Megosztás a következőn keresztül:

Microsoft Entra ID-jogkivonatok lekérése Microsoft Entra ID szolgáltatásnevekhez az Azure CLI használatával

  • Cikk

Fontos

Ez a cikk bemutatja, hogyan hozhat létre manuálisan Microsoft Entra ID-jogkivonatokat a Microsoft Entra ID szolgáltatásnevekhez az Azure CLI használatával.

Az Azure Databricks által felügyelt szolgáltatásnevek kezelése közvetlenül az Azure Databricksben van. A Microsoft Entra ID által felügyelt szolgáltatásnevek kezelése a Microsoft Entra-azonosítóban van, amelyhez további engedélyek szükségesek. A Databricks azt javasolja, hogy a legtöbb használati esetben az Azure Databricks által felügyelt szolgáltatásneveket használja. A Databricks azonban a Microsoft Entra ID által felügyelt szolgáltatásnevek használatát javasolja olyan esetekben, amikor egyidejűleg hitelesítenie kell az Azure Databricks-et és más Azure-erőforrásokat.

Ha a Microsoft Entra ID által felügyelt szolgáltatásnév helyett Azure Databricks által felügyelt szolgáltatásnevet szeretne létrehozni, olvassa el a Szolgáltatásnevek kezelése című témakört.

A Databricks nem javasolja, hogy manuálisan hozza létre a Microsoft Entra ID-jogkivonatokat a Microsoft Entra ID szolgáltatásnevekhez. Ennek az az oka, hogy minden Microsoft Entra-azonosító jogkivonat rövid élettartamú, általában egy órán belül lejár. Ezt követően manuálisan kell létrehoznia egy helyettesítő Microsoft Entra-azonosító jogkivonatot. Ehelyett használja az egyik részt vevő eszközt vagy SDK-t, amely a Databricks-ügyfél egységes hitelesítési szabványát implementálja. Ezek az eszközök és SDK-k automatikusan létrehoznak és lecserélnek lejárt Microsoft Entra-azonosító jogkivonatokat Az alábbi Databricks-hitelesítési típusok használatával:

Az Azure CLI-vel Microsoft Entra ID hozzáférési jogkivonatokat szerezhet be a Microsoft Entra ID szolgáltatásnevekhez.

  1. Gyűjtse be a következő adatokat:

    Paraméter Leírás
    Tenant ID A Directory (tenant) ID Microsoft Entra-azonosítóban regisztrált kapcsolódó alkalmazás.
    Client ID A Directory (tenant) ID Microsoft Entra-azonosítóban regisztrált kapcsolódó alkalmazás.
    Client secret A Value Microsoft Entra-azonosítóban regisztrált kapcsolódó alkalmazás titkos ügyfélkódja.

  2. Ha még nem ismeri ezt az azonosítót, szerezze be a Microsoft Entra ID szolgáltatásnévhez tartozó megfelelő Azure-előfizetés-azonosítót az alábbi műveletek egyikével:

    • Az Azure Databricks-munkaterület felső navigációs sávján kattintson a felhasználónevére, majd az Azure Portalra. A megjelenő Azure Databricks-munkaterület erőforráslapján kattintson az Oldalsáv Áttekintés gombjára. Ezután keresse meg az Előfizetés azonosítója mezőt, amely tartalmazza az előfizetés azonosítóját.

    • Az Azure CLI használatával futtassa az az databricks-munkaterületlista parancsot az --query-o--output eredmények szűkítéséhez és a beállítások használatával. Cserélje le adb-0000000000000000.0.azuredatabricks.net a munkaterület-példány nevére, a https://. Ebben a példában a 00000000-0000-0000-0000-000000000000 kimenetben a következő /subscriptions/ az előfizetés azonosítója.

      az databricks workspace list --query "[?workspaceUrl==\`adb-0000000000000000.0.azuredatabricks.net\`].{id:id}" -o tsv

# /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-rg/providers/Microsoft.Databricks/workspaces/my-ws

      Ha a következő üzenet jelenik meg, a rendszer nem a megfelelő bérlőbe jelentkezik be: The subscription of '<subscription-id>' doesn't exist in cloud 'AzureCloud'. A megfelelő bérlőbe való bejelentkezéshez újra kell futtatnia a az login parancsot a megfelelő bérlőazonosító vagy --tenant beállítás használatával-t.

      Az Azure Databricks-munkaterület bérlőazonosítóját úgy szerezheti be, hogy futtatja a parancsot curl -v <per-workspace-URL>/aad/auth , és megtekinti a kimenetet < location: https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000, ahol 00000000-0000-0000-0000-000000000000 a bérlőazonosító található. Lásd még : Előfizetés és bérlőazonosítók lekérése az Azure Portalon.

      az login -t <tenant-id>

  3. Miután rendelkezik a Microsoft Entra ID szolgáltatásnévhez tartozó megfelelő Azure-bérlőazonosítóval, ügyfél-azonosítóval, ügyfélkóddal és előfizetés-azonosítóval, jelentkezzen be az Azure-ba az Azure CLI használatával az az login parancs futtatásához. Használja a --service-principal lehetőséget a Microsoft Entra ID azonosítójában regisztrált kapcsolódó alkalmazás (Directory (tenant) ID), Client ID (Application (client) ID) és Client secret (Value) paramétereinek Tenant ID értékeinek megadásával együtt.

    az login \
--service-principal \
-t <Tenant-ID> \
-u <Client-ID> \
-p <Client-secret>

  4. Győződjön meg arról, hogy a bejelentkezett Microsoft Entra ID szolgáltatásnév megfelelő előfizetésére jelentkezett be. Ehhez futtassa az az account set parancsot a -s--subscription megfelelő előfizetés-azonosító vagy beállítás használatával.

    az account set -s <subscription-id>

  5. Hozza létre a Microsoft Entra ID hozzáférési jogkivonatát a bejelentkezett Microsoft Entra ID szolgáltatásnévhez az az account get-access-token parancs futtatásával. Ezzel a --resource beállítással megadhatja az Azure Databricks szolgáltatás egyedi erőforrás-azonosítóját, amely az 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d. A parancs kimenetében csak a Microsoft Entra ID-token értékét jelenítheti meg az és -o--output a --query beállítások használatával.

    az account get-access-token \
--resource 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d \
--query "accessToken" \
-o tsv

Feljegyzés

Az MSAL-alapú Azure CLI a Microsoft Authentication Libraryt (MSAL) használja alapul szolgáló hitelesítési kódtárként. Ha nem tudja sikeresen használni az Azure CLI által létrehozott Microsoft Entra ID hozzáférési jogkivonatot, alternatív megoldásként megpróbálhatja közvetlenül az MSAL használatával lekérni a Microsoft Entra ID hozzáférési jogkivonatát egy Microsoft Entra ID szolgáltatásnévhez. A szolgáltatásnevekhez lásd: Microsoft Entra ID-jogkivonatok beszerzése.