Synchronizowanie użytkowników usługi Microsoft Entra z klastrem usługi HDInsight

Klastry usługi HDInsight z pakietem Enterprise Security Package (ESP) mogą używać silnego uwierzytelniania z użytkownikami firmy Microsoft Entra i używać zasad kontroli dostępu opartej na rolach (Azure RBAC). Podczas dodawania użytkowników i grup do identyfikatora Entra firmy Microsoft możesz zsynchronizować użytkowników, którzy potrzebują dostępu do klastra.

Wymagania wstępne

Jeśli jeszcze tego nie zrobiono, utwórz klaster usługi HDInsight z pakietem Enterprise Security.

Dodawanie nowych użytkowników firmy Microsoft Entra

Aby wyświetlić hosty, otwórz internetowy interfejs użytkownika systemu Ambari. Każdy węzeł jest aktualizowany przy użyciu nowych nienadzorowanych ustawień uaktualniania.

1. W witrynie Azure Portal przejdź do katalogu Microsoft Entra skojarzonego z klastrem ESP.

2. Wybierz pozycję Wszyscy użytkownicy z menu po lewej stronie, a następnie wybierz pozycję Nowy użytkownik.

   

3. Wypełnij formularz nowego użytkownika. Wybierz grupy utworzone do przypisywania uprawnień opartych na klastrze. W tym przykładzie utwórz grupę o nazwie "HiveUsers", do której można przypisać nowych użytkowników. Przykładowe instrukcje dotyczące tworzenia klastra ESP obejmują dodawanie dwóch grup HiveUsers i AAD DC Administrators.

   

4. Wybierz pozycję Utwórz.

Synchronizowanie użytkowników przy użyciu interfejsu API REST apache Ambari

Grupy użytkowników określone w trakcie procesu tworzenia klastra są synchronizowane w tym czasie. Synchronizacja użytkowników odbywa się automatycznie co godzinę. Aby natychmiast zsynchronizować użytkowników lub zsynchronizować grupę inną niż grupy określone podczas tworzenia klastra, użyj interfejsu API REST systemu Ambari.

Poniższa metoda używa metody POST z interfejsem API REST systemu Ambari. Aby uzyskać więcej informacji, zobacz Manage HDInsight clusters by using the Apache Ambari REST API (Zarządzanie klastrami usługi HDInsight przy użyciu interfejsu API REST apache Ambari).

1. Użyj polecenia ssh, aby nawiązać połączenie z klastrem. Zmodyfikuj polecenie, zastępując CLUSTERNAME ciąg nazwą klastra, a następnie wprowadź polecenie:

   ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
   

2. Po uwierzytelnieniu wprowadź następujące polecenie:

   curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
   -X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
   "https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"
   

   Odpowiedź powinna wyglądać następująco:

   {
     "resources" : [
       {
         "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
         "Event" : {
           "id" : 1
         }
       }
     ]
   }
   

3. Aby wyświetlić stan synchronizacji, wykonaj nowe curl polecenie:

   curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1
   

   Odpowiedź powinna wyglądać następująco:

   {
     "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
     "Event" : {
       "id" : 1,
       "specs" : [
         {
           "sync_type" : "existing",
           "principal_type" : "groups"
         }
       ],
       "status" : "COMPLETE",
       "status_detail" : "Completed LDAP sync.",
       "summary" : {
         "groups" : {
           "created" : 0,
           "removed" : 0,
           "updated" : 0
         },
         "memberships" : {
           "created" : 1,
           "removed" : 0
         },
         "users" : {
           "created" : 1,
           "removed" : 0,
           "skipped" : 0,
           "updated" : 0
         }
       },
       "sync_time" : {
         "end" : 1497994072182,
         "start" : 1497994071100
       }
     }
   }
   

4. Ten wynik pokazuje, że stan TO COMPLETE, utworzono jednego nowego użytkownika, a użytkownik został przypisany do członkostwa. W tym przykładzie użytkownik jest przypisany do zsynchronizowanych grup LDAP "HiveUsers", ponieważ użytkownik został dodany do tej samej grupy w usłudze Microsoft Entra ID.

   Uwaga

   Poprzednia metoda synchronizuje tylko grupy entra firmy Microsoft określone we właściwości Grupy użytkowników programu Access ustawień domeny podczas tworzenia klastra. Aby uzyskać więcej informacji, zobacz tworzenie klastra usługi HDInsight.

Weryfikowanie nowo dodanego użytkownika firmy Microsoft Entra

Otwórz internetowy interfejs użytkownika systemu Apache Ambari, aby sprawdzić, czy dodano nowego użytkownika firmy Microsoft Entra. Uzyskaj dostęp do internetowego interfejsu użytkownika systemu Ambari, przechodząc do https://CLUSTERNAME.azurehdinsight.netstrony . Wprowadź nazwę użytkownika i hasło administratora klastra.

1. Na pulpicie nawigacyjnym systemu Ambari wybierz pozycję Zarządzaj ambari w menu administracyjnym .

   

2. Wybierz pozycję Użytkownicy w grupie menu Zarządzanie użytkownikami i grupami po lewej stronie.

   

3. Nowy użytkownik powinien być wymieniony w tabeli Użytkownicy. Typ jest ustawiony na LDAP wartość zamiast Local.

   

Zaloguj się do systemu Ambari jako nowy użytkownik

Gdy nowy użytkownik (lub inny użytkownik domeny) loguje się do systemu Ambari, używa pełnej nazwy użytkownika i poświadczeń domeny firmy Microsoft Entra. Narzędzie Ambari wyświetla alias użytkownika, który jest nazwą wyświetlaną użytkownika w identyfikatorze Entra firmy Microsoft. Nowy przykładowy użytkownik ma nazwę hiveuser3@contoso.comużytkownika . W systemie Ambari ten nowy użytkownik jest wyświetlany jako hiveuser3 , ale użytkownik loguje się do systemu Ambari jako hiveuser3@contoso.com.

Zobacz też

• Konfigurowanie zasad usługi Apache Hive w usłudze HDInsight za pomocą pakietu ESP
• Zarządzanie klastrami usługi HDInsight przy użyciu esp
• Autoryzowanie użytkowników do systemu Apache Ambari