Microsoft Entra-gebruikers synchroniseren met een HDInsight-cluster

HDInsight-clusters met Enterprise Security Package (ESP) kunnen sterke verificatie gebruiken met Microsoft Entra-gebruikers en gebruikmaken van azure-beleid voor op rollen gebaseerd toegangsbeheer (Azure RBAC ). Wanneer u gebruikers en groepen toevoegt aan Microsoft Entra ID, kunt u de gebruikers synchroniseren die toegang nodig hebben tot uw cluster.

Vereisten

Als u dit nog niet hebt gedaan, maakt u een HDInsight-cluster met Enterprise Security Package.

Nieuwe Microsoft Entra-gebruikers toevoegen

Open de Ambari-webgebruikersinterface om uw hosts weer te geven. Elk knooppunt wordt bijgewerkt met nieuwe upgrade-instellingen zonder toezicht.

1. Navigeer vanuit Azure Portal naar de Map Microsoft Entra die is gekoppeld aan uw ESP-cluster.

2. Selecteer Alle gebruikers in het linkermenu en selecteer vervolgens Nieuwe gebruiker.

   

3. Vul het nieuwe gebruikersformulier in. Selecteer groepen die u hebt gemaakt voor het toewijzen van op clusters gebaseerde machtigingen. Maak in dit voorbeeld een groep met de naam HiveUsers, waaraan u nieuwe gebruikers kunt toewijzen. De voorbeeldinstructies voor het maken van een ESP-cluster omvatten het toevoegen van twee groepen en HiveUsers AAD DC Administrators.

   

4. Selecteer Maken.

De Apache Ambari REST API gebruiken om gebruikers te synchroniseren

Gebruikersgroepen die zijn opgegeven tijdens het maken van het cluster, worden op dat moment gesynchroniseerd. Synchronisatie van gebruikers vindt automatisch één keer per uur plaats. Gebruik de Ambari REST API om de gebruikers onmiddellijk te synchroniseren of om een andere groep te synchroniseren dan de groepen die zijn opgegeven tijdens het maken van het cluster.

De volgende methode maakt gebruik van POST met de Ambari REST API. Zie HDInsight-clusters beheren met behulp van de Apache Ambari REST API voor meer informatie.

1. Gebruik de ssh-opdracht om verbinding te maken met uw cluster. Bewerk de opdracht door de naam van uw cluster te vervangen CLUSTERNAME en voer vervolgens de opdracht in:

   ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
   

2. Voer na verificatie de volgende opdracht in:

   curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
   -X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
   "https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"
   

   Het antwoord moet er als volgt uitzien:

   {
     "resources" : [
       {
         "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
         "Event" : {
           "id" : 1
         }
       }
     ]
   }
   

3. Als u de synchronisatiestatus wilt zien, voert u een nieuwe curl opdracht uit:

   curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1
   

   Het antwoord moet er als volgt uitzien:

   {
     "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
     "Event" : {
       "id" : 1,
       "specs" : [
         {
           "sync_type" : "existing",
           "principal_type" : "groups"
         }
       ],
       "status" : "COMPLETE",
       "status_detail" : "Completed LDAP sync.",
       "summary" : {
         "groups" : {
           "created" : 0,
           "removed" : 0,
           "updated" : 0
         },
         "memberships" : {
           "created" : 1,
           "removed" : 0
         },
         "users" : {
           "created" : 1,
           "removed" : 0,
           "skipped" : 0,
           "updated" : 0
         }
       },
       "sync_time" : {
         "end" : 1497994072182,
         "start" : 1497994071100
       }
     }
   }
   

4. Dit resultaat geeft aan dat de status VOLTOOID is, dat er één nieuwe gebruiker is gemaakt en dat de gebruiker een lidmaatschap heeft toegewezen. In dit voorbeeld wordt de gebruiker toegewezen aan de gesynchroniseerde LDAP-groep HiveUsers, omdat de gebruiker is toegevoegd aan dezelfde groep in Microsoft Entra-id.

   Notitie

   De vorige methode synchroniseert alleen de Microsoft Entra-groepen die zijn opgegeven in de eigenschap Access-gebruikersgroep van de domeininstellingen tijdens het maken van het cluster. Zie Een HDInsight-cluster maken voor meer informatie.

Controleer of de zojuist toegevoegde Microsoft Entra-gebruiker

Open de Apache Ambari-webinterface om te controleren of de nieuwe Microsoft Entra-gebruiker is toegevoegd. Open de Ambari-webgebruikersinterface door te bladeren naar https://CLUSTERNAME.azurehdinsight.net. Voer de gebruikersnaam en het wachtwoord van de clusterbeheerder in.

1. Selecteer Ambari beheren in het Ambari-dashboard in het beheermenu .

   

2. Selecteer Gebruikers onder de menugroep Gebruikers en groepsbeheer aan de linkerkant van de pagina.

   

3. De nieuwe gebruiker moet worden weergegeven in de tabel Gebruikers. Het type is ingesteld op LDAP in plaats Localvan .

   

Aanmelden bij Ambari als de nieuwe gebruiker

Wanneer de nieuwe gebruiker (of een andere domeingebruiker) zich aanmeldt bij Ambari, gebruiken ze hun volledige Microsoft Entra-gebruikersnaam en domeinreferenties. Ambari geeft een gebruikersalias weer. Dit is de weergavenaam van de gebruiker in Microsoft Entra-id. De nieuwe voorbeeldgebruiker heeft de gebruikersnaam hiveuser3@contoso.com. In Ambari wordt deze nieuwe gebruiker weergegeven als hiveuser3 maar de gebruiker zich aanmeldt bij Ambari als hiveuser3@contoso.com.

Zie ook

• Apache Hive-beleidsregels configureren in HDInsight met ESP
• HDInsight-clusters beheren met ESP
• Gebruikers machtigen voor Apache Ambari