Synkronisera Microsoft Entra-användare till ett HDInsight-kluster
HDInsight-kluster med Enterprise Security Package (ESP) kan använda stark autentisering med Microsoft Entra-användare och använda azure-principer för rollbaserad åtkomstkontroll (Azure RBAC). När du lägger till användare och grupper i Microsoft Entra-ID kan du synkronisera de användare som behöver åtkomst till klustret.
Förutsättningar
Om du inte redan har gjort det skapar du ett HDInsight-kluster med Enterprise Security Package.
Lägga till nya Microsoft Entra-användare
Om du vill visa dina värdar öppnar du webbgränssnittet för Ambari. Varje nod uppdateras med nya obevakade uppgraderingsinställningar.
Från Azure-portalen går du till katalogen Microsoft Entra som är associerad med ditt ESP-kluster.
Välj Alla användare på den vänstra menyn och välj sedan Ny användare.
Fyll i det nya användarformuläret. Välj grupper som du har skapat för att tilldela klusterbaserade behörigheter. I det här exemplet skapar du en grupp med namnet "HiveUsers", till vilken du kan tilldela nya användare. Exempelinstruktionerna för att skapa ett ESP-kluster är att lägga till två grupper och
HiveUsers
AAD DC Administrators
.Välj Skapa.
Använda Apache Ambari REST API för att synkronisera användare
Användargrupper som angetts när klustret skapades synkroniseras vid den tidpunkten. Användarsynkronisering sker automatiskt en gång i timmen. Om du vill synkronisera användarna omedelbart eller synkronisera en annan grupp än de grupper som angavs när klustret skapades använder du Ambari REST API.
Följande metod använder POST med Ambari REST API. Mer information finns i Hantera HDInsight-kluster med hjälp av Apache Ambari REST API.
Använd ssh-kommandot för att ansluta till klustret. Redigera kommandot genom att
CLUSTERNAME
ersätta med namnet på klustret och ange sedan kommandot:ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
När du har autentiserats anger du följande kommando:
curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \ -X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \ "https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"
Svaret bör se ut så här:
{ "resources" : [ { "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1", "Event" : { "id" : 1 } } ] }
Om du vill se synkroniseringsstatusen kör du ett nytt
curl
kommando:curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1
Svaret bör se ut så här:
{ "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1", "Event" : { "id" : 1, "specs" : [ { "sync_type" : "existing", "principal_type" : "groups" } ], "status" : "COMPLETE", "status_detail" : "Completed LDAP sync.", "summary" : { "groups" : { "created" : 0, "removed" : 0, "updated" : 0 }, "memberships" : { "created" : 1, "removed" : 0 }, "users" : { "created" : 1, "removed" : 0, "skipped" : 0, "updated" : 0 } }, "sync_time" : { "end" : 1497994072182, "start" : 1497994071100 } } }
Det här resultatet visar att statusen är KLAR, att en ny användare har skapats och att användaren har tilldelats ett medlemskap. I det här exemplet tilldelas användaren till den synkroniserade LDAP-gruppen "HiveUsers", eftersom användaren lades till i samma grupp i Microsoft Entra-ID.
Kommentar
Den föregående metoden synkroniserar endast de Microsoft Entra-grupper som anges i egenskapen Åtkomst till användargrupp för domäninställningarna när klustret skapas. Mer information finns i skapa ett HDInsight-kluster.
Verifiera den nyligen tillagda Microsoft Entra-användaren
Öppna Apache Ambari Web UI för att kontrollera att den nya Microsoft Entra-användaren har lagts till. Få åtkomst till Ambari-webbgränssnittet genom att bläddra till https://CLUSTERNAME.azurehdinsight.net
. Ange användarnamnet och lösenordet för klusteradministratören.
På Ambari-instrumentpanelen väljer du Hantera Ambari under administratörsmenyn.
Välj Användare under menygruppen Användar - och grupphantering till vänster på sidan.
Den nya användaren bör visas i tabellen Användare. Typen är inställd på i stället
Local
förLDAP
.
Logga in på Ambari som ny användare
När den nya användaren (eller någon annan domänanvändare) loggar in på Ambari använder de sina fullständiga Microsoft Entra-användarnamn och domänautentiseringsuppgifter. Ambari visar ett användaralias, som är visningsnamnet för användaren i Microsoft Entra-ID.
Den nya exempelanvändaren har användarnamnet hiveuser3@contoso.com
. I Ambari visas den nya användaren som hiveuser3
men användaren loggar in på Ambari som hiveuser3@contoso.com
.