Delen via

Microsoft Entra ID-tokens (voorheen Azure Active Directory) ophalen voor gebruikers met behulp van de Azure CLI

  • Artikel

Belangrijk

In dit artikel wordt beschreven hoe u handmatig Microsoft Entra ID-tokens (voorheen Azure Active Directory) voor gebruikers maakt met behulp van de Azure CLI.

Databricks raadt u niet aan om handmatig Microsoft Entra ID-tokens (voorheen Azure Active Directory) te maken voor Azure Databricks-gebruikers. Dit komt doordat elk Microsoft Entra ID-token kort duurt, meestal binnen één uur verloopt. Na deze tijd moet u handmatig een vervangend Microsoft Entra ID-token genereren. Gebruik in plaats daarvan een van de deelnemende hulpprogramma's of SDK's die de geïntegreerde verificatiestandaard van de Databricks-client implementeren. Deze hulpprogramma's en SDK's genereren en vervangen automatisch verlopen Microsoft Entra ID-tokens voor u, waarbij gebruik wordt gemaakt van Azure CLI-verificatie.

U kunt de Azure CLI gebruiken om toegangstokens voor Microsoft Entra-id's op te halen voor gebruikers.

Notitie

U kunt ook een service-principal definiëren in Azure Active Directory en vervolgens een Microsoft Entra ID-toegangstoken voor die service-principal ophalen in plaats van voor een gebruiker. Zie Tokens voor Microsoft Entra-id (voorheen Azure Active Directory) ophalen voor service-principals.

  1. Haal de juiste Azure-abonnements-id op voor uw gebruikersaccount, als u deze id nog niet kent, door een van de volgende handelingen uit te voeren:

    • Klik in de bovenste navigatiebalk van uw Azure Databricks-werkruimte op uw gebruikersnaam en klik vervolgens op Azure Portal. Klik op de resourcepagina van de Azure Databricks-werkruimte die wordt weergegeven op Overzicht in de zijbalk. Zoek vervolgens naar het veld Abonnements-id , dat de abonnements-id bevat.

    • Gebruik de Azure CLI om de opdracht az databricks workspace list uit te voeren met behulp van de --query en -o of --output opties om de resultaten te verfijnen. Vervang door adb-0000000000000000.0.azuredatabricks.net de naam van uw werkruimte-exemplaar, niet inclusief de https://. In dit voorbeeld is het 00000000-0000-0000-0000-000000000000 na /subscriptions/ in de uitvoer de abonnements-id.

      az databricks workspace list --query "[?workspaceUrl==\`adb-0000000000000000.0.azuredatabricks.net\`].{id:id}" -o tsv

# /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-rg/providers/Microsoft.Databricks/workspaces/my-ws

      Als het volgende bericht wordt weergegeven, bent u aangemeld bij de verkeerde tenant: The subscription of '<subscription-id>' doesn't exist in cloud 'AzureCloud'. als u zich wilt aanmelden bij de juiste tenant, moet u de az login opdracht opnieuw uitvoeren met de -t of --tenant optie om de juiste tenant-id op te geven.

      U kunt de tenant-id voor een Azure Databricks-werkruimte ophalen door de opdracht curl -v <per-workspace-URL>/aad/auth uit te voeren en in de uitvoer < location: https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000te kijken, waar 00000000-0000-0000-0000-000000000000 is de tenant-id. Zie ook Abonnements- en tenant-id's ophalen in Azure Portal.

      az login -t <tenant-id>

  2. Nadat u de juiste Azure-abonnements-id voor uw gebruikersaccount hebt, meldt u zich aan bij Azure met behulp van de Azure CLI om de az login-opdracht uit te voeren. Nadat u deze opdracht hebt uitgevoerd, volgt u de instructies op het scherm om de aanmelding met uw account te voltooien.

    az login

  3. Controleer of u bent aangemeld bij het juiste abonnement voor uw aangemelde gebruiker. Voer hiervoor de opdracht az account set uit met behulp van de -s of --subscription optie om de juiste abonnements-id op te geven.

    az account set -s <subscription-id>

  4. Genereer uw Toegangstoken van Microsoft Entra ID (voorheen Azure Active Directory) door de opdracht az account get-access-token uit te voeren. Gebruik de --resource optie om de unieke resource-id voor de Azure Databricks-service op te geven.2ff814a6-3304-4ab8-85cb-cd0e6f879c1d U kunt alleen de waarde van het Microsoft Entra ID-token weergeven in de uitvoer van de opdracht met behulp van de --query en -o of --output opties.

    az account get-access-token \
--resource 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d \
--query "accessToken" \
-o tsv

Notitie

De OP MSAL gebaseerde Azure CLI maakt gebruik van Microsoft Authentication Library (MSAL) als de onderliggende verificatiebibliotheek. Als u het Microsoft Entra ID-toegangstoken dat de Azure CLI genereert, niet kunt gebruiken, kunt u msal ook rechtstreeks proberen om een Microsoft Entra ID-toegangstoken voor een gebruiker op te halen. Zie Microsoft Entra ID-tokens (voorheen Azure Active Directory) ophalen voor gebruikers met behulp van MSAL.