli konta.
2. Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
3. Na karcie Jednostki usługi kliknij pozycję Dodaj jednostkę usługi.
4. W obszarze Zarządzanie wybierz pozycję Zarządzane przez usługę Databricks lub Zarządzany identyfikator entra firmy Microsoft.
5. Jeśli wybrano pozycję Zarządzany identyfikator entra firmy Microsoft, w obszarze Identyfikator aplikacji Entra firmy Microsoft wklej identyfikator aplikacji (klienta) dla jednostki usługi.
6. Wprowadź nazwę jednostki usługi.
7. Kliknij przycisk Dodaj.

Przypisywanie ról administratora konta do jednostki usługi

1. Jako administrator konta zaloguj się do konsoli konta.
2. Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
3. Na karcie Jednostki usługi znajdź i kliknij nazwę użytkownika.
4. Na karcie Role włącz pozycję Administrator konta lub Administrator witryny Marketplace.

Przypisywanie jednostki usługi do obszaru roboczego przy użyciu konsoli konta

Aby dodać użytkowników do obszaru roboczego przy użyciu konsoli konta, należy włączyć obszar roboczy na potrzeby federacji tożsamości. Administratorzy obszaru roboczego mogą również przypisywać jednostki usługi do obszarów roboczych przy użyciu strony ustawień administratora obszaru roboczego. Aby uzyskać szczegółowe informacje, zobacz Dodawanie jednostki usługi do obszaru roboczego przy użyciu ustawień administratora obszaru roboczego.

1. Jako administrator konta zaloguj się do konsoli konta.
2. Na pasku bocznym kliknij pozycję Obszary robocze.
3. Kliknij nazwę obszaru roboczego.
4. Na karcie Permissions (Uprawnienia) kliknij pozycję Add permissions (Dodaj uprawnienia).
5. Wyszukaj i wybierz jednostkę usługi, przypisz poziom uprawnień (użytkownik obszaru roboczego lub Administracja), a następnie kliknij przycisk Zapisz.

Usuwanie jednostki usługi z obszaru roboczego przy użyciu konsoli konta

Aby usunąć jednostki usługi z obszaru roboczego przy użyciu konsoli konta, obszar roboczy musi być włączony dla federacji tożsamości. Po usunięciu jednostki usługi z obszaru roboczego jednostka usługi nie może już uzyskać dostępu do obszaru roboczego, jednak uprawnienia są utrzymywane w jednostce usługi. Jeśli jednostka usługi zostanie później dodana z powrotem do obszaru roboczego, odzyska swoje poprzednie uprawnienia.

1. Jako administrator konta zaloguj się do konsoli konta
2. Na pasku bocznym kliknij pozycję Obszary robocze.
3. Kliknij nazwę obszaru roboczego.
4. Na karcie Uprawnienia znajdź jednostkę usługi.
5. Kliknij menu kebab po prawej stronie wiersza jednostki usługi i wybierz pozycję Usuń.
6. W oknie dialogowym potwierdzenia kliknij przycisk Usuń.

Dezaktywowanie jednostki usługi na koncie usługi Azure Databricks

Administratorzy kont mogą dezaktywować jednostki usługi na koncie usługi Azure Databricks. Zdezaktywowana jednostka usługi nie może uwierzytelniać się na koncie lub w obszarach roboczych usługi Azure Databricks. Jednak wszystkie uprawnienia jednostki usługi i obiekty obszaru roboczego pozostają niezmienione. W przypadku dezaktywowania jednostki usługi jest spełniony następujący warunek:

• Jednostka usługi nie może uwierzytelnić się na koncie ani w żadnym z ich obszarów roboczych z dowolnej metody.
• Aplikacje lub skrypty korzystające z tokenów generowanych przez jednostkę usługi nie są już w stanie uzyskać dostępu do interfejsu API usługi Databricks. Tokeny pozostają, ale nie można ich używać do uwierzytelniania, gdy jednostka usługi jest dezaktywowana.
• Klastry należące do jednostki usługi pozostają uruchomione.
• Zaplanowane zadania utworzone przez jednostkę usługi kończą się niepowodzeniem, chyba że zostaną przypisane do nowego właściciela.

