En universal, Databricks recomienda usar OAuth en motivo de tokens de camino personal (PAT) Para la autenticación con Databricks para mejorar la seguridad. Ahora estamos extendiendo esta recomendación a las credenciales Git de Databricks y alentamos el uso de OAuth sobre las palmaditas de los proveedores de GIT cuando se autentica con sus proveedores de GIT.
Hoy nos complace anunciar la disponibilidad universal de OAUTH GIT Soporte de credenciales para principios de servicio con Github y Azure DevOpsRestablecimiento de la seguridad de la conexión GIT para cargas de trabajo automatizadas.
Databricks Git Integration inicialmente compatible solo Pats para la autenticación. Los usuarios crearon tokens de camino personal con su proveedor Git y guardaron los tokens en Databricks. Este enfoque ya no se recomienda por algunas razones, que incluyen:
- (Large Lifetimes) Pats ofrece duraciones de camino más largas (semanas/meses) que los tokens de corta duración (horas/días). Aunque los administradores pueden hacer cumplir la vida útil de PAT más corta, esto crea desafíos operativos, ya que los usuarios deben desempolvar con frecuencia sus credenciales de Databricks Git para evitar fallas en el flujo de trabajo al vencimiento.
- (Almacenamiento inseguro y transferencia) Los usuarios a menudo copian manualmente Pats, lo que podría dejar rastros en portapapeles y documentos.
- (Amplios ámbitos) Algunas patas, como Github clásico de palmaditasaplique a cada repositorio que el legatario pueda lograr. Este comportamiento puede conducir fácilmente a una ascensión de privilegios involuntaria y permitir el movimiento colateral.
- (Soporte principal de servicio faltante) Algunos proveedores de GIT, como Azure DevOps, No admite la vivientes de PAT para los principios de servicio.
Nuestros proveedores de GIT más populares desalientan el uso de PAT: Github y Azure DevOps No recomiende usar PAT para integraciones duraderas. Bitbucket Recomienda Bitbucket Cloud Integration o los desarrolladores de aplicaciones usan OAuth para la autenticación del legatario en motivo de tokens de camino.
Databricks ha admitido Autenticación de legatario basada en OAuth 2.0 con Github y Azure DevOps Durante varios primaveras, pero este soporte se limitó previamente a sesiones de legatario interactivas.
Ahora que el soporte principal del servicio está generalmente apto, nuestra recomendación es usar OAuth en motivo de PAT al integrar con estos proveedores de GIT para flujos de trabajo interactivos y automatizados. ¿Cuáles son los beneficios? Tome nuestra integración de aplicaciones GitHub como ejemplo:
- Los tokens OAuth se actualizan automáticamente de forma predeterminada. Los usuarios ya no encuentran errores cuando su token Pat expira.
- OAUTH ofrece un control burócrata mejorado, especialmente con respecto a la visualización y el camino de los repos integrados.
- OAuth le permite configurar el camino a reposos de GitHub específicos.
- Los tokens de camino tienen una breve vida útil (en este caso, 8 horas), lo que reduce el aventura de exposición a las credenciales.
Algunos clientes han solicitado la autenticación SSH y la firma de compromiso GPG. Sin confiscación, elegimos cambiar en el soporte OAuth en su motivo, ya que SSH y GPG requerirían que los usuarios carguen claves privadas para Databricks, similar a acumular una PAT, lo que lleva a los mismos inconvenientes: credenciales de larga duración y rotación manual. Adicionalmente, si se comprometiera una secreto SSH de radio incorrectamente, podría otorgar un camino directo al atacante al host del servidor GIT, aumentando significativamente el aventura de explotación.
Empezando
Para Github, puedes Configurar la conexión de aplicación GitHub principal de servicio en la página de configuración del principal de serviciosiguiendo un proceso similar a la configuración de un legatario. Para Azure DevOps, ahora apoyamos Conexiones OAUTH para principios de servicio utilizando credenciales federadas basadas en OpenID Connect (OIDC). OIDC es un protocolo de autenticación construido sobre OAuth 2.0 que proporciona información de inicio de sesión y perfil sobre el legatario iniciado. OIDC permite experiencias de inicio de sesión seguras y fáciles de usar al permitir a los usuarios autenticarse una vez con un proveedor de identidad confiable (IDP, en este caso, Microsoft Enlaid) y ser recordados sin penuria de retornar a ingresar a las credenciales. Esta nueva característica reemplaza el enfoque preparatorio basado en secuencias de comandos descrito en este blogsimplificando y acortando significativamente este delirio crítico del legatario de horas a solo unos minutos.