Synchronizace uživatelů Microsoft Entra do clusteru HDInsight

Clustery HDInsight s balíčkem zabezpečení podniku (ESP) můžou používat silné ověřování s uživateli Microsoft Entra a používat zásady řízení přístupu na základě role v Azure (Azure RBAC ). Při přidávání uživatelů a skupin do MICROSOFT Entra ID můžete synchronizovat uživatele, kteří potřebují přístup k vašemu clusteru.

Požadavky

Pokud jste to ještě neudělali, vytvořte cluster HDInsight s balíčkem zabezpečení podniku.

Přidání nových uživatelů Microsoft Entra

Pokud chcete zobrazit hostitele, otevřete webové uživatelské rozhraní Ambari. Každý uzel se aktualizuje o nové bezobslužné nastavení upgradu.

1. Na webu Azure Portal přejděte do adresáře Microsoft Entra přidruženého k vašemu clusteru ESP.

2. V nabídce vlevo vyberte Všichni uživatelé a pak vyberte Nový uživatel.

   

3. Vyplňte formulář nového uživatele. Vyberte skupiny, které jste vytvořili pro přiřazení oprávnění založených na clusteru. V tomto příkladu vytvořte skupinu s názvem HiveUsers, ke které můžete přiřadit nové uživatele. Příklady pokynů pro vytvoření clusteru ESP zahrnují přidání dvou skupin HiveUsers a AAD DC Administrators.

   

4. Vyberte Vytvořit.

Použití rozhraní Apache Ambari REST API k synchronizaci uživatelů

Během tohoto procesu se synchronizují skupiny uživatelů zadané při vytváření clusteru. Synchronizace uživatelů probíhá automaticky jednou za hodinu. Pokud chcete uživatele synchronizovat okamžitě nebo synchronizovat jinou skupinu než skupiny zadané při vytváření clusteru, použijte rozhraní Ambari REST API.

Následující metoda používá post s rozhraním Ambari REST API. Další informace najdete v tématu Správa clusterů HDInsight pomocí rozhraní Apache Ambari REST API.

1. Pomocí příkazu ssh se připojte ke clusteru. Upravte příkaz nahrazením CLUSTERNAME názvu clusteru a zadáním příkazu:

   ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
   

2. Po ověření zadejte následující příkaz:

   curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
   -X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
   "https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"
   

   Odpověď by měla vypadat takto:

   {
     "resources" : [
       {
         "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
         "Event" : {
           "id" : 1
         }
       }
     ]
   }
   

3. Pokud chcete zobrazit stav synchronizace, spusťte nový curl příkaz:

   curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1
   

   Odpověď by měla vypadat takto:

   {
     "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
     "Event" : {
       "id" : 1,
       "specs" : [
         {
           "sync_type" : "existing",
           "principal_type" : "groups"
         }
       ],
       "status" : "COMPLETE",
       "status_detail" : "Completed LDAP sync.",
       "summary" : {
         "groups" : {
           "created" : 0,
           "removed" : 0,
           "updated" : 0
         },
         "memberships" : {
           "created" : 1,
           "removed" : 0
         },
         "users" : {
           "created" : 1,
           "removed" : 0,
           "skipped" : 0,
           "updated" : 0
         }
       },
       "sync_time" : {
         "end" : 1497994072182,
         "start" : 1497994071100
       }
     }
   }
   

4. Tento výsledek ukazuje, že stav JE DOKONČENÝ, jeden nový uživatel byl vytvořen a uživatel byl přiřazen členství. V tomto příkladu se uživateli přiřadí synchronizovaná skupina LDAP HiveUsers, protože uživatel byl přidán do stejné skupiny v Microsoft Entra ID.

   Poznámka:

   Předchozí metoda synchronizuje pouze skupiny Microsoft Entra zadané ve vlastnosti skupiny uživatelů Accessu nastavení domény během vytváření clusteru. Další informace najdete v tématu vytvoření clusteru HDInsight.

Ověření nově přidaného uživatele Microsoft Entra

Otevřete webové uživatelské rozhraní Apache Ambari a ověřte, že byl přidán nový uživatel Microsoft Entra. Přejděte do webového uživatelského rozhraní Ambari tak, že přejdete na https://CLUSTERNAME.azurehdinsight.net. Zadejte uživatelské jméno a heslo správce clusteru.

1. Na řídicím panelu Ambari v nabídce správce vyberte Spravovat Ambari.

   

2. V nabídce Správa uživatelů a skupin na levé straně stránky vyberte Uživatelé.

   

3. Nový uživatel by měl být uvedený v tabulce Uživatelé. Typ je nastaven na LDAP místo Local.

   

Přihlaste se k Ambari jako nový uživatel

Když se nový uživatel (nebo jiný uživatel domény) přihlásí k Ambari, použije úplné uživatelské jméno a přihlašovací údaje domény Microsoft Entra. Ambari zobrazí alias uživatele, což je zobrazované jméno uživatele v Microsoft Entra ID. Nový ukázkový uživatel má uživatelské jméno hiveuser3@contoso.com. V Ambari se tento nový uživatel zobrazí jako hiveuser3 uživatel, ale přihlásí se k Ambari jako hiveuser3@contoso.com.

Viz také

• Konfigurace zásad Apache Hive ve službě HDInsight s ESP
• Správa clusterů HDInsight pomocí ESP
• Autorizace uživatelů do Apache Ambari