Meccanismo di autenticazione
Nota
Azure HDInsight su AKS verrà ritirato il 31 gennaio 2025. Prima del 31 gennaio 2025, sarà necessario eseguire la migrazione dei carichi di lavoro a Microsoft Fabric o a un prodotto Azure equivalente per evitare interruzioni improvvise dei carichi di lavoro. I cluster rimanenti nella sottoscrizione verranno arrestati e rimossi dall’host.
Solo il supporto di base sarà disponibile fino alla data di ritiro.
Importante
Questa funzionalità è attualmente disponibile solo in anteprima. Le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale. Per informazioni su questa anteprima specifica, vedere Informazioni sull'anteprima di Azure HDInsight nel servizio Azure Kubernetes. Per domande o suggerimenti sulle funzionalità, inviare una richiesta in AskHDInsight con i dettagli e seguire Microsoft per altri aggiornamenti nella Community di Azure HDInsight.
Trino con HDInsight su AKS fornisce strumenti come client dell'interfaccia della riga di comando, driver JDBC e così via per accedere al cluster integrato con Microsoft Entra ID per semplificare l'autenticazione per gli utenti. Gli strumenti o i client supportati devono eseguire l'autenticazione con gli standard OAuth2 di Microsoft Entra ID, vale a dire che deve essere fornito un token di accesso JWT emesso da Microsoft Entra ID all'endpoint del cluster.
Questa sezione descrive flussi di autenticazione comuni supportati dagli strumenti.
Panoramica dei flussi di autenticazione
Sono supportati i flussi di autenticazione seguenti.
Nota
Il nome è riservato e deve essere usato per specificare un determinato flusso.
| Nome | Parametri obbligatori | Parametri facoltativi | Descrizione |
|---|---|---|---|
| AzureDefault | None | ID tenant, ID client | Per l'uso durante lo sviluppo in un ambiente interattivo. Nella maggior parte dei casi, l'accesso utente viene eseguito con il browser. Vedere i dettagli. |
| AzureInteractive | None | ID tenant, ID client | L'utente esegue l'autenticazione con il browser. Vedere i dettagli. |
| AzureDeviceCode | None | ID tenant, ID client | Per ambienti in cui il browser non è disponibile. Il codice dispositivo fornito all'utente richiede un'azione per accedere a un altro dispositivo usando il codice e il browser. |
| AzureClientSecret | ID tenant, ID client e segreto client | None | Viene usata l'identità dell'entità servizio, le credenziali necessarie, non interattivo. |
| AzureClientCertificate | ID tenant, ID client, percorso file certificato | Segreto/password. Se specificato, viene usato per decrittografare il certificato PFX. In caso contrario, prevede il formato PEM. | Viene usata l'identità dell'entità servizio, il certificato necessario, non interattivo. Vedere i dettagli. |
| AzureManagedIdentity | ID tenant, ID client | None | Usa l'identità gestita dell'ambiente, ad esempio nelle VM di Azure o nei pod del servizio Azure Kubernetes (AKS). |
AzureDefault flow
Questo flusso è la modalità predefinita per l'interfaccia della riga di comando di Trino e JDBC se non è specificato il parametro auth. In questa modalità, lo strumento client tenta di ottenere il token usando diversi metodi fino a quando il token viene acquisito.
Nell'esecuzione concatenata seguente, se il token non viene trovato o l'autenticazione non riesce, il processo continuerà con il metodo successivo:
DefaultAzureCredential ->AzureInteractive -> AzureDeviceCode (non è disponibile un browser)
Flusso di AzureInteractive
Questa modalità viene usata quando è fornito auth=AzureInteractive o come parte dell'esecuzione concatenata di AzureDefault.
Nota
Se è disponibile un browser, visualizzerà la richiesta di autenticazione e attenderà l'azione dell'utente. Se non è disponibile un browser, eseguirà il fallback nel flusso AzureDeviceCode.
Flusso di AzureClientCertificate
Consente l'uso di file PEM/PFX(PKCS #12) per l'autenticazione dell'entità servizio. Se viene specificato il segreto o la password, prevede il formato PFX(PKCS #12) e usa il segreto per decrittografare il file. Se il segreto non viene specificato, prevede che il file con formattazione PEM includa chiavi private e pubbliche.
Variabili di ambiente
Tutti i parametri obbligatori possono essere forniti direttamente all'interfaccia della riga di comando / JDBC in argomenti o nella stringa di connessione. Alcuni parametri facoltativi, se non specificati, vengono cercati nelle variabili di ambiente.
Nota
In caso di problemi di autenticazione, controllare le variabili di ambiente. Possono influire sul flusso.
Nella tabella seguente vengono descritti i parametri che possono essere configurati nelle variabili di ambiente per i diversi flussi di autenticazione.
Verranno usati solo se il parametro corrispondente non viene fornito nella riga di comando o nella stringa di connessione.
| Nome variabile | Flussi di autenticazione applicabili | Descrizione |
|---|---|---|
| AZURE_TENANT_ID | Tutte le date | ID tenant di Microsoft Entra |
| AZURE_CLIENT_ID | AzureClientSecret, AzureClientCertificate, AzureManagedIdentity | ID client applicazione/entità. |
| AZURE_CLIENT_SECRET | AzureClientSecret, AzureClientCertificate | Segreto o password per l'entità servizio o il file del certificato. |
| AZURE_CLIENT_CERTIFICATE_PATH | AzureClientCertificate | Percorso del file del certificato. |