Dapatkan token ID Entra Microsoft untuk prinsipal layanan

Penting

Bagian ini menjelaskan cara mendapatkan token ID Microsoft Entra secara manual untuk perwakilan layanan.

Prinsipal layanan terkelola Azure Databricks dikelola langsung dalam Azure Databricks. Prinsipal layanan terkelola Microsoft Entra ID dikelola dalam Microsoft Entra ID, yang memerlukan izin tambahan. Databricks merekomendasikan agar Anda menggunakan perwakilan layanan terkelola Azure Databricks untuk sebagian besar kasus penggunaan. Namun, Databricks merekomendasikan agar Anda menggunakan perwakilan layanan terkelola ID Microsoft Entra dalam kasus di mana Anda harus mengautentikasi dengan Azure Databricks dan sumber daya Azure lainnya secara bersamaan.

Untuk membuat prinsipal layanan terkelola Azure Databricks sebagai pengganti prinsipal layanan terkelola Microsoft Entra ID, lihat Perwakilan layanan.

Databricks tidak menyarankan Anda membuat token ID Microsoft Entra untuk perwakilan layanan ID Microsoft Entra secara manual. Ini karena setiap token ID Microsoft Entra berumur pendek, biasanya kedaluwarsa dalam waktu satu jam. Setelah waktu ini, Anda harus membuat token ID Microsoft Entra pengganti secara manual. Sebagai gantinya, gunakan salah satu alat atau SDK yang tersedia yang menerapkan standar autentikasi terpadu klien Databricks. Alat dan SDK ini secara otomatis menghasilkan dan mengganti token ID Microsoft Entra yang kedaluwarsa untuk Anda, memanfaatkan jenis autentikasi Databricks berikut:

• Autentikasi identitas yang dikelola oleh Azure
• Autentikasi principal layanan MS Entra
• Autentikasi Azure CLI

Jika Anda tidak memiliki perwakilan layanan, Anda dapat menyediakannya dengan mengikuti salah satu set instruksi berikut:

• Menyediakan perwakilan layanan di portal Azure
• Memprovisikan perwakilan layanan dengan Azure CLI

Artikel ini menjelaskan bagaimana perwakilan layanan yang ditentukan dalam ID Microsoft Entra juga dapat bertindak sebagai prinsipal di mana kebijakan autentikasi dan otorisasi dapat diberlakukan di Azure Databricks. Perwakilan layanan di ruang kerja Azure Databricks dapat memiliki kontrol akses mendetail yang berbeda dari pengguna biasa (prinsipal pengguna).

Perwakilan layanan bertindak sebagai peran klien dan menggunakan alur kredensial klien OAuth 2.0 untuk mengotorisasi akses ke sumber daya Azure Databricks.

Anda dapat mengelola perwakilan layanan di Databricks atau dengan menggunakan prosedur berikut dari portal Azure.

Anda juga dapat menggunakan Microsoft Authentication Library (MSAL) untuk mendapatkan token akses ID Microsoft Entra secara terprogram untuk pengguna, bukan perwakilan layanan. Lihat Dapatkan token ID Microsoft Entra untuk pengguna menggunakan MSAL.

Memprovisikan perwakilan layanan di portal Microsoft Azure

1. Masuk ke portal Azure.

   Nota

   Portal yang akan digunakan berbeda tergantung pada apakah aplikasi ID Microsoft Entra Anda berjalan di cloud publik Azure atau di cloud nasional atau berdaulat. Untuk informasi selengkapnya, lihat Cloud nasional.

2. Jika Anda memiliki akses ke beberapa penyewa, langganan, atau direktori, klik ikon Direktori + langganan (direktori dengan filter) di menu atas untuk beralih ke direktori tempat Anda ingin memprovisikan perwakilan layanan.

3. Di Cari sumber daya, layanan, dan dokumen, cari dan pilih ID Microsoft Entra.

4. Klik + Tambahkan dan pilih Pendaftaran aplikasi.

5. Untuk Nama, masukkan nama untuk aplikasi.

6. Di bagian Jenis akun yang didukung, pilih Akun hanya dalam direktori organisasi ini (Penyewa tunggal).

7. Klik Daftar.

8. Pada halaman Gambaran Umum halaman aplikasi, di bagian Esensial , salin nilai berikut:

   • ID aplikasi (klien)
   • ID direktori (penyewa)

9. Untuk menghasilkan rahasia klien, di dalam Kelola, klik Sertifikat & rahasia.

   Nota

   Anda menggunakan rahasia klien ini untuk menghasilkan token ID Microsoft Entra untuk mengautentikasi perwakilan layanan ID Microsoft Entra dengan Azure Databricks. Untuk menentukan apakah alat Azure Databricks atau SDK dapat menggunakan token ID Microsoft Entra, lihat dokumentasi alat atau SDK.

