Microsoft Entra ユーザーを HDInsight クラスターに同期する

Enterprise セキュリティ パッケージ (ESP) を使う HDInsight クラスターでは、Microsoft Entra ユーザーに強力な認証を使うことや、"Azure ロールベースのアクセス制御 (Azure RBAC)" ポリシーを使うことができます。 Microsoft Entra ID にユーザーやグループを追加するとき、アクセスが必要なユーザーをクラスターに同期できます。

前提条件

まだそのようにしていない場合は、Enterprise セキュリティ パッケージを使用する HDInsight クラスターを作成します。

新しい Microsoft Entra ユーザーを追加する

ホストを表示するには、Ambari Web UI を開きます。 各ノードが、新しい無人アップグレードの設定で更新されています。

1. Azure portal から、ESP クラスターに関連付けられた Microsoft Entra ディレクトリに移動します。

2. 左側のメニューから [すべてのユーザー] を選択してから、 [New user] (新しいユーザー) を選択します。

   

3. 新しいユーザーのフォームを完了します。 クラスター ベースのアクセス許可を割り当てるために作成したグループを選択します。 この例では、新しいユーザーを割り当てることのできる "HiveUsers" という名前のグループを作成します。 ESP クラスターを作成するための手順の例には、HiveUsers と AAD DC Administrators という 2 つのグループの追加が含まれています。

   

4. ［作成］ を選択します

Apache Ambari REST API を使用してユーザーを同期する

クラスターの作成プロセス中に指定されたユーザー グループは、その時点で同期されます。 ユーザーの同期は、1 時間に 1 回自動的に実行されます。 ユーザーを直ちに同期するには、またはクラスターの作成中に指定されたグループ以外のグループを同期するには、Ambari REST API を使用します。

次のメソッドは、Ambari REST API で POST を使用します。 詳細については、「Ambari REST API を使用した HDInsight クラスターの管理」を参照してください。

1. ssh コマンドを使用してクラスターに接続します。 CLUSTERNAME をクラスターの名前に置き換えて次のコマンドを編集したら、そのコマンドを入力します。

   ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
   

2. 認証の後、次のコマンドを入力します。

   curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
   -X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
   "https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"
   

   応答は次のようになります。

   {
     "resources" : [
       {
         "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
         "Event" : {
           "id" : 1
         }
       }
     ]
   }
   

3. 同期の状態を表示するには、新しい curl コマンドを実行します。

   curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1
   

   応答は次のようになります。

   {
     "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
     "Event" : {
       "id" : 1,
       "specs" : [
         {
           "sync_type" : "existing",
           "principal_type" : "groups"
         }
       ],
       "status" : "COMPLETE",
       "status_detail" : "Completed LDAP sync.",
       "summary" : {
         "groups" : {
           "created" : 0,
           "removed" : 0,
           "updated" : 0
         },
         "memberships" : {
           "created" : 1,
           "removed" : 0
         },
         "users" : {
           "created" : 1,
           "removed" : 0,
           "skipped" : 0,
           "updated" : 0
         }
       },
       "sync_time" : {
         "end" : 1497994072182,
         "start" : 1497994071100
       }
     }
   }
   

4. この結果は、状態が [完了] であり、新しいユーザーが 1 人作成され、そのユーザーにメンバーシップが割り当てられたことを示しています。 この例では、ユーザーが Microsoft Entra ID 内の同じグループに追加されたため、ユーザーは "HiveUsers" 同期済み LDAP グループに割り当てられます。

   Note

   上記の方法では、クラスターの作成時にドメイン設定のアクセス ユーザー グループ プロパティに指定されている Microsoft Entra グループのみが同期されます。 詳細は、「create an HDInsight cluster (HDInsight クラスターを作成する)」を参照してください。

新しく追加された Microsoft Entra ユーザーを確認する

新しい Microsoft Entra ユーザーが追加されたことを確認するには、Apache Ambari Web UI を開きます。 https://CLUSTERNAME.azurehdinsight.net を参照することによって、Ambari Web UI にアクセスします。 クラスター管理者のユーザー名とパスワードを入力します。

1. Ambari ダッシュボードから、[管理者] メニューの下にある [Ambari の管理] を選択します。

   

2. ページの左側の [User + Group Management] (ユーザーとグループの管理) メニュー グループの下にある [ユーザー] を選択します。

   

3. 新しいユーザーが [ユーザー] テーブル内に表示されます。 [種類] は Local ではなく、LDAP に設定されています。

   

新しいユーザーとして Ambari にログインする

新しいユーザー (またはその他の任意のドメイン ユーザー) が Ambari にログインしたとき、そのユーザーは自身の完全な Microsoft Entra ユーザー名とドメイン資格情報を使います。 Ambari は、Microsoft Entra ID 内のユーザーの表示名であるユーザー別名を表示します。 新しいユーザーの例では、hiveuser3@contoso.com というユーザー名を持っています。 Ambari では、この新しいユーザーは hiveuser3 として表示されますが、このユーザーは hiveuser3@contoso.com として Ambari にログインします。

参照

• ESP HDInsight での Apache Hive ポリシーの構成
• ESP を使用する HDInsight クラスターを管理する
• Apache Ambari に対するユーザーの承認