Механизм проверки подлинности
Важный
Azure HDInsight на AKS выведено из эксплуатации 31 января 2025 г. Узнайте больше в этом объявлении.
Необходимо перенести рабочие нагрузки в Microsoft Fabric или эквивалентный продукт Azure, чтобы избежать резкого завершения рабочих нагрузок.
Важный
Эта функция сейчас доступна в предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure включают дополнительные юридические термины, применимые к функциям Azure, которые находятся в бета-версии, в предварительной версии или в противном случае еще не выпущены в общую доступность. Сведения об этой конкретной предварительной версии см. в Azure HDInsight в предварительной версии AKS. Для вопросов или предложений функций отправьте запрос на AskHDInsight с подробными сведениями и подпишитесь на дополнительные обновления в Azure HDInsight Community.
Trino с HDInsight в AKS предоставляет такие средства, как клиент CLI, драйвер JDBC и т. д., чтобы получить доступ к кластеру, который интегрирован с идентификатором Microsoft Entra, чтобы упростить проверку подлинности для пользователей. Поддерживаемые средства или клиенты должны проходить аутентификацию, используя стандарты OAuth2 системы Microsoft Entra ID. Для этого необходимо предоставить маркер доступа JWT, выданный системой Microsoft Entra ID, конечной точке кластера.
В этом разделе описываются распространенные потоки проверки подлинности, поддерживаемые средствами.
Общие сведения о потоках проверки подлинности
Поддерживаются следующие потоки проверки подлинности.
Заметка
Имя зарезервировано и должно использоваться для указания определенного потока.
Поток AzureDefault
Этот поток используется по умолчанию для Интерфейса командной строки Trino и JDBC, если параметр auth не указан. В этом режиме клиентский инструмент пытается получить токен с помощью нескольких методов, пока он не будет получен.
В следующей цепочке выполнения, если маркер не найден или проверка подлинности неудачна, процесс продолжится следующим способом.
DefaultAzureCredential —>AzureInteractive —> AzureDeviceCode (если браузер отсутствует)
Поток AzureInteractive
Этот режим используется при предоставлении auth=AzureInteractive или в цепочке выполнения AzureDefault.
Заметка
Если браузер доступен, отобразится запрос проверки подлинности и ожидается действие пользователя. Если браузер недоступен, он откатится к потоку AzureDeviceCode.
Поток AzureClientCertificate
Позволяет использовать файлы PEM/PFX(PKCS #12) для аутентификации учетной записи службы. Если указан секрет или пароль, ожидается файл в формате PFX(PKCS #12) и используется секрет для расшифровки файла. Если секрет не указан, ожидается, что форматированный файл PEM будет включать закрытые и открытые ключи.
Переменные среды
Все необходимые параметры можно предоставить интерфейсу командной строки или JDBC непосредственно в аргументах или строке подключения. Некоторые необязательные параметры, если они не указаны, отображаются в переменных среды.
Заметка
Не забудьте проверить переменные среды при возникновении проблем с проверкой подлинности. Они могут повлиять на поток.
В следующей таблице описаны параметры, которые можно настроить в переменных среды для различных потоков проверки подлинности.
Они будут использоваться только в том случае, если соответствующий параметр не указан в командной строке или строке подключения.
| Имя переменной | Применимые потоки проверки подлинности | Описание |
|---|---|---|
| AZURE_TENANT_ID | Все | Идентификатор клиента Microsoft Entra. |
| AZURE_CLIENT_ID | AzureClientSecret, AzureClientCertificate, AzureManagedIdentity | Идентификатор клиента приложения/основного клиента. |
| AZURE_CLIENT_SECRET | AzureClientSecret, AzureClientCertificate | Секрет или пароль для учетной записи службы или файла сертификата. |
| AZURE_CLIENT_CERTIFICATE_PATH | AzureClientCertificate | Путь к файлу сертификата. |