10. Pada tab Rahasia klien, klik Rahasia klien baru.

    

11. Di panel Tambahkan rahasia klien, untuk Deskripsi, masukkan deskripsi untuk rahasia klien.

12. Untuk Kedaluwarsa, pilih jangka waktu kedaluwarsa untuk rahasia klien, lalu klik Tambahkan.

13. Salin dan simpan Nilai rahasia klien di tempat yang aman, karena rahasia klien ini adalah kata sandi untuk aplikasi Anda.

Menyediakan perwakilan layanan dengan Azure CLI

Lihat Membuat perwakilan layanan MICROSOFT Entra ID (sebelumnya Azure Active Directory) dengan Azure CLI.

Mendapatkan token akses ID Microsoft Entra dengan rest API platform identitas Microsoft

Penting

Bagian ini menjelaskan cara mendapatkan token ID Microsoft Entra secara manual untuk perwakilan layanan dengan menggunakan platform identitas Microsoft REST API.

Databricks tidak menyarankan Anda membuat token ID Microsoft Entra untuk perwakilan layanan ID Microsoft Entra secara manual. Ini karena setiap token ID Microsoft Entra berumur pendek, biasanya kedaluwarsa dalam waktu satu jam. Setelah waktu ini, Anda harus membuat token ID Microsoft Entra pengganti secara manual. Sebagai gantinya, gunakan salah satu alat atau SDK yang tersedia yang menerapkan standar autentikasi terpadu klien Databricks. Alat dan SDK ini secara otomatis menghasilkan dan mengganti token ID Microsoft Entra yang kedaluwarsa untuk Anda, memanfaatkan jenis autentikasi Databricks berikut:

• Autentikasi identitas yang dikelola oleh Azure
• Autentikasi principal layanan MS Entra
• Autentikasi Azure CLI

Untuk mengakses Databricks REST API dengan perwakilan layanan, Anda mendapatkan lalu menggunakan token akses ID Microsoft Entra untuk perwakilan layanan. Untuk informasi selengkapnya, lihat Kasus pertama: Mengakses permintaan token dengan rahasia bersama.

Petunjuk / Saran

Anda juga dapat menggunakan Azure CLI untuk mendapatkan token akses ID Microsoft Entra. Lihat Mendapatkan token akses ID Microsoft Entra dengan Azure CLI.

1. Kumpulkan informasi berikut:

   Pengaturan	Deskripsi
   Tenant ID	Directory (tenant) ID untuk aplikasi terkait yang terdaftar di Microsoft Entra ID.
   Client ID	Application (client) ID untuk aplikasi terkait yang terdaftar di Microsoft Entra ID.
   Client secret	Nilai Value rahasia klien untuk aplikasi terkait yang terdaftar di ID Microsoft Entra.

2. Gunakan informasi sebelumnya bersama dengan curl untuk mendapatkan token akses ID Microsoft Entra.

   curl -X POST -H 'Content-Type: application/x-www-form-urlencoded' \
   https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token \
   -d 'client_id=<client-id>' \
   -d 'grant_type=client_credentials' \
   -d 'scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d%2F.default' \
   -d 'client_secret=<client-secret>'
   

   Mengganti:

   • <tenant-id> dengan ID tenant aplikasi terdaftar.
   • <client-id> dengan ID klien dari aplikasi yang terdaftar.
   • <client-secret> dengan nilai rahasia klien dari aplikasi yang terdaftar.

   Jangan mengubah nilai scope parameter. Ini mewakili ID terprogram untuk Azure Databricks (2ff814a6-3304-4ab8-85cb-cd0e6f879c1d) bersama dengan cakupan default (/.default, URL yang dikodekan sebagai %2f.default).

