Synchroniser les utilisateurs Microsoft Entra avec un cluster HDInsight

  • Article

Les clusters HDInsight avec le Pack Sécurité Entreprise (ESP) peuvent utiliser l’authentification forte pour les utilisateurs Microsoft Entra ainsi que des stratégies de contrôle d’accès en fonction du rôle Azure (Azure RBAC). À mesure que vous ajoutez des utilisateurs et des groupes à Microsoft Entra ID, vous pouvez synchroniser les utilisateurs qui ont besoin d’accéder à votre cluster.

Prérequis

Si ce n’est déjà fait, créez un cluster HDInsight avec le Pack Sécurité Entreprise activé.

Ajouter de nouveaux utilisateurs Microsoft Entra

Pour afficher vos hôtes, ouvrez l’interface utilisateur web d’Ambari. Chaque nœud est actualisé avec de nouveaux paramètres de mise à niveau sans assistance.

  1. À partir du portail Azure, accédez au répertoire Microsoft Entra associé à votre cluster ESP.

  2. Sélectionnez Tous les utilisateurs dans le menu de gauche, puis sélectionnez Nouvel utilisateur.

    Azure portal users and groups all.

  3. Remplissez le formulaire du nouvel utilisateur. Sélectionnez les groupes que vous avez créés pour l’attribution d’autorisations basées sur le cluster. Dans cet exemple, créez un groupe nommé « HiveUsers », auquel vous pouvez attribuer de nouveaux utilisateurs. Les exemples d’instructions pour la création d’un cluster PSE comprennent l’ajout de deux groupes, HiveUsers et AAD DC Administrators.

    Azure portal user pane select groups.

  4. Cliquez sur Créer.

Utiliser l’API REST Apache Ambari pour synchroniser les utilisateurs

Les groupes d’utilisateurs spécifiés pendant le processus de création de cluster sont synchronisés à ce moment-là. La synchronisation des utilisateurs a lieu automatiquement toutes les heures. Pour synchroniser immédiatement les utilisateurs, ou pour synchroniser un groupe n’ayant pas été spécifié lors de la création du cluster, utilisez l’API REST Ambari.

La méthode suivante utilise POST avec l’API REST Ambari. Pour plus d’informations, consultez Gérer des clusters HDInsight à l’aide de l’API REST d’Apache Ambari.

  1. Utilisez la commande ssh pour vous connecter à votre cluster. Modifiez la commande en remplaçant CLUSTERNAME par le nom de votre cluster, puis entrez la commande :

    ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net

  2. Après l’authentification, entrez la commande suivante :

    curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
-X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
"https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"

    La réponse est de ce type :

    {
  "resources" : [
    {
      "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
      "Event" : {
        "id" : 1
      }
    }
  ]
}

  3. Pour afficher l’état de synchronisation, exécutez une nouvelle commande curl :

    curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1

    La réponse est de ce type :

    {
  "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
  "Event" : {
    "id" : 1,
    "specs" : [
      {
        "sync_type" : "existing",
        "principal_type" : "groups"
      }
    ],
    "status" : "COMPLETE",
    "status_detail" : "Completed LDAP sync.",
    "summary" : {
      "groups" : {
        "created" : 0,
        "removed" : 0,
        "updated" : 0
      },
      "memberships" : {
        "created" : 1,
        "removed" : 0
      },
      "users" : {
        "created" : 1,
        "removed" : 0,
        "skipped" : 0,
        "updated" : 0
      }
    },
    "sync_time" : {
      "end" : 1497994072182,
      "start" : 1497994071100
    }
  }
}

  4. Ce résultat montre que l’état est COMPLETE, qu’un nouvel utilisateur a été créé et qu’une appartenance lui a été attribuée. Dans cet exemple, l’utilisateur est affecté au groupe LDAP synchronisé « HiveUsers », car il a été ajouté à ce même groupe dans Microsoft Entra ID.

    Remarque

    La méthode précédente synchronise uniquement les groupes Azure AD spécifiés dans la propriété Accéder au groupe d’utilisateurs des paramètres de domaine durant la création du cluster. Pour plus d’informations, consultez Créer un cluster HDInsight.

Vérifier l’utilisateur Microsoft Entra nouvellement ajouté

Ouvrez l’interface utilisateur web d’Apache Ambari pour vérifier que le nouvel utilisateur Microsoft Entra a été ajouté. Accédez à l’interface utilisateur web d’Ambari en naviguant jusqu’à https://CLUSTERNAME.azurehdinsight.net . Entrez le nom d’utilisateur et le mot de passe de l’administrateur de cluster.

  1. Dans le tableau de bord Ambari, sélectionnez Manage Ambari (Gérer Ambari) sous le menu admin.

    Apache Ambari dashboard Manage Ambari.

  2. Sélectionnez Users (Utilisateurs) dans le groupe de menus User + Group Management (Gestion des utilisateurs et des groupes) sur le côté gauche de la page.

    HDInsight users and groups menu.

  3. Le nouvel utilisateur doit être listé dans le tableau des utilisateurs. Le type est défini sur LDAP plutôt que Local.

    HDInsight Microsoft Entra users page overview.

Se connecter à Ambari en tant que nouvel utilisateur

Quand le nouvel utilisateur (ou tout autre utilisateur du domaine) se connecte à Ambari, il utilise son nom d’utilisateur Microsoft Entra et ses informations d’identification de domaine complètes. Ambari affiche un alias d’utilisateur, qui est le nom complet de l’utilisateur dans Microsoft Entra ID. Le nouvel exemple d’utilisateur a hiveuser3@contoso.com comme nom d’utilisateur. Dans Ambari, ce nouvel utilisateur apparaît en tant que hiveuser3, mais il se connecte à Ambari en tant que hiveuser3@contoso.com.

Voir aussi