可以使用 Microsoft Entra ID 对 Azure DevOps 自动化中的 Azure Databricks Git 文件夹的访问权限进行身份验证。 在本主题中,将配置新的 Azure Databricks 服务主体,以便通过 Microsoft Entra 为 Azure Databricks 应用程序提供授权。
要求
若要完成这些步骤,必须为 Azure Databricks 帐户配置以下各项:
还必须具备以下各项:
- 用于 Azure DevOps 自动化应用的 Microsoft Entra 应用程序 ID 以及修改其凭据的权限。 如果没有,请参阅 使用 Microsoft Entra 向 Azure DevOps 进行身份验证 ,并在 Microsoft Entra ID 中注册应用程序 ,了解如何创建该应用程序。
配置 Microsoft Entra 服务主体
登录到 Azure Databricks 工作区,导航到右上角的配置文件图标,然后从下拉列表中选择“设置”。
在左侧栏中的“设置”下选择“标识和访问”,然后单击服务主体的“管理”按钮。
- 选择 “添加服务主体 ”或想要重新配置的现有服务主体。 如果有现有的服务主体,可以跳过下一步。
如果要在 Azure Databricks 工作区中创建新的 Microsoft Entra ID 托管服务主体,请选择“添加服务主体”窗格上的Microsoft Entra ID 托管单选按钮。 提供之前在 Microsoft Entra 应用程序 ID 文本框中创建或复制的 Microsoft Entra 应用程序 ID 和 服务主体名称。 选中适当的框,以对应你的 Azure DevOps 自动化所需的 权限,包括“工作区访问”。
- 如果您的服务主体将用于运行从 Git 文件夹中访问工件的 Lakeflow 作业,在为 Azure Databricks 服务主体配置 Git 集成时,请选择 不受限制的群集创建。
完成 Azure Databricks 服务主体用户的配置后,单击“ 添加”。 新的服务主体将被列在 服务主体下。
在 “服务主体 ”窗格中,找到并选择Microsoft Entra 应用程序的服务主体的名称。
打开服务主体窗格上的 Git 集成 选项卡,然后从 Git 提供程序 下拉列表中选择“Azure DevOps Services(Azure Active Directory)”。 在 “服务主体详细信息 ”窗格底部的灰色框中,你将看到用于创建联合凭据的输入列表。 复制此信息,因为您将在下一步中使用它。 不要选中 “我已完成上述步骤 ”框或单击“ 保存”。
打开新的浏览器窗口或选项卡,然后转到 Azure 订阅的 Microsoft Entra 门户。 找到 Azure 应用程序,然后选择“ 管理 ”,然后选择“ 证书和机密”。 选择 “联合凭据 ”选项卡,然后在其下选择 “添加凭据”。
(Microsoft Entra 门户)请查阅先前步骤中配置 Azure Databricks 服务主体的 Git 集成时提示框中的详细信息,并使用该信息在“连接帐户”下填充颁发者、类型和值字段。
现在,返回到包含不完整服务主体对象 Git 服务集成配置的浏览器窗口或选项卡。 选中“ 我已完成上述步骤 ”框的框,然后单击“ 保存” 以保存新的凭据配置。
现在,可以将此服务主体与 Azure Databricks 和 Azure DevOps 配合使用,以运行访问 Azure Databricks Git 文件夹的作业。 共享此服务主体时,向 服务主体用户 授予对运行 Git 作业或拥有自动化代码的任何 Azure Databricks 工作区用户的访问权限,这些用户将使用服务主体访问 Repos API。
故障排除
- Azure Databricks 服务主体必须在目标存储库的 Azure DevOps 组织中具有 基本 或更高级别的访问级别。 在你的 Azure DevOps 订阅中,通过 组织设置>、用户>、添加用户 来进行配置。 可以将服务主体的应用程序(客户端)ID 复制并粘贴到“用户或服务主体”搜索框中,以查找并选择服务主体帐户。 有关详细信息,请参阅 Azure DevOps 文档中 的“更改访问级别 ”。
- 必须将您的服务主体添加到 Microsoft Azure 工作区,并且 Azure 帐户上的其他用户必须有权限使用该服务主体。 请参阅 服务主体。
其他资源
- 在 Azure Databricks 上使用 Azure DevOps 进行身份验证
- 使用服务主体来实现 Databricks Git 文件夹自动化
- 使用服务主体和托管标识 (Microsoft Azure DevOps 文档)