   Contohnya:

   curl -X POST -H 'Content-Type: application/x-www-form-urlencoded' \
   https://login.microsoftonline.com/a1bc2d34-5e67-8f89-01ab-c2345d6c78de/oauth2/v2.0/token \
   -d 'client_id=12a34b56-789c-0d12-e3fa-b456789c0123' \
   -d 'grant_type=client_credentials' \
   -d 'scope=2ff814a6-3304-4ab8-85cb-cd0e6f879c1d%2F.default' \
   -d 'client_secret=abc1D~Ef...2ghIJKlM3'
   

   Token akses ID Microsoft Entra berada dalam nilai dalam access_token output panggilan.

Mendapatkan token akses ID Microsoft Entra dengan Azure CLI

Penting

Bagian ini menjelaskan cara mendapatkan token ID Microsoft Entra secara manual untuk perwakilan layanan dengan menggunakan Azure CLI.

Databricks tidak menyarankan Anda membuat token ID Microsoft Entra untuk perwakilan layanan ID Microsoft Entra secara manual. Ini karena setiap token ID Microsoft Entra berumur pendek, biasanya kedaluwarsa dalam waktu satu jam. Setelah waktu ini, Anda harus membuat token ID Microsoft Entra pengganti secara manual. Sebagai gantinya, gunakan salah satu alat atau SDK yang tersedia yang menerapkan standar autentikasi terpadu klien Databricks. Alat dan SDK ini secara otomatis menghasilkan dan mengganti token ID Microsoft Entra yang kedaluwarsa untuk Anda, memanfaatkan jenis autentikasi Databricks berikut:

• Autentikasi identitas yang dikelola oleh Azure
• Autentikasi principal layanan MS Entra
• Autentikasi Azure CLI

Untuk mengakses Databricks REST API dengan perwakilan layanan, Anda mendapatkan lalu menggunakan token akses ID Microsoft Entra untuk perwakilan layanan.

1. Kumpulkan informasi berikut:

   Pengaturan	Deskripsi
   Tenant ID	Directory (tenant) ID untuk aplikasi terkait yang terdaftar di Microsoft Entra ID.
   Client ID	Application (client) ID untuk aplikasi terkait yang terdaftar di Microsoft Entra ID.
   Client secret	Nilai Value rahasia klien untuk aplikasi terkait yang terdaftar di ID Microsoft Entra.

2. Dapatkan ID langganan Azure yang benar untuk perwakilan layanan ID Microsoft Entra, jika Anda belum mengetahui ID ini, dengan melakukan salah satu hal berikut ini:

   • Di bilah navigasi atas ruang kerja Azure Databricks Anda, klik nama pengguna Anda lalu klik Portal Microsoft Azure. Pada halaman sumber daya ruang kerja Azure Databricks yang muncul, klik Gambaran Umum di bar samping. Kemudian cari bidang ID Langganan , yang berisi ID langganan.

   • Gunakan Azure CLI untuk menjalankan perintah az databricks workspace list, dengan menggunakan opsi --query dan -o atau --output untuk mempersempit hasil. Ganti adb-0000000000000000.0.azuredatabricks.net dengan nama instans ruang kerja Anda, tidak termasuk https://. Dalam contoh ini, 00000000-0000-0000-0000-000000000000 setelah /subscriptions/ dalam output adalah ID langganan.

     az databricks workspace list --query "[?workspaceUrl==\`adb-0000000000000000.0.azuredatabricks.net\`].{id:id}" -o tsv
     
     # /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-rg/providers/Microsoft.Databricks/workspaces/my-ws
     

     Jika pesan berikut ini muncul, Anda masuk ke tenant yang salah: The subscription of '<subscription-id>' doesn't exist in cloud 'AzureCloud'. Untuk masuk ke tenant yang benar, Anda harus menjalankan perintah az login lagi, menggunakan opsi -t atau --tenant untuk menentukan ID tenant yang benar.

