Meccanismo di autenticazione
Importante
Questa funzionalità è attualmente disponibile solo in anteprima. Le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure includono termini legali più validi applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale. Per informazioni su questa anteprima specifica, vedere Informazioni sull'anteprima di Azure HDInsight nel servizio Azure Kubernetes. Per domande o suggerimenti sulle funzionalità, inviare una richiesta in AskHDInsight con i dettagli e seguire microsoft per altri aggiornamenti nella community di Azure HDInsight.
Trino con HDInsight nel servizio Azure Kubernetes fornisce strumenti come client dell'interfaccia della riga di comando, driver JDBC e così via, per accedere al cluster, integrato con Microsoft Entra ID per semplificare l'autenticazione per gli utenti. Gli strumenti o i client supportati devono eseguire l'autenticazione con gli standard OAuth2 OAuth2 di Microsoft Entra ID, ovvero un token di accesso JWT rilasciato dall'ID Microsoft Entra deve essere fornito all'endpoint del cluster.
Questa sezione descrive i flussi di autenticazione comuni supportati dagli strumenti.
Panoramica dei flussi di autenticazione
Sono supportati i flussi di autenticazione seguenti.
Nota
Il nome è riservato e deve essere usato per specificare un determinato flusso.
Nome | Parametri obbligatori | Parametri facoltativi | Descrizione |
---|---|---|---|
AzureDefault | None | ID tenant, ID client | Destinato a essere usato durante lo sviluppo in un ambiente interattivo. Nella maggior parte dei casi, l'accesso utente viene eseguito con il browser. Vedere i dettagli. |
AzureInteractive | None | ID tenant, ID client | L'utente esegue l'autenticazione con il browser. Vedere i dettagli. |
AzureDeviceCode | None | ID tenant, ID client | Destinato agli ambienti in cui il browser non è disponibile. Il codice del dispositivo fornito all'utente richiede un'azione per accedere a un altro dispositivo usando il codice e il browser. |
AzureClientSecret | ID tenant, ID client, segreto client | None | Viene usata l'identità dell'entità servizio, le credenziali necessarie, non interattive. |
AzureClientCertificate | ID tenant, ID client, percorso del file di certificato | Segreto/password. Se specificato, usato per decrittografare il certificato PFX. In caso contrario, prevede il formato PEM. | Viene usata l'identità dell'entità servizio, il certificato obbligatorio, non interattivo. Vedere i dettagli. |
AzureManagedIdentity | ID tenant, ID client | None | Usa l'identità gestita dell'ambiente, ad esempio nelle macchine virtuali di Azure o nei pod del servizio Azure Kubernetes. |
Flusso AzureDefault
Questo flusso è la modalità predefinita per l'interfaccia della riga di comando di Trino e JDBC se auth
il parametro non è specificato. In questa modalità, lo strumento client tenta di ottenere il token usando diversi metodi fino all'acquisizione del token.
Nell'esecuzione concatenato seguente, se il token non viene trovato o l'autenticazione non riesce, il processo continuerà con il metodo successivo:
DefaultAzureCredential ->AzureInteractive -> AzureDeviceCode (se non è disponibile un browser)
Flusso AzureInteractive
Questa modalità viene utilizzata quando auth=AzureInteractive
viene fornita o come parte dell'esecuzione AzureDefault
concatenato.
Nota
Se il browser è disponibile, visualizzerà la richiesta di autenticazione e attende l'azione dell'utente. Se il browser non è disponibile, eseguirà il fallback nel AzureDeviceCode
flusso.
Flusso AzureClientCertificate
Consente di usare i file PEM/PFX(PKCS #12) per l'autenticazione dell'entità servizio. Se viene specificato il segreto/password, prevede il formato PFX (PKCS #12) e usa il segreto per decrittografare il file. Se il segreto non viene specificato, prevede che il file con formattazione PEM includa chiavi private e pubbliche.
Variabili di ambiente
Tutti i parametri necessari possono essere forniti direttamente all'interfaccia della riga di comando/JDBC negli argomenti o stringa di connessione. Alcuni dei parametri facoltativi, se non specificati, vengono cercati nelle variabili di ambiente.
Nota
Assicurarsi di controllare le variabili di ambiente in caso di problemi di autenticazione. Possono influire sul flusso.
Nella tabella seguente vengono descritti i parametri che possono essere configurati nelle variabili di ambiente per i diversi flussi di autenticazione.
Verranno usati solo se il parametro corrispondente non viene fornito nella riga di comando o stringa di connessione.
Nome variabile | Flussi di autenticazione applicabili | Descrizione |
---|---|---|
AZURE_TENANT_ID | Tutte le date | ID tenant di Microsoft Entra |
AZURE_CLIENT_ID | AzureClientSecret, AzureClientCertificate, AzureManagedIdentity | ID client applicazione/entità. |
AZURE_CLIENT_SECRET | AzureClientSecret, AzureClientCertificate | Segreto o password per l'entità servizio o il file del certificato. |
AZURE_CLIENT_CERTIFICATE_PATH | AzureClientCertificate | Percorso del file di certificato. |
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per