Sincronizar usuários do Microsoft Entra com um cluster HDInsight

Os clusters HDInsight com Pacote de Segurança Empresarial (ESP) podem usar autenticação forte com usuários do Microsoft Entra e usar políticas de controle de acesso baseado em função do Azure (Azure RBAC). À medida que adiciona utilizadores e grupos ao Microsoft Entra ID, pode sincronizar os utilizadores que necessitam de acesso ao cluster.

Pré-requisitos

Se ainda não tiver feito isso, crie um cluster HDInsight com o Pacote de Segurança Empresarial.

Adicionar novos usuários do Microsoft Entra

Para visualizar seus hosts, abra a interface do usuário da Web do Ambari. Cada nó é atualizado com novas configurações de atualização autônoma.

1. No portal do Azure, navegue até o diretório Microsoft Entra associado ao cluster ESP.

2. Selecione Todos os usuários no menu à esquerda e, em seguida, selecione Novo usuário.

   

3. Preencha o novo formulário de usuário. Selecione os grupos criados para atribuir permissões baseadas em cluster. Neste exemplo, crie um grupo chamado "HiveUsers", ao qual você pode atribuir novos usuários. As instruções de exemplo para criar um cluster ESP incluem a adição de dois grupos HiveUsers e AAD DC Administrators.

   

4. Selecione Criar.

Use a API REST do Apache Ambari para sincronizar usuários

Os grupos de utilizadores especificados durante o processo de criação de clusters são sincronizados nesse momento. A sincronização de utilizadores ocorre automaticamente uma vez por hora. Para sincronizar os usuários imediatamente ou para sincronizar um grupo diferente dos grupos especificados durante a criação do cluster, use a API REST do Ambari.

O método a seguir usa POST com a API REST do Ambari. Para obter mais informações, consulte Gerenciar clusters HDInsight usando a API REST do Apache Ambari.

1. Use o comando ssh para se conectar ao cluster. Edite o comando substituindo CLUSTERNAME pelo nome do cluster e digite o comando:

   ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
   

2. Depois de autenticar, digite o seguinte comando:

   curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
   -X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
   "https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"
   

   A resposta deverá ter o seguinte aspeto:

   {
     "resources" : [
       {
         "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
         "Event" : {
           "id" : 1
         }
       }
     ]
   }
   

3. Para ver o status da sincronização, execute um novo curl comando:

   curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1
   

   A resposta deverá ter o seguinte aspeto:

   {
     "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
     "Event" : {
       "id" : 1,
       "specs" : [
         {
           "sync_type" : "existing",
           "principal_type" : "groups"
         }
       ],
       "status" : "COMPLETE",
       "status_detail" : "Completed LDAP sync.",
       "summary" : {
         "groups" : {
           "created" : 0,
           "removed" : 0,
           "updated" : 0
         },
         "memberships" : {
           "created" : 1,
           "removed" : 0
         },
         "users" : {
           "created" : 1,
           "removed" : 0,
           "skipped" : 0,
           "updated" : 0
         }
       },
       "sync_time" : {
         "end" : 1497994072182,
         "start" : 1497994071100
       }
     }
   }
   

4. Esse resultado mostra que o status é COMPLETO, um novo usuário foi criado e o usuário recebeu uma associação. Neste exemplo, o usuário é atribuído ao grupo LDAP sincronizado "HiveUsers", uma vez que o usuário foi adicionado a esse mesmo grupo no ID do Microsoft Entra.

   Nota

   O método anterior sincroniza apenas os grupos do Microsoft Entra especificados na propriedade Access user group das configurações de domínio durante a criação do cluster. Para obter mais informações, consulte Criar um cluster HDInsight.

Verifique o usuário recém-adicionado do Microsoft Entra

Abra a interface do usuário da Web do Apache Ambari para verificar se o novo usuário do Microsoft Entra foi adicionado. Acesse a interface do usuário da Web do Ambari navegando até https://CLUSTERNAME.azurehdinsight.net. Insira o nome de usuário e a senha do administrador do cluster.

1. No painel do Ambari, selecione Gerenciar Ambari no menu admin .

   

2. Selecione Usuários no grupo de menu Gerenciamento de Usuário + Grupo no lado esquerdo da página.

   

3. O novo usuário deve ser listado na tabela Usuários. O Tipo é definido como LDAP em vez de Local.

   

Faça login no Ambari como o novo usuário

Quando o novo usuário (ou qualquer outro usuário de domínio) faz login no Ambari, ele usa seu nome de usuário completo do Microsoft Entra e credenciais de domínio. Ambari exibe um alias de usuário, que é o nome de exibição do usuário no Microsoft Entra ID. O novo usuário de exemplo tem o nome hiveuser3@contoso.comde usuário . No Ambari, esse novo usuário aparece como hiveuser3 mas o usuário faz login no Ambari como hiveuser3@contoso.com.

Consulte também

• Configurar as políticas do Apache Hive no HDInsight com o ESP
• Gerenciar clusters HDInsight com ESP
• Autorizar usuários a Apache Ambari