次の方法で共有

ロールベースのアクセス制御を構成する

  • [アーティクル]

大事な

AKS 上の Azure HDInsight は、2025 年 1 月 31 日に廃止されました。 このお知らせ の詳細については、を参照してください。

ワークロードの突然の終了を回避するには、ワークロードを Microsoft Fabric または同等の Azure 製品 に移行する必要があります。

大事な

この機能は現在プレビュー段階です。 Microsoft Azure プレビューの 追加使用条件 には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用される、より多くの法的条件が含まれています。 この特定のプレビューの詳細については、AKS プレビュー情報 Azure HDInsightを参照してください。 ご質問や機能の提案については、詳細を記載したリクエストをAskHDInsight に送信してください。そして、Azure HDInsight Community をフォローして、詳細な更新を受け取ってください。

この記事では、ロール ベースのアクセス制御を提供し、Apache Superset ロールにユーザーを自動割り当てる方法について説明します。 このロールベースのアクセス制御を使用すると、Microsoft Entra ID でユーザー グループを管理できますが、Superset でアクセス許可を構成できます。 たとえば、datateamというセキュリティ グループがある場合は、このグループのメンバーシップを Superset に伝達できます。つまり、ユーザーがこのセキュリティ グループから削除された場合、Superset は自動的にアクセスを拒否できます。

  1. スーパーセットへのアクセスを禁止するロールを作成します。

    ユーザーがクエリを実行したり操作を実行したりできないようにする NoAccess ロールを Superset に作成します。 このロールは、ユーザーが他のグループに属していない場合に割り当てられる既定のロールです。

    1. スーパーセットで、[設定] (右上) を選択し、[ロールの一覧表示] を選択します。

    2. プラス記号を選択して新しいロールを追加します。

    3. 新しいロールの詳細を次に示します。 名前: NoAccess アクセス許可: [can this form get on UserInfoEditView]

    4. [保存] を選択します。

  2. ロールを自動的に割り当てするようにスーパーセットを構成します。

    Helm グラフの automatic registration of users セクションを次の例に置き換えます。

        # **** Automatic registration of users
    # Map Authlib roles to superset roles
    # Will allow user self-registration, allowing to create Flask users from Authorized User
    AUTH_USER_REGISTRATION = True
    # The default user self-registration role
    AUTH_USER_REGISTRATION_ROLE = "NoAccess"
    AUTH_ROLES_SYNC_AT_LOGIN = True
    # The role names here are the roles that are auto created by Superset.
    # You may have different requirements.
    AUTH_ROLES_MAPPING = {
      "Alpha": ["Admin"],
      "Public": ["Public"],
      "Alpha": ["Alpha"],
      "Gamma": ["Gamma"],
      "granter": ["granter"],
      "sqllab": ["sql_lab"],
    }
    # **** End automatic registration of users

スーパーセットの再デプロイ

helm repo update
helm upgrade --install --values values.yaml superset superset/superset

  1. Microsoft Entra アプリの登録を変更します。

    Microsoft Entra ID でアプリケーションを検索し、[アプリの登録] 見出しでアプリを選択します。 左側のナビゲーションから [アプリ ロール] を選択してアプリ登録のロールを編集し、使用するすべてのスーパーセット ロールを追加します。 少なくとも管理者ロールとパブリック ロールを追加することをお勧めします。

    価値 表示名 説明 許可されるメンバー型
    管理者 管理者 スーパーセット管理者 ユーザー/グループ
    公共 公共 スーパセット ユーザー ユーザー/グループ

    例:

    Microsoft Entra アプリ内の役割の割り当てを示すスクリーンショット。

  2. Enterprise App Registration でユーザー ロールを割り当てます。

    1. Microsoft Entra ID でアプリケーションをもう一度検索しますが、今回は"エンタープライズ アプリケーション" という見出しの下にあるアプリケーションを選択します。

    2. 左側のナビゲーションから [ユーザーとグループ] を選択し、自分を管理者ロールに追加し、現時点で割り当てる他のグループまたはユーザーを追加します。

  3. スーパーセットを開き、ログインを確認します。

    1. スーパーセットからログアウトし、もう一度ログインします。

    2. 右上の [設定] を選択し、[プロファイル] を選択します。

    3. 管理者ロールがあることを確認します。

      スーパーセットの管理者ロールがプロファイルにラベル付けされていることを示すスクリーンショット。

次の手順