Compartilhar via

Obter tokens de ID do Microsoft Entra para usuários usando a CLI do Azure

  • Artigo

Importante

Este artigo descreve como criar manualmente tokens de ID do Microsoft Entra para usuários usando a CLI do Azure.

O Databricks não recomenda que você crie tokens de ID do Microsoft Entra para usuários do Azure Databricks manualmente. Isso ocorre porque cada token da ID do Microsoft Entra é de curta duração, normalmente expirando em uma hora. Após esse tempo, você deve gerar manualmente um token de ID do Microsoft Entra substituto. Em vez disso, use uma das ferramentas ou SDKs participantes que implementam o padrão de autenticação unificada do cliente Databricks. Essas ferramentas e SDKs geram e substituem automaticamente os tokens expirados do Microsoft Entra ID, aproveitando os seguintes tipos de autenticação da CLI do Azure.

Você pode usar o Azure CLI para obter tokens de acesso do Microsoft Entra ID para usuários.

Nota

Você também pode definir uma entidade de serviço no Azure Active Directory e, em seguida, obter um token de acesso do Microsoft Entra ID para essa entidade de serviço, em vez de um usuário. Consulte Obter tokens do Microsoft Entra ID para entidades de serviço.

  1. Obtenha a ID de assinatura correta do Azure para sua conta de usuário, se você ainda não conhece essa ID, fazendo um dos seguintes procedimentos:

    • Na barra de navegação superior do workspace do Azure Databricks, clique em seu nome de usuário e clique em Azure Portal. Na página de recursos do espaço de trabalho do Azure Databricks exibida, clique em Visão geral na barra lateral. Em seguida, procure o campo ID da assinatura, que contém a ID da assinatura.

    • Usa a CLI do Azure para executar o comando az databricks workspace list, usando as opções --query, -o ou --output para restringir os resultados. Substitua adb-0000000000000000.0.azuredatabricks.net pelo nome da instância do espaço de trabalho, sem incluir o https://. Neste exemplo, o 00000000-0000-0000-0000-000000000000 após /subscriptions/ na saída é a ID da assinatura.

      az databricks workspace list --query "[?workspaceUrl==\`adb-0000000000000000.0.azuredatabricks.net\`].{id:id}" -o tsv

# /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-rg/providers/Microsoft.Databricks/workspaces/my-ws

      Se a seguinte mensagem for exibida, você estará conectado ao locatário errado: The subscription of '<subscription-id>' doesn't exist in cloud 'AzureCloud'. Para entrar no locatário correto, execute o comando az login novamente, usando a opção -t ou --tenant para especificar a ID de locatário correta.

      Você pode obter a ID do locatário de um workspace do Azure Databricks executando o comando curl -v <per-workspace-URL>/aad/auth e examinando a saída < location: https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000, em que 00000000-0000-0000-0000-000000000000 é a ID do locatário. Veja também Obter IDs de assinatura e locatário no portal do Azure.

      az login -t <tenant-id>

  2. Depois de ter a ID de assinatura correta do Azure para sua conta de usuário, comece a entrar no Azure usando o CLI do Azure para executar o comando az login. Depois de executar esse comando, siga as instruções na tela para concluir a entrada com sua conta.

    az login

  3. Confirme se você está conectado à assinatura correta para o usuário conectado. Para fazer isso, execute o comando az account set, usando a opção -s ou --subscription para especificar a ID da assinatura correta.

    az account set -s <subscription-id>

  4. Gere seu token de acesso do Microsoft Entra ID executando o comando az account get-access-token. Use a opção --resource para especificar a ID de recurso exclusiva para o serviço do Azure Databricks, que é 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d. Você pode exibir somente o valor do token de ID do Microsoft Entra na saída do comando, usando as opções --query e -o, ou --output.

    az account get-access-token \
--resource 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d \
--query "accessToken" \
-o tsv

Nota

A CLI do Azure baseada em MSAL usa a Biblioteca de Autenticação da Microsoft (MSAL) como a biblioteca de autenticação subjacente. Se você não conseguir usar com êxito o token de acesso da ID do Microsoft Entra gerado pela CLI do Azure, como alternativa, poderá tentar usar a MSAL diretamente para obter um token de acesso da ID do Microsoft Entra para um usuário. Consulte Obter tokens do Microsoft Entra ID para usuários usando a MSAL.