Sincronizar usuários do Microsoft Entra com um cluster HDInsight
Os clusters HDInsight com Pacote de Segurança Empresarial (ESP) podem usar autenticação forte com usuários do Microsoft Entra e usar políticas de controle de acesso baseado em função do Azure (Azure RBAC). À medida que adiciona utilizadores e grupos ao Microsoft Entra ID, pode sincronizar os utilizadores que necessitam de acesso ao cluster.
Pré-requisitos
Se ainda não tiver feito isso, crie um cluster HDInsight com o Pacote de Segurança Empresarial.
Adicionar novos usuários do Microsoft Entra
Para visualizar seus hosts, abra a interface do usuário da Web do Ambari. Cada nó é atualizado com novas configurações de atualização autônoma.
No portal do Azure, navegue até o diretório Microsoft Entra associado ao cluster ESP.
Selecione Todos os usuários no menu à esquerda e, em seguida, selecione Novo usuário.
Preencha o novo formulário de usuário. Selecione os grupos criados para atribuir permissões baseadas em cluster. Neste exemplo, crie um grupo chamado "HiveUsers", ao qual você pode atribuir novos usuários. As instruções de exemplo para criar um cluster ESP incluem a adição de dois grupos
HiveUsers
eAAD DC Administrators
.Selecione Criar.
Use a API REST do Apache Ambari para sincronizar usuários
Os grupos de utilizadores especificados durante o processo de criação de clusters são sincronizados nesse momento. A sincronização de utilizadores ocorre automaticamente uma vez por hora. Para sincronizar os usuários imediatamente ou para sincronizar um grupo diferente dos grupos especificados durante a criação do cluster, use a API REST do Ambari.
O método a seguir usa POST com a API REST do Ambari. Para obter mais informações, consulte Gerenciar clusters HDInsight usando a API REST do Apache Ambari.
Use o comando ssh para se conectar ao cluster. Edite o comando substituindo
CLUSTERNAME
pelo nome do cluster e digite o comando:ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
Depois de autenticar, digite o seguinte comando:
curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \ -X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \ "https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"
A resposta deverá ter o seguinte aspeto:
{ "resources" : [ { "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1", "Event" : { "id" : 1 } } ] }
Para ver o status da sincronização, execute um novo
curl
comando:curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1
A resposta deverá ter o seguinte aspeto:
{ "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1", "Event" : { "id" : 1, "specs" : [ { "sync_type" : "existing", "principal_type" : "groups" } ], "status" : "COMPLETE", "status_detail" : "Completed LDAP sync.", "summary" : { "groups" : { "created" : 0, "removed" : 0, "updated" : 0 }, "memberships" : { "created" : 1, "removed" : 0 }, "users" : { "created" : 1, "removed" : 0, "skipped" : 0, "updated" : 0 } }, "sync_time" : { "end" : 1497994072182, "start" : 1497994071100 } } }
Esse resultado mostra que o status é COMPLETO, um novo usuário foi criado e o usuário recebeu uma associação. Neste exemplo, o usuário é atribuído ao grupo LDAP sincronizado "HiveUsers", uma vez que o usuário foi adicionado a esse mesmo grupo no ID do Microsoft Entra.
Nota
O método anterior sincroniza apenas os grupos do Microsoft Entra especificados na propriedade Access user group das configurações de domínio durante a criação do cluster. Para obter mais informações, consulte Criar um cluster HDInsight.
Verifique o usuário recém-adicionado do Microsoft Entra
Abra a interface do usuário da Web do Apache Ambari para verificar se o novo usuário do Microsoft Entra foi adicionado. Acesse a interface do usuário da Web do Ambari navegando até https://CLUSTERNAME.azurehdinsight.net
. Insira o nome de usuário e a senha do administrador do cluster.
No painel do Ambari, selecione Gerenciar Ambari no menu admin .
Selecione Usuários no grupo de menu Gerenciamento de Usuário + Grupo no lado esquerdo da página.
O novo usuário deve ser listado na tabela Usuários. O Tipo é definido como
LDAP
em vez deLocal
.
Faça login no Ambari como o novo usuário
Quando o novo usuário (ou qualquer outro usuário de domínio) faz login no Ambari, ele usa seu nome de usuário completo do Microsoft Entra e credenciais de domínio. Ambari exibe um alias de usuário, que é o nome de exibição do usuário no Microsoft Entra ID.
O novo usuário de exemplo tem o nome hiveuser3@contoso.com
de usuário . No Ambari, esse novo usuário aparece como hiveuser3
mas o usuário faz login no Ambari como hiveuser3@contoso.com
.