Po ponownym uaktywnieniu jednostki usługi może zalogować się do usługi Azure Databricks z tymi samymi uprawnieniami. Usługa Databricks zaleca dezaktywowanie jednostek usługi z konta zamiast ich usuwania, ponieważ usunięcie jednostki usługi jest działaniem destrukcyjnym. Zobacz Usuwanie jednostek usługi z konta usługi Azure Databricks. Po dezaktywacji jednostki usługi z konta ta jednostka usługi jest również dezaktywowana z ich tożsamości federacyjnych obszarów roboczych.

Nie można dezaktywować użytkownika przy użyciu konsoli konta. Zamiast tego użyj interfejsu API jednostki usługi konta. Zobacz Dezaktywowanie jednostki usługi przy użyciu interfejsu API.

Usuwanie jednostek usługi z konta usługi Azure Databricks

Administratorzy kont mogą usuwać jednostki usługi z konta usługi Azure Databricks. Administratorzy obszaru roboczego nie mogą. Po usunięciu jednostki usługi z konta ta jednostka jest również usuwana z ich obszarów roboczych.

Ważne

Po usunięciu jednostki usługi z konta ta jednostka usługi zostanie również usunięta z ich obszarów roboczych, niezależnie od tego, czy federacja tożsamości została włączona. Zalecamy powstrzymanie się od usuwania jednostek usługi na poziomie konta, chyba że chcesz, aby utraciły dostęp do wszystkich obszarów roboczych na koncie. Należy pamiętać o następujących konsekwencjach usuwania jednostek usługi:

• Aplikacje lub skrypty korzystające z tokenów generowanych przez jednostkę usługi nie mogą już uzyskiwać dostępu do interfejsów API usługi Databricks
• Zadania należące do jednostki usługi kończą się niepowodzeniem
• Klastry należące do zatrzymania jednostki usługi
• Zapytania lub pulpity nawigacyjne utworzone przez jednostkę usługi i udostępnione przy użyciu poświadczeń Uruchom jako właściciel muszą być przypisane do nowego właściciela, aby zapobiec awarii udostępniania

Gdy jednostka usługi Microsoft Entra ID zostanie usunięta z konta, jednostka usługi nie może już uzyskać dostępu do konta lub jego obszarów roboczych, jednak uprawnienia są przechowywane w jednostce usługi. Jeśli jednostka usługi zostanie później dodana z powrotem do konta, odzyska swoje poprzednie uprawnienia.

Aby usunąć jednostkę usługi przy użyciu konsoli konta, wykonaj następujące czynności:

1. Jako administrator konta zaloguj się do konsoli konta.
2. Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
3. Na karcie Jednostki usługi znajdź i kliknij nazwę użytkownika.
4. Na karcie Informacje główne kliknij menu kebab w prawym górnym rogu i wybierz pozycję Usuń.
5. W oknie dialogowym potwierdzenia kliknij pozycję Potwierdź usunięcie.

Zarządzanie jednostkami usługi w obszarze roboczym

Administratorzy obszaru roboczego mogą zarządzać jednostkami usługi w swoich obszarach roboczych przy użyciu strony ustawień administratora obszaru roboczego.

Dodawanie jednostki usługi do obszaru roboczego przy użyciu ustawień administratora obszaru roboczego

Jednostki usługi można utworzyć w usłudze Azure Databricks lub połączyć z istniejącą jednostką usługi Microsoft Entra ID (dawniej Azure Active Directory). Zobacz Jednostki usługi Databricks i Microsoft Entra ID (dawniej Azure Active Directory).

1. Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.

2. Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.

3. Kliknij kartę Tożsamość i dostęp .

4. Obok pozycji Jednostki usługi kliknij pozycję Zarządzaj.

5. Kliknij pozycję Dodaj jednostkę usługi.

6. Wybierz istniejącą jednostkę usługi, która ma zostać przypisana do obszaru roboczego, lub kliknij pozycję Dodaj nową , aby utworzyć nową.

   Aby dodać nową jednostkę usługi, wybierz pozycję Zarządzane przez usługę Databricks lub Zarządzane identyfikatory Entra firmy Microsoft. Jeśli wybierzesz pozycję Zarządzany identyfikator entra firmy Microsoft, wklej identyfikator aplikacji (klienta) jednostki usługi i wprowadź nazwę wyświetlaną.