     Anda bisa mendapatkan ID penyewa untuk ruang kerja Azure Databricks dengan menjalankan perintah curl -v <per-workspace-URL>/aad/auth dan melihat output < location: https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000, di mana 00000000-0000-0000-0000-000000000000 adalah ID penyewa. Harap lihat juga Mendapatkan ID langganan dan penyewa pada portal Microsoft Azure.

     az login -t <tenant-id>
     

3. Setelah Anda memiliki ID penyewa Azure yang benar, ID klien, rahasia klien, dan ID langganan untuk perwakilan layanan ID Microsoft Entra Anda, masuk ke Azure dengan menggunakan Azure CLI untuk menjalankan perintah az login . Gunakan opsi --service-principal bersama dengan menentukan nilai untuk parameter Tenant ID (Directory (tenant) ID), Client ID (Application (client) ID), dan Client secret (Value) untuk aplikasi terkait yang terdaftar di ID Microsoft Entra.

   az login \
   --service-principal \
   -t <Tenant-ID> \
   -u <Client-ID> \
   -p <Client-secret>
   

4. Konfirmasikan bahwa Anda masuk ke langganan yang benar untuk perwakilan layanan ID Microsoft Entra yang masuk. Untuk melakukan ini, jalankan perintah az account set, menggunakan opsi -s atau --subscription untuk menentukan ID langganan yang benar.

   az account set -s <subscription-id>
   

5. Hasilkan token akses ID Microsoft Entra untuk perwakilan layanan ID Microsoft Entra yang telah masuk dengan menjalankan perintah az account get-access-token. Gunakan opsi --resource untuk menentukan ID sumber daya yang unik bagi layanan Azure Databricks, yaitu 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d. Anda hanya dapat menampilkan nilai token ID Microsoft Entra dalam output perintah dengan menggunakan --query opsi dan -o atau --output .

   az account get-access-token \
   --resource 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d \
   --query "accessToken" \
   -o tsv
   

Gunakan token akses MICROSOFT Entra ID perwakilan layanan untuk mengakses Databricks REST API

Penting

Bagian ini menjelaskan cara menggunakan curl dan token akses ID Microsoft Entra dari entitas layanan untuk mengakses Databricks REST API.

Alih-alih curl, Anda dapat menggunakan salah satu alat atau SDK yang berpartisipasi yang menerapkan standar autentikasi terpadu klien Databricks. Alat dan SDK ini juga secara otomatis menghasilkan dan mengganti token ID Microsoft Entra yang kedaluwarsa untuk Anda, memanfaatkan jenis autentikasi Databricks berikut:

• Autentikasi identitas yang dikelola oleh Azure
• Autentikasi principal layanan MS Entra
• Autentikasi Azure CLI

Perwakilan layanan yang merupakan pengguna Databricks dapat mengautentikasi ke Databricks REST API dengan token ID Microsoft Entra.

Perwakilan layanan juga dapat menambahkan dirinya sebagai admin ruang kerja ke ruang kerja jika memiliki peran Kontributor atau Pemilik pada sumber daya ruang kerja target di Azure. Jika perwakilan layanan adalah Kontributor atau Pemilik di ruang kerja target dan Anda ingin menambahkannya ke ruang kerja menggunakan token ID Microsoft Entra-nya, buka Akses API tingkat ruang kerja untuk perwakilan layanan yang bukan pengguna Azure Databricks.

Jika tidak, lanjutkan ke akses API untuk perwakilan layanan yang merupakan pengguna dan admin Azure Databricks.

Akses API untuk perwakilan layanan yang merupakan pengguna dan admin Azure Databricks

Untuk menyelesaikan prosedur ini, Anda harus terlebih dahulu menambahkan perwakilan layanan ke akun atau ruang kerja Azure Databricks. Anda dapat menambahkan perwakilan layanan langsung ke akun Anda, tanpa memberinya akses ruang kerja, dengan menggunakan API SCIM (Akun).

Anda dapat menambahkan perwakilan layanan ke ruang kerja dengan menggunakan titik akhir API Perwakilan Layanan. Ini juga akan menambahkan perwakilan layanan ke akun Azure Databricks Anda. Contohnya:

Dengan menggunakan Databricks CLI versi 0.205 atau lebih tinggi (disarankan):

Tambahkan perwakilan layanan:

databricks service-principals create --application-id 12a34b56-789c-0d12-e3fa-b456789c0123 --display-name "My Service Principal" -p <profile-name-that-references-calling-users-access-token>

Perbarui hak akses ruang kerja prinsipal layanan.

databricks service-principals patch 1234567890123456 --json @update-service-principal.json -p <profile-name-that-references-access-token>

update-service-principal.json:

{
  "Operations": [
    {
      "op": "add",
      "path": "entitlements",
      "value": {
        "value": "workspace-acccess",
        "value": "allow-cluster-create",
        "value": "databricks-sql-access"
      }
    }
  ],
  "schema": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"]
}

Lihat Autentikasi untuk Databricks CLI.

