Mecanismo de autenticação
Importante
O Azure HDInsight no AKS se aposentou em 31 de janeiro de 2025. Saiba mais neste comunicado.
Você precisa migrar suas cargas de trabalho para microsoft fabric ou um produto equivalente do Azure para evitar o encerramento abrupto de suas cargas de trabalho.
Importante
Esse recurso está atualmente em versão prévia. Os termos de uso complementares para o Microsoft Azure Previews incluem mais termos legais que se aplicam aos recursos do Azure que estão em versão beta, em versão prévia ou ainda não lançados em disponibilidade geral. Para obter informações sobre essa versão prévia específica, consulte Azure HDInsight em informações de visualização do AKS. Para perguntas ou sugestões de recursos, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para obter mais atualizações na Comunidade do Azure HDInsight.
O Trino com HDInsight no AKS fornece ferramentas como o cliente da CLI, o driver JDBC etc., para acessar o cluster, que é integrado à ID do Microsoft Entra para simplificar a autenticação para os usuários. Ferramentas ou clientes com suporte precisam se autenticar usando os padrões OAuth2 do Microsoft Entra ID, ou seja, um token de acesso JWT emitido pelo Microsoft Entra ID deve ser fornecido para o endpoint do cluster.
Esta seção descreve fluxos comuns de autenticação compatíveis com as ferramentas.
Visão geral dos fluxos de autenticação
Há suporte para os fluxos de autenticação a seguir.
Nota
O nome é reservado e deve ser usado para especificar determinado fluxo.
| Nome | Parâmetros necessários | Parâmetros opcionais | Descrição |
|---|---|---|---|
| AzureDefault | Nenhum | ID do locatário, ID do cliente | Destinado a ser usado durante o desenvolvimento em ambiente interativo. Na maioria dos casos, o usuário entra usando o navegador. Veja detalhes. |
| AzureInteractive | Nenhum | ID do locatário, ID do cliente | O usuário é autenticado usando o navegador. Consulte os detalhes de . |
| AzureDeviceCode | Nenhum | ID do locatário, ID do cliente | Destinado a ambientes em que o navegador não está disponível. O código do dispositivo fornecido ao usuário requer uma ação para entrar em outro dispositivo usando o código e o navegador. |
| AzureClientSecret | ID do locatário, ID do cliente, segredo do cliente | Nenhum | A identidade da entidade de serviço é usada, credenciais necessárias, não interativo. |
| AzureClientCertificate | ID do locatário, ID do cliente, caminho do arquivo de certificado | Segredo/senha. Se fornecido, usado para descriptografar o certificado PFX. Caso contrário, espera o formato PEM. | A identidade do principal de serviço é usada, certificado necessário, não interativo. Veja detalhes . |
| AzureManagedIdentity | ID do locatário, ID do cliente | Nenhum | Usa a identidade gerenciada do ambiente, por exemplo, em VMs do Azure ou pods AKS. |
Fluxo do AzureDefault
Esse fluxo é o modo padrão para a CLI do Trino e o JDBC se auth parâmetro não for especificado. Nesse modo, a ferramenta cliente tenta obter o token usando vários métodos até que o token seja adquirido.
Na seguinte execução encadeada, se o token não for encontrado ou a autenticação falhar, o processo continuará com o próximo método:
DefaultAzureCredential –> AzureInteractive –> AzureDeviceCode (se não houver navegador)
Fluxo do AzureInteractive
Esse modo é usado quando auth=AzureInteractive é fornecido ou como parte da execução encadeada de AzureDefault.
Nota
Se o navegador estiver disponível, ele mostrará o prompt de autenticação e aguardará a ação do usuário. Se o navegador não estiver disponível, ele recorrerá ao fluxo AzureDeviceCode.
Fluxo do AzureClientCertificate
Permite usar arquivos PEM/PFX (PKCS #12) para autenticação de entidade de serviço. Se o segredo/senha for fornecido, espera o arquivo no formato PFX(PKCS #12) e usará o segredo para descriptografar o arquivo. Se o segredo não for fornecido, espera que o arquivo formatado em PEM inclua chaves públicas e privadas.
Variáveis de ambiente
Todos os parâmetros necessários podem ser fornecidos à CLI/JDBC diretamente em argumentos ou cadeia de conexão. Alguns dos parâmetros opcionais, se não fornecidos, são pesquisados em variáveis de ambiente.
Nota
Verifique as variáveis de ambiente se você enfrentar problemas de autenticação. Eles podem afetar o fluxo.
A tabela a seguir descreve os parâmetros que podem ser configurados em variáveis de ambiente para os diferentes fluxos de autenticação.
eles serão usados somente se o parâmetro correspondente não for fornecido na linha de comando ou na cadeia de conexão.
| Nome da variável | Fluxos de autenticação aplicáveis | Descrição |
|---|---|---|
| AZURE_TENANT_ID | Todos | ID do locatário do Microsoft Entra. |
| AZURE_CLIENT_ID | AzureClientSecret, AzureClientCertificate, AzureManagedIdentity | ID principal do cliente do aplicativo. |
| AZURE_CLIENT_SECRET | AzureClientSecret, AzureClientCertificate | Segredo ou senha para entidade de serviço ou arquivo de certificado. |
| AZURE_CLIENT_CERTIFICATE_PATH | AzureClientCertificate | Caminho para o arquivo de certificado. |