Condividi tramite

Meccanismo di autenticazione

  • Articolo

Importante

Azure HDInsight su AKS è stato ritirato il 31 gennaio 2025. Scopri di più con questo annuncio.

È necessario eseguire la migrazione dei carichi di lavoro a Microsoft Fabric o a un prodotto Azure equivalente per evitare la chiusura brusca dei carichi di lavoro.

Importante

Questa funzionalità è attualmente in anteprima. Le condizioni supplementari per l'utilizzo per le anteprime di Microsoft Azure includono termini legali più validi applicabili alle funzionalità di Azure in versione beta, in anteprima o altrimenti non ancora rilasciate nella disponibilità generale. Per informazioni su questa anteprima specifica, vedere informazioni sull'anteprima di Azure HDInsight su AKS. Per domande o suggerimenti sulle funzionalità, inviare una richiesta in AskHDInsight con i dettagli e seguire Microsoft per altri aggiornamenti su Community di Azure HDInsight.

Trino con HDInsight su AKS fornisce strumenti come il client dell'interfaccia a riga di comando, il driver JDBC e così via, per accedere al cluster, integrato con Microsoft Entra ID per semplificare l'autenticazione per gli utenti. Gli strumenti o i client supportati devono eseguire l'autenticazione utilizzando gli standard OAuth2 di Microsoft Entra ID, ovvero un token di accesso JWT rilasciato da Microsoft Entra ID deve essere fornito al punto finale del cluster.

Questa sezione descrive i flussi di autenticazione comuni supportati dagli strumenti.

Panoramica dei flussi di autenticazione

Sono supportati i flussi di autenticazione seguenti.

Nota

Il nome è riservato e deve essere usato per specificare un determinato flusso.

Nome Parametri obbligatori Parametri facoltativi Descrizione
AzureDefault Nessuno ID del tenant, ID del cliente Destinato a essere usato durante lo sviluppo in un ambiente interattivo. Nella maggior parte dei casi, l'accesso utente viene eseguito con il browser. Vedi i dettagli .
AzureInteractive Nessuno ID tenant, ID client L'utente esegue l'autenticazione con il browser. Vedi i dettagli .
AzureDeviceCode Nessuno ID tenant, ID client Destinato agli ambienti in cui il browser non è disponibile. Il codice del dispositivo fornito all'utente richiede un'azione per accedere a un altro dispositivo usando il codice e il browser.
AzureClientSecret ID tenant, ID cliente, segreto cliente Nessuno L'identità del principal del servizio viene utilizzata, le credenziali sono richieste e sono non interattive.
AzureClientCertificate ID del tenant, ID del client, percorso del file del certificato Segreto/password. Se specificato, usato per decrittografare il certificato PFX. In caso contrario, prevede il formato PEM. Viene usata l'identità dell'entità servizio, il certificato obbligatorio, non interattivo. Vedi i dettagli .
AzureManagedIdentity ID tenant, ID client Nessuno Usa l'identità gestita dell'ambiente, ad esempio nelle macchine virtuali di Azure o nei pod di Azure Kubernetes Service (AKS).

Flusso AzurePredefinito

Questo flusso è la modalità predefinita per l'interfaccia della riga di comando di Trino e JDBC se auth parametro non è specificato. In questa modalità, lo strumento client tenta di ottenere il token usando diversi metodi fino all'acquisizione del token. Nell'esecuzione concatenato seguente, se il token non viene trovato o l'autenticazione non riesce, il processo continuerà con il metodo successivo:

DefaultAzureCredential ->AzureInteractive -> AzureDeviceCode (se non è disponibile un browser)

Flusso Interattivo di Azure

Questa modalità viene usata quando auth=AzureInteractive viene fornito o come parte dell'esecuzione concatenata di AzureDefault.

Nota

Se il browser è disponibile, visualizzerà la richiesta di autenticazione e attende l'azione dell'utente. Se il browser non è disponibile, passerà al flusso di AzureDeviceCode.

Flusso del certificato client Azure

Consente di usare i file PEM/PFX (PKCS #12) per l'autenticazione del principal del servizio. Se viene specificato il segreto/password, prevede il formato PFX (PKCS #12) e usa il segreto per decrittografare il file. Se il segreto non viene specificato, prevede che il file con formattazione PEM includa chiavi private e pubbliche.

Variabili di ambiente

Tutti i parametri obbligatori possono essere forniti direttamente all'interfaccia della riga di comando/JDBC negli argomenti o nella stringa di connessione. Alcuni dei parametri facoltativi, se non specificati, vengono cercati nelle variabili di ambiente.

Nota

Assicurarsi di controllare le variabili di ambiente in caso di problemi di autenticazione. Possono influire sul flusso.

Nella tabella seguente vengono descritti i parametri che possono essere configurati nelle variabili di ambiente per i diversi flussi di autenticazione.
verranno usati solo se il parametro corrispondente non viene fornito nella riga di comando o nella stringa di connessione.

Nome variabile Flussi di autenticazione applicabili Descrizione
AZURE_TENANT_ID Tutto ID tenant di Microsoft Entra.
AZURE_CLIENT_ID AzureClientSecret, AzureClientCertificate, AzureManagedIdentity ID client applicazione/cliente principale.
AZURE_CLIENT_SECRET AzureClientSecret, AzureClientCertificate Segreto o password per il servizio principale o il file del certificato.
AZURE_CLIENT_CERTIFICATE_PATH AzureClientCertificate Percorso del file di certificato.