Autenticar com tokens de acesso pessoal do Azure Databricks (legado)

Os tokens pessoais de acesso (PATs) do Azure Databricks permitem-lhe autenticar recursos e APIs ao nível do espaço de trabalho. Pode armazená-los em variáveis de ambiente ou em perfis de configuração do Azure Databricks. Cada PAT é válida apenas para um espaço de trabalho e um utilizador pode criar até 600 PATs por espaço de trabalho. O Azure Databricks revoga automaticamente PATs que não são usados há 90 dias.

Importante

A autenticação de nome de usuário e senha (sem tokens) chegou ao fim da vida útil em 10 de julho de 2024. O Databricks recomenda vivamente a utilização de OAuth em vez de PATs para autenticação de conta de utilizador porque o OAuth proporciona uma segurança mais forte. Para aprender a autenticar-se com uma conta de utilizador Databricks usando OAuth, veja Autorizar o acesso de utilizadores a Azure Databricks com OAuth.

Não podes usar tokens de acesso pessoal para automatizar funcionalidades Azure Databricks ao nível da conta. Em vez disso, utilize os tokens Microsoft Entra ID dos administradores de contas do Azure Databricks. Os administradores de contas do Azure Databricks podem ser utilizadores ou entidades de serviço. Para obter mais informações, consulte:

Criar tokens de acesso pessoais para usuários do espaço de trabalho

Para criar um token de acesso pessoal para o utilizador do seu espaço de trabalho Azure Databricks, faça o seguinte:

No seu espaço de trabalho Azure Databricks, clique no seu nome de utilizador na barra superior e selecione Settings.
Clique em Desenvolvedor.
Ao lado de Tokens de acesso, clique em Gerenciar.
Clique em Gerar novo token.
Insira um comentário que o ajude a identificar esse token no futuro.
Defina o tempo de vida do token em dias. Veja Definir a vida útil máxima dos novos tokens de acesso pessoal.
Para limitar as permissões do token, selecione um tipo de token e adicione os escopos da API. Consulte os tokens de acesso pessoal com escopo.
Clique em Gerar.
Copie o token exibido para um local seguro e clique em Concluído. Salve o token com segurança e não o compartilhe. Caso o perca, deve criar um novo token.

Se você não puder criar ou usar tokens, o administrador do espaço de trabalho pode ter desabilitado os tokens ou não ter concedido permissão. Consulte o administrador do espaço de trabalho ou o seguinte:

Tokens pessoais de acesso com escopo

Os tokens de acesso pessoal com escopo restringem as permissões do token a operações específicas da API. Em vez de conceder acesso total ao espaço de trabalho, atribui-se um ou mais escopos de API, como sql, unity-catalog, ou scim, que limitam que operações REST de API o token pode chamar.

Advertência

Tokens com o authentication âmbito podem criar novos tokens com qualquer âmbito. Conceda este âmbito apenas a tokens que precisam de gerir outros tokens.

Para criar um token com escopo na interface do workspace, selecione um tipo de token e adicione escopos de API quando gerar um novo token. Se não atribuires quaisquer escopos, o token mantém todas as permissões da identidade criadora.

Para uma lista completa de escopos e as suas operações API associadas, veja escopos de API.

Criar tokens de acesso pessoal para entidades de serviço

Uma entidade de serviço pode criar tokens de acesso pessoais para si mesma.

Execute o seguinte comando para gerar um token de acesso:
```
databricks tokens create \
  --lifetime-seconds <lifetime-seconds> \
  -p <profile-name>
```
Substitua os seguintes valores:
- <lifetime-seconds>: Vida útil do token em segundos, como 86400 por 1 dia. O predefinido é o máximo do ambiente de trabalho (normalmente 730 dias).
- <profile-name>: Perfil de configuração com informações de autenticação. O padrão é DEFAULT.
Copie o token_value da resposta, que é o token de acesso para o seu principal de serviço. Salve o token com segurança e não o compartilhe. Caso o perca, deve criar um novo token.

