مشاركة عبر

مزامنة مستخدمي Microsoft Entra إلى مجموعة HDInsight

  • مقالة

يمكن لمجموعات HDInsight مع حزمة أمان المؤسسة (ESP) استخدام مصادقة قوية مع مستخدمي Microsoft Entra، واستخدام نهج التحكم في الوصول المستندة إلى دور Azure (Azure RBAC ). أثناء إضافة مستخدمين ومجموعات إلى معرف Microsoft Entra، يمكنك مزامنة المستخدمين الذين يحتاجون إلى الوصول إلى مجموعتك.

المتطلبات الأساسية

إذا لم تكن قد فعلت ذلك بالفعل، فقم بإنشاء مجموعة HDInsight باستخدام حزمة أمان المؤسسة.

إضافة مستخدمين جدد من Microsoft Entra

لعرض المضيفين، افتح Ambari Web UI. يتم تحديث كل عقدة بإعدادات ترقية جديدة غير مراقبة.

  1. من مدخل Microsoft Azure، انتقل إلى دليل Microsoft Entra المقترن بمجموعة ESP الخاصة بك.

  2. حدد All users من القائمة اليسرى، ثم حدد New user.

    Azure portal users and groups all.

  3. أكمل نموذج المستخدم الجديد. حدد المجموعات التي أنشأتها لتعيين أذونات على أساس المجموعة. في هذا المثال، أنشئ مجموعة تسمى "HiveUsers"، والتي يمكنك تعيين مستخدمين جدد لها. تتضمن إرشادات المثال لإنشاء مجموعة ESP إضافة مجموعتين وHiveUsers.AAD DC Administrators

    Azure portal user pane select groups.

  4. حدد إنشاء.

استخدام Apache Ambari REST API لمزامنة المستخدمين

تتم مزامنة مجموعات المستخدمين المحددة أثناء عملية إنشاء مجموعة في ذلك الوقت. تحدث مزامنة المستخدم تلقائيًا مرة كل ساعة. لمزامنة المستخدمين مباشرة، أو لمزامنة مجموعة أخرى غير المجموعات المحددة أثناء إنشاء المجموعة، استخدم Ambari REST API.

يستخدم الأسلوب التالي POST مع Ambari REST API. لمزيد من المعلومات، راجع إدارة مجموعات HDInsight باستخدام Apache Ambari REST API.

  1. استخدم الأمر ssh للاتصال بنظام المجموعة الخاص بك. قم بتحرير الأمر عن طريق استبدال CLUSTERNAME باسم نظام المجموعة الخاص بك، ثم أدخل الأمر :

    ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net

  2. بعد المصادقة، أدخل الأمر التالي:

    curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
-X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
"https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"

    ينبغي أن تبدو الاستجابة كما يلي:

    {
  "resources" : [
    {
      "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
      "Event" : {
        "id" : 1
      }
    }
  ]
}

  3. لمشاهدة حالة المزامنة، قم بتنفيذ أمر جديد curl :

    curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1

    ينبغي أن تبدو الاستجابة كما يلي:

    {
  "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
  "Event" : {
    "id" : 1,
    "specs" : [
      {
        "sync_type" : "existing",
        "principal_type" : "groups"
      }
    ],
    "status" : "COMPLETE",
    "status_detail" : "Completed LDAP sync.",
    "summary" : {
      "groups" : {
        "created" : 0,
        "removed" : 0,
        "updated" : 0
      },
      "memberships" : {
        "created" : 1,
        "removed" : 0
      },
      "users" : {
        "created" : 1,
        "removed" : 0,
        "skipped" : 0,
        "updated" : 0
      }
    },
    "sync_time" : {
      "end" : 1497994072182,
      "start" : 1497994071100
    }
  }
}

  4. توضح هذه النتيجة أن الحالة COMPLETE، وتم إنشاء مستخدم جديد واحد، وتم تعيين عضوية للمستخدم. في هذا المثال، يتم تعيين المستخدم إلى مجموعة LDAP المتزامنة "HiveUsers"، حيث تمت إضافة المستخدم إلى نفس المجموعة في معرف Microsoft Entra.

    إشعار

    الأسلوب السابق يقوم فقط بمزامنة مجموعات Microsoft Entra المحددة في خاصية مجموعة مستخدم Access لإعدادات المجال أثناء إنشاء نظام المجموعة. لمزيد من المعلومات، راجع إنشاء مجموعة HDInsight.

تحقق من مستخدم Microsoft Entra المضاف حديثا

افتح واجهة مستخدم ويب Apache Ambari للتحقق من إضافة مستخدم Microsoft Entra الجديد. قم بالوصول إلى واجهة مستخدم ويب Ambari عن طريق الاستعراض إلى https://CLUSTERNAME.azurehdinsight.net. أدخل اسم المستخدم وكلمة المرور لمسؤول المجموعة.

  1. من لوحة معلومات Ambari، حدد إدارة Ambari ضمن قائمة المسؤول .

    Apache Ambari dashboard Manage Ambari.

  2. حدد Users ضمن مجموعة قائمة User + Group Management على الجانب الأيسر من الصفحة.

    HDInsight users and groups menu.

  3. يجب إدراج المستخدم الجديد ضمن جدول المستخدمين. يتم تعيين النوع إلى LDAP بدلاً من Local.

    HDInsight Microsoft Entra users page overview.

تسجيل الدخول إلى Ambari كمستخدم جديد

عندما يقوم المستخدم الجديد (أو أي مستخدم مجال آخر) بتسجيل الدخول إلى Ambari، يستخدم اسم مستخدم Microsoft Entra الكامل وبيانات اعتماد المجال الخاصة به. يعرض Ambari اسما مستعارا للمستخدم، وهو اسم العرض للمستخدم في معرف Microsoft Entra. المستخدم المثال الجديد لديه اسم hiveuser3@contoso.comالمستخدم . في Ambari، يظهر هذا المستخدم الجديد على أنه hiveuser3 ولكن يسجل المستخدم الدخول إلى Ambari ك hiveuser3@contoso.com.

(راجع أيضًا )