Autentiseringsmekanism
Viktig
Azure HDInsight på AKS drogs tillbaka den 31 januari 2025. Läs mer om i det här meddelandet.
Du måste migrera dina arbetsbelastningar till Microsoft Fabric- eller en motsvarande Azure-produkt för att undvika plötsliga uppsägningar av dina arbetsbelastningar.
Viktig
Den här funktionen är för närvarande i förhandsversion. De kompletterande användningsvillkoren för förhandsversioner av Microsoft Azure innehåller fler juridiska villkor som gäller för Azure-funktioner som är i beta, i förhandsgranskning eller på annat sätt ännu inte har släppts för allmän tillgänglighet. Information om den här specifika förhandsversionen finns i Azure HDInsight på AKS-förhandsversionsinformation. För frågor eller funktionsförslag, vänligen skicka en begäran på AskHDInsight med detaljerna och följ oss för fler uppdateringar om Azure HDInsight Community.
Trino med HDInsight på AKS innehåller verktyg som CLI-klient, JDBC-drivrutin osv., för att komma åt klustret, som är integrerat med Microsoft Entra-ID för att förenkla autentiseringen för användare. Verktyg eller klienter som stöds måste autentisera med hjälp av Microsoft Entra ID OAuth2-standarder som är, och en JWT-åtkomsttoken som utfärdats av Microsoft Entra-ID måste tillhandahållas till klusterslutpunkten.
I det här avsnittet beskrivs vanliga autentiseringsflöden som stöds av verktygen.
Översikt över autentiseringsflöden
Följande autentiseringsflöden stöds.
Not
Namnet är reserverat och bör användas för att ange ett visst flöde.
| Namn | Obligatoriska parametrar | Valfria parametrar | Beskrivning |
|---|---|---|---|
| AzureDefault | Ingen | Hyresgäst-ID, klient-ID | Avsett att användas under utveckling i interaktiv miljö. I de flesta fall loggar användaren in med hjälp av webbläsaren. Se detaljer. |
| AzureInteractive | Ingen | Hyresgäst-ID, klient-ID | Användaren autentiserar med hjälp av webbläsaren. Se detaljer. |
| AzureDeviceCode | Ingen | Kund-ID, klient-ID | Avsedd för miljöer där webbläsaren inte är tillgänglig. Enhetskod som tillhandahålls användaren kräver en åtgärd för att logga in på en annan enhet med hjälp av koden och webbläsaren. |
| AzureClientSecret | Hyresgästs-ID, klient-ID, klienthemlighet | Ingen | Tjänstens huvudnamnsidentitet används, autentiseringsuppgifter krävs, icke-interaktiv. |
| AzureClientCertificate | Hyresgäst-ID, klient-ID, certifikatfilsökväg | Hemlighet/lösenord. Om detta anges används för att dekryptera PFX-certifikat. Annars förväntas PEM-formatet. | Tjänstens huvudnamnsidentitet används, certifikat krävs, icke-interaktivt. Se detaljer. |
| AzureManagedIdentity | Hyresgäst-ID, klient-ID | Ingen | Använder hanterad identitet för miljön, till exempel på virtuella Azure-datorer eller AKS-poddar. |
AzureDefault-flöde
Det här flödet är standardläge för Trino CLI och JDBC om auth parameter inte har angetts. I det här läget försöker klientverktyget hämta token med flera metoder tills token hämtas.
I följande länkade körning fortsätter processen med nästa metod om token inte hittas eller om autentiseringen misslyckas:
StandardAzureCredential –>AzureInteractive –> AzureDeviceCode (om ingen webbläsare)
AzureInteractive-flöde
Det här läget används när auth=AzureInteractive tillhandahålls eller som en del av AzureDefault kedjad exekvering.
Not
Om webbläsaren är tillgänglig visas autentiseringsprompten och väntar på användaråtgärd. Om webbläsaren inte är tillgänglig återgår den till AzureDeviceCode-flödet.
AzureClientCertificate-flöde
Tillåter användning av PEM/PFX-filer (PKCS #12) för autentisering med tjänstehuvudnamn. Om hemlighet/lösenord anges förväntar du dig fil i PFX-format (PKCS #12) och använder hemligheten för att dekryptera filen. Om hemligheten inte tillhandahålls förväntar du dig att PEM-formaterad fil ska innehålla privata och offentliga nycklar.
Miljövariabler
Alla obligatoriska parametrar kan anges till CLI/JDBC direkt i argument eller anslutningssträng. Några av de valfria parametrarna, om de inte tillhandahålls, letas upp i miljövariabler.
Not
Kontrollera miljövariabler om du stöter på autentiseringsproblem. De kan påverka flödet.
I följande tabell beskrivs de parametrar som kan konfigureras i miljövariabler för de olika autentiseringsflödena.
De används endast om motsvarande parameter inte anges i kommandoraden eller anslutningssträngen.
| Variabelnamn | Tillämpliga autentiseringsflöden | Beskrivning |
|---|---|---|
| AZURE_TENANT_ID | Alla | Microsoft Entra-klient-ID. |
| AZURE_CLIENT_ID | AzureClientSecret, AzureClientCertificate, AzureManagedIdentity | Program-/huvudklient-ID. |
| AZURE_CLIENT_SECRET | AzureClientSecret, AzureClientCertificate | Hemlighet eller lösenord för tjänstens huvudnamn eller certifikatfil. |
| AZURE_CLIENT_CERTIFICATE_PATH | AzureClientCertificate | Sökväg till certifikatfilen. |