Získání tokenů ID Microsoft Entra pro uživatele pomocí Azure CLI
Důležité
Tento článek popisuje, jak ručně vytvořit tokeny ID Microsoft Entra pro uživatele pomocí Azure CLI.
Databricks nedoporučuje vytvářet tokeny ID Microsoft Entra pro uživatele Azure Databricks ručně. Důvodem je to, že každý token Microsoft Entra ID je krátkodobý, obvykle vyprší do jedné hodiny. Po této době musíte ručně vygenerovat náhradní token Microsoft Entra ID. Místo toho použijte jeden z zúčastněných nástrojů nebo sad SDK, které implementují jednotný ověřovací standard klienta Databricks. Tyto nástroje a sady SDK automaticky generují a nahrazují tokeny Microsoft Entra ID pro vás a využívají ověřování Azure CLI.
Pomocí Azure CLI můžete získat přístupové tokeny Microsoft Entra ID pro uživatele.
Poznámka:
Můžete také definovat instanční objekt v Azure Active Directory a pak získat přístupový token Microsoft Entra ID pro tento instanční objekt místo pro uživatele. Viz Získání tokenů ID Microsoft Entra pro instanční objekty.
Pokud toto ID ještě neznáte, získejte správné ID předplatného Azure pro váš uživatelský účet:
V horním navigačním panelu pracovního prostoru Azure Databricks klikněte na své uživatelské jméno a potom klikněte na Azure Portal. Na stránce prostředku pracovního prostoru Azure Databricks, která se zobrazí, klikněte na bočním panelu na Přehled . Pak vyhledejte pole ID předplatného, které obsahuje ID předplatného.
Pomocí Azure CLI spusťte příkaz az databricks workspace list a pomocí
--querymožností a-o--outputzúžíte výsledky. Nahraďteadb-0000000000000000.0.azuredatabricks.netnázvem vaší instance pracovního prostoru, nikoli názvemhttps://. V tomto příkladu00000000-0000-0000-0000-000000000000/subscriptions/následuje ve výstupu ID předplatného.az databricks workspace list --query "[?workspaceUrl==\`adb-0000000000000000.0.azuredatabricks.net\`].{id:id}" -o tsv # /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-rg/providers/Microsoft.Databricks/workspaces/my-wsPokud se zobrazí následující zpráva, jste přihlášeni k nesprávnému tenantovi:
The subscription of '<subscription-id>' doesn't exist in cloud 'AzureCloud'.Pokud se chcete přihlásit ke správnému tenantovi, musíte příkaz spustitaz loginznovu pomocí-tmožnosti nebo--tenantzadat správné ID tenanta.ID tenanta pro pracovní prostor Azure Databricks můžete získat spuštěním příkazu
curl -v <per-workspace-URL>/aad/autha vyhledáním ve výstupu< location: https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000, kde00000000-0000-0000-0000-000000000000je ID tenanta. Viz také Získání ID předplatného a tenanta na webu Azure Portal.az login -t <tenant-id>
Jakmile budete mít správné ID předplatného Azure pro uživatelský účet, začněte se k Azure přihlašovat pomocí Azure CLI a spusťte příkaz az login. Po spuštění tohoto příkazu dokončete přihlášení pomocí účtu podle pokynů na obrazovce.
az loginOvěřte, že jste přihlášeni ke správnému předplatnému přihlášeného uživatele. Provedete to spuštěním příkazu az account set pomocí
-smožnosti nebo--subscriptionzadáním správného ID předplatného.az account set -s <subscription-id>Spuštěním příkazu az account get-access-token vygenerujte přístupový token Microsoft Entra ID.
--resourcePomocí možnosti zadejte jedinečné ID prostředku pro službu Azure Databricks, což je2ff814a6-3304-4ab8-85cb-cd0e6f879c1d. Hodnotu tokenu Microsoft Entra ID můžete zobrazit ve výstupu příkazu pomocí--querya-onebo--outputmožností.az account get-access-token \ --resource 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d \ --query "accessToken" \ -o tsv
Poznámka:
Azure CLI založené na MSAL používá knihovnu Microsoft Authentication Library (MSAL) jako podkladovou knihovnu ověřování. Pokud nemůžete úspěšně použít přístupový token Microsoft Entra ID, který azure CLI vygeneruje, jako alternativu můžete zkusit použít MSAL přímo k získání přístupového tokenu Microsoft Entra ID pro uživatele. Viz Získání tokenů ID Microsoft Entra pro uživatele pomocí KNIHOVNY MSAL.