重要
この記事では、Azure CLI を使用して Microsoft Entra ID サービス プリンシパルの Microsoft Entra ID トークンを手動で作成する方法について説明します。
Azure Databricks マネージド サービス プリンシパルは、Azure Databricks 内で直接管理されます。 Microsoft Entra ID マネージド サービス プリンシパルは、追加のアクセス許可が必要とされる Microsoft Entra ID 内で管理されます。 Databricks では、ほとんどのユース ケースで Azure Databricks マネージド サービス プリンシパルを使用することをお勧めします。 ただし Databricks では、Azure Databricks と他の Azure リソースを同時に認証する必要がある場合には、Microsoft Entra ID マネージド サービス プリンシパルを使用することをお勧めします。
Microsoft Entra ID マネージド サービス プリンシパルの代わりに Azure Databricks マネージド サービス プリンシパルを作成するには、「 サービス プリンシパル」を参照してください。
Databricks では、Microsoft Entra ID サービス プリンシパル用の Microsoft Entra ID トークンを手動で作成することはお勧めしません。 これは、各 Microsoft Entra ID トークンは有効期間が短く、通常は 1 時間以内に期限切れになるためです。 この時間が経過したら、代わりの Microsoft Entra ID トークンを手動で生成する必要があります。 代わりに、 Databricks クライアント統合認証 標準を実装する参加ツールまたは SDK のいずれかを使用してください。 これらのツールと SDK は、次の Databricks 認証の種類を利用して、期限切れの Microsoft Entra ID トークンを自動的に生成して置き換えます。
Azure CLI を使用して、Microsoft Entra ID サービス プリンシパルの Microsoft Entra ID アクセス トークンを取得できます。
次の情報を収集してください。
パラメーター 説明 Tenant IDMicrosoft Entra ID に登録された関連するアプリケーションの Directory (tenant) ID。Client IDMicrosoft Entra ID に登録された関連するアプリケーションの Application (client) ID。Client secretMicrosoft Entra ID に登録された関連するアプリケーションのクライアント シークレットの Value。Microsoft Entra ID サービス プリンシパルの正しい Azure サブスクリプション ID がわからない場合は、次のいずれかを実行してこの ID を取得します。
Azure Databricks ワークスペースの上部のナビゲーション バーで、ユーザー名をクリックし、[ Azure Portal] をクリックします。 Azure Databricks ワークスペース リソース ページが表示されたら、サイドバーの [概要] をクリックします。 次に、サブスクリプション ID が含まれる [サブスクリプション ID] フィールドを探します。
azure CLI を使用して az databricks workspace list コマンドを実行し、
--queryオプションと-oオプションまたは--outputオプションを使用して結果を絞り込みます。adb-0000000000000000.0.azuredatabricks.netをご自分のワークスペース インスタンスの名前に置き換えます。https://は含めません。 この例では、出力の00000000-0000-0000-0000-000000000000の後の/subscriptions/がサブスクリプション ID です。az databricks workspace list --query "[?workspaceUrl==\`adb-0000000000000000.0.azuredatabricks.net\`].{id:id}" -o tsv # /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-rg/providers/Microsoft.Databricks/workspaces/my-ws次のメッセージが表示された場合は、間違ったテナントにサインインしています。
The subscription of '<subscription-id>' doesn't exist in cloud 'AzureCloud'.正しいテナントにサインインするには、az loginまたは-tオプションを使用して正しいテナント ID を指定して、--tenantコマンドをもう一度実行する必要があります。Azure Databricks ワークスペースのテナント ID は、
curl -v <per-workspace-URL>/aad/authコマンドを実行し、< location: https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000という出力で探すことで確認できます。00000000-0000-0000-0000-000000000000の部分がテナント ID です。 「Azure portal でサブスクリプションとテナントの ID を取得する」も参照してください。az login -t <tenant-id>
Microsoft Entra ID サービス プリンシパルの正しい Azure テナント ID、クライアント ID、クライアント シークレット、サブスクリプション ID を取得したら、 Azure CLI を使用して Azure にサインインし、 az login コマンドを実行します。
--service-principalオプションを使用し、Microsoft Entra ID に登録されている関連アプリケーションのTenant ID(Directory (tenant) ID)、Client ID(Application (client) ID)、Client secret(Value) のパラメータの値を指定します。az login \ --service-principal \ -t <Tenant-ID> \ -u <Client-ID> \ -p <Client-secret>サインインしている Microsoft Entra ID サービス プリンシパルの正しいサブスクリプションにサインインしていることを確認します。 これを行うには、 または
-sオプションを使用して、--subscriptionコマンドを実行して、正しいサブスクリプション ID を指定します。az account set -s <subscription-id>az account get-access-token コマンドを実行して、サインインしている Microsoft Entra ID サービス プリンシパルの Microsoft Entra ID アクセス トークンを生成します。
--resourceオプションを使用して、Azure Databricks サービスの一意のリソース ID (2ff814a6-3304-4ab8-85cb-cd0e6f879c1d) を指定します。--queryオプションと-oオプションまたは--outputオプションを使用して、コマンドの出力に Microsoft Entra ID トークンの値のみを表示できます。az account get-access-token \ --resource 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d \ --query "accessToken" \ -o tsv
注
MSAL ベースの Azure CLI では、Microsoft Authentication Library (MSAL) を基になる認証ライブラリとして使用します。 Azure CLI によって生成される Microsoft Entra ID アクセス トークンを正常に使用できない場合は、代わりに MSAL を直接使用して、Microsoft Entra ID サービス プリンシパルの Microsoft Entra ID アクセス トークンを取得してみてください。 「サービス プリンシパルの Microsoft Entra ID トークンを取得する」を参照してください。