Поделиться через


Вход в Azure CLI с помощью служебного субъекта Microsoft Entra ID

Выполните следующие шаги, чтобы использовать Azure CLI для входа в Azure Databricks с помощью учетной записи службы Microsoft Entra. Сведения о субъектах-службах Azure Databricks см. в статье "Управление субъектами-службами".

  1. Соберите следующие сведения:

    Параметр Описание
    Tenant ID Для Directory (tenant) ID связанного приложения, зарегистрированного в идентификаторе Microsoft Entra.
    Client ID Для Application (client) ID связанного приложения, зарегистрированного в Microsoft Entra ID.
    Client secret Секрет Value клиента для связанного приложения, зарегистрированного в идентификаторе Microsoft Entra.
  2. Получите правильный идентификатор подписки Azure для учетной записи службы Microsoft Entra ID, если вы еще не знаете его, выполнив одно из следующих действий:

    • В верхней панели навигации рабочей области Azure Databricks нажмите на свое имя пользователя, а затем выберите портал Azure. На появившемся ресурсе рабочей области Azure Databricks щелкните " Обзор " на боковой панели. Затем найдите поле "Идентификатор подписки", содержащее идентификатор подписки.

    • Используйте Azure CLI для выполнения команды az databricks workspace list, используя параметры --query и -o или --output, чтобы сузить результаты. Замените adb-0000000000000000.0.azuredatabricks.net названием экземпляра рабочей области, не включая https://. В этом примере 00000000-0000-0000-0000-000000000000 после /subscriptions/ в выходных данных — это идентификатор подписки.

      az databricks workspace list --query "[?workspaceUrl==\`adb-0000000000000000.0.azuredatabricks.net\`].{id:id}" -o tsv
      
      # /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-rg/providers/Microsoft.Databricks/workspaces/my-ws
      

      Если отображается следующее сообщение, вы вошли в неправильный клиент: The subscription of '<subscription-id>' doesn't exist in cloud 'AzureCloud'. чтобы войти в правильный клиент, необходимо выполнить az login команду еще раз, используя -t или --tenant параметр, чтобы указать правильный идентификатор клиента.

      Вы можете получить идентификатор клиента для рабочей области Azure Databricks, выполнив команду curl -v <per-workspace-URL>/aad/auth и выбрав выходные < location: https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000, где 00000000-0000-0000-0000-000000000000 является идентификатором клиента. См. также получение идентификаторов подписок и клиентов на портале Azure.

      az login -t <tenant-id>
      
  3. После получения правильного идентификатора арендатора Azure, идентификатора клиента, секрета клиента и идентификатора подписки для учетной записи Microsoft Entra ID, войдите в Azure, используя Azure CLI для выполнения команды az login. Используйте параметр --service-principal вместе с указанием значений параметров Tenant ID (Directory (tenant) ID), Client ID (Application (client) ID) и Client secret (Value) для связанного приложения, зарегистрированного в идентификаторе Microsoft Entra.

    az login \
    --service-principal \
    -t <Tenant-ID> \
    -u <Client-ID> \
    -p <Client-secret>
    
  4. Убедитесь, что вы вошли в правильную подписку для субъекта-службы идентификатора Microsoft Entra ID. Для этого выполните команду az account set, используя параметр -s или --subscription, чтобы указать правильный идентификатор подписки.

    az account set -s <subscription-id>