Mecanismo de autenticación
Nota:
Retiraremos Azure HDInsight en AKS el 31 de enero de 2025. Antes del 31 de enero de 2025, deberá migrar las cargas de trabajo a Microsoft Fabric o un producto equivalente de Azure para evitar la terminación repentina de las cargas de trabajo. Los clústeres restantes de la suscripción se detendrán y quitarán del host.
Solo el soporte técnico básico estará disponible hasta la fecha de retirada.
Importante
Esta funcionalidad actualmente está en su versión preliminar. En Términos de uso complementarios para las versiones preliminares de Microsoft Azure encontrará más términos legales que se aplican a las características de Azure que están en versión beta, en versión preliminar, o que todavía no se han lanzado con disponibilidad general. Para más información sobre esta versión preliminar específica, consulte la Información de Azure HDInsight sobre la versión preliminar de AKS. Para plantear preguntas o sugerencias sobre la característica, envíe una solicitud en AskHDInsight con los detalles y síganos para obtener más actualizaciones en Comunidad de Azure HDInsight.
Trino con HDInsight en AKS proporciona herramientas como el cliente de la CLI, el controlador JDBC, etc., para acceder al clúster, que se integra con el identificador entra de Microsoft para simplificar la autenticación de los usuarios. Las herramientas o clientes admitidos deben autenticarse mediante los estándares de OAuth2 de Microsoft Entra ID que son, se debe proporcionar un token de acceso JWT emitido por el identificador de Microsoft Entra al punto de conexión del clúster.
En esta sección se describen los flujos de autenticación comunes admitidos por las herramientas.
Introducción a los flujos de autenticación
Se admiten los siguientes flujos de autenticación.
Nota:
El nombre está reservado y debe usarse para especificar cierto flujo.
| Nombre | Parámetros obligatorios | Parámetros opcionales | Descripción |
|---|---|---|---|
| AzureDefault | Ninguno | Id. de inquilino, id. de cliente | Se ha diseñado para usarse durante el desarrollo en un entorno interactivo. En la mayoría de los casos, el usuario inicia sesión con el explorador. Consulte los detalles. |
| AzureInteractive | Ninguno | Id. de inquilino, id. de cliente | El usuario se autentica mediante el explorador. Consulte los detalles. |
| AzureDeviceCode | Ninguno | Id. de inquilino, id. de cliente | Diseñado para entornos en los que el explorador no está disponible. El código de dispositivo proporcionado al usuario requiere una acción para iniciar sesión en otro dispositivo mediante el código y el explorador. |
| AzureClientSecret | Id. de inquilino, id. de cliente, secreto de cliente | Ninguno | Se usa la identidad de la entidad de servicio, las credenciales necesarias y no interactivas. |
| AzureClientCertificate | Id. de inquilino, id. de cliente, ruta de acceso del archivo de certificado | Secreto/contraseña. Si se proporciona, se usa para descifrar el certificado PFX. De lo contrario, espera el formato PEM. | Se usa la identidad de entidad de servicio, el certificado necesario y no interactivo. Consulte los detalles. |
| AzureManagedIdentity | Id. de inquilino, id. de cliente | Ninguno | Usa la identidad administrada del entorno, por ejemplo, en máquinas virtuales de Azure o pods de AKS. |
Flujo de AzureDefault
Este flujo es el modo predeterminado para la CLI de Trino y JDBC si no se especifica el parámetro auth. En este modo, la herramienta cliente intenta obtener el token mediante varios métodos hasta que se adquiere el token.
En la siguiente ejecución encadenada, si no se encuentra el token o se produce un error en la autenticación, el proceso continuará con el siguiente método:
defaultAzureCredential: >AzureInteractive> AzureDeviceCode (si no hay explorador)
Flujo de AzureInteractive
Este modo se usa cuando se proporciona auth=AzureInteractive o como parte de la ejecución encadenada de AzureDefault.
Nota:
Si el explorador está disponible, mostrará el mensaje de autenticación y esperará la acción del usuario. Si el explorador no está disponible, se revertirá al flujo de AzureDeviceCode.
Flujo de AzureClientCertificate
Permite usar archivos PEM/PFX(PKCS #12) para la autenticación de la entidad de servicio. Si se proporciona secreto/contraseña, espera el archivo en formato PFX(PKCS #12) y usa el secreto para descifrar el archivo. Si no se proporciona el secreto, espera que el archivo con formato PEM incluya claves privadas y públicas.
Variables de entorno
Todos los parámetros necesarios se pueden proporcionar directamente a la CLI/JDBC en argumentos o cadena de conexión. Algunos de los parámetros opcionales, si no se proporcionan, se buscan en variables de entorno.
Nota:
Asegúrese de comprobar las variables de entorno si tiene problemas de autenticación. Pueden afectar al flujo.
En la tabla siguiente se describen los parámetros que se pueden configurar en variables de entorno para los distintos flujos de autenticación.
Solo se usarán si no se proporciona el parámetro correspondiente en la línea de comandos o en la cadena de conexión.
| Nombre de la variable | Flujos de autenticación aplicables | Descripción |
|---|---|---|
| AZURE_TENANT_ID | All | Identificador de inquilino de Microsoft Entra. |
| AZURE_CLIENT_ID | AzureClientSecret, AzureClientCertificate, AzureManagedIdentity | Id. de cliente de aplicación o entidad de seguridad. |
| AZURE_CLIENT_SECRET | AzureClientSecret, AzureClientCertificate | Secreto o contraseña para la entidad de servicio o el archivo de certificado. |
| AZURE_CLIENT_CERTIFICATE_PATH | AzureClientCertificate | Ruta de acceso al archivo de certificado. |