当前位置：首页 > article >正文

实现Azure Databricks安全地请求企业内部API返回数据

article 2026/1/16 14:29:09

需要编写一个Databricks在Azure云上运行，它需要访问企业内部的API获取JSON格式的数据，企业有网关和防火墙，API有公司的okta身份认证，通过公司的域账号来授权访问，现在需要创建一个专用的域账号，让Databricks访问Azure Key Vault，来获取账号密码，然后通过配置访问公司内部API的数据，请写出所有的开发配置步骤，以及完成这一功能的所有的Python源代码，需要确保安全性和可靠性。

完整开发配置步骤

一、前置条件准备

企业网络配置：
- 在Azure与企业内部网络之间建立 ExpressRoute 或 Site-to-Site VPN 确保Databricks可访问内网API。
- 在防火墙规则中允许来自Azure Databricks的IP范围和端口。
创建专用域账号：
- 在企业的Active Directory中创建专用服务账号（如 svc-databricks-api），授予该账号API访问权限。

二、Azure资源配置

创建Azure Key Vault：
- 在Azure Portal中创建Key Vault（如 kv-company-secrets）。
- 启用 软删除 和 清除保护 增强安全性。

存储敏感信息到Key Vault：

az keyvault secret set --vault-name kv-company-secrets --name "api-username" --value "svc-databricks-api"
az keyvault secret set --vault-name kv-company-secrets --name "api-password" --value "P@ssw0rd!"
az keyvault secret set --vault-name kv-company-secrets --name "okta-client-id" --value "0oa12b3c4d"
az keyvault secret set --vault-name kv-company-secrets --name "okta-client-secret" --value "abc123-secret"

配置Azure Databricks托管身份：
- 在Databricks工作空间启用 Managed Identity。
- 在Key Vault的访问策略中，授予该托管身份 Get 和 List 秘密的权限。

三、Okta应用配置

在Okta管理控制台：
- 创建新应用（如 Databricks Internal API），选择 OAuth 2.0 Client Credentials 或 Resource Owner Password 授权类型。
- 绑定专用域账号并配置所需权限（Scopes）。

四、Python代码实现

from azure.identity import ManagedIdentityCredential
from azure.keyvault.secrets import SecretClient
import requests
from requests.adapters import HTTPAdapter
from urllib3.util.retry import Retry# 安全配置
KEY_VAULT_URL = "https://kv-company-secrets.vault.azure.net"
OKTA_TOKEN_URL = "https://company.okta.com/oauth2/v1/token"
INTERNAL_API_URL = "https://internal-api.company.com/data"# 初始化Azure Key Vault客户端
credential = ManagedIdentityCredential()
secret_client = SecretClient(vault_url=KEY_VAULT_URL, credential=credential)def get_secret(secret_name):"""安全获取Key Vault中的秘密"""return secret_client.get_secret(secret_name).valuedef get_okta_token():"""通过Okta认证获取访问令牌"""client_id = get_secret("okta-client-id")client_secret = get_secret("okta-client-secret")username = get_secret("api-username")password = get_secret("api-password")data = {'grant_type': 'password','username': username,'password': password,'scope': 'api_access'}session = requests.Session()retries = Retry(total=3, backoff_factor=1, status_forcelist=[500, 502, 503, 504])session.mount('https://', HTTPAdapter(max_retries=retries))try:response = session.post(OKTA_TOKEN_URL,auth=(client_id, client_secret),data=data,timeout=10)response.raise_for_status()return response.json()['access_token']except requests.exceptions.RequestException as e:print(f"Okta token request failed: {e}")raisedef fetch_internal_data(token):"""调用内部API获取数据"""headers = {'Authorization': f'Bearer {token}'}session = requests.Session()session.headers.update(headers)try:response = session.get(INTERNAL_API_URL, timeout=15)response.raise_for_status()return response.json()except requests.exceptions.RequestException as e:print(f"API request failed: {e}")raise# 主逻辑
if __name__ == "__main__":try:access_token = get_okta_token()data = fetch_internal_data(access_token)print("Data retrieved successfully:", data)except Exception as e:print("Critical error:", str(e))# 发送警报或记录到监控系统

五、安全增强措施

网络隔离：
- 将Databricks集群部署在Azure 虚拟网络（VNet） 中，启用网络安全组（NSG）限制入站流量。
密钥轮换：
- 在Key Vault中启用 自动密钥轮换策略，定期更新密码和客户端密钥。
日志与监控：
- 启用Azure Monitor和Databricks审计日志，跟踪所有秘密访问和API调用。
最小权限原则：
- 确保托管身份和Okta应用仅拥有必要的最小权限。

六、部署与验证

部署到Databricks：
- 将代码上传至Databricks工作区，配置Job或Notebook使用 高并发模式 集群。
端到端测试：
- 验证从Key Vault获取秘密、Okta令牌颁发、API调用的完整链路。
故障恢复测试：
- 模拟网络中断、Key Vault不可用场景，验证重试和错误处理逻辑。

实现Azure Databricks安全地请求企业内部API返回数据

需要编写一个Databricks在Azure云上运行，它需要访问企业内部的API获取JSON格式的数据，企业有网关和防火墙，API有公司的okta身份认证，通过公司的域账号来授权访问，现在需要创建一个专用的域账号，让Databrick…...

编程日记 2026/1/9 22:00:07

kafka认证部署

首先启动 zookeeper /home/kafka/bin/zookeeper-server-start.sh /home/kafka/config/zookeeper.properties 创建SCRAM证书 /home/kafka/bin/kafka-configs.sh --zookeeper localhost:2181 --alter --add-config SCRAM-SHA-256[iterations8192,passwordliebe],SCRAM-SHA-512[p…...

编程日记 2025/12/5 18:16:23

实现Azure Databricks安全地请求企业内部API返回数据

完整开发配置步骤

一、前置条件准备

二、Azure资源配置

三、Okta应用配置

四、Python代码实现

五、安全增强措施

六、部署与验证

相关文章：

实现Azure Databricks安全地请求企业内部API返回数据

kafka认证部署

【项目】CherrySudio配置MCP服务器

【LeetCode 热题 100】双指针系列

【技术派后端篇】 Redis 实现用户活跃度排行榜

模拟算法（一）作业分析及答案

西红柿番茄检测数据集VOC+YOLO格式2320张1类别可用于计数

企业级实战：将Java服务打包为Docker镜像的两种高效方法

专题十六：虚拟路由冗余协议——VRRP

Java中常见的锁synchronized、ReentrantLock、ReentrantReadWriteLock、StampedLock

DDPM（diffusion）原理

《软件设计师》复习笔记（2.2）——效验码、体系结构、指令、流水线

BT1120 BT656驱动相关代码示例

2025.04.19-阿里淘天春招算法岗笔试-第一题

IsaacSim Asserts 配置

关于viewpager常见的泄漏

深入剖析 C/S 与 B/S 架构及网络通信基础

接口自动化 ——fixture allure

systemctl管理指令

【文件操作与IO】详细解析文件操作与IO (二)

go-map+sync.map的底层原理

java怎么找bug？Arthas原理与实战指南

Windows使用SonarQube时启动脚本自动关闭

Day53 二叉树的层序遍历

物联网智慧教室项目（完整版）

替代升级VMware | 云轴科技ZStack构建山西证券一云多芯云平台

计算机网络期中复习笔记（自用）

14.Chromium指纹浏览器开发教程之WebGL指纹定制

GitHub SSH连接终极解决方案

Git 中修改某个特定的commit提交内容