Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
A federação de token OAuth do Databricks está na Visualização Pública.
Este artigo fornece informações de visão geral sobre a federação de token OAuth para acessar recursos de conta e workspace do Azure Databricks usando tokens do seu provedor de identidade.
O que é a federação de token OAuth do Databricks?
A federação de token OAuth do Databricks permite que você acesse com segurança as APIs do Databricks usando tokens do seu IdP (provedor de identidade). A federação de token OAuth elimina a necessidade de gerenciar e fazer rodízio de segredos do Databricks, como tokens de acesso pessoal e segredos de cliente OAuth do Databricks.
Usando a federação de token OAuth do Databricks, usuários e entidades de serviço trocam tokens JWT (Tokens Web JSON) de seu provedor de identidade para tokens OAuth do Databricks, que podem ser usados para acessar APIs do Databricks.
Por que a federação de token OAuth é altamente recomendada para cargas de trabalho?
A federação de token OAuth é um método mais simples e seguro para autenticação no Databricks, especialmente para cargas de trabalho automatizadas. Sua carga de trabalho é autenticada no Databricks como uma entidade de serviço em sua conta do Databricks, usando tokens de identidade de carga de trabalho emitidos pelo ambiente de automação. Os SDKs do Databricks e a CLI do Databricks buscam automaticamente esses tokens de identidade de carga de trabalho e os convertem em tokens OAuth do Databricks, o que elimina a necessidade de gerenciar e alternar segredos do Databricks.
Quais tipos de federação de token têm suporte?
O Databricks dá suporte a dois tipos de federação de token:
- A federação de tokens em nível de conta permite que todos os usuários e principais de serviço na sua conta do Databricks acessem as APIs do Databricks usando tokens do seu provedor de identidade. A federação de tokens em toda a conta permite centralizar o gerenciamento de políticas de emissão de token em seu provedor de identidade e normalmente é usada em combinação com o SCIM, para que os usuários em seu provedor de identidade sejam sincronizados em sua conta do Azure Databricks. Consulte a federação de token em toda a conta.
- Federação de identidade de carga de trabalho permite que suas cargas de trabalho automatizadas que executam fora do Azure Databricks acessem APIs do Databricks sem a necessidade de segredos do Databricks. Com a federação de identidade de carga de trabalho, o seu aplicativo (carga de trabalho) se autentica no Databricks como uma entidade de serviço do Databricks usando tokens emitidos pelo runtime da carga de trabalho. Consulte Federação de Identidade de Workload.
Nota
Os usuários do Microsoft Azure também podem usar tokens do MS Entra para usar com segurança a CLI e as APIs do Azure Databricks.
Como configurar a federação de token OAuth?
Para configurar a federação de token OAuth para sua conta ou carga de trabalho do Databricks:
Determine se você usará federação de token em toda a conta ou federação de identidade de carga de trabalho.
Crie uma política de federação. Você precisará de:
- Sua ID da conta (para federação de token em toda a conta).
- O ID do principal de serviço que você usará (para federação de identidade da carga de trabalho).
- Informações da ferramenta ou provedor que emitirão tokens federados.
Configure a ferramenta ou o provedor de identidade para autenticar no Databricks usando tokens federados. Por exemplo, para configurações de provedores de identidade comuns em CI/CD, consulte Habilitar federação de identidade de carga de trabalho em CI/CD.