Freigeben über

Authentifizierungsmechanismus

  • Artikel

Wichtig

Azure HDInsight auf AKS wurde am 31. Januar 2025 eingestellt. Erfahren Sie mehr über durch diese Ankündigung.

Sie müssen Ihre Workloads zu Microsoft Fabric oder ein gleichwertiges Azure-Produkt migrieren, um eine abrupte Beendigung Ihrer Workloads zu vermeiden.

Wichtig

Dieses Feature befindet sich derzeit in der Vorschau. Die zusätzlichen Nutzungsbedingungen für Microsoft Azure Previews weitere rechtliche Bestimmungen enthalten, die für Azure-Features gelten, die in der Betaversion, in der Vorschau oder auf andere Weise noch nicht in die allgemeine Verfügbarkeit veröffentlicht werden. Informationen zu dieser spezifischen Vorschau finden Sie unter Azure HDInsight in den Informationen zur AKS-Vorschau. Für Fragen oder Funktionsvorschläge senden Sie bitte eine Anfrage über AskHDInsight mit den Details und folgen Sie uns, um weitere Updates zur Azure HDInsight Communityzu erhalten.

Trino mit HDInsight auf AKS bietet Tools wie einen CLI-Client, einen JDBC-Treiber usw., um auf den Cluster zuzugreifen. Dieser ist in Microsoft Entra ID integriert, um die Authentifizierung für Benutzer zu vereinfachen. Unterstützte Tools oder Clients müssen sich mithilfe von OAuth2-Standards von Microsoft Entra ID authentifizieren, d. h. ein JWT-Zugriffstoken, das von Microsoft Entra ID ausgestellt wird, muss dem Clusterendpunkt bereitgestellt werden.

In diesem Abschnitt werden allgemeine Authentifizierungsflüsse beschrieben, die von den Tools unterstützt werden.

Übersicht über Authentifizierungsflüsse

Die folgenden Authentifizierungsflüsse werden unterstützt.

Anmerkung

Der Name ist reserviert und sollte verwendet werden, um einen bestimmten Fluss anzugeben.

Name Erforderliche Parameter Optionale Parameter Beschreibung
AzureDefault Nichts Mandanten-ID, Kunden-ID Soll während der Entwicklung in interaktiver Umgebung verwendet werden. In den meisten Fällen wird die Benutzeranmeldung über den Browser ausgeführt. Siehe dir die Details von an.
AzureInteractive Nichts Mandanten-ID, Klienten-ID Der Benutzer authentifiziert sich mithilfe des Browsers. Siehe die Details zu .
AzureDeviceCode Nichts Mandanten-ID, Kunden-ID Für Umgebungen vorgesehen, in denen der Browser nicht verfügbar ist. Gerätecode, der dem Benutzer bereitgestellt wird, erfordert eine Aktion zum Anmelden auf einem anderen Gerät mithilfe des Codes und Browsers.
AzureClientSecret Mandanten-ID, Kunden-ID, Client-Geheimnis Nichts Dienstprinzipalidentität wird verwendet, Anmeldeinformationen erforderlich, nicht interaktiv.
AzureClientCertificate Mandanten-ID, Klienten-ID, Zertifikatdateipfad Geheim/Kennwort. Wenn angegeben, wird zum Entschlüsseln des PFX-Zertifikats verwendet. Andernfalls wird das PEM-Format erwartet. Eine Dienstprinzipalidentität wird verwendet, Zertifikat erforderlich, ohne Benutzerinteraktion. Siehe Details zu .
AzureManagedIdentity Mandanten-ID, Kunden-ID Nichts Verwendet verwaltete Identität der Umgebung, z. B. auf Azure-VMs oder AKS-Pods.

AzureDefault-Fluss

Dieser Modus ist der Standardmodus für Trino CLI und JDBC, wenn der auth-Parameter nicht angegeben ist. In diesem Modus versucht das Clienttool, das Token mithilfe mehrerer Methoden abzurufen, bis das Token abgerufen wird. Wenn das Token nicht gefunden wird oder die Authentifizierung fehlschlägt, wird die folgende verkettete Ausführung mit der nächsten Methode fortgesetzt:

DefaultAzureCredential ->AzureInteractive -> AzureDeviceCode (wenn kein Browser)

AzureInteractive-Flow

Dieser Modus wird verwendet, wenn auth=AzureInteractive vorhanden ist oder als Teil der verketteten Ausführung von AzureDefault.

Anmerkung

Wenn der Browser verfügbar ist, wird eine Authentifizierungsaufforderung angezeigt und die Benutzeraktion erwartet. Wenn der Browser nicht verfügbar ist, wird auf den Fallback des AzureDeviceCode-Flows zurückgegriffen.

AzureClientCertificate-Ablauf

Ermöglicht die Verwendung von PEM/PFX(PKCS #12)-Dateien für die Dienstprinzipalauthentifizierung. Wenn eine geheime Information oder ein Kennwort angegeben wird, erwartet das System die Datei im PFX(PKCS #12)-Format und verwendet die geheime Information, um die Datei zu entschlüsseln. Wenn kein geheimer Schlüssel bereitgestellt wird, wird erwartet, dass die formatierte PEM-Datei private und öffentliche Schlüssel enthält.

Umgebungsvariablen

Alle erforderlichen Parameter können CLI/JDBC direkt in Argumenten oder in der Verbindungszeichenfolge bereitgestellt werden. Einige der optionalen Parameter werden, falls nicht angegeben, in Umgebungsvariablen abgerufen.

Anmerkung

Überprüfen Sie die Umgebungsvariablen, wenn Authentifizierungsprobleme auftreten. Sie können sich auf den Fluss auswirken.

In der folgenden Tabelle werden die Parameter beschrieben, die in Umgebungsvariablen für die verschiedenen Authentifizierungsflüsse konfiguriert werden können.
Sie werden nur verwendet, wenn der entsprechende Parameter nicht in der Befehlszeile oder Verbindungszeichenfolgeangegeben ist.

Variablenname Anwendbare Authentifizierungsflüsse Beschreibung
AZURE_TENANT_ID Alle Microsoft Entra-Mandanten-ID.
AZURE_CLIENT_ID AzureClientSecret, AzureClientCertificate, AzureManagedIdentity Anwendungs-/Prinzipal-Client-ID.
AZURE_CLIENT_SECRET AzureClientSecret, AzureClientCertificate Geheimnis oder Passwort für einen Dienstprinzipal oder eine Zertifikatsdatei.
AZURE_CLIENT_CERTIFICATE_PATH AzureClientCertificate Pfad zur Zertifikatdatei.