Mecanismo de autenticação
Nota
Vamos desativar o Azure HDInsight no AKS em 31 de janeiro de 2025. Antes de 31 de janeiro de 2025, você precisará migrar suas cargas de trabalho para o Microsoft Fabric ou um produto equivalente do Azure para evitar o encerramento abrupto de suas cargas de trabalho. Os clusters restantes na sua subscrição serão interrompidos e removidos do anfitrião.
Apenas o apoio básico estará disponível até à data da reforma.
Importante
Esta funcionalidade está atualmente em pré-visualização. Os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure incluem mais termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, em pré-visualização ou ainda não disponibilizadas para disponibilidade geral. Para obter informações sobre essa visualização específica, consulte Informações de visualização do Azure HDInsight no AKS. Para perguntas ou sugestões de recursos, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para obter mais atualizações na Comunidade do Azure HDInsight.
O Trino com HDInsight no AKS fornece ferramentas como cliente CLI, driver JDBC, etc., para acessar o cluster, que é integrado ao Microsoft Entra ID para simplificar a autenticação para os usuários. As ferramentas ou clientes suportados precisam se autenticar usando os padrões OAuth2 do Microsoft Entra ID que são, um token de acesso JWT emitido pelo Microsoft Entra ID deve ser fornecido ao ponto de extremidade do cluster.
Esta seção descreve os fluxos de autenticação comuns suportados pelas ferramentas.
Visão geral dos fluxos de autenticação
Os seguintes fluxos de autenticação são suportados.
Nota
O nome é reservado e deve ser usado para especificar determinado fluxo.
| Nome | Parâmetros obrigatórios | Parâmetros opcionais | Description |
|---|---|---|---|
| AzureDefault | Nenhuma | ID do inquilino, ID do cliente | Destinado a ser usado durante o desenvolvimento em ambiente interativo. Na maioria dos casos, o login do usuário usando o navegador. Veja detalhes. |
| AzureInteractive | Nenhuma | ID do inquilino, ID do cliente | O usuário se autentica usando o navegador. Veja detalhes. |
| AzureDeviceCode | Nenhuma | ID do inquilino, ID do cliente | Destinado a ambientes onde o navegador não está disponível. O código do dispositivo fornecido ao usuário requer uma ação para entrar em outro dispositivo usando o código e o navegador. |
| AzureClientSecret | ID do inquilino, ID do cliente, segredo do cliente | Nenhuma | A identidade da entidade de serviço é usada, credenciais necessárias, não interativas. |
| AzureClientCertificate | ID do locatário, ID do cliente, caminho do arquivo de certificado | Segredo/palavra-passe. Se fornecido, usado para descriptografar o certificado PFX. Caso contrário, espera o formato PEM. | A identidade da entidade de serviço é usada, certificado necessário, não interativo. Veja detalhes. |
| AzureManagedIdentity | ID do inquilino, ID do cliente | Nenhuma | Usa a identidade gerenciada do ambiente, por exemplo, em VMs do Azure ou pods AKS. |
Fluxo AzureDefault
Esse fluxo é o modo padrão para a CLI Trino e JDBC se auth o parâmetro não for especificado. Nesse modo, a ferramenta cliente tenta obter o token usando vários métodos até que o token seja adquirido.
Na seguinte execução encadeada, se o token não for encontrado ou a autenticação falhar, o processo continuará com o próximo método:
DefaultAzureCredential ->AzureInteractive -> AzureDeviceCode (se não houver navegador)
Fluxo AzureInteractive
Este modo é usado quando auth=AzureInteractive é fornecido ou como parte da AzureDefault execução encadeada.
Nota
Se o navegador estiver disponível, ele mostrará o prompt de autenticação e aguardará a ação do usuário. Se o navegador não estiver disponível, ele voltará ao AzureDeviceCode fluxo.
AzureClientFluxo de certificados
Permite usar arquivos PEM/PFX(PKCS #12) para autenticação da entidade de serviço. Se secret/password for fornecido, espera o ficheiro no formato PFX (PKCS #12) e usa o segredo para desencriptar o ficheiro. Se o segredo não for fornecido, espera que o arquivo formatado PEM inclua chaves privadas e públicas.
Variáveis de ambiente
Todos os parâmetros necessários podem ser fornecidos à CLI/JDBC diretamente em argumentos ou cadeia de conexão. Alguns dos parâmetros opcionais, se não fornecidos, são pesquisados em variáveis de ambiente.
Nota
Certifique-se de verificar as variáveis de ambiente se você enfrentar problemas de autenticação. Podem afetar o fluxo.
A tabela a seguir descreve os parâmetros que podem ser configurados em variáveis de ambiente para os diferentes fluxos de autenticação.
Eles só serão usados se o parâmetro correspondente não for fornecido na linha de comando ou na cadeia de conexão.
| Nome da variável | Fluxos de autenticação aplicáveis | Description |
|---|---|---|
| AZURE_TENANT_ID | Todos | ID de locatário do Microsoft Entra. |
| AZURE_CLIENT_ID | AzureClientSecret, AzureClientCertificate, AzureManagedIdentity | ID do aplicativo/cliente principal. |
| AZURE_CLIENT_SECRET | AzureClientSecret, AzureClientCertificate | Segredo ou senha para a entidade de serviço ou arquivo de certificado. |
| AZURE_CLIENT_CERTIFICATE_PATH | AzureClientCertificate | Caminho para o arquivo de certificado. |