Condividi tramite

Get token ID di Microsoft Entra per gli utenti usando Azure CLI

  • Articolo

Importante

Questo articolo descrive come creare manualmente token ID Entra di Microsoft per gli utenti usando l'interfaccia della riga di comando di Azure.

Databricks non consiglia di creare manualmente i token ID di Microsoft Entra per gli utenti di Azure Databricks. Ciò è dovuto al fatto che ogni token ID di Microsoft Entra è di breve durata, in genere scaduto entro un'ora. Dopo questo periodo di tempo, è necessario generate manualmente un token ID Microsoft Entra sostitutivo.After this time, you must manually generate a replacement Microsoft Entra ID token. Usare invece uno degli strumenti o degli SDK partecipanti che implementano lo standard di autenticazione unificata del client Databricks. Questi strumenti e SDK generate automaticamente e sostituiscono automaticamente i token ID Microsoft Entra scaduti, sfruttando 'autenticazione dell'interfaccia della riga di comando di Azure.

È possibile utilizzare l'interfaccia della riga di comando di Azure per get i token di accesso di Microsoft Entra ID per gli utenti.

Nota

È anche possibile definire un'entità servizio in Azure Active Directory e quindi get un token di accesso ID Microsoft Entra per tale entità servizio anziché per un utente. Vedere Get token ID di Microsoft Entra per i principali del servizio.

  1. Get l'ID dell'iscrizione ad Azure corretto per il tuo account utente, se ancora non lo conosci, eseguendo una delle seguenti operazioni:

    • Nella barra di spostamento superiore dell'area di lavoro di Azure Databricks fare clic sul nome utente e quindi su Portale di Azure. Nella pagina della risorsa dell'area di lavoro di Azure Databricks visualizzata fare clic su Panoramica nella barra laterale. Cercare quindi il campo ID sottoscrizione, che contiene l'ID sottoscrizione.

    • Usare la CLI di Azure per eseguire il comando az databricks workspace list, utilizzando le opzioni --query e -o o --output per filtrare i risultati. Sostituire adb-0000000000000000.0.azuredatabricks.net con il nome dell'istanza dell'area di lavoro, non incluso .https:// In questo esempio, il 00000000-0000-0000-0000-000000000000 valore after /subscriptions/ nell'output è l'ID sottoscrizione.

      az databricks workspace list --query "[?workspaceUrl==\`adb-0000000000000000.0.azuredatabricks.net\`].{id:id}" -o tsv

# /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-rg/providers/Microsoft.Databricks/workspaces/my-ws

      Se viene visualizzato il messaggio seguente, si è connessi al tenant errato: The subscription of '<subscription-id>' doesn't exist in cloud 'AzureCloud'. per accedere al tenant corretto, è necessario eseguire di nuovo il az login comando usando l'opzione -t o --tenant per specificare l'ID tenant corretto.

      È possibile get l'ID tenant per un'area di lavoro di Azure Databricks eseguendo il comando curl -v <per-workspace-URL>/aad/auth e cercando nell'output < location: https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000, where00000000-0000-0000-0000-000000000000 è l'ID tenant. Vedere anche Get sottoscrizione e ID tenant nel portale di Azure.

      az login -t <tenant-id>

  2. Dopo aver ottenuto l'ID sottoscrizione di Azure corretto per l'account utente, iniziare ad accedere ad Azure usando l'interfaccia della riga di comando di Azure per eseguire il comando az login . Dopo aver eseguito questo comando, seguire le istruzioni visualizzate per completare l'accesso con l'account.

    az login

  3. Verificare di aver eseguito l'accesso alla sottoscrizione corretta per l'utente connesso. A tale scopo, eseguire il comando az account set, usando l'opzione -s o --subscription per specificare l'ID della sottoscrizione corretto.

    az account set -s <subscription-id>

  4. il token di accesso di Microsoft Entra ID eseguendo il comando az account -access-token . Usare l'opzione --resource per specificare l'ID risorsa univoco per il servizio Azure Databricks, ovvero 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d. È possibile visualizzare solo il valore del token MICROSOFT Entra ID nell'output del comando usando le --query opzioni e -o o --output .

    az account get-access-token \
--resource 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d \
--query "accessToken" \
-o tsv

Nota

L'interfaccia della riga di comando di Azure basata su MSAL usa Microsoft Authentication Library (MSAL) come libreria di autenticazione sottostante. Se non è possibile usare correttamente il token di accesso microsoft Entra ID generato dall'interfaccia della riga di comando di Azure, in alternativa è possibile provare a usare DIRETTAMENTE MSAL per get un token di accesso microsoft Entra ID per un utente. Visualizzare i token ID di Microsoft Entra Get per gli utenti utilizzando MSAL.