Механизм аутентификации
Примечание.
Мы отставим Azure HDInsight в AKS 31 января 2025 г. До 31 января 2025 г. необходимо перенести рабочие нагрузки в Microsoft Fabric или эквивалентный продукт Azure, чтобы избежать резкого прекращения рабочих нагрузок. Оставшиеся кластеры в подписке будут остановлены и удалены из узла.
До даты выхода на пенсию будет доступна только базовая поддержка.
Внимание
Эта функция в настоящее время доступна для предварительного ознакомления. Дополнительные условия использования для предварительных версий Microsoft Azure включают более юридические термины, применимые к функциям Azure, которые находятся в бета-версии, в предварительной версии или в противном случае еще не выпущены в общую доступность. Сведения об этой конкретной предварительной версии см. в статье Azure HDInsight в предварительной версии AKS. Для вопросов или предложений функций отправьте запрос на AskHDInsight с подробными сведениями и следуйте за нами для получения дополнительных обновлений в сообществе Azure HDInsight.
Trino с HDInsight в AKS предоставляет такие средства, как клиент CLI, драйвер JDBC и т. д., чтобы получить доступ к кластеру, который интегрирован с идентификатором Microsoft Entra, чтобы упростить проверку подлинности для пользователей. Поддерживаемые средства или клиенты должны проходить проверку подлинности с помощью стандартов OAuth2 идентификатора Microsoft Entra, которые являются, маркер доступа JWT, выданный идентификатором Microsoft Entra, должен быть предоставлен конечной точке кластера.
В этом разделе описываются распространенные потоки проверки подлинности, поддерживаемые средствами.
Общие сведения о потоках проверки подлинности
Поддерживаются следующие потоки проверки подлинности.
Примечание.
Имя зарезервировано и должно использоваться для указания определенного потока.
| Имя. | Обязательные параметры | Необязательные параметры | Description |
|---|---|---|---|
| AzureDefault | нет | Идентификатор клиента, идентификатор клиента | Предназначено для использования во время разработки в интерактивной среде. В большинстве случаев вход пользователя с помощью браузера. См . подробные сведения. |
| AzureInteractive | нет | Идентификатор клиента, идентификатор клиента | Пользователь проходит проверку подлинности с помощью браузера. См . подробные сведения. |
| AzureDeviceCode | нет | Идентификатор клиента, идентификатор клиента | Предназначено для сред, где браузер недоступен. Код устройства, предоставленный пользователю, требует действия для входа на другое устройство с помощью кода и браузера. |
| AzureClientSecret | Идентификатор клиента, идентификатор клиента, секрет клиента | нет | Используется удостоверение субъекта-службы, необходимые учетные данные, неинтерактивные. |
| AzureClientCertificate | Идентификатор клиента, идентификатор клиента, путь к файлу сертификата | Секрет или пароль. Если это указано, используется для расшифровки сертификата PFX. В противном случае ожидается формат PEM. | Используется удостоверение субъекта-службы, обязательный сертификат, неинтерактивный. См . подробные сведения. |
| AzureManagedIdentity | Идентификатор клиента, идентификатор клиента | нет | Использует управляемое удостоверение среды, например на виртуальных машинах Azure или модулях pod AKS. |
Поток AzureDefault
Этот поток используется по умолчанию для Интерфейса командной строки Trino и JDBC, если auth параметр не указан. В этом режиме клиентское средство пытается получить маркер с помощью нескольких методов до получения маркера.
В следующем цепочке выполнения, если маркер не найден или проверка подлинности завершается ошибкой, процесс продолжится следующим методом:
DefaultAzureCredential ->AzureInteractive —> AzureDeviceCode (если браузер отсутствует)
Поток AzureInteractive
Этот режим используется в auth=AzureInteractive случае предоставления или в рамках AzureDefault цепочки выполнения.
Примечание.
Если браузер доступен, отобразится запрос проверки подлинности и ожидается действие пользователя. Если браузер недоступен, он откатится к потоку AzureDeviceCode .
Поток AzureClientCertificate
Позволяет использовать файлы PEM/PFX(PKCS #12) для проверки подлинности субъекта-службы. Если указан секрет или пароль, ожидается файл в формате PFX(PKCS #12) и используется секрет для расшифровки файла. Если секрет не указан, ожидается, что форматированный файл PEM будет включать закрытые и открытые ключи.
Переменные среды
Все необходимые параметры можно предоставить интерфейсу командной строки или JDBC непосредственно в аргументах или строка подключения. Некоторые необязательные параметры, если они не указаны, отображаются в переменных среды.
Примечание.
Не забудьте проверить переменные среды при возникновении проблем с проверкой подлинности. Они могут повлиять на поток.
В следующей таблице описаны параметры, которые можно настроить в переменных среды для различных потоков проверки подлинности.
Они будут использоваться только в том случае, если соответствующий параметр не указан в командной строке или строка подключения.
| Имя переменной | Применимые потоки проверки подлинности | Description |
|---|---|---|
| AZURE_TENANT_ID | Все | Идентификатор клиента Microsoft Entra. |
| AZURE_CLIENT_ID | AzureClientSecret, AzureClientCertificate, AzureManagedIdentity | Идентификатор клиента приложения или субъекта. |
| AZURE_CLIENT_SECRET | AzureClientSecret, AzureClientCertificate | Секрет или пароль для субъекта-службы или файла сертификата. |
| AZURE_CLIENT_CERTIFICATE_PATH | AzureClientCertificate | Путь к файлу сертификата. |