Mecanismo de autenticação
Observação
Desativaremos o Microsoft Azure HDInsight no AKS em 31 de janeiro de 2025. Para evitar o encerramento abrupto das suas cargas de trabalho, você precisará migrá-las para o Microsoft Fabric ou para um produto equivalente do Azure antes de 31 de janeiro de 2025. Os clusters restantes em sua assinatura serão interrompidos e removidos do host.
Somente o suporte básico estará disponível até a data de desativação.
Importante
Esse recurso está atualmente na visualização. Os Termos de uso complementares para versões prévias do Microsoft Azure incluem mais termos legais que se aplicam aos recursos do Azure que estão em versão beta, em versão prévia ou ainda não lançados em disponibilidade geral. Para obter informações sobre essa versão prévia específica, confira Informações sobre a versão prévia do Azure HDInsight no AKS. Caso tenha perguntas ou sugestões de recursos, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para ver mais atualizações sobre a Comunidade do Azure HDInsight.
Trino com HDInsight no AKS fornece ferramentas como cliente da CLI, driver JDBC etc., para acessar o cluster, que é integrado à ID do Microsoft Entra para simplificar a autenticação para os usuários. Ferramentas ou clientes com suporte precisam se autenticar usando os padrões OAuth2 do Microsoft Entra ID que são um token de acesso JWT emitido pelo Microsoft Entra ID deve ser fornecido para o ponto de extremidade do cluster.
Esta seção descreve fluxos comuns de autenticação compatíveis com as ferramentas.
Visão geral dos fluxos de autenticação
Os seguintes fluxos de autenticação são compatíveis.
Observação
O nome é reservado e deve ser usado para especificar determinado fluxo.
| Nome | Parâmetros obrigatórios | Parâmetros opcionais | Descrição |
|---|---|---|---|
| AzureDefault | Nenhum | ID do locatário, ID do cliente | Destinado a ser usado durante o desenvolvimento em ambiente interativo. Na maioria dos casos, o usuário entra usando o navegador. Veja detalhes. |
| AzureInteractive | Nenhum | ID do locatário, ID do cliente | O usuário é autenticado usando o navegador. Veja detalhes. |
| AzureDeviceCode | Nenhum | ID do locatário, ID do cliente | Destinado a ambientes em que o navegador não está disponível. O código do dispositivo fornecido ao usuário requer uma ação para entrar em outro dispositivo usando o código e o navegador. |
| AzureClientSecret | ID do locatário, ID do cliente, segredo do cliente | Nenhum | A identidade da entidade de serviço é usada, as credenciais são necessárias, não interativas. |
| AzureClientCertificate | ID do locatário, ID do cliente, caminho do arquivo de certificado | Segredo/Senha. Se fornecido, usado para descriptografar o certificado PFX. Caso contrário, espera o formato PEM. | A identidade da entidade de serviço é usada,os certificados são necessários, não interativos. Veja detalhes. |
| AzureManagedIdentity | ID do locatário, ID do cliente | Nenhum | Usa a identidade gerenciada do ambiente, por exemplo, em VMs do Azure ou pods AKS. |
Fluxo do AzureDefault
Esse fluxo é o modo padrão para a CLI do Trino e o JDBC se o parâmetro auth não for especificado. Nesse modo, a ferramenta cliente tenta obter o token usando vários métodos até que o token seja adquirido.
Na seguinte execução encadeada, se o token não for encontrado ou a autenticação falhar, o processo continuará com o próximo método:
DefaultAzureCredential –>AzureInteractive –> AzureDeviceCode (se não houver navegador)
Fluxo do AzureInteractive
Esse modo é usado quando auth=AzureInteractive é fornecido ou como parte de execução encadeada AzureDefault.
Observação
Se o navegador estiver disponível, ele mostrará o prompt de autenticação e aguardará a ação do usuário. Se o navegador não estiver disponível, ele fará fallback para o fluxo AzureDeviceCode.
Fluxo do AzureClientCertificate
Permite usar arquivos PEM/PFX (PKCS 12) para autenticação de entidade de serviço. Se o segredo/senha for fornecido, espera o arquivo no formato PFX(PKCS 12) e usará o segredo para descriptografar o arquivo. Se o segredo não for fornecido, espera que o arquivo formatado em PEM inclua chaves públicas e privadas.
Variáveis de ambiente
Todos os parâmetros necessários podem ser fornecidos à CLI/JDBC diretamente em argumentos ou cadeia de conexão. Alguns dos parâmetros opcionais, se não fornecidos, são pesquisados em variáveis de ambiente.
Observação
Verifique as variáveis de ambiente se você enfrentar problemas de autenticação. Elas podem afetar o fluxo.
A tabela a seguir descreve os parâmetros que podem ser configurados em variáveis de ambiente para os diferentes fluxos de autenticação.
Eles serão usados somente se o parâmetro correspondente não for fornecido na linha de comando ou na cadeia de conexão.
| Nome da variável | Fluxos de autenticação aplicáveis | Descrição |
|---|---|---|
| AZURE_TENANT_ID | Tudo | ID de locatário do Microsoft Entra. |
| AZURE_CLIENT_ID | AzureClientSecret, AzureClientCertificate, AzureManagedIdentity | ID da entidade/aplicativo do cliente, |
| AZURE_CLIENT_SECRET | AzureClientSecret, AzureClientCertificate | Segredo ou senha para entidade de serviço ou arquivo de certificado. |
| AZURE_CLIENT_CERTIFICATE_PATH | AzureClientCertificate | Caminho para o arquivo de certificado. |