Aracılığıyla paylaş

Azure CLI kullanarak Microsoft Entra ID hizmet sorumluları için Microsoft Entra ID belirteçleri alma

  • Makale

Önemli

Bu makalede, Azure CLI kullanarak Microsoft Entra ID hizmet sorumluları için Microsoft Entra ID belirteçlerinin el ile nasıl oluşturulacağı açıklanır.

Azure Databricks tarafından yönetilen hizmet sorumluları doğrudan Azure Databricks içinde yönetilir. Microsoft Entra Id yönetilen hizmet sorumluları, ek izinler gerektiren Microsoft Entra ID'de yönetilir. Databricks, çoğu kullanım örneği için Azure Databricks yönetilen hizmet sorumlularını kullanmanızı önerir. Ancak Databricks, Azure Databricks ve diğer Azure kaynaklarıyla aynı anda kimlik doğrulaması yapmanız gereken durumlarda Microsoft Entra ID yönetilen hizmet sorumlularını kullanmanızı önerir.

Microsoft Entra ID yönetilen hizmet sorumlusu yerine Azure Databricks yönetilen hizmet sorumlusu oluşturmak için bkz . Hizmet sorumlularını yönetme.

Databricks, Microsoft Entra ID hizmet sorumluları için Microsoft Entra ID belirteçlerini el ile oluşturmanızı önermez. Bunun nedeni, her Microsoft Entra Id belirtecinin kısa süreli olması ve genellikle bir saat içinde süresinin dolmasıdır. Bu süreden sonra, el ile yeni bir Microsoft Entra Id belirteci oluşturmanız gerekir. Bunun yerine, Databricks istemcisi birleşik kimlik doğrulama standardını uygulayan katılımcı araçlardan veya SDK'lardan birini kullanın. Bu araçlar ve SDK'lar, aşağıdaki Databricks kimlik doğrulama türlerinden yararlanarak süresi dolan Microsoft Entra ID belirteçlerini sizin için otomatik olarak oluşturur ve değiştirir:

Microsoft Entra ID hizmet sorumluları için Microsoft Entra Id erişim belirteçlerini almak için Azure CLI'yi kullanabilirsiniz.

  1. Aşağıdaki bilgileri toplayın:

    Parametre Açıklama
    Tenant ID Directory (tenant) ID Microsoft Entra Id'de kayıtlı ilgili uygulama için.
    Client ID Directory (tenant) ID Microsoft Entra Id'de kayıtlı ilgili uygulama için.
    Client secret Value Microsoft Entra Id'de kayıtlı ilgili uygulama için istemci gizli dizisinin.

  2. Bu kimliği bilmiyorsanız, aşağıdakilerden birini yaparak Microsoft Entra ID hizmet sorumlusu için doğru Azure abonelik kimliğini alın:

    • Azure Databricks çalışma alanınızın üst gezinti çubuğunda kullanıcı adınıza ve ardından Azure Portal'a tıklayın. Görüntülenen Azure Databricks çalışma alanı kaynak sayfasında kenar çubuğunda Genel Bakış'a tıklayın. Ardından abonelik kimliğini içeren Abonelik Kimliği alanını arayın.

    • Sonuçları daraltmak için ve -o veya --output seçeneklerini kullanarak --query az databricks workspace list komutunu çalıştırmak için Azure CLI'yi kullanın. yerine adb-0000000000000000.0.azuredatabricks.net çalışma alanı örneğinizin adını yazın, değerini dahil https://etme. Bu örnekte, 00000000-0000-0000-0000-000000000000 çıktının sonunda /subscriptions/ abonelik kimliği yer alır.

      az databricks workspace list --query "[?workspaceUrl==\`adb-0000000000000000.0.azuredatabricks.net\`].{id:id}" -o tsv

# /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-rg/providers/Microsoft.Databricks/workspaces/my-ws

      Aşağıdaki ileti görüntülenirse, yanlış kiracıda oturum açmış olursunuz: The subscription of '<subscription-id>' doesn't exist in cloud 'AzureCloud'. Doğru kiracıda oturum açmak için, doğru kiracı kimliğini belirtmek için veya --tenant seçeneğini kullanarak -t komutu yeniden çalıştırmanız az login gerekir.

      Komutunu curl -v <per-workspace-URL>/aad/auth çalıştırıp çıktıya < location: https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000bakarak Azure Databricks çalışma alanının kiracı kimliğini alabilirsiniz. Burada 00000000-0000-0000-0000-000000000000 kiracı kimliğidir. Ayrıca bkz. Azure portalında abonelik ve kiracı kimliklerini alma.

      az login -t <tenant-id>

  3. Microsoft Entra ID hizmet sorumlunuz için doğru Azure kiracı kimliğine, istemci kimliğine, gizli diziye ve abonelik kimliğine sahip olduktan sonra az login komutunu çalıştırmak için Azure CLI kullanarak Azure'da oturum açın. --service-principal Microsoft Entra Id'de kayıtlı ilgili uygulama için (Directory (tenant) ID), Client ID (Application (client) ID) ve Client secret (Value) parametrelerinin Tenant ID değerlerini belirtmeyle birlikte seçeneğini kullanın.

    az login \
--service-principal \
-t <Tenant-ID> \
-u <Client-ID> \
-p <Client-secret>

  4. Oturum açmış Microsoft Entra Id hizmet sorumlunuz için doğru abonelikte oturum açtığınızı onaylayın. Bunu yapmak için, doğru abonelik kimliğini belirtmek için veya --subscription seçeneğini kullanarak -s az account set komutunu çalıştırın.

    az account set -s <subscription-id>

  5. az account get-access-token komutunu çalıştırarak oturum açmış Microsoft Entra ID hizmet sorumlusu için Microsoft Entra ID erişim belirtecini oluşturun. --resource Azure Databricks hizmetinin benzersiz kaynak kimliğini (olan2ff814a6-3304-4ab8-85cb-cd0e6f879c1d) belirtmek için seçeneğini kullanın. ve -o veya --output seçeneklerini kullanarak --query komutun çıkışında yalnızca Microsoft Entra Id belirtecinin değerini görüntüleyebilirsiniz.

    az account get-access-token \
--resource 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d \
--query "accessToken" \
-o tsv

Not

MSAL tabanlı Azure CLI, temel alınan kimlik doğrulama kitaplığı olarak Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) kullanır. Azure CLI'nin oluşturduğu Microsoft Entra ID erişim belirtecini başarıyla kullanamıyorsanız alternatif olarak, Microsoft Entra ID hizmet sorumlusu için Microsoft Entra ID erişim belirtecini almak için MSAL'yi doğrudan kullanmayı deneyebilirsiniz. Bkz . Hizmet sorumluları için Microsoft Entra Id belirteçlerini alma.