Authenticatiemechanisme
Belangrijk
Azure HDInsight op AKS is op 31 januari 2025 buiten gebruik gesteld. Meer te weten komen over via deze aankondiging.
U moet uw workloads migreren naar Microsoft Fabric- of een gelijkwaardig Azure-product om plotselinge beëindiging van uw workloads te voorkomen.
Belangrijk
Deze functie is momenteel beschikbaar als preview-versie. De aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews meer juridische voorwaarden bevatten die van toepassing zijn op Azure-functies die bèta, in preview of anderszins nog niet in algemene beschikbaarheid zijn vrijgegeven. Zie Azure HDInsight in AKS preview-informatievoor meer informatie over deze specifieke preview. Voor vragen of suggesties voor functies dient u een aanvraag in op AskHDInsight- met de details en volgt u ons voor meer updates over Azure HDInsight Community-.
Trino met HDInsight in AKS biedt hulpprogramma's zoals CLI-client, JDBC-stuurprogramma enzovoort, voor toegang tot het cluster, dat is geïntegreerd met Microsoft Entra-id om de verificatie voor gebruikers te vereenvoudigen. Ondersteunde hulpprogramma's of clients moeten worden geverifieerd met behulp van OAuth2-standaarden van Microsoft Entra ID, een JWT-toegangstoken dat is uitgegeven door Microsoft Entra-id, moet worden verstrekt aan het clustereindpunt.
In deze sectie worden algemene verificatiestromen beschreven die worden ondersteund door de hulpprogramma's.
Overzicht van verificatiestromen
De volgende verificatiestromen worden ondersteund.
Notitie
De naam is gereserveerd en moet worden gebruikt om bepaalde stroom op te geven.
| Naam | Vereiste parameters | Optionele parameters | Beschrijving |
|---|---|---|---|
| AzureDefault | Geen | Tenant-ID, client-ID | Bedoeld om te worden gebruikt tijdens de ontwikkeling in een interactieve omgeving. In de meeste gevallen meldt de gebruiker zich aan met behulp van de browser. Zie gegevens. |
| AzureInteractive | Geen | Tenant ID, client ID | De gebruiker wordt geverifieerd met behulp van de browser. Zie details van . |
| AzureDeviceCode | Geen | Tenant ID, client ID | Bedoeld voor omgevingen waar de browser niet beschikbaar is. Apparaatcode die aan de gebruiker wordt verstrekt, vereist een actie om zich aan te melden op een ander apparaat met behulp van de code en browser. |
| AzureClientSecret | Tenant-id, client-id, clientgeheim | Geen | Service-principal-identiteit wordt gebruikt, inloggegevens vereist, niet-interactief. |
| AzureClientCertificate | Tenant-id, client-id, pad naar certificaatbestand | Geheim/wachtwoord. Indien opgegeven, wordt gebruikt om PFX-certificaat te ontsleutelen. Anders wordt PEM-indeling verwacht. | De identiteit van de service-principal wordt gebruikt, een certificaat is vereist en de procedure is niet-interactief. Zie de details van . |
| AzureManagedIdentity | Tenant-ID, client-ID | Geen | Maakt gebruik van een beheerde identiteit van de omgeving, bijvoorbeeld op Azure-VM's of AKS-pods. |
AzureDefault-flow
Deze stroom is de standaardmodus voor de Trino CLI en JDBC als auth parameter niet is opgegeven. In deze modus probeert het clienthulpprogramma het token te verkrijgen met behulp van verschillende methoden totdat het token is verkregen.
In de volgende ketenuitvoering, als het token niet is gevonden of verificatie mislukt, wordt het proces voortgezet met de volgende methode:
DefaultAzureCredential- ->AzureInteractive- -> AzureDeviceCode (indien geen browser)
Azure Interactive Flow
Deze modus wordt gebruikt wanneer auth=AzureInteractive wordt opgegeven of als onderdeel van de gekoppelde uitvoering van AzureDefault.
Notitie
Als de browser beschikbaar is, wordt er een verificatieprompt weergegeven en wordt de actie van de gebruiker verwacht. Als de browser niet beschikbaar is, valt deze terug op AzureDeviceCode-proces.
AzureClientCertificate-proces
Hiermee kunt u PEM-/PFX-bestanden (PKCS #12) gebruiken voor verificatie van de service-principal. Als geheim/wachtwoord is opgegeven, verwacht u een bestand in PFX-indeling (PKCS #12) en gebruikt u het geheim om het bestand te ontsleutelen. Als er geen geheim is opgegeven, wordt verwacht dat het met PEM opgemaakte bestand persoonlijke en openbare sleutels bevat.
Omgevingsvariabelen
Alle vereiste parameters kunnen rechtstreeks in argumenten of verbindingsreeksen aan CLI/JDBC worden verstrekt. Sommige van de optionele parameters, indien niet opgegeven, worden opgezoekd in omgevingsvariabelen.
Notitie
Zorg ervoor dat u omgevingsvariabelen controleert als u problemen ondervindt met verificatie. Ze kunnen van invloed zijn op de stroom.
In de volgende tabel worden de parameters beschreven die kunnen worden geconfigureerd in omgevingsvariabelen voor de verschillende verificatiestromen.
Ze worden alleen gebruikt als de bijbehorende parameter niet is opgegeven in de opdrachtregel of verbindingsreeks.
| Variabelenaam | Toepasselijke verificatiestromen | Beschrijving |
|---|---|---|
| AZURE_TENANT_ID | Alle | Tenant-id van Microsoft Entra. |
| AZURE_CLIENT_ID | AzureClientSecret, AzureClientCertificate, AzureManagedIdentity | Client-id voor applicatie/principaal. |
| AZURE_CLIENT_SECRET | AzureClientSecret, AzureClientCertificate | Geheim of wachtwoord voor service-principal of certificaatbestand. |
| AZURE_CLIENT_CERTIFICATE_PATH | AzureClientCertificate | Pad naar certificaatbestand. |