Mécanisme d’authentification
Remarque
Nous allons mettre hors service Azure HDInsight sur AKS le 31 janvier 2025. Avant le 31 janvier 2025, vous devrez migrer vos charges de travail vers Microsoft Fabric ou un produit Azure équivalent afin d’éviter leur arrêt brutal. Les clusters restants de votre abonnement seront arrêtés et supprimés de l’hôte.
Seul le support de base sera disponible jusqu’à la date de mise hors service.
Important
Cette fonctionnalité est disponible actuellement en mode Aperçu. Les Conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure contiennent davantage de conditions légales qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou ne se trouvant pas encore en disponibilité générale. Pour plus d’informations sur cette préversion spécifique, consultez les Informations sur la préversion d’Azure HDInsight sur AKS. Pour toute question ou pour des suggestions à propos des fonctionnalités, veuillez envoyer vos requêtes et leurs détails sur AskHDInsight, et suivez-nous sur la Communauté Azure HDInsight pour plus de mises à jour.
Trino avec HDInsight sur AKS fournit des outils tels qu’un client CLI, un pilote JDBC, etc., pour accéder au cluster intégré à Microsoft Entra ID afin de simplifier l’authentification pour les utilisateurs. Les outils ou clients pris en charge, devant s’authentifier à l’aide des normes OAuth2 de Microsoft Entra ID qui sont un jeton d’accès JWT émis par Microsoft Entra ID, doivent être fournis au point de terminaison du cluster.
Cette section décrit des flux d’authentification courants pris en charge par les outils.
Présentation du flux d’authentification
Les flux d’authentification suivants sont pris en charge.
Remarque
Le nom est réservé et doit servir à spécifier certains flux.
| Nom | Paramètres obligatoires | Paramètres facultatifs | Description |
|---|---|---|---|
| AzureDefault | Aucun | ID de locataire, ID client | Destiné à servir pendant le développement dans un environnement interactif. Dans la plupart des cas, l’utilisateur se connecte par un navigateur. Voir les détails. |
| AzureInteractive | Aucun | ID de locataire, ID client | L’utilisateur s’authentifie au moyen du navigateur. Voir les détails. |
| AzureDeviceCode | Aucun | ID de locataire, ID client | Destiné aux environnements dans lesquels le navigateur n’est pas disponible. Le code de l’appareil (fourni à l’utilisateur) nécessite une action pour se connecter à un autre appareil au moyen du code et du navigateur. |
| AzureClientSecret | ID de locataire, ID client, secret client | Aucun | L’identité du principal de service est utilisée, les informations d’identification sont requises et non interactives. |
| AzureClientCertificate | ID de locataire, ID client, chemin d’accès au fichier de certificat | Secret/mot de passe. S’il est fourni, il sert à déchiffrer un certificat PFX. Sinon, il faut s’attendre au format PEM. | L’identité du principal de service est utilisée, le certificat est requis et non interactif. Voir les détails. |
| AzureManagedIdentity | ID de locataire, ID client | Aucun | Utilise l’identité managée de l’environnement, par exemple sur des machines virtuelles Azure ou des pods AKS. |
Flux AzureDefault
Ce flux est un mode par défaut pour l’interface CLI Trino et JDBC, si le paramètre auth n’est pas spécifié. Dans ce mode, l’outil client essaye d’obtenir le jeton à l’aide de plusieurs méthodes jusqu’à son acquisition.
Dans l’exécution chaînée suivante, si le jeton est introuvable ou si l’authentification échoue, le processus continue avec la méthode suivante :
DefaultAzureCredential –>AzureInteractive –> AzureDeviceCode (en l’absence du navigateur)
Flux AzureInteractive
Ce mode est utilisé lorsque auth=AzureInteractive est fourni ou dans le cadre de l’exécution chaînée AzureDefault.
Remarque
Si le navigateur est disponible, il affiche l’invite d’authentification et attend l’action de l’utilisateur. Si le navigateur n’est pas disponible, il se replie sur le flux AzureDeviceCode.
Flux AzureClientCertificate
Permet d’utiliser des fichiers PEM/PFX(PKCS #12) pour l’authentification du principal de service. Si l’ensemble secret/mot de passe est fourni, il faut s’attendre à un fichier au format PFX(PKCS #12) et utiliser le secret pour déchiffrer le fichier. Si le secret n’est pas fourni, il faut s’attendre à un fichier de format PEM pour inclure des clés privées et publiques.
Variables d'environnement
Tous les paramètres obligatoires peuvent directement être fournis à CLI/JDBC dans des arguments ou une chaîne de connexion. Certains des paramètres facultatifs, s’ils ne sont pas fournis, sont recherchés dans les variables d’environnement.
Remarque
Assurez-vous de vérifier les variables d’environnement si vous rencontrez des problèmes d’authentification. Ils peuvent perturber le flux.
Le tableau suivant décrit les paramètres pouvant être configurés dans les variables d’environnement pour les différents flux d’authentification.
Ils ne vont être utilisés que si le paramètre correspondant n’est pas fourni dans la ligne de commande ou la chaîne de connexion.
| Nom de la variable | Flux d’authentification applicables | Description |
|---|---|---|
| AZURE_TENANT_ID | Tous | ID de locataire Microsoft Entra. |
| AZURE_CLIENT_ID | AzureClientSecret, AzureClientCertificate, AzureManagedIdentity | ID client de l’application/du principal. |
| AZURE_CLIENT_SECRET | AzureClientSecret, AzureClientCertificate | Secret ou mot de passe pour le principal de service ou le fichier de certificat. |
| AZURE_CLIENT_CERTIFICATE_PATH | AzureClientCertificate | Chemin d’accès du fichier de certificat. |