Mechanizm uwierzytelniania
Ważny
Usługa Azure HDInsight w usłudze AKS została wycofana 31 stycznia 2025 r. Dowiedz się więcej w tym ogłoszeniu.
Aby uniknąć nagłego kończenia obciążeń, należy przeprowadzić migrację obciążeń do usługi Microsoft Fabric lub równoważnego produktu platformy Azure.
Ważny
Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe warunki użytkowania platformy Microsoft Azure zawierają dodatkowe warunki prawne, które dotyczą funkcji Azure w wersji beta, w wersji zapoznawczej lub które jeszcze nie zostały udostępnione ogólnie. Aby uzyskać informacje na temat tej konkretnej wersji zapoznawczej, zobacz informacje o wersji zapoznawczej Azure HDInsight na AKS . W przypadku pytań lub sugestii dotyczących funkcji, prosimy o przesłanie zgłoszenia na AskHDInsight z podaniem szczegółów i śledzenie nas, aby uzyskać więcej informacji na temat społeczności Azure HDInsight.
Trino z usługą HDInsight w usłudze AKS udostępnia narzędzia, takie jak klient interfejsu wiersza polecenia, sterownik JDBC itp., umożliwiające dostęp do klastra, który jest zintegrowany z Microsoft Entra ID w celu uproszczenia uwierzytelniania dla użytkowników. Obsługiwane narzędzia lub klienci muszą uwierzytelniać się przy użyciu standardów OAuth2 Microsoft Entra ID; token dostępu JWT wystawiony przez Microsoft Entra ID musi zostać dostarczony do punktu końcowego klastra.
W tej sekcji opisano typowe przepływy uwierzytelniania obsługiwane przez narzędzia.
Omówienie przepływów uwierzytelniania
Obsługiwane są następujące przepływy uwierzytelniania.
Notatka
Nazwa jest zarezerwowana i powinna służyć do określania określonego przepływu.
| Nazwa | Wymagane parametry | Parametry opcjonalne | Opis |
|---|---|---|---|
| AzureDefault | Żaden | Identyfikator dzierżawy, identyfikator klienta | Przeznaczone do użycia podczas programowania w środowisku interaktywnym. W większości przypadków logowanie użytkownika przy użyciu przeglądarki. Zobacz szczegóły. |
| AzureInteractive | Żaden | Identyfikator dzierżawy, identyfikator klienta | Użytkownik uwierzytelnia się przy użyciu przeglądarki. Zobacz szczegóły . |
| AzureDeviceCode | Żaden | Identyfikator dzierżawy, identyfikator klienta | Przeznaczone dla środowisk, w których przeglądarka nie jest dostępna. Kod urządzenia dostarczony użytkownikowi wymaga akcji logowania się na innym urządzeniu przy użyciu kodu i przeglądarki. |
| AzureClientSecret | Identyfikator dzierżawy, identyfikator klienta, klucz tajny klienta | Żaden | Używana jest tożsamość głównej usługi, wymagane są poświadczenia, działanie nieinteraktywne. |
| AzureClientCertificate | Identyfikator dzierżawcy, identyfikator klienta, ścieżka pliku certyfikatu | Wpis tajny/hasło. Jeśli jest to podane, służy do odszyfrowywania certyfikatu PFX. W przeciwnym razie oczekuje formatu PEM. | Używana jest tożsamość jednostki usługi, wymagany certyfikat, nieinterakcyjny. Zobacz szczegóły. |
| AzureManagedIdentity | Identyfikator dzierżawy, identyfikator klienta | Żaden | Używa zarządzanej tożsamości środowiska, na przykład na maszynach wirtualnych Azure lub podach AKS. |
Przepływ usługi AzureDefault
Ten przepływ jest trybem domyślnym dla interfejsu wiersza polecenia Trino i JDBC, jeśli nie określono parametru auth. W tym trybie narzędzie klienckie próbuje uzyskać token przy użyciu kilku metod do momentu uzyskania tokenu.
W następującym wykonaniu łańcuchowym, jeśli token nie zostanie znaleziony lub uwierzytelnianie zakończy się niepowodzeniem, proces będzie kontynuowany przy użyciu następnej metody:
DefaultAzureCredential —>AzureInteractive —> AzureDeviceCode (jeśli nie ma przeglądarki)
Interaktywny przepływ Azure
Ten tryb jest używany, gdy auth=AzureInteractive jest dostarczany lub w ramach wykonywania AzureDefault łańcuchowego.
Notatka
Jeśli przeglądarka jest dostępna, zostanie wyświetlony monit o uwierzytelnienie i oczekuje na akcję użytkownika. Jeśli przeglądarka nie jest dostępna, nastąpi powrót do procesu AzureDeviceCode.
Przepływ certyfikatu klienta Azure
Umożliwia używanie plików PEM/PFX(PKCS #12) na potrzeby uwierzytelniania jednostki usługi. Jeśli podano wpis tajny/hasło, oczekuje pliku w formacie PFX(PKCS #12) i używa wpisu tajnego do odszyfrowania pliku. Jeśli wpis tajny nie zostanie podany, oczekuje, że plik sformatowany PEM będzie zawierać klucze prywatne i publiczne.
Zmienne środowiskowe
Wszystkie wymagane parametry mogą być udostępniane interfejsowi wiersza polecenia/JDBC bezpośrednio w argumentach lub parametrach połączenia. Niektóre parametry opcjonalne, jeśli nie zostały podane, są sprawdzane w zmiennych środowiskowych.
Notatka
Pamiętaj, aby sprawdzić zmienne środowiskowe, jeśli występują problemy z uwierzytelnianiem. Mogą one mieć wpływ na przepływ.
W poniższej tabeli opisano parametry, które można skonfigurować w zmiennych środowiskowych dla różnych przepływów uwierzytelniania.
Będą one używane tylko wtedy, gdy odpowiedni parametr nie jest podany w wierszu polecenia lub parametrach połączenia.
| Nazwa zmiennej | Odpowiednie przepływy uwierzytelniania | Opis |
|---|---|---|
| AZURE_TENANT_ID | Wszystko | Identyfikator dzierżawy Microsoft Entra. |
| AZURE_CLIENT_ID | AzureClientSecret, AzureClientCertificate, AzureManagedIdentity | Identyfikator klienta aplikacji/głównego klienta. |
| AZURE_CLIENT_SECRET | AzureClientSecret, AzureClientCertificate | Sekret lub hasło dla jednostki usługi lub pliku certyfikatu. |
| AZURE_CLIENT_CERTIFICATE_PATH | AzureClientCertificate | Ścieżka do pliku certyfikatu. |