Authentifizierungsmechanismus
Hinweis
Azure HDInsight on AKS wird am 31. Januar 2025 eingestellt. Vor dem 31. Januar 2025 müssen Sie Ihre Workloads zu Microsoft Fabric oder einem gleichwertigen Azure-Produkt migrieren, um eine abruptes Beendigung Ihrer Workloads zu vermeiden. Die verbleibenden Cluster in Ihrem Abonnement werden beendet und vom Host entfernt.
Bis zum Einstellungsdatum ist nur grundlegende Unterstützung verfügbar.
Wichtig
Diese Funktion steht derzeit als Vorschau zur Verfügung. Die zusätzlichen Nutzungsbedingungen für Microsoft Azure-Vorschauen enthalten weitere rechtliche Bestimmungen, die für Azure-Features in Betaversionen, in Vorschauversionen oder anderen Versionen gelten, die noch nicht allgemein verfügbar gemacht wurden. Informationen zu dieser spezifischen Vorschau finden Sie unter Informationen zur Vorschau von Azure HDInsight on AKS. Bei Fragen oder Funktionsvorschlägen senden Sie eine Anfrage an AskHDInsight mit den entsprechenden Details, und folgen Sie uns für weitere Updates in der Azure HDInsight-Community.
Trino mit HDInsight on AKS bietet Tools wie den CLI-Client, JDBC-Treiber usw. für den Zugriff auf den Cluster und ist in Microsoft Entra ID integriert, um die Authentifizierung für Benutzer*innen zu vereinfachen. Unterstützte Tools oder Clients müssen sich mithilfe von Microsoft Entra ID OAuth2-Standards authentifizieren, d. h. ein von Microsoft Entra ID ausgestelltes JWT-Zugriffstoken muss für den Clusterendpunkt bereitgestellt werden.
In diesem Abschnitt werden allgemeine Authentifizierungsflows beschrieben, die von den Tools unterstützt werden.
Übersicht über Authentifizierungsflows
Die folgenden Authentifizierungsflows werden unterstützt:
Hinweis
Der Name ist reserviert und sollte verwendet werden, um einen bestimmten Flow anzugeben.
| Name | Erforderliche Parameter | Optionale Parameter | Beschreibung |
|---|---|---|---|
| AzureDefault | None | Mandanten-ID, Client-ID | Ist für die Verwendung während der Entwicklung in einer interaktiven Umgebung vorgesehen. In den meisten Fällen wird die Benutzeranmeldung über den Browser ausgeführt. Siehe Details. |
| AzureInteractive | None | Mandanten-ID, Client-ID | Benutzer*innen authentifizieren sich über den Browser. Siehe Details. |
| AzureDeviceCode | None | Mandanten-ID, Client-ID | Für Umgebungen vorgesehen, in denen kein Browser verfügbar ist. Benutzer*innen bereitgestellter Gerätecode erfordert eine Aktion zur Anmeldung auf einem anderen Gerät unter Verwendung des Codes und des Browsers. |
| AzureClientSecret | Mandanten-ID, Client-ID, geheimer Clientschlüssel | None | Dienstprinzipalidentität wird verwendet, Anmeldeinformationen erforderlich, nicht interaktiv |
| AzureClientCertificate | Mandanten-ID, Client-ID, Pfad zur Zertifikatdatei | Geheimnis/Kennwort. Wenn eins angegeben wird, wird es zum Entschlüsseln des PFX-Zertifikats verwendet. Andernfalls wird das PEM-Format erwartet. | Dienstprinzipalidentität wird verwendet, Zertifikat erforderlich, nicht interaktiv Siehe Details. |
| AzureManagedIdentity | Mandanten-ID, Client-ID | None | Verwendet die verwaltete Identität der Umgebung, z. B. auf Azure-VMs oder AKS-Pods. |
AzureDefault-Flow
Dieser Flow ist der Standardmodus für die Trino CLI und JDBC, wenn der Parameter auth nicht angegeben ist. In diesem Modus versucht das Clienttool, das Token mithilfe mehrerer Methoden abzurufen, bis der Vorgang erfolgreich ist.
Wenn das Token nicht gefunden wird oder die Authentifizierung fehlschlägt, wird der Vorgang in der folgenden verketteten Ausführung mit der nächsten Methode fortgesetzt:
DefaultAzureCredential ->AzureInteractive -> AzureDeviceCode (falls kein Browser verfügbar ist)
AzureInteractive-Flow
Dieser Modus wird bei Angabe von auth=AzureInteractive oder als Teil der verketteten Ausführung von AzureDefault verwendet.
Hinweis
Ist ein Browser verfügbar, wird eine Authentifizierungsaufforderung angezeigt und eine Benutzeraktion erwartet. Ist kein Browser verfügbar, wird ein Fallback auf den AzureDeviceCode-Flow durchgeführt.
AzureClientCertificate-Flow
Ermöglicht die Verwendung von PEM-/PFX(PKCS #12)-Dateien für die Dienstprinzipalauthentifizierung. Wenn ein Geheimnis/Kennwort angegeben wird, wird eine Datei im PFX(PKCS #12)-Format erwartet, und das Geheimnis wird zum Entschlüsseln der Datei verwendet. Wenn kein Geheimnis angegeben wird, wird erwartet, dass die formatierte PEM-Datei private und öffentliche Schlüssel enthält.
Umgebungsvariablen
Alle erforderlichen Parameter können direkt in Argumenten oder Verbindungszeichenfolgen für CLI/JDBC bereitgestellt werden. Werden einige der optionalen Parameter nicht angegeben, werden sie in Umgebungsvariablen nachgeschlagen.
Hinweis
Überprüfen Sie unbedingt die Umgebungsvariablen, wenn Authentifizierungsprobleme auftreten. Sie können sich auf den Flow auswirken.
In der folgenden Tabelle werden die Parameter beschrieben, die in Umgebungsvariablen für die verschiedenen Authentifizierungsflows konfiguriert werden können.
Sie werden nur verwendet, wenn der entsprechende Parameter nicht in der Befehlszeile oder Verbindungszeichenfolge angegeben ist.
| Variablenname | Anwendbare Authentifizierungsflows | Beschreibung |
|---|---|---|
| AZURE_TENANT_ID | All | Microsoft Entra-Mandanten-ID |
| AZURE_CLIENT_ID | AzureClientSecret, AzureClientCertificate, AzureManagedIdentity | Anwendungs-/Prinzipalclient-ID |
| AZURE_CLIENT_SECRET | AzureClientSecret, AzureClientCertificate | Geheimnis oder Kennwort für Dienstprinzipal oder Zertifikatdatei |
| AZURE_CLIENT_CERTIFICATE_PATH | AzureClientCertificate | Pfad zur Zertifikatdatei |