Partager via

Configurer le contrôle d’accès en fonction du rôle

  • Article

Remarque

Nous allons mettre hors service Azure HDInsight sur AKS le 31 janvier 2025. Avant le 31 janvier 2025, vous devrez migrer vos charges de travail vers Microsoft Fabric ou un produit Azure équivalent afin d’éviter leur arrêt brutal. Les clusters restants de votre abonnement seront arrêtés et supprimés de l’hôte.

Seul le support de base est disponible jusqu’à la date de mise hors service.

Important

Cette fonctionnalité est disponible actuellement en mode Aperçu. Les Conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure contiennent davantage de conditions légales qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou ne se trouvant pas encore en disponibilité générale. Pour plus d’informations sur cette préversion spécifique, consultez les Informations sur la préversion d’Azure HDInsight sur AKS. Pour toute question ou pour des suggestions à propos des fonctionnalités, veuillez envoyer vos requêtes et leurs détails sur AskHDInsight, et suivez-nous sur la Communauté Azure HDInsight pour plus de mises à jour.

Cet article décrit comment fournir Microsoft Azure Access Control Service basé sur les rôles et attribuer automatiquement des utilisateurs aux rôles Apache Superset. Ce contrôle d'accès basé sur les rôles vous permet de gérer des groupes d'utilisateurs dans Microsoft Entra ID mais de configurer les autorisations d'accès dans Superset. Par exemple, si vous disposez d'un groupe de sécurité appelé datateam, vous pouvez propager l'adhésion de ce groupe à Superset, ce qui signifie que Superset peut automatiquement refuser l'accès si un utilisateur est supprimé de ce groupe de sécurité.

  1. Créez un rôle qui interdit l'accès à Superset.

    Créez un rôle NoAccess dans Superset qui empêche les utilisateurs d'exécuter des requêtes ou d'effectuer des opérations. Ce rôle est le rôle par défaut auquel les utilisateurs sont affectés s'ils n'appartiennent à aucun autre groupe.

    1. Dans Superset, sélectionnez « Paramètres » (en haut à droite) et choisissez « Liste des rôles. »

    2. Sélectionnez le symbole plus pour ajouter un nouveau rôle.

    3. Donnez les détails suivants pour le nouveau rôle. Nom : Autorisations sans accès : [can this form get on UserInfoEditView]

    4. Sélectionnez « Enregistrer. »

  2. Configurez Superset pour attribuer automatiquement des rôles.

    Remplacez la section automatic registration of users dans le graphique Helm par l'exemple suivant :

        # **** Automatic registration of users
    # Map Authlib roles to superset roles
    # Will allow user self-registration, allowing to create Flask users from Authorized User
    AUTH_USER_REGISTRATION = True
    # The default user self-registration role
    AUTH_USER_REGISTRATION_ROLE = "NoAccess"
    AUTH_ROLES_SYNC_AT_LOGIN = True
    # The role names here are the roles that are auto created by Superset.
    # You may have different requirements.
    AUTH_ROLES_MAPPING = {
      "Alpha": ["Admin"],
      "Public": ["Public"],
      "Alpha": ["Alpha"],
      "Gamma": ["Gamma"],
      "granter": ["granter"],
      "sqllab": ["sql_lab"],
    }
    # **** End automatic registration of users

Redéployer le surensemble

helm repo update
helm upgrade --install --values values.yaml superset superset/superset

  1. Modifiez l’enregistrement de l’application Microsoft Entra.

    Recherchez votre application dans Microsoft Entra ID et sélectionnez votre application sous la rubrique « enregistrement de l'application ». Modifiez les rôles d'enregistrement de votre application en sélectionnant « Rôles d'application » dans le menu de navigation de gauche et ajoutez tous les rôles Superset que vous souhaitez utiliser. Il est recommandé d'ajouter au moins les rôles Administrateur et Public.

    Valeur Nom d’affichage Description Types de membres autorisés
    Admin Admin Administrateur de super-ensembles Utilisateurs/Groupes
    Public Public Utilisateur du surensemble Utilisateurs/Groupes

    Exemple :

    Capture d’écran montrant les attributions de rôles dans les rôles d’application Microsoft Entra.

  2. Attribuez des rôles d'utilisateur dans l'enregistrement de l'application d'entreprise.

    1. Recherchez à nouveau votre application dans Microsoft Entra ID mais cette fois, sélectionnez votre application sous la rubrique « applications d'entreprise. »

    2. Sélectionnez « Utilisateurs et groupes » dans le menu de navigation de gauche et ajoutez-vous au rôle d'administrateur, ainsi qu'à tout autre groupe ou utilisateur que vous souhaitez attribuer à ce moment.

  3. Ouvrez Superset et vérifiez la connexion.

    1. Déconnectez-vous de Superset et reconnectez-vous.

    2. Sélectionnez « Paramètres » en haut à droite et choisissez « Profil. »

    3. Vérifiez que vous disposez du rôle d'administrateur.

      Capture d’écran montrant que le rôle administrateur dans Superset est étiqueté sur le profil.

Étapes suivantes