開始
加載和管理數據
處理數據
政府
引用和資源
更新2023年6月30日
給我們反饋
預覽
這個特性是在公共預覽。
驗證數據磚REST api,您可以使用磚OAuth的服務主體。創建的服務主體是一個身份在磚使用自動化工具,工作,和應用程序。有關更多信息,請參見管理服務主體。
請注意
一個帳戶管理員的用戶名和密碼也可以用來驗證帳戶級別api。然而,磚強烈建議您使用OAuth服務主體。
你一定是一個帳戶管理員創建和管理OAuth服務主體。
賬戶管理員可以創建服務主體在賬戶中直接使用賬戶控製台或帳戶SCIM SPI。
使用工作空間管理員還可以創建服務主體工作區管理控製台(如果啟用了工作區聯合身份驗證)工作空間層SCIM API。自動同步到服務主體在工作區中創建該帳戶。有關更多信息,請參見如何磚同步的工作區和帳戶之間的身份?。
添加一個服務主體的賬戶使用帳戶控製台:
作為一個賬戶管理,登錄到賬戶控製台。
點擊用戶管理。
在服務主體選項卡上,單擊添加服務主體。
輸入一個名稱服務主體。
點擊添加。
之前,您可以使用OAuth身份驗證數據磚REST api,您必須首先創建一個OAuth的秘密,可用於生成OAuth令牌。一個服務主體可以有五OAuth的秘密。為服務創建一個OAuth的秘密主要使用帳戶控製台:
在服務主體選項卡上,選擇一個服務主體。
下OAuth的秘密,點擊生成的秘密。
複製顯示秘密和客戶機ID,然後單擊完成。
這個秘密隻會顯示一次創造。客戶機ID是一樣的服務主體的應用程序ID。
使用API創建一個OAuth的秘密看,賬戶API。
您可以使用客戶機ID和客戶秘密帳戶和任何對磚api工作區服務主體已經分配給。服務主體隻能調用它訪問調用的api。說明不同取決於你是否授予訪問權帳戶級別api或工作空間層api。
磚戶頭級別API(帳戶API)可以被稱為隻有帳戶管理員。這些api是托管在賬戶控製台URL:https://accounts.cloud.www.eheci.com/。
https://accounts.cloud.www.eheci.com/
你的服務主體必須是賬戶管理為了驗證帳戶級別api使用OAuth令牌。能給予你的服務主體賬戶管理角色,指定賬戶管理服務主體的權利。
磚工作空間層api隻能被稱為工作區管理員和用戶工作區。這些api是托管在工作區url,例如https://my-workspace.cloud.www.eheci.com
https://my-workspace.cloud.www.eheci.com
你的服務主體必須管理員或工作區用戶工作空間層API請求進行身份驗證,根據特定的API。能給予你的服務主體空間訪問,之後服務主體添加到工作區。
你可以給予你的服務主體工作區管理角色使用的指令工作區管理權利分配給一個服務主體使用說明和磚的訪問控製權限訪問控製。
您可以使用客戶機ID和客戶端請求一個秘密OAuth令牌驗證帳戶級別api和工作空間層api。訪問令牌一小時會到期。你必須請求一個新的OAuth到期後訪問令牌。OAuth訪問令牌的範圍取決於您的令牌創建水平。您可以創建一個令牌在戶頭級別或工作空間層。
如果你調用戶頭級別api和api在工作區服務主體訪問,你必須創建一個帳戶級別OAuth訪問令牌。如果你調用api在一個工作區,磚建議你創建一個工作空間層OAuth訪問令牌。
重要的
而不是創建一個OAuth訪問令牌,你可以用你的客戶ID和客戶秘密的參與實現的工具或sdk磚客戶端統一身份驗證標準。這些工具和sdk自動生成和更換過期OAuth磚為你服務主體的令牌。更多信息見OAuth機器對機器(M2M)身份驗證。
OAuth令牌創建的帳戶級別可以用來對磚api的帳戶和任何工作區服務主體已經分配給。
單擊向下箭頭旁邊你的用戶名在右上角。
複製你的帳戶ID。
建設令牌端點URL代替< my-account-id >在以下網址,你的賬戶ID複製。
https:/ /賬戶。雲。磚。com/oidc/賬戶/ <我的- - - - - -賬戶- - - - - -id> /v1/令牌
