Synchronisieren von Microsoft Entra-Benutzern mit dem HDInsight-Cluster

HDInsight-Cluster mit Enterprise-Sicherheitspaket (Enterprise Security Package, ESP) können eine strenge Authentifizierung für Microsoft Entra-Benutzer und Richtlinien für die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) verwenden. Wenn Sie Microsoft Entra ID Benutzer und Gruppen hinzufügen, können Sie die Benutzer synchronisieren, die Zugriff auf Ihren Cluster benötigen.

Voraussetzungen

Erstellen Sie einen HDInsight-Cluster mit Enterprise-Sicherheitspaket, wenn Sie dies noch nicht erledigt haben.

Hinzufügen neuer Microsoft Entra-Benutzer

Um Ihre Hosts anzuzeigen, öffnen Sie die Ambari-Webbenutzeroberfläche. Jeder Knoten wird mit neuen Einstellungen für das unbeaufsichtigte Upgrade aktualisiert.

1. Navigieren Sie im Azure-Portal zu dem Microsoft Entra-Verzeichnis, das Ihrem ESP-Cluster zugeordnet ist.

2. Wählen Sie im linken Menü den Eintrag Alle Benutzer aus, und wählen Sie dann Neuer Benutzer aus.

   

3. Füllen Sie das Formular für neue Benutzer aus. Wählen Sie Gruppen aus, die Sie zum Zuweisen von clusterbasierten Berechtigungen erstellt haben. In diesem Beispiel erstellen Sie eine Gruppe namens „HiveUsers“, der Sie neue Benutzer zuweisen können. Die Beispielanweisungen zum Erstellen eines ESP-Clusters umfassen das Hinzufügen von zwei Gruppen: HiveUsers und AAD DC Administrators.

   

4. Klicken Sie auf Erstellen.

Verwenden der Apache Ambari-REST-API zum Synchronisieren von Benutzern

Benutzergruppen, die während des Clustererstellungsprozesses angegeben werden, werden zu diesem Zeitpunkt synchronisiert. Die Benutzersynchronisierung erfolgt automatisch einmal pro Stunde. Um die Benutzer sofort zu synchronisieren oder um eine andere Gruppe als die während der Clustererstellung angegebenen Gruppen zu synchronisieren, verwenden Sie die Ambari-REST-API.

Die folgende Methode verwendet POST mit der Ambari-REST-API. Weitere Informationen finden Sie unter Verwalten von HDInsight-Clustern mithilfe der Apache Ambari-REST-API.

1. Verwenden Sie einen ssh-Befehl zum Herstellen der Verbindung mit dem Cluster. Bearbeiten Sie den Befehl, indem Sie CLUSTERNAME durch den Namen Ihres Clusters ersetzen, und geben Sie den Befehl dann ein:

   ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
   

2. Geben Sie nach der Authentifizierung den folgenden Befehl ein:

   curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
   -X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
   "https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"
   

   Das Ergebnis sieht in etwa wie folgt aus:

   {
     "resources" : [
       {
         "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
         "Event" : {
           "id" : 1
         }
       }
     ]
   }
   

3. Führen Sie einen neuen curl-Befehl aus, um den Synchronisierungsstatus anzuzeigen:

   curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1
   

   Das Ergebnis sieht in etwa wie folgt aus:

   {
     "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
     "Event" : {
       "id" : 1,
       "specs" : [
         {
           "sync_type" : "existing",
           "principal_type" : "groups"
         }
       ],
       "status" : "COMPLETE",
       "status_detail" : "Completed LDAP sync.",
       "summary" : {
         "groups" : {
           "created" : 0,
           "removed" : 0,
           "updated" : 0
         },
         "memberships" : {
           "created" : 1,
           "removed" : 0
         },
         "users" : {
           "created" : 1,
           "removed" : 0,
           "skipped" : 0,
           "updated" : 0
         }
       },
       "sync_time" : {
         "end" : 1497994072182,
         "start" : 1497994071100
       }
     }
   }
   

4. Dieses Ergebnis zeigt, dass der Status ABGESCHLOSSEN lautet, ein neuer Benutzer erstellt und dem Benutzer eine Mitgliedschaft zugewiesen wurde. In diesem Beispiel wird der Benutzer der synchronisierten LDAP-Gruppe „HiveUsers“ zugewiesen, da der Benutzer in Microsoft Entra ID zu genau dieser Gruppe hinzugefügt wurde.

   Hinweis

   Die vorherige Methode synchronisiert nur die Microsoft Entra-Gruppen, die während der Clustererstellung in der Eigenschaft Zugriff auf die Benutzergruppe der Domäneneinstellungen angegeben wurden. Weitere Informationen finden Sie unter Erstellen eines HDInsight-Clusters.

Überprüfen des neu hinzugefügten Microsoft Entra-Benutzers

Öffnen Sie die Apache Ambari-Webbenutzeroberfläche, um zu überprüfen, ob der neue Microsoft Entra-Benutzer hinzugefügt wurde. Sie können über https://CLUSTERNAME.azurehdinsight.net auf die Ambari-Webbenutzeroberfläche zugreifen. Geben Sie den Benutzernamen und das Kennwort des Clusteradministrators ein.

1. Wählen Sie im Ambari-Dashboard im Menü Administrator die Option Ambari verwalten aus.

   

2. Wählen Sie in der Menügruppe Benutzer- und Gruppenverwaltung auf der linken Seite die Option Benutzer aus.

   

3. Der neue Benutzer sollte in der Tabelle „Benutzer“ aufgeführt werden. Der Typ wird auf LDAP festgelegt anstatt auf Local.

   

Anmelden bei Ambari als neuer Benutzer

Wenn der neue Benutzer (oder ein anderer Domänenbenutzer) sich bei Ambari anmeldet, verwendet er seinen vollständigen Microsoft Entra-Benutzernamen und die Domänenanmeldeinformationen. Ambari zeigt einen Benutzeralias an, bei dem es sich um den Anzeigenamen des Benutzers in Microsoft Entra ID handelt. Der neue Beispielbenutzer hat den Benutzernamen hiveuser3@contoso.com. In Ambari wird dieser neue Benutzer als hiveuser3 angezeigt, der Benutzer muss sich jedoch als hiveuser3@contoso.com bei Ambari anmelden.

Weitere Informationen

• Konfigurieren von Apache Hive-Richtlinien in HDInsight mit ESP
• Verwalten von HDInsight-Clustern mit ESP
• Autorisieren von Benutzern für Apache Ambari