使用 Azure CLI 为用户获取 Microsoft Entra ID(以前称为 Azure Active Directory)令牌
重要
本文介绍如何使用 Azure CLI 为用户手动创建 Microsoft Entra ID(旧称 Azure Active Directory)令牌。
Databricks 不建议为 Azure Databricks 用户手动创建 Microsoft Entra ID(旧称 Azure Active Directory)令牌。 这是因为每个 Microsoft Entra ID 令牌的生存期很短,通常在一小时内就会过期。 在此时间之后,必须手动生成替换 Microsoft Entra ID 令牌。 请改用实现 Databricks 客户端统一身份验证标准的参与工具或 SDK 之一。 这些工具和 SDK 利用 Azure CLI 身份验证,自动生成并替换过期的 Microsoft Entra ID 令牌。
可以使用 Azure CLI 为用户获取 Microsoft Entra ID 访问令牌。
注意
还可以在 Microsoft Entra ID 中定义服务主体,然后为该服务主体(而不是用户)获取 Microsoft Entra ID 访问令牌。 请参阅获取服务主体的 Microsoft Entra ID(旧称 Azure Active Directory)令牌。
如果你还不知道你的用户帐户的正确 Azure 订阅 ID,请执行下列操作之一来获取它:
在 Azure Databricks 工作区的顶部导航栏中,单击你的用户名,然后单击“Azure 门户”。 在显示的 Azure Databricks 工作区资源页上,单击边栏中的“概述”。 然后查找“订阅 ID”字段,其中包含订阅 ID。
使用 Azure CLI 运行 az databricks workspace list 命令,使用
--query和-o或--output选项缩小结果范围。 将adb-0000000000000000.0.azuredatabricks.net替换为你的工作区实例的名称,不包括https://。 在此示例中,输出中/subscriptions/后的00000000-0000-0000-0000-000000000000是订阅 ID。az databricks workspace list --query "[?workspaceUrl==\`adb-0000000000000000.0.azuredatabricks.net\`].{id:id}" -o tsv # /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-rg/providers/Microsoft.Databricks/workspaces/my-ws如果显示了以下消息,则表示登录到了错误的租户:
The subscription of '<subscription-id>' doesn't exist in cloud 'AzureCloud'.若要登录到正确的租户,必须再次运行az login命令,使用-t或--tenant选项指定正确的租户 ID。可以通过运行命令
curl -v <per-workspace-URL>/aad/auth并查看输出< location: https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000来获取 Azure Databricks 工作区的租户 ID,其中的00000000-0000-0000-0000-000000000000是租户 ID。 另请参阅在 Azure 门户中获取订阅和租户 ID。az login -t <tenant-id>
获得了你的用户帐户正确的 Azure 订阅 ID 后,开始使用 Azure CLI 运行 az login 命令登录到 Azure。 运行此命令后,按照屏幕上的说明使用帐户登录。
az login确认你已登录到已登录用户的正确订阅。 为此,请运行 az account set 命令,使用
-s或--subscription选项指定正确的订阅 ID。az account set -s <subscription-id>通过运行 az account get-access-token 命令生成 Microsoft Entra ID(旧称 Azure Active Directory)访问令牌。 使用
--resource选项指定 Azure Databricks 服务的唯一资源 ID,即2ff814a6-3304-4ab8-85cb-cd0e6f879c1d。 可以使用--query和-o或--output选项在命令的输出中仅显示 Microsoft Entra ID 令牌的值。az account get-access-token \ --resource 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d \ --query "accessToken" \ -o tsv
注意
基于 MSAL 的 Azure CLI 使用 Microsoft 身份验证库 (MSAL) 作为基础身份验证库。 如果无法成功使用 Azure CLI 生成的 Microsoft Entra ID 访问令牌,作为替代方法,你可以尝试直接使用 MSAL 为用户获取 Microsoft Entra ID 访问令牌。 请参阅使用 MSAL 为用户获取 Microsoft Entra ID(以前称为 Azure Active Directory)令牌。