Azure CLI kullanarak Microsoft Entra ID hizmet sorumluları için Microsoft Entra ID belirteçleri alma
Önemli
Bu makalede, Azure CLI kullanarak Microsoft Entra ID hizmet sorumluları için Microsoft Entra ID belirteçlerinin el ile nasıl oluşturulacağı açıklanır.
Azure Databricks tarafından yönetilen hizmet sorumluları doğrudan Azure Databricks içinde yönetilir. Microsoft Entra Id yönetilen hizmet sorumluları, ek izinler gerektiren Microsoft Entra ID'de yönetilir. Databricks, çoğu kullanım örneği için Azure Databricks yönetilen hizmet sorumlularını kullanmanızı önerir. Ancak Databricks, Azure Databricks ve diğer Azure kaynaklarıyla aynı anda kimlik doğrulaması yapmanız gereken durumlarda Microsoft Entra ID yönetilen hizmet sorumlularını kullanmanızı önerir.
Microsoft Entra ID yönetilen hizmet sorumlusu yerine Azure Databricks yönetilen hizmet sorumlusu oluşturmak için bkz . Hizmet sorumlularını yönetme.
Databricks, Microsoft Entra ID hizmet sorumluları için Microsoft Entra ID belirteçlerini el ile oluşturmanızı önermez. Bunun nedeni, her Microsoft Entra Id belirtecinin kısa süreli olması ve genellikle bir saat içinde süresinin dolmasıdır. Bu süreden sonra, el ile yeni bir Microsoft Entra Id belirteci oluşturmanız gerekir. Bunun yerine, Databricks istemcisi birleşik kimlik doğrulama standardını uygulayan katılımcı araçlardan veya SDK'lardan birini kullanın. Bu araçlar ve SDK'lar, aşağıdaki Databricks kimlik doğrulama türlerinden yararlanarak süresi dolan Microsoft Entra ID belirteçlerini sizin için otomatik olarak oluşturur ve değiştirir:
Microsoft Entra ID hizmet sorumluları için Microsoft Entra Id erişim belirteçlerini almak için Azure CLI'yi kullanabilirsiniz.
Aşağıdaki bilgileri toplayın:
Parametre Açıklama Tenant ID
Directory (tenant) ID
Microsoft Entra Id'de kayıtlı ilgili uygulama için.Client ID
Directory (tenant) ID
Microsoft Entra Id'de kayıtlı ilgili uygulama için.Client secret
Value
Microsoft Entra Id'de kayıtlı ilgili uygulama için istemci gizli dizisinin.Bu kimliği bilmiyorsanız, aşağıdakilerden birini yaparak Microsoft Entra ID hizmet sorumlusu için doğru Azure abonelik kimliğini alın:
Azure Databricks çalışma alanınızın üst gezinti çubuğunda kullanıcı adınıza ve ardından Azure Portal'a tıklayın. Görüntülenen Azure Databricks çalışma alanı kaynak sayfasında kenar çubuğunda Genel Bakış'a tıklayın. Ardından abonelik kimliğini içeren Abonelik Kimliği alanını arayın.
Sonuçları daraltmak için ve
-o
veya--output
seçeneklerini kullanarak--query
az databricks workspace list komutunu çalıştırmak için Azure CLI'yi kullanın. yerineadb-0000000000000000.0.azuredatabricks.net
çalışma alanı örneğinizin adını yazın, değerini dahilhttps://
etme. Bu örnekte,00000000-0000-0000-0000-000000000000
çıktının sonunda/subscriptions/
abonelik kimliği yer alır.az databricks workspace list --query "[?workspaceUrl==\`adb-0000000000000000.0.azuredatabricks.net\`].{id:id}" -o tsv # /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-rg/providers/Microsoft.Databricks/workspaces/my-ws
Aşağıdaki ileti görüntülenirse, yanlış kiracıda oturum açmış olursunuz:
The subscription of '<subscription-id>' doesn't exist in cloud 'AzureCloud'.
Doğru kiracıda oturum açmak için, doğru kiracı kimliğini belirtmek için veya--tenant
seçeneğini kullanarak-t
komutu yeniden çalıştırmanızaz login
gerekir.Komutunu
curl -v <per-workspace-URL>/aad/auth
çalıştırıp çıktıya< location: https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000
bakarak Azure Databricks çalışma alanının kiracı kimliğini alabilirsiniz. Burada00000000-0000-0000-0000-000000000000
kiracı kimliğidir. Ayrıca bkz. Azure portalında abonelik ve kiracı kimliklerini alma.az login -t <tenant-id>
Microsoft Entra ID hizmet sorumlunuz için doğru Azure kiracı kimliğine, istemci kimliğine, gizli diziye ve abonelik kimliğine sahip olduktan sonra az login komutunu çalıştırmak için Azure CLI kullanarak Azure'da oturum açın.
--service-principal
Microsoft Entra Id'de kayıtlı ilgili uygulama için (Directory (tenant) ID
),Client ID
(Application (client) ID
) veClient secret
(Value
) parametrelerininTenant ID
değerlerini belirtmeyle birlikte seçeneğini kullanın.az login \ --service-principal \ -t <Tenant-ID> \ -u <Client-ID> \ -p <Client-secret>
Oturum açmış Microsoft Entra Id hizmet sorumlunuz için doğru abonelikte oturum açtığınızı onaylayın. Bunu yapmak için, doğru abonelik kimliğini belirtmek için veya
--subscription
seçeneğini kullanarak-s
az account set komutunu çalıştırın.az account set -s <subscription-id>
az account get-access-token komutunu çalıştırarak oturum açmış Microsoft Entra ID hizmet sorumlusu için Microsoft Entra ID erişim belirtecini oluşturun.
--resource
Azure Databricks hizmetinin benzersiz kaynak kimliğini (olan2ff814a6-3304-4ab8-85cb-cd0e6f879c1d
) belirtmek için seçeneğini kullanın. ve-o
veya--output
seçeneklerini kullanarak--query
komutun çıkışında yalnızca Microsoft Entra Id belirtecinin değerini görüntüleyebilirsiniz.az account get-access-token \ --resource 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d \ --query "accessToken" \ -o tsv
Not
MSAL tabanlı Azure CLI, temel alınan kimlik doğrulama kitaplığı olarak Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) kullanır. Azure CLI'nin oluşturduğu Microsoft Entra ID erişim belirtecini başarıyla kullanamıyorsanız alternatif olarak, Microsoft Entra ID hizmet sorumlusu için Microsoft Entra ID erişim belirtecini almak için MSAL'yi doğrudan kullanmayı deneyebilirsiniz. Bkz . Hizmet sorumluları için Microsoft Entra Id belirteçlerini alma.