Compartilhar via

Configurar o Controle de Acesso Baseado em Função.

  • Artigo

Observação

Desativaremos o Microsoft Azure HDInsight no AKS em 31 de janeiro de 2025. Para evitar o encerramento abrupto das suas cargas de trabalho, você precisará migrá-las para o Microsoft Fabric ou para um produto equivalente do Azure antes de 31 de janeiro de 2025. Os clusters restantes em sua assinatura serão interrompidos e removidos do host.

Somente o suporte básico estará disponível até a data de desativação.

Importante

Esse recurso está atualmente na visualização. Os Termos de uso complementares para versões prévias do Microsoft Azure incluem mais termos legais que se aplicam aos recursos do Azure que estão em versão beta, em versão prévia ou ainda não lançados em disponibilidade geral. Para obter informações sobre essa versão prévia específica, confira Informações sobre a versão prévia do Azure HDInsight no AKS. No caso de perguntas ou sugestões de recursos, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para ver mais atualizações sobre a Comunidade do Azure HDInsight.

Esse artigo descreve como fornecer Controle de Acesso Baseado em Função e atribuir automaticamente usuários a funções de Superconjunto do Apache. Esse Controle de Acesso Baseado em Função permite que você gerencie grupos de usuários no Microsoft Entra ID, mas configure permissões de acesso no Superconjunto. Por exemplo, se você tiver um grupo de segurança chamado datateam, poderá propagar a associação desse grupo ao Superconjunto, o que significa que o Superconjunto poderá negar automaticamente o acesso se um usuário for removido desse grupo de segurança.

  1. Crie uma função que proíba o acesso ao Superconjunto.

    Crie uma função NoAccess no Superconjunto que impede que os usuários executem consultas ou executem qualquer operação. Essa função é a função padrão à qual os usuários são atribuídos se não pertencerem a nenhum outro grupo.

    1. No Superconjunto, selecione "Configurações" (no canto superior direito) e escolha "Listar Funções".

    2. Selecione o símbolo de adição para adicionar uma nova função.

    3. Forneça os detalhes a seguir para a nova função. Nome: Permissões noAccess: [can this form get on UserInfoEditView]

    4. Selecione "Salvar"

  2. Configure o Superconjunto para atribuir automaticamente funções.

    Substitua a seção automatic registration of users no gráfico do Helm pelo seguinte exemplo:

        # **** Automatic registration of users
    # Map Authlib roles to superset roles
    # Will allow user self-registration, allowing to create Flask users from Authorized User
    AUTH_USER_REGISTRATION = True
    # The default user self-registration role
    AUTH_USER_REGISTRATION_ROLE = "NoAccess"
    AUTH_ROLES_SYNC_AT_LOGIN = True
    # The role names here are the roles that are auto created by Superset.
    # You may have different requirements.
    AUTH_ROLES_MAPPING = {
      "Alpha": ["Admin"],
      "Public": ["Public"],
      "Alpha": ["Alpha"],
      "Gamma": ["Gamma"],
      "granter": ["granter"],
      "sqllab": ["sql_lab"],
    }
    # **** End automatic registration of users

Reimplantar Superconjunto

helm repo update
helm upgrade --install --values values.yaml superset superset/superset

  1. Criar um registro de aplicativo do Microsoft Entra.

    Pesquise seu aplicativo no Microsoft Entra ID e selecione seu aplicativo no título "registro do aplicativo". Edite as funções do registro do aplicativo selecionando "Funções de aplicativo" na navegação à esquerda e adicione todas as funções de Superconjunto que você gostaria de usar. É recomendável que você adicione pelo menos as funções Administrador e Pública.

    Valor Nome para Exibição Descrição Tipos de Membro Permitidos
    Administração Admin Administrador de superconjunto Usuários/Grupos
    Setor Público Setor Público Usuário de superconjunto Usuários/Grupos

    Exemplo:

    Captura de tela mostrando atribuições de função em funções de aplicativo do Microsoft Entra.

  2. Atribuir funções de usuário no Registro de Aplicativo Empresarial.

    1. Pesquise seu aplicativo novamente no Microsoft Entra ID, mas dessa vez, selecione seu aplicativo no título "aplicativos empresariais".

    2. Selecione "Usuários e grupos" na navegação à esquerda e adicione-se à função de administrador e a todos os outros grupos ou usuários que você deseja atribuir neste momento.

  3. Abra o Superconjunto e verifique o logon.

    1. Faça logoff do Superconjunto e faça logon novamente.

    2. Selecione "Configurações" no canto superior direito e escolha "Perfil".

    3. Verifique se você tem a função de Administrador.

      Captura de tela mostrando que a função administrador no Superset é rotulada no perfil.

Próximas etapas