인증 메커니즘
참고 항목
2025년 1월 31일에 Azure HDInsight on AKS가 사용 중지됩니다. 2025년 1월 31일 이전에 워크로드가 갑자기 종료되지 않도록 워크로드를 Microsoft Fabric 또는 동등한 Azure 제품으로 마이그레이션해야 합니다. 구독의 나머지 클러스터는 호스트에서 중지되고 제거됩니다.
사용 중지 날짜까지 기본 지원만 사용할 수 있습니다.
Important
이 기능은 현지 미리 보기로 제공됩니다. Microsoft Azure 미리 보기에 대한 보충 사용 약관에는 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 더 많은 약관이 포함되어 있습니다. 이 특정 미리 보기에 대한 자세한 내용은 Azure HDInsight on AKS 미리 보기 정보를 참조하세요. 질문이나 기능 제안이 있는 경우 AskHDInsight에서 세부 정보와 함께 요청을 제출하고 Azure HDInsight 커뮤니티에서 더 많은 업데이트를 확인하세요.
HDInsight on AKS를 사용하는 Trino는 사용자 인증을 간소화하기 위해 Microsoft Entra ID와 통합된 클러스터에 액세스하기 위해 CLI 클라이언트, JDBC 드라이버 등의 도구를 제공합니다. 지원되는 도구 또는 클라이언트는 Microsoft Entra ID OAuth2 표준을 사용하여 인증해야 합니다. 즉, Microsoft Entra ID에서 발급한 JWT 액세스 토큰을 클러스터 엔드포인트에 제공해야 합니다.
이 섹션에서는 도구에서 지원하는 일반적인 인증 흐름에 대해 설명합니다.
인증 흐름 개요
지원되는 인증 유형은 다음과 같습니다.
참고 항목
이름은 예약되어 있으며 특정 흐름을 지정하는 데 사용해야 합니다.
| 이름 | 필수 매개 변수 | 선택적 매개 변수 | 설명 |
|---|---|---|---|
| AzureDefault | 없음 | 테넌트 ID, 클라이언트 ID | 대화형 환경에서 개발하는 동안 사용하기 위한 것입니다. 대부분의 경우 사용자가 브라우저를 사용하여 로그인합니다. 세부 정보를 참조하세요. |
| AzureInteractive | 없음 | 테넌트 ID, 클라이언트 ID | 사용자가 브라우저를 사용하여 인증합니다. 세부 정보를 참조하세요. |
| AzureDeviceCode | 없음 | 테넌트 ID, 클라이언트 ID | 브라우저를 사용할 수 없는 환경을 위한 것입니다. 사용자에게 제공되는 디바이스 코드에는 코드 및 브라우저를 사용하여 다른 디바이스에서 로그인하는 작업이 필요합니다. |
| AzureClientSecret | 테넌트 ID, 클라이언트 ID, 클라이언트 비밀 | 없음 | 서비스 주체 ID가 사용되며 자격 증명이 필요하고 비대화형입니다. |
| AzureClientCertificate | 테넌트 ID, 클라이언트 ID, 인증서 파일 경로 | 비밀/암호입니다. 제공된 경우 PFX 인증서의 암호를 해독하는 데 사용됩니다. 그렇지 않으면 PEM 형식이 예상됩니다. | 서비스 주체 ID가 사용되며 인증서가 필요하고 비대화형입니다. 세부 정보를 참조하세요. |
| AzureManagedIdentity | 테넌트 ID, 클라이언트 ID | 없음 | 예를 들어 Azure VM 또는 AKS Pod에서 환경의 관리 ID를 사용합니다. |
AzureDefault 흐름
auth 매개 변수가 지정되지 않은 경우 이 흐름은 Trino CLI 및 JDBC의 기본 모드입니다. 이 모드에서 클라이언트 도구는 토큰을 획득할 때까지 여러 메서드를 사용하여 토큰을 가져오려고 시도합니다.
다음 연결된 실행에서 토큰을 찾을 수 없거나 인증에 실패하는 경우 프로세스는 다음 방법으로 계속됩니다.
DefaultAzureCredential ->AzureInteractive -> AzureDeviceCode(브라우저가 없는 경우)
AzureInteractive 흐름
이 모드는 auth=AzureInteractive가 제공되거나 AzureDefault 연결된 실행의 일부로 사용됩니다.
참고 항목
브라우저를 사용할 수 있는 경우 인증 프롬프트가 표시되고 사용자 작업을 대기합니다. 브라우저를 사용할 수 없는 경우 AzureDeviceCode 흐름으로 대체됩니다.
AzureClientCertificate 흐름
서비스 주체 인증에 PEM/PFX(PKCS #12) 파일을 사용할 수 있습니다. 비밀/암호가 제공되면 PFX(PKCS #12) 형식의 파일이 예상되고 암호를 사용하여 파일의 암호를 해독합니다. 비밀이 제공되지 않으면 PEM 형식의 파일에 프라이빗 및 퍼블릭 키가 포함되어야 합니다.
환경 변수
모든 필수 매개 변수는 인수 또는 연결 문자열에서 CLI/JDBC에 직접 제공할 수 있습니다. 일부 선택적 매개 변수(제공되지 않은 경우)는 환경 변수에서 조회됩니다.
참고 항목
인증 문제가 발생하는 경우 환경 변수를 확인해야 합니다. 흐름에 영향을 줄 수 있습니다.
다음 표에서는 다양한 인증 흐름에 대한 환경 변수에서 구성할 수 있는 매개 변수에 대해 설명합니다.
명령줄 또는 연결 문자열에 해당 매개 변수가 제공되지 않는 경우에만 사용됩니다.
| 변수 이름 | 적용 가능한 인증 흐름 | 설명 |
|---|---|---|
| AZURE_TENANT_ID | 모두 | Microsoft Entra 테넌트 ID입니다. |
| AZURE_CLIENT_ID | AzureClientSecret, AzureClientCertificate, AzureManagedIdentity | 애플리케이션/보안 주체 클라이언트 ID입니다. |
| AZURE_CLIENT_SECRET | AzureClientSecret, AzureClientCertificate | 서비스 주체 또는 인증서 파일의 비밀 또는 암호입니다. |
| AZURE_CLIENT_CERTIFICATE_PATH | AzureClientCertificate | 인증서 파일의 경로입니다. |