OAuth トークン フェデレーションを使用して Databricks へのアクセスを認証する
プレビュー
Databricks OAuth トークン フェデレーションは パブリック プレビュー段階です。
この記事では OAuth ID プロバイダーからのトークンを使用して Databricks アカウントとワークスペース リソースにアクセスするためのトークン フェデレーションに関する概要情報を提供します。
Databricks OAuth トークンフェデレーションとは
Databricks OAuth トークンフェデレーションを使用すると、ID プロバイダー (IdP) からトークンを使用して Databricks APIs に安全にアクセスできます。 OAuthトークンDatabricks フェデレーションを使用すると、個人用アクセス トークンや クライアント シークレットなどのDatabricksOAuth シークレットを管理およびローテーションする必要がなくなります。
Databricks OAuthトークン フェデレーションを使用して、ユーザーとサービスプリンシパルは、ID プロバイダーからの JWT (JSON Web トークン) トークンを Databricks OAuth トークンと交換し、トークンを使用して ID にアクセスできますDatabricks API。
ワークロードに OAuth トークンのフェデレーションを強く推奨するのはなぜですか?
OAuth トークン フェデレーションは、特に自動化されたワークロードに対して、Databricks に対して認証するためのよりシンプルで安全な方法です。ワークロードは、自動化環境によって発行されたワークロード ID トークンを使用して、Databricks アカウント内のサービスプリンシパルとして Databricks に対して認証されます。Databricks SDK と Databricks CLI は、これらのワークロード ID トークンを自動的にフェッチし、Databricks OAuth トークンと交換するため、Databricks シークレットの管理とローテーションが不要になります。
どのような種類のトークン フェデレーションがサポートされていますか?
Databricks では、次の 2 種類のトークン フェデレーションがサポートされています。
- アカウント全体のトークン フェデレーション を使用すると、 Databricks アカウント内のすべてのユーザーとサービスプリンシパルが、ID プロバイダーからのトークンを使用して Databricks APIs にアクセスできます。 アカウント全体のトークン フェデレーションを使用すると、ID プロバイダーのトークン発行ポリシーの管理を一元化でき、通常は SCIMと組み合わせて使用されるため、ID プロバイダーのユーザーは Databricks アカウントに同期されます。 「アカウント全体のトークンフェデレーション」を参照してください。
- ワークロード ID フェデレーション を使用すると、 の外部で実行されている自動化されたワークロードは、Databricks DatabricksAPIsシークレットを必要とせずにDatabricks にアクセスできます。ワークロード ID フェデレーションでは、アプリケーション (ワークロード) は、ワークロードランタイムによって発行されたトークンを使用して、Databricks サービスプリンシパルとして Databricks に対して認証されます。ワークロード ID フェデレーションを参照してください。
OAuth トークンのフェデレーションを設定するにはどうすればよいですか?
Databricks アカウントまたはワークロードの OAuth トークンフェデレーションを構成するには:
-
アカウント全体のトークンフェデレーションとワークロード ID フェデレーションのどちらを使用するかを決定します。
-
フェデレーション ポリシーを作成します。必要なもの:
- アカウント ID (アカウント全体のトークン フェデレーション用)。
- 使用する サービスプリンシパル の ID (ワークロード ID フェデレーション用)。
- フェデレーション トークンを発行するツールまたはプロバイダーからの情報。
-
フェデレーション トークンを使用して Databricks に対して認証するようにツールまたは ID プロバイダーを構成します。一般的な CI/CD ID プロバイダーの構成例については、「 CI/CD でワークロード ID フェデレーションを有効にする」を参照してください。