Sincronizar usuários do Microsoft Entra com um cluster HDInsight

Os clusters HDInsight com o Enterprise Security Package (ESP) podem usar autenticação forte com usuários do Microsoft Entra e usar políticas de controle de acesso baseado em função do Azure (RBAC do Azure). À medida que você adiciona usuários e grupos ao Microsoft Entra ID, você pode sincronizar os usuários que precisam de acesso ao cluster.

Pré-requisitos

Se você ainda não fez isso, crie um cluster do HDInsight com o Enterprise Security Package.

Adicionar novos usuários do Microsoft Entra

Para exibir seus hosts, abra a interface do usuário do Ambari Web. Cada nó será atualizado com novas configurações de atualização automática.

1. No portal do Azure, navegue até o diretório do Microsoft Entra associado ao cluster ESP.

2. Selecione Todos os usuários no menu à esquerda, selecione Novo usuário.

   

3. Preencha o formulário de novo usuário. Selecione grupos que você criou para a atribuição de permissões com base em cluster. Neste exemplo, crie um grupo chamado "HiveUsers", aos quais você pode atribuir novos usuários. As instruções de exemplo para criar um cluster ESP incluem a inclusão de dois grupos, HiveUsers e AAD DC Administrators.

   

4. Selecione Criar.

Use a API REST do Apache Ambari para sincronizar os usuários

Os grupos de usuários especificados durante o processo de criação de cluster estão sincronizados no momento. A sincronização de usuário ocorre automaticamente uma vez a cada hora. Para sincronizar os usuários imediatamente, ou para sincronizar um grupo diferente de grupos especificados durante a criação do cluster, use a API REST do Ambari.

O método a seguir usa o POST com a API REST do Ambari. Para obter mais informações, consulte Gerenciar clusters do HDInsight usando a API REST do Apache Ambari.

1. Use o comando ssh para se conectar ao cluster. Edite o comando substituindo CLUSTERNAME pelo nome do cluster e, em seguida, digite o comando:

   ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
   

2. Depois de autenticar, insira o seguinte comando:

   curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
   -X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
   "https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"
   

   A resposta será parecida com esta:

   {
     "resources" : [
       {
         "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
         "Event" : {
           "id" : 1
         }
       }
     ]
   }
   

3. Para ver o status da sincronização, execute um novo comando curl:

   curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1
   

   A resposta será parecida com esta:

   {
     "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
     "Event" : {
       "id" : 1,
       "specs" : [
         {
           "sync_type" : "existing",
           "principal_type" : "groups"
         }
       ],
       "status" : "COMPLETE",
       "status_detail" : "Completed LDAP sync.",
       "summary" : {
         "groups" : {
           "created" : 0,
           "removed" : 0,
           "updated" : 0
         },
         "memberships" : {
           "created" : 1,
           "removed" : 0
         },
         "users" : {
           "created" : 1,
           "removed" : 0,
           "skipped" : 0,
           "updated" : 0
         }
       },
       "sync_time" : {
         "end" : 1497994072182,
         "start" : 1497994071100
       }
     }
   }
   

4. Esse resultado mostra que o status é CONCLUÍDO, um novo usuário foi criado e o usuário foi atribuído a uma associação. Neste exemplo, o usuário é atribuído ao grupo LDAP sincronizado "HiveUsers", já que o usuário foi adicionado ao mesmo grupo no Microsoft Entra ID.

   Observação

   O método anterior sincroniza apenas os grupos do Microsoft Entra especificados na propriedade Acessar grupo de usuários das configurações de domínio durante a criação do cluster. Para saber mais, confira Criar um cluster do HDInsight.

Verificar o usuário do Microsoft Entra recém-adicionado

Abra a interface do usuário da Web do Apache Ambari para verificar se o novo usuário do Microsoft Entra foi adicionado. Acesse a interface do usuário do Ambari Web navegando até https://CLUSTERNAME.azurehdinsight.net . Insira o nome de usuário de administrador do cluster.

1. No painel do Ambari, selecione Gerenciar Ambari abaixo do menu admin.

   

2. Selecione usuários abaixo do grupo de menu Gerenciamento de grupo de usuário + no lado esquerdo da página.

   

3. O novo usuário deve ser listado na tabela de usuários. O tipo é definido como LDAP em vez de Local.

   

Faça logon Ambari como o novo usuário

Quando o novo usuário (ou qualquer outro usuário de domínio) faz logon no Ambari, ele usa o nome de usuário completo do Microsoft Entra e as credenciais de domínio. O Ambari exibe um alias de usuário, que é o nome de exibição do usuário no Microsoft Entra ID. O novo usuário de exemplo tem o nome de usuário hiveuser3@contoso.com. No Ambari, esse novo usuário é exibido como hiveuser3, mas o usuário faz logon em Ambari como hiveuser3@contoso.com.

Confira também

• Configurar políticas do Apache Hive no HDInsight com ESP
• Gerenciar clusters do HDInsight com ESP
• Autorizar usuários para o Apache Ambari