7. Kliknij przycisk Dodaj.

Uwaga

Jeśli obszar roboczy nie jest włączony dla federacji tożsamości, nie można przypisać istniejących jednostek usługi konta do obszaru roboczego.

Przypisywanie roli administratora obszaru roboczego do jednostki usługi przy użyciu strony ustawień administratora obszaru roboczego

1. Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
2. Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.
3. Kliknij kartę Tożsamość i dostęp .
4. Obok pozycji Grupy kliknij pozycję Zarządzaj.
5. Wybierz grupę systemowa admins .
6. Kliknij pozycję Dodaj członków.
7. Wybierz jednostkę usługi i kliknij przycisk Potwierdź.

Aby usunąć rolę administratora obszaru roboczego z jednostki usługi, usuń jednostkę usługi z grupy administracyjnej.

Dezaktywowanie jednostki usługi w obszarze roboczym usługi Azure Databricks

Administratorzy obszaru roboczego mogą dezaktywować jednostki usługi w obszarze roboczym usługi Azure Databricks. Zdezaktywowana jednostka usługi nie może uzyskać dostępu do obszaru roboczego z interfejsów API usługi Azure Databricks, jednak wszystkie uprawnienia jednostki usługi i obiekty obszaru roboczego pozostają niezmienione. Gdy jednostka usługi jest dezaktywowana:

• Jednostka usługi nie może uwierzytelniać się w obszarach roboczych z żadnej metody.
• Stan jednostki usługi jest wyświetlany jako Nieaktywny na stronie ustawienia administratora obszaru roboczego.
• Aplikacje lub skrypty korzystające z tokenów generowanych przez jednostkę usługi nie mogą już uzyskiwać dostępu do interfejsu API usługi Databricks. Tokeny pozostają, ale nie można ich używać do uwierzytelniania, gdy jednostka usługi jest dezaktywowana.
• Klastry należące do jednostki usługi pozostają uruchomione.
• Zaplanowane zadania utworzone przez jednostkę usługi muszą być przypisane do nowego właściciela, aby zapobiec ich awarii.

Po ponownym uaktywnieniu jednostki usługi może uwierzytelniać się w obszarze roboczym przy użyciu tych samych uprawnień. Usługa Databricks zaleca dezaktywowanie jednostek usługi zamiast ich usuwania, ponieważ usunięcie jednostki usługi jest destrukcyjną akcją.

1. Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
2. Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.
3. Kliknij kartę Tożsamość i dostęp .
4. Obok pozycji Jednostki usługi kliknij pozycję Zarządzaj.
5. Wybierz jednostkę usługi, którą chcesz dezaktywować.
6. W obszarze Stan usuń zaznaczenie pola Aktywne.

Aby ustawić nazwę główną usługi na aktywną, wykonaj te same kroki, ale zaznacz pole wyboru.

Usuwanie jednostki usługi z obszaru roboczego przy użyciu strony ustawień administratora obszaru roboczego

Usunięcie jednostki usługi z obszaru roboczego nie powoduje usunięcia jednostki usługi z konta. Aby usunąć jednostkę usługi z konta, zobacz Usuwanie jednostek usługi z konta usługi Azure Databricks.

Po usunięciu jednostki usługi z obszaru roboczego jednostka usługi nie może już uzyskać dostępu do obszaru roboczego, jednak uprawnienia są utrzymywane w jednostce usługi. Jeśli jednostka usługi zostanie później dodana z powrotem do obszaru roboczego, odzyska poprzednie uprawnienia.

1. Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
2. Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.
3. Kliknij kartę Tożsamość i dostęp .
4. Obok pozycji Jednostki usługi kliknij pozycję Zarządzaj.
5. Wybierz jednostkę usługi.
6. W prawym górnym rogu kliknij pozycję Usuń.
7. Kliknij przycisk Usuń , aby potwierdzić.

Zarządzanie jednostkami usługi przy użyciu interfejsu API

Administratorzy kont i administratorzy obszaru roboczego mogą zarządzać jednostkami usługi w ramach konta i obszarów roboczych usługi Azure Databricks przy użyciu interfejsów API usługi Databricks. Aby zarządzać rolami w jednostce usługi przy użyciu interfejsu API, zobacz Zarządzanie rolami jednostki usługi przy użyciu interfejsu wiersza polecenia usługi Databricks.

