Mechanizm uwierzytelniania
Uwaga
Wycofamy usługę Azure HDInsight w usłudze AKS 31 stycznia 2025 r. Przed 31 stycznia 2025 r. należy przeprowadzić migrację obciążeń do usługi Microsoft Fabric lub równoważnego produktu platformy Azure, aby uniknąć nagłego zakończenia obciążeń. Pozostałe klastry w ramach subskrypcji zostaną zatrzymane i usunięte z hosta.
Tylko podstawowa pomoc techniczna będzie dostępna do daty wycofania.
Ważne
Ta funkcja jest aktualnie dostępna jako funkcja podglądu. Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure obejmują więcej warunków prawnych, które dotyczą funkcji platformy Azure, które znajdują się w wersji beta, w wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej. Aby uzyskać informacje o tej konkretnej wersji zapoznawczej, zobacz Informacje o wersji zapoznawczej usługi Azure HDInsight w usłudze AKS. W przypadku pytań lub sugestii dotyczących funkcji prześlij żądanie w usłudze AskHDInsight , aby uzyskać szczegółowe informacje i postępuj zgodnie z nami, aby uzyskać więcej aktualizacji w społeczności usługi Azure HDInsight.
Trino z usługą HDInsight w usłudze AKS udostępnia narzędzia, takie jak klient interfejsu wiersza polecenia, sterownik JDBC itp., aby uzyskać dostęp do klastra, który jest zintegrowany z identyfikatorem Microsoft Entra w celu uproszczenia uwierzytelniania użytkowników. Obsługiwane narzędzia lub klienci muszą uwierzytelniać się przy użyciu standardów OAuth2 identyfikatora Entra firmy Microsoft, token dostępu JWT wystawiony przez identyfikator Entra firmy Microsoft musi zostać dostarczony do punktu końcowego klastra.
W tej sekcji opisano typowe przepływy uwierzytelniania obsługiwane przez narzędzia.
Omówienie przepływów uwierzytelniania
Obsługiwane są następujące przepływy uwierzytelniania.
Uwaga
Nazwa jest zarezerwowana i powinna służyć do określania określonego przepływu.
| Nazwisko | Parametry wymagane | Parametry opcjonalne | opis |
|---|---|---|---|
| AzureDefault | Brak | Identyfikator dzierżawy, identyfikator klienta | Przeznaczone do użycia podczas programowania w środowisku interaktywnym. W większości przypadków logowanie użytkownika przy użyciu przeglądarki. Zobacz szczegóły. |
| AzureInteractive | Brak | Identyfikator dzierżawy, identyfikator klienta | Użytkownik uwierzytelnia się przy użyciu przeglądarki. Zobacz szczegóły. |
| AzureDeviceCode | Brak | Identyfikator dzierżawy, identyfikator klienta | Przeznaczone dla środowisk, w których przeglądarka nie jest dostępna. Kod urządzenia dostarczony użytkownikowi wymaga akcji logowania się na innym urządzeniu przy użyciu kodu i przeglądarki. |
| AzureClientSecret | Identyfikator dzierżawy, identyfikator klienta, klucz tajny klienta | Brak | Używana jest tożsamość jednostki usługi, wymagane poświadczenia, nieinterakcyjne. |
| AzureClientCertificate | Identyfikator dzierżawy, identyfikator klienta, ścieżka pliku certyfikatu | Wpis tajny/hasło. Jeśli jest to podane, służy do odszyfrowywania certyfikatu PFX. W przeciwnym razie oczekuje formatu PEM. | Używana jest tożsamość jednostki usługi, wymagany certyfikat, nieinterakcyjny. Zobacz szczegóły. |
| AzureManagedIdentity | Identyfikator dzierżawy, identyfikator klienta | Brak | Używa tożsamości zarządzanej środowiska, na przykład na maszynach wirtualnych platformy Azure lub zasobnikach usługi AKS. |
Przepływ usługi AzureDefault
Ten przepływ jest trybem domyślnym dla interfejsu wiersza polecenia Trino i JDBC, jeśli auth parametr nie jest określony. W tym trybie narzędzie klienckie próbuje uzyskać token przy użyciu kilku metod do momentu uzyskania tokenu.
W następującym wykonaniu łańcuchowym, jeśli token nie zostanie znaleziony lub uwierzytelnianie zakończy się niepowodzeniem, proces będzie kontynuowany przy użyciu następnej metody:
DefaultAzureCredential ->AzureInteractive —> AzureDeviceCode (jeśli nie ma przeglądarki)
Przepływ AzureInteractive
Ten tryb jest używany, gdy auth=AzureInteractive jest dostarczany lub w ramach AzureDefault wykonywania łańcuchowego.
Uwaga
Jeśli przeglądarka jest dostępna, zostanie wyświetlony monit o uwierzytelnienie i oczekuje na akcję użytkownika. Jeśli przeglądarka nie jest dostępna, nastąpi powrót do AzureDeviceCode przepływu.
Przepływ AzureClientCertificate
Umożliwia używanie plików PEM/PFX(PKCS #12) na potrzeby uwierzytelniania jednostki usługi. Jeśli podano wpis tajny/hasło, oczekuje pliku w formacie PFX(PKCS #12) i używa wpisu tajnego do odszyfrowania pliku. Jeśli wpis tajny nie zostanie podany, oczekuje, że plik sformatowany PEM będzie zawierać klucze prywatne i publiczne.
Zmienne środowiskowe
Wszystkie wymagane parametry można dostarczyć do interfejsu wiersza polecenia/JDBC bezpośrednio w argumentach lub parametry połączenia. Niektóre parametry opcjonalne, jeśli nie zostały podane, są sprawdzane w zmiennych środowiskowych.
Uwaga
Pamiętaj, aby sprawdzić zmienne środowiskowe, jeśli występują problemy z uwierzytelnianiem. Mogą one mieć wpływ na przepływ.
W poniższej tabeli opisano parametry, które można skonfigurować w zmiennych środowiskowych dla różnych przepływów uwierzytelniania.
Będą one używane tylko wtedy, gdy odpowiedni parametr nie jest podany w wierszu polecenia lub parametry połączenia.
| Nazwa zmiennej | Odpowiednie przepływy uwierzytelniania | opis |
|---|---|---|
| AZURE_TENANT_ID | wszystkie | Identyfikator dzierżawy entra firmy Microsoft. |
| AZURE_CLIENT_ID | AzureClientSecret, AzureClientCertificate, AzureManagedIdentity | Identyfikator klienta aplikacji/podmiotu zabezpieczeń. |
| AZURE_CLIENT_SECRET | AzureClientSecret, AzureClientCertificate | Wpis tajny lub hasło dla jednostki usługi lub pliku certyfikatu. |
| AZURE_CLIENT_CERTIFICATE_PATH | AzureClientCertificate | Ścieżka do pliku certyfikatu. |