Dela via


Synkronisera Microsoft Entra-användare till ett HDInsight-kluster

HDInsight-kluster med Enterprise Security Package (ESP) kan använda stark autentisering med Microsoft Entra-användare och använda azure-principer för rollbaserad åtkomstkontroll (Azure RBAC). När du lägger till användare och grupper i Microsoft Entra-ID kan du synkronisera de användare som behöver åtkomst till klustret.

Förutsättningar

Om du inte redan har gjort det skapar du ett HDInsight-kluster med Enterprise Security Package.

Lägga till nya Microsoft Entra-användare

Om du vill visa dina värdar öppnar du webbgränssnittet för Ambari. Varje nod uppdateras med nya obevakade uppgraderingsinställningar.

  1. Från Azure-portalen går du till katalogen Microsoft Entra som är associerad med ditt ESP-kluster.

  2. Välj Alla användare på den vänstra menyn och välj sedan Ny användare.

    Azure portal users and groups all.

  3. Fyll i det nya användarformuläret. Välj grupper som du har skapat för att tilldela klusterbaserade behörigheter. I det här exemplet skapar du en grupp med namnet "HiveUsers", till vilken du kan tilldela nya användare. Exempelinstruktionerna för att skapa ett ESP-kluster är att lägga till två grupper och HiveUsers AAD DC Administrators.

    Azure portal user pane select groups.

  4. Välj Skapa.

Använda Apache Ambari REST API för att synkronisera användare

Användargrupper som angetts när klustret skapades synkroniseras vid den tidpunkten. Användarsynkronisering sker automatiskt en gång i timmen. Om du vill synkronisera användarna omedelbart eller synkronisera en annan grupp än de grupper som angavs när klustret skapades använder du Ambari REST API.

Följande metod använder POST med Ambari REST API. Mer information finns i Hantera HDInsight-kluster med hjälp av Apache Ambari REST API.

  1. Använd ssh-kommandot för att ansluta till klustret. Redigera kommandot genom att CLUSTERNAME ersätta med namnet på klustret och ange sedan kommandot:

    ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
    
  2. När du har autentiserats anger du följande kommando:

    curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
    -X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
    "https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"
    

    Svaret bör se ut så här:

    {
      "resources" : [
        {
          "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
          "Event" : {
            "id" : 1
          }
        }
      ]
    }
    
  3. Om du vill se synkroniseringsstatusen kör du ett nytt curl kommando:

    curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1
    

    Svaret bör se ut så här:

    {
      "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
      "Event" : {
        "id" : 1,
        "specs" : [
          {
            "sync_type" : "existing",
            "principal_type" : "groups"
          }
        ],
        "status" : "COMPLETE",
        "status_detail" : "Completed LDAP sync.",
        "summary" : {
          "groups" : {
            "created" : 0,
            "removed" : 0,
            "updated" : 0
          },
          "memberships" : {
            "created" : 1,
            "removed" : 0
          },
          "users" : {
            "created" : 1,
            "removed" : 0,
            "skipped" : 0,
            "updated" : 0
          }
        },
        "sync_time" : {
          "end" : 1497994072182,
          "start" : 1497994071100
        }
      }
    }
    
  4. Det här resultatet visar att statusen är KLAR, att en ny användare har skapats och att användaren har tilldelats ett medlemskap. I det här exemplet tilldelas användaren till den synkroniserade LDAP-gruppen "HiveUsers", eftersom användaren lades till i samma grupp i Microsoft Entra-ID.

    Kommentar

    Den föregående metoden synkroniserar endast de Microsoft Entra-grupper som anges i egenskapen Åtkomst till användargrupp för domäninställningarna när klustret skapas. Mer information finns i skapa ett HDInsight-kluster.

Verifiera den nyligen tillagda Microsoft Entra-användaren

Öppna Apache Ambari Web UI för att kontrollera att den nya Microsoft Entra-användaren har lagts till. Få åtkomst till Ambari-webbgränssnittet genom att bläddra till https://CLUSTERNAME.azurehdinsight.net. Ange användarnamnet och lösenordet för klusteradministratören.

  1. På Ambari-instrumentpanelen väljer du Hantera Ambari under administratörsmenyn.

    Apache Ambari dashboard Manage Ambari.

  2. Välj Användare under menygruppen Användar - och grupphantering till vänster på sidan.

    HDInsight users and groups menu.

  3. Den nya användaren bör visas i tabellen Användare. Typen är inställd på i stället Localför LDAP .

    HDInsight Microsoft Entra users page overview.

Logga in på Ambari som ny användare

När den nya användaren (eller någon annan domänanvändare) loggar in på Ambari använder de sina fullständiga Microsoft Entra-användarnamn och domänautentiseringsuppgifter. Ambari visar ett användaralias, som är visningsnamnet för användaren i Microsoft Entra-ID. Den nya exempelanvändaren har användarnamnet hiveuser3@contoso.com. I Ambari visas den nya användaren som hiveuser3 men användaren loggar in på Ambari som hiveuser3@contoso.com.

Se även