Zarządzanie jednostkami usługi na koncie przy użyciu interfejsu API

Administracja można dodawać jednostki usługi i zarządzać nimi na koncie usługi Azure Databricks przy użyciu interfejsu API jednostki usługi konta. Administratorzy konta i administratorzy obszaru roboczego wywołują interfejs API przy użyciu innego adresu URL punktu końcowego:

• Administratorzy konta używają polecenia {account-domain}/api/2.0/accounts/{account_id}/scim/v2/.
• Administratorzy obszaru roboczego używają polecenia {workspace-domain}/api/2.0/account/scim/v2/.

Aby uzyskać szczegółowe informacje, zobacz interfejs API jednostki usługi konta.

Dezaktywowanie jednostki usługi przy użyciu interfejsu API

Administratorzy konta mogą zmienić stan jednostki usługi na false, aby dezaktywować jednostkę usługi przy użyciu interfejsu API jednostki usługi konta.

Na przykład:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/ServicePrincipals/{id} \
--header 'Content-type: application/scim+json' \
--data @update-sp.json \
| jq .

update-sp.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Stan dezaktywowanej jednostki usługi ma etykietę Nieaktywne w konsoli konta. Po dezaktywacji jednostki usługi z konta ta jednostka usługi jest również dezaktywowana z jej obszarów roboczych.

Zarządzanie jednostkami usługi w obszarze roboczym przy użyciu interfejsu API

Administratorzy kont i obszarów roboczych mogą używać interfejsu API przypisywania obszaru roboczego do przypisywania jednostek usługi do obszarów roboczych z włączoną federacją tożsamości. Interfejs API przypisania obszaru roboczego jest obsługiwany za pośrednictwem konta i obszarów roboczych usługi Azure Databricks.

• Administratorzy konta używają polecenia {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Administratorzy obszaru roboczego używają polecenia {workspace-domain}/api/2.0/preview/permissionassignments/principals/{principal_id}.

Zobacz Interfejs API przypisania obszaru roboczego.

Jeśli obszar roboczy nie jest włączony dla federacji tożsamości, administrator obszaru roboczego może użyć interfejsów API na poziomie obszaru roboczego, aby przypisać jednostki usługi do swoich obszarów roboczych. Zobacz Interfejs API jednostek usługi obszaru roboczego.

Zarządzanie tokenami dla jednostki usługi

Jednostki usługi mogą uwierzytelniać się w interfejsach API w usłudze Azure Databricks przy użyciu tokenów OAuth usługi Azure Databricks lub osobistych tokenów dostępu usługi Azure Databricks w następujący sposób:

• Tokeny OAuth usługi Azure Databricks mogą służyć do uwierzytelniania w interfejsach API na poziomie konta i na poziomie obszaru roboczego usługi Azure Databricks.
  • Tokeny OAuth usługi Azure Databricks utworzone na poziomie konta usługi Azure Databricks mogą służyć do uwierzytelniania w interfejsach API na poziomie konta i na poziomie obszaru roboczego usługi Azure Databricks.
  • Tokeny OAuth usługi Azure Databricks utworzone na poziomie obszaru roboczego usługi Azure Databricks mogą służyć do uwierzytelniania tylko w interfejsach API na poziomie obszaru roboczego usługi Azure Databricks.
• Osobiste tokeny dostępu usługi Azure Databricks mogą służyć do uwierzytelniania tylko w interfejsach API na poziomie obszaru roboczego usługi Azure Databricks.

Jednostki usługi mogą również uwierzytelniać się w interfejsach API w usłudze Azure Databricks przy użyciu tokenów Microsoft Entra ID (dawniej Azure Active Directory).

Zarządzanie uwierzytelnianiem OAuth usługi Databricks dla jednostki usługi

Aby uwierzytelnić się na poziomie konta i na poziomie obszaru roboczego interfejsów API REST usługi Databricks, administratorzy kont mogą używać tokenów OAuth usługi Azure Databricks dla jednostek usługi. Token OAuth można zażądać przy użyciu identyfikatora klienta i klucza tajnego klienta dla jednostki usługi. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie maszyny do maszyny OAuth (M2M).

