Microsoft Entra ID-tokens voor gebruikers ophalen met behulp van de Azure CLI
Belangrijk
In dit artikel wordt beschreven hoe u handmatig Microsoft Entra ID-tokens maakt voor gebruikers met behulp van de Azure CLI.
Databricks raadt u niet aan om Handmatig Microsoft Entra ID-tokens te maken voor Azure Databricks-gebruikers. Dit komt doordat elk Microsoft Entra ID-token kort duurt, meestal binnen één uur verloopt. Na deze tijd moet u handmatig een vervangend Microsoft Entra ID-token genereren. Gebruik in plaats daarvan een van de deelnemende hulpprogramma's of SDK's die de geïntegreerde verificatiestandaard van de Databricks-client implementeren. Deze hulpprogramma's en SDK's genereren en vervangen automatisch verlopen Microsoft Entra ID-tokens voor u, waarbij gebruik wordt gemaakt van Azure CLI-verificatie.
U kunt de Azure CLI gebruiken om toegangstokens voor Microsoft Entra-id's op te halen voor gebruikers.
Notitie
U kunt ook een service-principal definiëren in Azure Active Directory en vervolgens een Microsoft Entra ID-toegangstoken voor die service-principal ophalen in plaats van voor een gebruiker. Zie Tokens voor Microsoft Entra-id's ophalen voor service-principals.
Haal de juiste Azure-abonnements-id op voor uw gebruikersaccount, als u deze id nog niet kent, door een van de volgende handelingen uit te voeren:
Klik in de bovenste navigatiebalk van uw Azure Databricks-werkruimte op uw gebruikersnaam en klik vervolgens op Azure Portal. Klik op de resourcepagina van de Azure Databricks-werkruimte die wordt weergegeven op Overzicht in de zijbalk. Zoek vervolgens naar het veld Abonnements-id , dat de abonnements-id bevat.
Gebruik de Azure CLI om de opdracht az databricks workspace list uit te voeren met behulp van de
--query
en-o
of--output
opties om de resultaten te verfijnen. Vervang dooradb-0000000000000000.0.azuredatabricks.net
de naam van uw werkruimte-exemplaar, niet inclusief dehttps://
. In dit voorbeeld is het00000000-0000-0000-0000-000000000000
na/subscriptions/
in de uitvoer de abonnements-id.az databricks workspace list --query "[?workspaceUrl==\`adb-0000000000000000.0.azuredatabricks.net\`].{id:id}" -o tsv # /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-rg/providers/Microsoft.Databricks/workspaces/my-ws
Als het volgende bericht wordt weergegeven, bent u aangemeld bij de verkeerde tenant:
The subscription of '<subscription-id>' doesn't exist in cloud 'AzureCloud'.
als u zich wilt aanmelden bij de juiste tenant, moet u deaz login
opdracht opnieuw uitvoeren met de-t
of--tenant
optie om de juiste tenant-id op te geven.U kunt de tenant-id voor een Azure Databricks-werkruimte ophalen door de opdracht
curl -v <per-workspace-URL>/aad/auth
uit te voeren en in de uitvoer< location: https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000
te kijken, waar00000000-0000-0000-0000-000000000000
is de tenant-id. Zie ook Abonnements- en tenant-id's ophalen in Azure Portal.az login -t <tenant-id>
Nadat u de juiste Azure-abonnements-id voor uw gebruikersaccount hebt, meldt u zich aan bij Azure met behulp van de Azure CLI om de az login-opdracht uit te voeren. Nadat u deze opdracht hebt uitgevoerd, volgt u de instructies op het scherm om de aanmelding met uw account te voltooien.
az login
Controleer of u bent aangemeld bij het juiste abonnement voor uw aangemelde gebruiker. Voer hiervoor de opdracht az account set uit met behulp van de
-s
of--subscription
optie om de juiste abonnements-id op te geven.az account set -s <subscription-id>
Genereer uw Microsoft Entra ID-toegangstoken door de opdracht az account get-access-token uit te voeren. Gebruik de
--resource
optie om de unieke resource-id voor de Azure Databricks-service op te geven.2ff814a6-3304-4ab8-85cb-cd0e6f879c1d
U kunt alleen de waarde van het Microsoft Entra ID-token weergeven in de uitvoer van de opdracht met behulp van de--query
en-o
of--output
opties.az account get-access-token \ --resource 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d \ --query "accessToken" \ -o tsv
Notitie
De OP MSAL gebaseerde Azure CLI maakt gebruik van Microsoft Authentication Library (MSAL) als de onderliggende verificatiebibliotheek. Als u het Microsoft Entra ID-toegangstoken dat de Azure CLI genereert, niet kunt gebruiken, kunt u msal ook rechtstreeks proberen om een Microsoft Entra ID-toegangstoken voor een gebruiker op te halen. Zie Tokens voor Microsoft Entra-id's ophalen voor gebruikers met behulp van MSAL.