Dengan menggunakan curl:

curl -X POST \
-H 'Authorization: Bearer <access-token>' \
https://adb-1234567890123456.7.azuredatabricks.net/api/2.0/preview/scim/v2/ServicePrincipals \
-H 'Content-type: application/scim+json' \
-d @create-service-principal.json

create-service-principal.json:

{
  "displayName": "My Service Principal",
  "applicationId": "12a34b56-789c-0d12-e3fa-b456789c0123",
  "entitlements": [
    {
      "value": "allow-cluster-create"
    }
  ],
  "schemas": ["urn:ietf:params:scim:schemas:core:2.0:ServicePrincipal"],
  "active": true
}

Lewati ke akses API tingkat Ruang Kerja untuk perwakilan layanan yang bukan pengguna Azure Databricks jika salah satu hal berikut ini benar:

• REST API Azure Databricks yang ingin Anda panggil memerlukan akses admin ruang kerja dan perwakilan layanan adalah anggota ruang kerja, tetapi saat ini tidak memiliki akses admin ke ruang kerja.
• Perwakilan layanan belum ditambahkan ke ruang kerja Azure Databricks target.

1. Kumpulkan informasi berikut.

   Pengaturan	Deskripsi
   Token akses ID Microsoft Entra	Token akses ID Microsoft Entra dikembalikan dari permintaan di Mendapatkan token akses ID Microsoft Entra dengan platform identitas Microsoft REST API atau Mendapatkan token akses ID Microsoft Entra dengan Azure CLI.

2. Gunakan token akses ID Microsoft Entra bersama dengan curl untuk memanggil Databricks REST API. Contohnya:

   Dengan menggunakan Databricks CLI versi 0.205 atau lebih tinggi (disarankan):

   databricks clusters list -p <profile-name-that-references-azure-ad-access-token>
   

   Lihat Autentikasi untuk Databricks CLI.

   Dengan menggunakan curl:

   curl -X GET \
   -H 'Authorization: Bearer <access-token>' \
   https://<databricks-instance>/api/2.0/clusters/list
   

   Mengganti:

   • <access-token> dengan token akses ID Microsoft Entra.
   • <databricks-instance> dengan URL per ruang kerja penyebaran Azure Databricks Anda.
   • GET dan /api/2.0/clusters/list dengan operasi HTTP dan titik akhir yang sesuai untuk target Databricks REST API.

   Contohnya:

   curl -X GET \
   -H 'Authorization: Bearer <access-token>' \
   https://adb-1234567890123456.7.azuredatabricks.net/api/2.0/clusters/list
   

Akses API tingkat ruang kerja untuk perwakilan layanan yang bukan pengguna Azure Databricks

Ikuti prosedur ini jika salah satu hal berikut ini benar:

• REST API Azure Databricks yang ingin Anda panggil memerlukan akses admin ruang kerja dan perwakilan layanan adalah anggota ruang kerja, tetapi saat ini tidak memiliki akses admin ke ruang kerja.
• Perwakilan layanan belum ditambahkan ke ruang kerja Azure Databricks target.
• Perwakilan layanan sedang membuat atau memperbarui penyimpanan Katalog Unity atau kredensial layanan.

Persyaratan:

• Perwakilan layanan memerlukan peran Kontributor atau Pemilik pada sumber daya ruang kerja target di Azure.

1. Kumpulkan informasi berikut:

   Pengaturan	Deskripsi
   ID Penyewa	ID Direktori (penyewa) untuk aplikasi terkait yang terdaftar di ID Microsoft Entra di Provisikan perwakilan layanan di portal Azure.
   ID Pelanggan	ID Aplikasi (klien) untuk aplikasi terkait yang terdaftar di ID Microsoft Entra.
   Rahasia klien	Nilai rahasia klien untuk aplikasi terkait yang terdaftar di ID Microsoft Entra, yang Anda buat di Provisikan perwakilan layanan di portal Azure.
   Token akses ID Microsoft Entra	Token akses ID Microsoft Entra dikembalikan dari permintaan di Mendapatkan token akses ID Microsoft Entra dengan platform identitas Microsoft REST API atau Mendapatkan token akses ID Microsoft Entra dengan Azure CLI.
   Identifikasi Langganan	ID (bukan nama) langganan Azure yang terkait dengan ruang kerja Azure Databricks target. Untuk mendapatkan informasi berikut, lihat Membuka sumber daya. Untuk membuka sumber daya target, Anda dapat mencari jenis layanan Azure Databricks dan informasi lainnya di Azure yang Anda ketahui tentang ruang kerja Azure Databricks target.
   Nama grup sumber daya	ID (bukan nama) langganan Azure yang terkait dengan ruang kerja Azure Databricks target.
   Nama ruang kerja	Nama di Azure dari ruang kerja Azure Databricks target.

