Azure CLI を使用してユーザーの Microsoft Entra ID (旧称 Azure Active Directory) トークンを取得する

重要

この記事では、Azure CLI を使ってユーザーの Microsoft Entra ID (旧称 Azure Active Directory) トークンを手動で作成する方法について説明します。

Databricks では、Azure Databricks ユーザー用の Microsoft Entra ID (旧称 Azure Active Directory) トークンを手動で作成することはお勧めしません。 これは、各 Microsoft Entra ID トークンは有効期間が短く、通常は 1 時間以内に期限切れになるためです。 この時間が経過したら、代わりの Microsoft Entra ID トークンを手動で生成する必要があります。 代わりに、Databricks クライアント統合認証標準を実装している関係ツールまたは SDK のいずれかを使用してください。 これらのツールと SDK は、Azure CLI 認証を利用して、期限切れの Microsoft Entra ID トークンを自動的に生成して置き換えます。

ユーザーの Microsoft Entra ID アクセス トークンは、Azure CLI を使用して取得できます。

Note

Azure Active Directory でサービス プリンシパルを定義したうえで、ユーザーではなくサービス プリンシパルの Microsoft Entra ID アクセス トークンを取得することもできます。 「サービス プリンシパルの Microsoft Entra ID (旧称 Azure Active Directory) トークンを取得する」を参照してください。

1. ユーザー アカウントの正しい Azure サブスクリプション ID を取得するには、次のいずれかを実行します。

   • Azure Databricks ワークスペースの上部バーで、ユーザー名をクリックし、[Azure Portal] をクリックします。 Azure Databricks ワークスペース リソース ページが表示されたら、サイドバーの [概要] をクリックします。 次に、サブスクリプション ID が含まれる [サブスクリプション ID] フィールドを探します。

   • Azure CLI を使用して az databricks workspace list コマンドを実行し、--query と -o または --output オプションを使用して結果を絞り込みます。 adb-0000000000000000.0.azuredatabricks.net をご自分のワークスペース インスタンスの名前に置き換えます。https:// は含めません。 この例では、出力の /subscriptions/ の後の 00000000-0000-0000-0000-000000000000 がサブスクリプション ID です。

     az databricks workspace list --query "[?workspaceUrl==\`adb-0000000000000000.0.azuredatabricks.net\`].{id:id}" -o tsv
     
     # /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-rg/providers/Microsoft.Databricks/workspaces/my-ws
     

     "The subscription of '<subscription-id>' doesn't exist in cloud 'AzureCloud'." というメッセージが表示された場合、間違ったテナントにサインインしています。正しいテナントにサインインするためには、az login コマンドをもう一度実行する必要があります。-t または --tenant オプションを使用して正しいテナント ID を指定してください。

     Azure Databricks ワークスペースのテナント ID は、curl -v <per-workspace-URL>/aad/auth コマンドを実行して、出力 < location: https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000 を確認するとわかります。00000000-0000-0000-0000-000000000000 がテナント ID です。 「Azure portal でサブスクリプションとテナントの ID を取得する」も参照してください。

     az login -t <tenant-id>
     

2. ユーザー アカウントの正しい Azure サブスクリプション ID を取得したら、まず Azure CLI を使用して Azure にサインインし、az login コマンドを実行します。 このコマンドを実行した後、画面の指示に従って、自分のアカウントでのサインインを完了します。

   az login
   

3. 登録済みユーザーとして正しいサブスクリプションにサインインしていることを確認します。 これを行うには、-s または --subscription オプションを使用して正しいサブスクリプション ID を指定して、az account set コマンドを実行します。

   az account set -s <subscription-id>
   

4. az account get-access-token コマンドを実行して Microsoft Entra ID (旧称 Azure Active Directory) アクセス トークンを生成します。 --resource オプションを使用して、Azure Databricks サービスの一意のリソース ID (2ff814a6-3304-4ab8-85cb-cd0e6f879c1d) を指定します。 コマンドの出力に Microsoft Entra ID トークンの値だけを表示するには、--query、-o、または --output オプションを使用します。

   az account get-access-token \
   --resource 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d \
   --query "accessToken" \
   -o tsv
   

Note

MSAL ベースの Azure CLI では、基になる認証ライブラリとして Microsoft Authentication Library (MSAL) が使用されます。 Azure CLI で生成される Microsoft Entra ID アクセス トークンが正常に使用できない場合は、MSAL を直接使用してユーザーの Microsoft Entra ID アクセス トークンを取得することもできます。 「MSAL を使用してユーザーの Microsoft Entra ID (旧称 Azure Active Directory) トークンを取得する」を参照してください。