Executar autenticação de token de acesso pessoal

Para configurar a autenticação de token de acesso pessoal do Azure Databricks, defina as seguintes variáveis de ambiente associadas, campos .databrickscfg, campos do Terraform ou campos Config:

O host Azure Databricks, especificado como o URL de destino do Azure Databricks para cada área de trabalho, por exemplo https://adb-1234567890123456.7.azuredatabricks.net.
O token de acesso pessoal do Azure Databricks para a conta de utilizador do Azure Databricks.

Para realizar a autenticação do token de acesso pessoal do Azure Databricks, integre o seguinte no seu código, com base na ferramenta ou SDK participante:

Ambiente

Para usar variáveis de ambiente para um tipo específico de autenticação Azure Databricks com uma ferramenta ou SDK, veja Autorizar acesso a recursos Azure Databricks ou a documentação da ferramenta ou SDK. Consulte também Variáveis e campos de ambiente para autenticação unificada e a prioridade do método de autenticação.

Defina as seguintes variáveis de ambiente:

, definido para a URL "por espaço de trabalho" do Azure Databricks , por exemplo .
DATABRICKS_TOKEN, definido como a cadeia de caracteres de token.

Perfil

Crie ou identifique um perfil de configuração do Azure Databricks com os seguintes campos no seu ficheiro. Se criares o perfil, substitui os marcadores de posição pelos valores apropriados. Para usar o perfil com uma ferramenta ou SDK, consulte Autorizar acesso aos recursos do Azure Databricks ou a documentação da ferramenta ou do SDK. Consulte também Variáveis e campos de ambiente para autenticação unificada e a prioridade do método de autenticação.

Defina os seguintes valores no arquivo .databrickscfg. Neste caso, o host é o URL Azure Databricks de cada espaço de trabalho, por exemplo https://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host  = <workspace-url>
token = <token>

Em vez de definir manualmente os valores, você pode usar a CLI do Databricks para definir esses valores:

Nota

O procedimento seguinte utiliza o Databricks CLI para criar um perfil Azure Databricks configuration com o nome DEFAULT. Se já tiver um perfil de configuração DEFAULT, este procedimento substituirá o seu perfil de configuração existente DEFAULT.

Para verificar se você já tem um perfil de DEFAULT configuração e para exibir as configurações desse perfil, se ele existir, use a CLI do Databricks para executar o comando databricks auth env --profile DEFAULT.

Para criar um perfil de configuração com um nome diferente de DEFAULT, substitua a parte DEFAULT do comando --profile DEFAULT a seguir por um nome diferente para o perfil de configuração databricks configure.

Use o Databricks CLI para criar um perfil Azure Databricks configuration chamado DEFAULT que utiliza autenticação de token de acesso pessoal Azure Databricks. Para tal, execute o seguinte comando:
```
databricks configure --profile DEFAULT
```
Para o prompt Databricks Host, introduza o URL do Azure Databricks por espaço de trabalho, por exemplo https://adb-1234567890123456.7.azuredatabricks.net.
Para o prompt Personal Access Token, introduza o token de acesso pessoal Azure Databricks para o seu espaço de trabalho.

CLI

Para a CLI do Databricks, execute o databricks configure comando. Nos prompts, insira as seguintes configurações:

O host Azure Databricks, especificado como o URL alvo Azure Databricks per-workspace, por exemplo https://adb-1234567890123456.7.azuredatabricks.net.
O token de acesso pessoal do Azure Databricks para a conta de utilizador do Azure Databricks.

Para obter mais informações, consulte Autenticação de token de acesso pessoal (preterida).

Conectar

Nota

A autenticação do token de acesso pessoal Azure Databricks é suportada nas seguintes versões do Databricks Connect:

Para Python, Databricks Connect para Databricks Runtime 13.3 LTS e versões superiores.
Para Scala, utilize o Databricks Connect para o Databricks Runtime 13.3 LTS e versões superiores.

