다음을 통해 공유

Microsoft Entra 사용자를 HDInsight 클러스터에 동기화

  • 아티클

ESP(Enterprise Security Package)가 포함된 HDInsight 클러스터는 Microsoft Entra 사용자에 대한 강력한 인증과 Azure RBAC(Azure 역할 기반 액세스 제어) 정책을 사용할 수 있습니다. Microsoft Entra ID에 사용자 및 그룹을 추가할 때 클러스터에 액세스해야 하는 사용자를 동기화할 수 있습니다.

필수 조건

아직 수행하지 않았다면 Enterprise Security Package가 포함된 HDInsight 클러스터를 만듭니다.

새 Microsoft Entra 사용자 추가

호스트를 보려면 Ambari 웹 UI를 엽니다. 각 노드는 새 무인 업그레이드 설정으로 업데이트됩니다.

  1. Azure Portal에서 ESP 클러스터와 연결된 Microsoft Entra 디렉터리로 이동합니다.

  2. 왼쪽 메뉴에서 모든 사용자를 선택한 후 새 사용자를 선택합니다.

    Azure portal users and groups all.

  3. 새 사용자 양식을 완료합니다. 클러스터 기반 사용 권한 할당을 위해 만든 그룹을 선택합니다. 이 예제에서는 새 사용자를 할당할 수 있는 "HiveUsers"라는 그룹을 만듭니다. ESP 클러스터를 만들기 위한 예제 지침에는 2개의 그룹인 HiveUsersAAD DC Administrators의 추가가 포함됩니다.

    Azure portal user pane select groups.

  4. 만들기를 실행합니다.

Apache Ambari REST API를 사용하여 사용자 동기화

클러스터 생성 프로세스 동안 지정된 사용자 그룹은 해당 시간에 동기화됩니다. 사용자 동기화는 1시간마다 자동으로 발생합니다. 사용자를 즉시 동기화하거나 클러스터를 만드는 동안 지정된 그룹 이외의 그룹을 동기화하려면 Ambari REST API를 사용합니다.

다음 방법은 Ambari REST API에서 POST를 사용합니다. 자세한 내용은 Apache Ambari REST API를 사용하여 HDInsight 클러스터 관리를 참조하세요.

  1. ssh command 명령을 사용하여 클러스터에 연결합니다. CLUSTERNAME을 클러스터의 이름으로 대체하여 명령을 편집한 다음, 다음 명령을 입력합니다.

    ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net

  2. 인증 후에 다음 명령을 입력합니다.

    curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
-X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
"https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"

    응답이 다음과 같이 표시됩니다.

    {
  "resources" : [
    {
      "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
      "Event" : {
        "id" : 1
      }
    }
  ]
}

  3. 동기화 상태를 보려면 새 curl 명령을 실행합니다.

    curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1

    응답이 다음과 같이 표시됩니다.

    {
  "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
  "Event" : {
    "id" : 1,
    "specs" : [
      {
        "sync_type" : "existing",
        "principal_type" : "groups"
      }
    ],
    "status" : "COMPLETE",
    "status_detail" : "Completed LDAP sync.",
    "summary" : {
      "groups" : {
        "created" : 0,
        "removed" : 0,
        "updated" : 0
      },
      "memberships" : {
        "created" : 1,
        "removed" : 0
      },
      "users" : {
        "created" : 1,
        "removed" : 0,
        "skipped" : 0,
        "updated" : 0
      }
    },
    "sync_time" : {
      "end" : 1497994072182,
      "start" : 1497994071100
    }
  }
}

  4. 이 결과는 상태가 완료이고, 하나의 새 사용자가 만들어졌으며 해당 사용자에게 멤버 자격이 할당되었음을 나타냅니다. 이 예제에서는 사용자가 Microsoft Entra ID에서 동일한 그룹에 추가되었으므로 사용자가 “HiveUsers” 동기화된 LDAP 그룹에 할당됩니다.

    참고 항목

    이전 메서드는 클러스터를 만드는 동안 도메인 설정의 사용자 그룹 액세스 속성에 지정된 Microsoft Entra 그룹만 동기화합니다. 자세한 내용은 HDInsight 클러스터 만들기를 참조하세요.

새로 추가된 Microsoft Entra 사용자 확인

Apache Ambari Web UI를 열어 새 Microsoft Entra 사용자가 추가되었는지 확인합니다. https://CLUSTERNAME.azurehdinsight.net으로 이동하여 Ambari 웹 UI에 액세스합니다. 클러스터 관리자 사용자 이름 및 암호를 입력합니다.

  1. Ambari 대시보드의 관리자 메뉴 아래에서 Ambari 관리를 선택합니다

    Apache Ambari dashboard Manage Ambari.

  2. 페이지 왼쪽의 사용자 + 그룹 관리 메뉴 그룹 아래에서 사용자를 선택합니다.

    HDInsight users and groups menu.

  3. 새 사용자가 사용자 테이블 내에 표시되어야 합니다. 유형은 Local이 아닌 LDAP로 설정됩니다.

    HDInsight Microsoft Entra users page overview.

새 사용자 권한으로 Ambari에 로그인

새 사용자(또는 다른 도메인 사용자)는 Ambari에 로그인할 때 전체 Microsoft Entra 사용자 이름과 도메인 자격 증명을 사용합니다. Ambari는 Microsoft Entra ID에서 사용자의 표시 이름으로 사용되는 사용자 별칭을 표시합니다. 새로운 예제 사용자의 사용자 이름은 hiveuser3@contoso.com입니다. Ambari에서 이 새 사용자는 hiveuser3로 표시되지만 사용자는 Ambari에 hiveuser3@contoso.com으로 로그인합니다.

참고 항목