2. Gunakan beberapa informasi sebelumnya bersama dengan curl untuk mendapatkan token akses titik akhir manajemen ID Microsoft Entra.

   curl -X POST -H 'Content-Type: application/x-www-form-urlencoded' \
   https://login.microsoftonline.com/<tenant-id>/oauth2/token \
   -d 'client_id=<client-id>' \
   -d 'grant_type=client_credentials' \
   -d 'resource=https%3A%2F%2Fmanagement.core.windows.net%2F' \
   -d 'client_secret=<client-secret>'
   

   Mengganti:

   • <tenant-id> dengan ID tenant aplikasi terdaftar.
   • <client-id> dengan ID klien dari aplikasi yang terdaftar.
   • <client-secret> dengan nilai rahasia klien dari aplikasi yang terdaftar.

   Jangan mengubah nilai resource parameter. Ini mewakili titik akhir manajemen ID Microsoft Entra (https://management.core.windows.net/, dikodekan URL sebagai https%3A%2F%2Fmanagement.core.windows.net%2F).

   Contohnya:

   curl -X POST -H 'Content-Type: application/x-www-form-urlencoded' \
   https://login.microsoftonline.com/a1bc2d34-5e67-8f89-01ab-c2345d6c78de/oauth2/token \
   -d 'client_id=12a34b56-789c-0d12-e3fa-b456789c0123' \
   -d 'grant_type=client_credentials' \
   -d 'resource=https%3A%2F%2Fmanagement.core.windows.net%2F' \
   -d 'client_secret=abc1D~Ef...2ghIJKlM3'
   

   Token akses titik akhir manajemen ID Microsoft Entra berada dalam nilai dalam access_token output panggilan.

3. Gunakan token akses titik akhir manajemen ID Microsoft Entra bersama dengan informasi sebelumnya lainnya dan curl untuk memanggil Databricks REST API, misalnya:

    curl -X GET \
    -H 'Authorization: Bearer <access-token>' \
    -H 'X-Databricks-Azure-SP-Management-Token: <management-access-token>' \
    -H 'X-Databricks-Azure-Workspace-Resource-Id: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Databricks/workspaces/<workspace-name>' \
    https://<databricks-instance>/api/2.0/clusters/list
   

   Mengganti:

   • <access-token> dengan token akses ID Microsoft Entra.

     • <management-access-token> dengan token akses titik akhir manajemen ID Microsoft Entra.
     • <subscription-id> dengan ID langganan yang terkait dengan ruang kerja Azure Databricks target.
     • <resource-group-name> dengan nama grup sumber daya yang terkait dengan ruang kerja Azure Databricks target.
     • <workspace-name> dengan nama ruang kerja Azure Databricks target.
     • <databricks-instance> dengan URL per ruang kerja penyebaran Azure Databricks Anda.
     • GET dan /api/2.0/clusters/list dengan operasi HTTP dan titik akhir yang sesuai untuk target Databricks REST API.

     Contohnya:

     curl -X GET \
     -H 'Authorization:Bearer <access-token>' \
     -H 'X-Databricks-Azure-SP-Management-Token: abC1dE...ghIj23kl' \
     -H 'X-Databricks-Azure-Workspace-Resource-Id: /subscriptions/12a345...bcd6789e/resourceGroups/my-resource-group/providers/Microsoft.Databricks/workspaces/my-workspace' \
     https://adb-1234567890123456.7.azuredatabricks.net/api/2.0/clusters/list
     

   Setelah mengautentikasi ke ruang kerja, perwakilan layanan menjadi admin ruang kerja Azure Databricks dan tidak lagi memerlukan peran Kontributor atau Pemilik untuk mengakses ruang kerja.