Mecanismo de autenticação
Importante
O Azure HDInsight no AKS foi desativado em 31 de janeiro de 2025. Saiba mais com este anúncio.
Você precisa migrar suas cargas de trabalho para Microsoft Fabric ou um produto equivalente do Azure para evitar o encerramento abrupto de suas cargas de trabalho.
Importante
Esta funcionalidade está atualmente em pré-visualização. Os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure incluem mais termos legais que se aplicam às funcionalidades do Azure que estão em versão beta, em prévia, ou que ainda não estão disponíveis para o público em geral. Para obter informações sobre essa visualização específica, consulte Azure HDInsight no AKS informações de visualização. Para perguntas ou sugestões de funcionalidades, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para obter mais atualizações sobre a Comunidade do Azure HDInsight.
O Trino com HDInsight no AKS fornece ferramentas como cliente CLI, driver JDBC, etc., para acessar o cluster, que é integrado ao Microsoft Entra ID para simplificar a autenticação para os usuários. As ferramentas ou clientes suportados precisam autenticar-se usando os padrões OAuth2 do Microsoft Entra ID. Para isso, é necessário fornecer ao ponto de extremidade do cluster um token de acesso JWT emitido pelo Microsoft Entra ID.
Esta seção descreve os fluxos de autenticação comuns suportados pelas ferramentas.
Visão geral dos fluxos de autenticação
Os seguintes fluxos de autenticação são suportados.
Observação
O nome é reservado e deve ser usado para especificar determinado fluxo.
| Nome | Parâmetros necessários | Parâmetros opcionais | Descrição |
|---|---|---|---|
| AzureDefault | Nenhum | ID do inquilino, ID do cliente | Destinado a ser usado durante o desenvolvimento em ambiente interativo. Na maioria das vezes, o utilizador inicia sessão usando o navegador. Consulte os detalhes . |
| AzureInteractive | Nenhum | ID do inquilino, ID do cliente | O usuário se autentica usando o navegador. Veja detalhes. |
| AzureDeviceCode | Nenhum | ID do inquilino, ID do cliente | Destinado a ambientes onde o navegador não está disponível. O código do dispositivo fornecido ao usuário requer uma ação para entrar em outro dispositivo usando o código e o navegador. |
| AzureClientSecret | ID do inquilino, ID do cliente, segredo do cliente | Nenhum | A identidade da entidade de serviço é utilizada, sendo necessárias credenciais, sem interação. |
| AzureClientCertificate | ID do locatário, ID do cliente, caminho do arquivo de certificado | Segredo/palavra-passe. Se fornecido, usado para descriptografar o certificado PFX. Caso contrário, espera o formato PEM. | É usada a identidade da entidade de serviço, certificado necessário, não interativo. Consulte os detalhes . |
| AzureManagedIdentity | ID do inquilino, ID do cliente | Nenhum | Usa a identidade gerenciada do ambiente, por exemplo, em VMs do Azure ou pods AKS. |
Fluxo AzureDefault
Este fluxo é o modo predefinido para a CLI Trino e o JDBC caso o parâmetro auth não seja especificado. Nesse modo, a ferramenta cliente tenta obter o token usando vários métodos até que o token seja adquirido.
Na seguinte execução encadeada, se o token não for encontrado ou a autenticação falhar, o processo continuará com o próximo método:
DefaultAzureCredential ->AzureInteractive -> AzureDeviceCode (caso não haja navegador)
Fluxo Interativo Azure
Este modo é usado quando auth=AzureInteractive é fornecido ou como parte da execução encadeada de AzureDefault.
Observação
Se o navegador estiver disponível, ele mostrará o prompt de autenticação e aguardará a ação do usuário. Se o navegador não estiver disponível, irá recorrer ao fluxo AzureDeviceCode.
Fluxo de Certificados de Cliente Azure
Permite usar arquivos PEM/PFX(PKCS #12) para autenticação da entidade de serviço. Se a palavra-passe/segredo for fornecido, espera o ficheiro no formato PFX (PKCS #12) e usa a palavra-passe/segredo para desencriptar o ficheiro. Se o segredo não for fornecido, espera que o arquivo formatado PEM inclua chaves privadas e públicas.
Variáveis de ambiente
Todos os parâmetros necessários podem ser fornecidos à CLI/JDBC diretamente em argumentos ou cadeia de conexão. Alguns dos parâmetros opcionais, se não fornecidos, são pesquisados em variáveis de ambiente.
Observação
Certifique-se de verificar as variáveis de ambiente se você enfrentar problemas de autenticação. Podem afetar o fluxo.
A tabela a seguir descreve os parâmetros que podem ser configurados em variáveis de ambiente para os diferentes fluxos de autenticação.
Eles só serão usados se o parâmetro correspondente não for fornecido na linha de comando ou na cadeia de conexão.
| Nome da variável | Fluxos de autenticação aplicáveis | Descrição |
|---|---|---|
| AZURE_TENANT_ID | Tudo | ID de locatário do Microsoft Entra. |
| AZURE_CLIENT_ID | AzureClientSecret, AzureClientCertificate, AzureManagedIdentity | ID do aplicativo/cliente principal. |
| AZURE_CLIENT_SECRET | AzureClientSecret, AzureClientCertificate | Segredo ou palavra-passe para o principal de serviço ou arquivo de certificado. |
| AZURE_CLIENT_CERTIFICATE_PATH | AzureClientCertificate | Caminho para o arquivo de certificado. |