請求的OAuth訪問令牌令牌端點URL,客戶端ID,OAuth秘密你創建的。的所有api請求範圍的OAuth訪問令牌可以用來訪問所有數據磚api服務主體被授予訪問權。
令牌端點URL
客戶端ID
OAuth秘密
所有api
取代< token-endpoint-URL >使用令牌從上麵端點URL。
< token-endpoint-URL >
取代<客戶機id >服務主體的客戶機ID,這也被稱為應用程序ID。
<客戶機id >
取代<端秘密>您創建的OAuth的秘密。
<端秘密>
出口CLIENT_ID <客戶機id >出口CLIENT_SECRET=<端秘密> curl - POST請求\——url < token-endpoint-URL >\- u”美元CLIENT_ID:CLIENT_SECRET美元”\——數據' grant_type = client_credentials&scope =所有api '
這生成一個響應類似於:
{“access_token”:“eyJraWQiOiJkYTA4ZTVjZ…”,“token_type”:“持票人”,“expires_in”:3600年}
複製access_token從響應。
access_token
訪問令牌一小時會到期。你必須請求一個新的OAuth到期後訪問令牌。
OAuth令牌從工作空間層隻能訪問api創建工作區,即使服務主體是一個管理員的賬戶或屬於其他工作區。
建設令牌替換< databricks-instance >的端點URL工作空間的URL你的磚部署:
https:/ / <磚- - - - - -實例> /oidc/v1/令牌
請求的OAuth訪問令牌令牌端點URL,客戶端ID,OAuth秘密你創建的。的所有api請求範圍的OAuth訪問令牌可以用來訪問所有數據磚api的服務主體在工作區中被授予訪問請求令牌從你。
你現在可以使用OAuth令牌驗證磚戶頭級別api和工作空間層api。
您可以包括頭使用的令牌持票人身份驗證。您可以使用這種方法旋度或任何客戶機構建。
持票人
旋度
授予服務主體訪問調用戶頭級別api,明白了帳戶級別api。這個示例使用持票人身份驗證得到與賬戶相關的所有工作空間的列表。
取代< oauth-access-token >服務主體的OAuth的令牌,你複製前麵的步驟。
< oauth-access-token >
取代<帳戶id >與您的帳戶ID。
<帳戶id >
出口OAUTH_TOKEN=< oauth-access-token > curl - x -頭“授權:持票人OAUTH_TOKEN美元”\“https://accounts.cloud.www.eheci.com/api/2.0/accounts/ <帳戶id > /工作區”
授予服務主體訪問調用工作空間層api,明白了工作空間層api。這個示例使用持票人驗證指定的工作區中列出所有可用的集群。
取代< workspace-URL >與你的基地工作區URL,類似於形式dbc-a1b2345c-d6e7.cloud.www.eheci.com。
< workspace-URL >
dbc-a1b2345c-d6e7.cloud.www.eheci.com
出口OAUTH_TOKEN=< oauth-access-token > curl - x -頭“授權:持票人OAUTH_TOKEN美元”\”https:// < workspace-URL > / api / 2.0 /集群列表中”
賬戶管理員可以刪除服務主體使用OAuth的秘密帳戶控製台。一旦刪除了一個秘密,你不能用它來請求新的OAuth訪問令牌。然而現有的訪問令牌產生的秘密繼續工作直到令牌過期。
下OAuth的秘密旁邊的垃圾桶圖標,點擊你想撤銷的秘密。
你可以使用OAuth身份驗證磚起程拓殖的提供者自動帳戶級別和工作空間層配置。驗證起程拓殖,設置服務主體的客戶機ID(也稱為應用程序ID)和客戶秘密,環境變量。
如何驗證起程拓殖的信息,請參閱磚起程拓殖的提供者。
對於一個教程創建一個磚工作區起程拓殖和OAuth,明白了創建數據磚工作區使用起程拓殖。