Para o Databricks Connect, use o Databricks CLI para definir os valores no seu ficheiro , para operações ao nível do espaço de trabalho do Azure Databricks conforme especificado na secção Perfil.

O procedimento seguinte cria um perfil de configuração Azure Databricks chamado DEFAULT, que sobrescrive qualquer perfil existente DEFAULT. Para verificar se existe um DEFAULT perfil, execute databricks auth env --profile DEFAULT. Se existir, use um nome de perfil diferente.

Execute o seguinte comando para criar um perfil de configuração Azure Databricks chamado DEFAULT que utilize autenticação de token de acesso pessoal.
```
databricks configure \
  --configure-cluster \
  --profile DEFAULT
```
Para o prompt Databricks Host, introduza a URL por espaço de trabalho do seu Azure Databricks , por exemplo https://adb-1234567890123456.7.azuredatabricks.net.
Para o prompt Personal Access Token, insira o token de acesso pessoal para seu espaço de trabalho.
Na lista de clusters disponíveis, selecione o cluster Azure Databricks alvo no seu espaço de trabalho. Você pode digitar qualquer parte do nome de exibição do cluster para filtrar a lista de clusters disponíveis.

Use a API REST do Azure Databricks para emitir tokens de acesso pessoal

Azure Databricks fornece um endpoint REST /api/2.0/token/create para emitir PATs. Consulte Criar um token de usuário para obter detalhes da API.

No exemplo a seguir, defina esses valores:

<databricks-instance>: URL do espaço de trabalho do Databricks. Por exemplo, dbc-abcd1234-5678.cloud.databricks.com.
<your-existing-access-token>: Uma PAT (cadeia de caracteres) válida existente que tem permissões para criar novos tokens.
<lifetime-seconds>: O tempo de vida do token em segundos.
<scopes>: Uma lista de escopos a atribuir ao token. Veja Tokens de acesso pessoal com escopo.

curl -X POST https://<databricks-instance>/api/2.0/token/create \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "lifetime_seconds": <lifetime-seconds>,
  "scopes": [
    "sql",
    "authentication"
  ]
}'

Se for bem-sucedido, isso resultará em uma carga útil de resposta semelhante a:

{
  "token_value": "<your-newly-issued-pat>",
  "token_info": {
    "token_id": "<token-id>",
    "creation_time": <creation-timestamp>,
    "expiry_time": <expiry-timestamp>,
    "comment": "<comment>",
    "scopes": ["authentication", "sql"],
    "last_accessed_time": 0
  }
}

Forneça o novo token da resposta no cabeçalho Authorization nas chamadas subsequentes para as APIs REST do Databricks. Por exemplo:

# This example uses a simple GET. For POST or other REST verbs, you may need to provide additional parameters.
curl -X GET "https://<databricks-instance>/api/2.0/<path-to-endpoint>" \
     -H "Authorization: Bearer <your-new-pat>"

import requests

headers = {
    'Authorization': 'Bearer <your-new-pat>'
}
# This example is for an HTTP GET operation.
response = requests.get('https://<databricks-instance>/api/2.0/<path-to-endpoint>', headers=headers)

Atualizar os escopos de um token de acesso pessoal

Se um token com scope não tiver o escopo necessário para uma chamada API, o pedido falha com um erro que indica a ausência do escopo. Para atualizar os escopos de um token, use o /api/2.0/token/<token_id> endpoint REST. O token que faz a chamada deve ter o authentication escopo, o qual permite gerir outros tokens. Use o update_mask campo para especificar quais os campos de tokens a atualizar.

curl -X PATCH https://<databricks-instance>/api/2.0/token/<token_id> \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "token": {
    "scopes": ["sql", "unity-catalog"]
  },
  "update_mask": "scopes"
}'

As alterações de âmbito podem demorar até dez minutos a propagar-se.

Para visualizar todos os telescópios disponíveis, use GET /api/2.0/token-scopes.

Comentários

Esta página foi útil?

Last updated on 2026-04-11