Azure CLI-Anmeldung mit einem Microsoft Entra ID-Dienstprinzipal

  • Artikel

Führen Sie diese Schritte aus, um sich über die Azure CLI mit einem Microsoft Entra ID-Dienstprinzipal bei Azure Databricks anzumelden. Informationen zu Azure Databricks-Dienstprinzipalen finden Sie unter Verwalten von Dienstprinzipalen.

  1. Sammeln Sie die folgenden Informationen:

    Parameter Beschreibung
    Tenant ID Directory (tenant) ID für die zugehörige in Microsoft Entra ID registrierte Anwendung.
    Client ID Application (client) ID für die zugehörige in Microsoft Entra ID registrierte Anwendung.
    Client secret Value des geheimen Clientschlüssels für die zugehörige in Microsoft Entra ID registrierte Anwendung.

  2. Rufen Sie die richtige Azure-Abonnement-ID für den Microsoft Entra ID-Dienstprinzipal ab, wenn Sie diese ID noch nicht kennen. Gehen Sie dazu wie folgt vor:

    • Klicken Sie auf der oberen Navigationsleiste Ihres Azure Databricks-Arbeitsbereichs auf Ihren Benutzernamen, und wählen Sie Azure-Portal aus. Klicken Sie auf der angezeigten Ressourcenseite des Azure Databricks-Arbeitsbereichs in der Seitenleiste auf Übersicht. Suchen Sie dann nach dem Feld Abonnement-ID, das die Abonnement-ID enthält.

    • Verwenden Sie die Azure CLI, um den Befehl az databricks workspace list auszuführen, indem Sie die Optionen --query und -o oder --output verwenden, um die Ergebnisse einzugrenzen. Ersetzen Sie adb-0000000000000000.0.azuredatabricks.net durch den Namen Ihrer Arbeitsbereichsinstanz ohne https://. In diesem Beispiel ist 00000000-0000-0000-0000-000000000000 nach /subscriptions/ in der Ausgabe die Abonnement-ID.

      az databricks workspace list --query "[?workspaceUrl==\`adb-0000000000000000.0.azuredatabricks.net\`].{id:id}" -o tsv

# /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-rg/providers/Microsoft.Databricks/workspaces/my-ws

      Wenn die folgende Meldung angezeigt wird, sind Sie bei dem falschen Mandanten angemeldet: The subscription of '<subscription-id>' doesn't exist in cloud 'AzureCloud'. Um sich bei dem richtigen Mandanten anzumelden, müssen Sie den az login-Befehl erneut ausführen und dabei die Option -t oder --tenant verwenden, um die richtige Mandanten-ID anzugeben.

      Sie können die Mandanten-ID für einen Azure Databricks-Arbeitsbereich abrufen, indem Sie den Befehl curl -v <per-workspace-URL>/aad/auth ausführen und in der Ausgabe nach < location: https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000 suchen, wobei 00000000-0000-0000-0000-000000000000 die Mandanten-ID ist. Siehe auch Abrufen von Abonnement- und Mandanten-IDs im Azure-Portal.

      az login -t <tenant-id>

  3. Wenn Sie über die richtigen Werte für die Azure-Mandanten-ID, die Client-ID, den geheimen Clientschlüssel und die Abonnement-ID für Ihren Microsoft Entra ID-Dienstprinzipal verfügen, melden Sie sich mit der Azure CLI bei Azure an, um den Befehl az login auszuführen. Verwenden Sie die Option --service-principal zusammen mit den Werten für die Parameter Tenant ID (Directory (tenant) ID), Client ID (Application (client) ID) und Client secret (Value) für die zugehörige Anwendung, die in Microsoft Entra ID registriert ist.

    az login \
--service-principal \
-t <Tenant-ID> \
-u <Client-ID> \
-p <Client-secret>

  4. Vergewissern Sie sich, dass Sie beim richtigen Abonnement für den angemeldeten Microsoft Entra ID-Dienstprinzipal angemeldet sind. Führen Sie dazu den Befehl az account set aus. Verwenden Sie dabei die Option -s oder --subscription, um die richtige Abonnement-ID anzugeben.

    az account set -s <subscription-id>