Mechanismus ověřování
Důležitý
Azure HDInsight v AKS byl vyřazen 31. ledna 2025. Zjistěte více v tomto oznámení.
Abyste se vyhnuli náhlému ukončení úloh, musíte migrovat úlohy do Microsoft Fabric nebo ekvivalentního produktu Azure.
Důležitý
Tato funkce je aktuálně ve verzi Preview. doplňkové podmínky použití pro verze Preview Microsoft Azure obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, ve verzi Preview nebo ještě nebyly vydány v obecné dostupnosti. Informace o této konkrétní verzi náhledu najdete v tématu Azure HDInsight na AKS. Pokud máte dotazy nebo návrhy funkcí, odešlete prosím žádost na AskHDInsight s podrobnostmi a sledujte nás pro další aktualizace komunity Azure HDInsight.
Trino se službou HDInsight v AKS poskytuje nástroje, jako je klient rozhraní příkazového řádku, ovladač JDBC atd., pro přístup ke clusteru, který je integrovaný s ID Microsoft Entra, aby se zjednodušilo ověřování pro uživatele. Podporované nástroje nebo klienti se musí ověřit pomocí standardů Microsoft Entra ID OAuth2, přičemž přístupový token JWT vydaný Microsoft Entra ID musí být poskytnut koncovému bodu clusteru.
Tato část popisuje běžné toky ověřování podporované nástroji.
Přehled toků ověřování
Podporují se následující toky ověřování.
Poznámka
Název je vyhrazený a měl by se použít k určení určitého toku.
| Jméno | Požadované parametry | Volitelné parametry | Popis |
|---|---|---|---|
| AzureDefault | Žádný | ID tenanta, ID klienta | Slouží k použití při vývoji v interaktivním prostředí. Ve většině případů se uživatel přihlašuje pomocí prohlížeče. Viz podrobnosti. |
| AzureInteractive | Žádný | ID tenanta, ID klienta | Uživatel se ověřuje pomocí prohlížeče. Viz podrobnosti. |
| AzureDeviceCode | Žádný | ID tenanta, ID klienta | Určeno pro prostředí, kde není prohlížeč dostupný. Kód zařízení poskytnutý uživateli vyžaduje akci pro přihlášení k jinému zařízení pomocí kódu a prohlížeče. |
| AzureClientSecret | ID tenanta, ID klienta, tajný klíč klienta | Žádný | Používá se identita služebního principálu, vyžadují se přihlašovací údaje, neinteraktivní. |
| AzureClientCertificate | ID tenanta, ID klienta, cesta k souboru certifikátu | Tajný kód nebo heslo. Pokud je k dispozici, používá se k dešifrování certifikátu PFX. Jinak očekává formát PEM. | Používá se identita služebního principála, vyžaduje se certifikát, neinteraktivně. Viz podrobnosti. |
| AzureManagedIdentity | ID tenanta, ID klienta | Žádný | Používá spravovanou identitu prostředí, například na virtuálních počítačích Azure nebo podech AKS. |
Výchozí tok Azure
Tento tok je výchozí režim pro Trino CLI a JDBC, pokud není zadaný parametr auth. V tomto režimu se klientský nástroj pokusí získat token pomocí několika metod, dokud se token nezíská.
V následujícím zřetězeném provedení, pokud se token nenajde, nebo se ověření nezdaří, proces bude pokračovat na další metodu:
DefaultAzureCredential –>AzureInteractive –> AzureDeviceCode (pokud není k dispozici prohlížeč)
AzureInteractive tok
Tento režim se používá, pokud je auth=AzureInteractive poskytnut nebo jako součást zřetězeného spuštění AzureDefault.
Poznámka
Pokud je prohlížeč dostupný, zobrazí se výzva k ověření a čeká na akci uživatele. Pokud prohlížeč není dostupný, vrátí se do AzureDeviceCode procesu.
Tok AzureClientCertificate
Umožňuje používat soubory PEM/PFX (PKCS #12) pro ověřování služebního principálu. Pokud je zadán tajný klíč nebo heslo, očekává soubor ve formátu PFX(PKCS #12) a použije tajný kód k dešifrování souboru. Pokud tajný klíč není zadaný, očekává, že soubor ve formátu PEM bude obsahovat privátní a veřejné klíče.
Proměnné prostředí
Všechny požadované parametry je možné poskytnout rozhraní příkazového řádku nebo JDBC přímo v argumentech nebo připojovacím řetězci. Některé volitelné parametry, pokud nejsou zadané, se vyhledají v proměnných prostředí.
Poznámka
Pokud máte problémy s ověřováním, nezapomeňte zkontrolovat proměnné prostředí. Mohou ovlivnit průběh.
Následující tabulka popisuje parametry, které je možné nakonfigurovat v proměnných prostředí pro různé toky ověřování.
Budou použity pouze v případě, že odpovídající parametr není zadaný v příkazovém řádku nebo připojovacím řetězci.
| Název proměnné | Použitelné toky ověřování | Popis |
|---|---|---|
| AZURE_TENANT_ID | Všichni | Identifikátor tenanta Microsoft Entra. |
| AZURE_CLIENT_ID | AzureClientSecret, AzureClientCertificate, AzureManagedIdentity | ID hlavního klienta aplikace. |
| AZURE_CLIENT_SECRET | AzureClientSecret, AzureClientCertificate | Tajný klíč nebo heslo pro službu nebo certifikátový soubor. |
| AZURE_CLIENT_CERTIFICATE_PATH | AzureClientCertificate | Cesta k souboru certifikátu |