Compartir vía


Mecanismo de autenticación

Nota:

Retiraremos Azure HDInsight en AKS el 31 de enero de 2025. Antes del 31 de enero de 2025, deberá migrar las cargas de trabajo a Microsoft Fabric o un producto equivalente de Azure para evitar la terminación repentina de las cargas de trabajo. Los clústeres restantes de la suscripción se detendrán y quitarán del host.

Solo el soporte técnico básico estará disponible hasta la fecha de retirada.

Importante

Esta funcionalidad actualmente está en su versión preliminar. En Términos de uso complementarios para las versiones preliminares de Microsoft Azure encontrará más términos legales que se aplican a las características de Azure que están en versión beta, en versión preliminar, o que todavía no se han lanzado con disponibilidad general. Para más información sobre esta versión preliminar específica, consulte la Información de Azure HDInsight sobre la versión preliminar de AKS. Para plantear preguntas o sugerencias sobre la característica, envíe una solicitud en AskHDInsight con los detalles y síganos para obtener más actualizaciones en Comunidad de Azure HDInsight.

Trino con HDInsight en AKS proporciona herramientas como el cliente de la CLI, el controlador JDBC, etc., para acceder al clúster, que se integra con el identificador entra de Microsoft para simplificar la autenticación de los usuarios. Las herramientas o clientes admitidos deben autenticarse mediante los estándares de OAuth2 de Microsoft Entra ID que son, se debe proporcionar un token de acceso JWT emitido por el identificador de Microsoft Entra al punto de conexión del clúster.

En esta sección se describen los flujos de autenticación comunes admitidos por las herramientas.

Introducción a los flujos de autenticación

Se admiten los siguientes flujos de autenticación.

Nota:

El nombre está reservado y debe usarse para especificar cierto flujo.

Nombre Parámetros obligatorios Parámetros opcionales Descripción
AzureDefault Ninguno Id. de inquilino, id. de cliente Se ha diseñado para usarse durante el desarrollo en un entorno interactivo. En la mayoría de los casos, el usuario inicia sesión con el explorador. Consulte los detalles.
AzureInteractive Ninguno Id. de inquilino, id. de cliente El usuario se autentica mediante el explorador. Consulte los detalles.
AzureDeviceCode Ninguno Id. de inquilino, id. de cliente Diseñado para entornos en los que el explorador no está disponible. El código de dispositivo proporcionado al usuario requiere una acción para iniciar sesión en otro dispositivo mediante el código y el explorador.
AzureClientSecret Id. de inquilino, id. de cliente, secreto de cliente Ninguno Se usa la identidad de la entidad de servicio, las credenciales necesarias y no interactivas.
AzureClientCertificate Id. de inquilino, id. de cliente, ruta de acceso del archivo de certificado Secreto/contraseña. Si se proporciona, se usa para descifrar el certificado PFX. De lo contrario, espera el formato PEM. Se usa la identidad de entidad de servicio, el certificado necesario y no interactivo. Consulte los detalles.
AzureManagedIdentity Id. de inquilino, id. de cliente Ninguno Usa la identidad administrada del entorno, por ejemplo, en máquinas virtuales de Azure o pods de AKS.

Flujo de AzureDefault

Este flujo es el modo predeterminado para la CLI de Trino y JDBC si no se especifica el parámetro auth. En este modo, la herramienta cliente intenta obtener el token mediante varios métodos hasta que se adquiere el token. En la siguiente ejecución encadenada, si no se encuentra el token o se produce un error en la autenticación, el proceso continuará con el siguiente método:

defaultAzureCredential: >AzureInteractive> AzureDeviceCode (si no hay explorador)

Flujo de AzureInteractive

Este modo se usa cuando se proporciona auth=AzureInteractive o como parte de la ejecución encadenada de AzureDefault.

Nota:

Si el explorador está disponible, mostrará el mensaje de autenticación y esperará la acción del usuario. Si el explorador no está disponible, se revertirá al flujo de AzureDeviceCode.

Flujo de AzureClientCertificate

Permite usar archivos PEM/PFX(PKCS #12) para la autenticación de la entidad de servicio. Si se proporciona secreto/contraseña, espera el archivo en formato PFX(PKCS #12) y usa el secreto para descifrar el archivo. Si no se proporciona el secreto, espera que el archivo con formato PEM incluya claves privadas y públicas.

Variables de entorno

Todos los parámetros necesarios se pueden proporcionar directamente a la CLI/JDBC en argumentos o cadena de conexión. Algunos de los parámetros opcionales, si no se proporcionan, se buscan en variables de entorno.

Nota:

Asegúrese de comprobar las variables de entorno si tiene problemas de autenticación. Pueden afectar al flujo.

En la tabla siguiente se describen los parámetros que se pueden configurar en variables de entorno para los distintos flujos de autenticación.
Solo se usarán si no se proporciona el parámetro correspondiente en la línea de comandos o en la cadena de conexión.

Nombre de la variable Flujos de autenticación aplicables Descripción
AZURE_TENANT_ID All Identificador de inquilino de Microsoft Entra.
AZURE_CLIENT_ID AzureClientSecret, AzureClientCertificate, AzureManagedIdentity Id. de cliente de aplicación o entidad de seguridad.
AZURE_CLIENT_SECRET AzureClientSecret, AzureClientCertificate Secreto o contraseña para la entidad de servicio o el archivo de certificado.
AZURE_CLIENT_CERTIFICATE_PATH AzureClientCertificate Ruta de acceso al archivo de certificado.