Zarządzanie osobistymi tokenami dostępu dla jednostki usługi

Aby uwierzytelnić jednostkę usługi do interfejsów API na poziomie obszaru roboczego tylko w usłudze Azure Databricks, jednostka usługi może utworzyć osobiste tokeny dostępu usługi Databricks dla siebie w następujący sposób:

Uwaga

Interfejsu użytkownika usługi Azure Databricks nie można używać do generowania osobistych tokenów dostępu usługi Azure Databricks dla jednostek usługi. Ten proces używa interfejsu wiersza polecenia usługi Databricks w wersji 0.205 lub nowszej, aby wygenerować token dostępu dla jednostki usługi. Jeśli nie masz jeszcze zainstalowanego interfejsu wiersza polecenia usługi Databricks, zobacz Instalowanie lub aktualizowanie interfejsu wiersza polecenia usługi Databricks.

W tej procedurze założono, że używasz uwierzytelniania maszyny do maszyny OAuth (M2M) lub uwierzytelniania jednostki usługi Microsoft Entra ID w celu skonfigurowania interfejsu wiersza polecenia usługi Databricks na potrzeby uwierzytelniania jednostki usługi w celu wygenerowania osobistych tokenów dostępu usługi Azure Databricks dla siebie. Zobacz Uwierzytelnianie maszyny do maszyny (M2M) protokołu OAuth lub uwierzytelnianie jednostki usługi Microsoft Entra ID.

1. Użyj interfejsu wiersza polecenia usługi Databricks, aby uruchomić następujące polecenie, które generuje inny token dostępu dla jednostki usługi.

   W poniższym poleceniu zastąp te symbole zastępcze:

   • Opcjonalnie zastąp <comment> ciąg dowolnym znaczącym komentarzem dotyczącym celu tokenu dostępu. Jeśli opcja nie zostanie określona --comment , nie zostanie wygenerowany żaden komentarz.
   • Opcjonalnie zastąp ciąg <lifetime-seconds> liczbą sekund, dla których token dostępu jest prawidłowy. Na przykład 1 dzień to 86400 sekund. --lifetime-seconds Jeśli opcja nie zostanie określona, token dostępu zostanie ustawiony na nigdy nie wygasa (niezalecane).
   • Opcjonalnie zastąp <profile-name> ciąg nazwą profilu konfiguracji usługi Azure Databricks, który zawiera informacje o uwierzytelnianiu jednostki usługi i docelowego obszaru roboczego. -p Jeśli opcja nie zostanie określona, interfejs wiersza polecenia usługi Databricks podejmie próbę znalezienia i użycia profilu konfiguracji o nazwie DEFAULT.

   databricks tokens create --comment <comment> --lifetime-seconds <lifetime-seconds> -p <profile-name>
   

2. W odpowiedzi skopiuj wartość token_value, która jest tokenem dostępu dla jednostki usługi.

   Pamiętaj, aby zapisać skopiowany token w bezpiecznej lokalizacji. Nie udostępniaj skopiowanego tokenu innym osobom. W przypadku utraty skopiowanego tokenu nie można wygenerować tego samego tokenu. Zamiast tego należy powtórzyć tę procedurę, aby utworzyć nowy token.

   Jeśli nie możesz utworzyć lub użyć tokenów w obszarze roboczym, może to być spowodowane tym, że administrator obszaru roboczego wyłączył tokeny lub nie udzielił Ci uprawnień do tworzenia lub używania tokenów. Zobacz administratora obszaru roboczego lub następujące elementy:

   • Włączanie lub wyłączanie uwierzytelniania osobistego tokenu dostępu dla obszaru roboczego
   • Uprawnienia osobistego tokenu dostępu

Zarządzanie uwierzytelnianiem identyfikatora entra firmy Microsoft (dawniej Azure Active Directory) dla jednostki usługi

Tylko jednostki usługi zarządzanej identyfikatora Entra firmy Microsoft mogą uwierzytelniać się w interfejsach API przy użyciu tokenów identyfikatora Entra firmy Microsoft. Aby utworzyć token dostępu identyfikatora Entra firmy Microsoft, zobacz Pobieranie tokenów microsoft Entra ID (dawniej Azure Active Directory) dla jednostek usługi.

Token dostępu microsoft Entra ID może służyć do wywołania interfejsu API tokenów w celu utworzenia osobistego tokenu dostępu usługi Databricks dla jednostki usługi.