Konfigurera en gemensam identitet på en Datavetenskap virtuell dator

  • Artikel

På en virtuell Microsoft Azure-dator (VM) eller en Datavetenskap virtuell dator (DSVM) skapar du lokala användarkonton när du etablerar den virtuella datorn. Användarna autentiserar sedan till den virtuella datorn med autentiseringsuppgifter för dessa användarkonton. Om du har flera virtuella datorer som användarna behöver åtkomst till kan det bli svårt att hantera autentiseringsuppgifter. För att lösa problemet kan du distribuera vanliga användarkonton och hantera dessa konton via en standardbaserad identitetsprovider. Du kan sedan använda en enda uppsättning autentiseringsuppgifter för att komma åt flera resurser i Azure, inklusive flera DSVM:er.

Active Directory är en populär identitetsprovider. Azure stöder det både som en molntjänst och som en lokal katalog. Du kan använda Microsoft Entra-ID eller lokal Active Directory för att autentisera användare på en fristående DSVM eller ett kluster med DSVM:er i en skalningsuppsättning för virtuella Azure-datorer. Det gör du genom att ansluta DSVM-instanserna till en Active Directory-domän.

Om du redan har Active Directory kan du använda det som din gemensamma identitetsprovider. Om du inte har Active Directory kan du köra en hanterad Active Directory-instans i Azure via Microsoft Entra Domain Services.

Dokumentationen för Microsoft Entra ID innehåller detaljerade hanteringsinstruktioner, inklusive vägledning om hur du ansluter Microsoft Entra-ID till din lokala katalog, om du har ett.

Den här artikeln beskriver hur du konfigurerar en fullständigt hanterad Active Directory-domäntjänst i Azure med hjälp av Microsoft Entra Domain Services. Du kan sedan ansluta dina DSVM:er till den hanterade Active Directory-domänen. Med den här metoden kan användare komma åt en pool med DSVM:er (och andra Azure-resurser) via ett gemensamt användarkonto och autentiseringsuppgifter.

Konfigurera en fullständigt hanterad Active Directory-domän i Azure

Microsoft Entra Domain Services gör det enkelt att hantera dina identiteter. Den tillhandahåller en fullständigt hanterad tjänst i Azure. I den här Active Directory-domänen hanterar du användare och grupper. Följ dessa steg för att konfigurera en Azure-värdbaserad Active Directory-domän och användarkonton i din katalog:

  1. I Azure-portalen lägger du till användaren i Active Directory:

    1. Logga in på Azure-portalen som global administratör

    2. Bläddra till Microsoft Entra-ID-användare>>Alla användare

    3. Välj Ny användare

      Fönstret Användare öppnas på det sätt som visas i den här skärmbilden:

      Skärmbild som visar fönstret Lägg till användare.

    4. Ange information om användaren, till exempel Namn och Användarnamn. Domännamnsdelen av användarnamnet måste antingen vara det första standarddomännamnet "[domännamn].onmicrosoft.com" eller ett verifierat, icke-federerat anpassat domännamn som "contoso.com".

    5. Kopiera eller på annat sätt anteckna det genererade användarlösenordet. Du måste ange det här lösenordet för användaren när processen är klar

    6. Du kan också öppna och fylla i informationen i profil-, grupp- eller katalogrollen för användaren

    7. Under Användare väljer du Skapa

    8. Distribuera det genererade lösenordet på ett säkert sätt till den nya användaren så att användaren kan logga in

  2. Skapa en Microsoft Entra Domain Services-instans. Mer information finns i Aktivera Microsoft Entra Domain Services med hjälp av Azure-portalen (avsnittet Skapa en instans och konfigurera grundläggande inställningar). Du måste uppdatera befintliga användarlösenord i Active Directory för att synkronisera lösenordet i Microsoft Entra Domain Services. Du måste också lägga till DNS i Microsoft Entra Domain Services enligt beskrivningen under "Slutför fälten i fönstret Grundläggande i Azure-portalen för att skapa en Microsoft Entra Domain Services-instans" i det avsnittet.

  3. I avsnittet Skapa och konfigurera det virtuella nätverket i föregående steg skapar du ett separat DSVM-undernät i det virtuella nätverk som du skapade

  4. Skapa en eller flera DSVM-instanser i DSVM-undernätet

  5. Följ anvisningarna för att lägga till DSVM i Active Directory

  6. Montera en Azure Files-resurs som värd för din hem- eller notebook-katalog så att arbetsytan kan monteras på valfri dator. Om du behöver snäva behörigheter på filnivå behöver du network file system [NFS] som körs på en eller flera virtuella datorer

    1. Skapa en Azure Files-resurs.

    2. Montera den här resursen på Linux DSVM. När du väljer Anslut för Azure Files-resursen i ditt lagringskonto i Azure-portalen visas kommandot som ska köras i bash-gränssnittet på Linux DSVM. Kommandot ser ut så här:

    sudo mount -t cifs //[STORAGEACCT].file.core.windows.net/workspace [Your mount point] -o vers=3.0,username=[STORAGEACCT],password=[Access Key or SAS],dir_mode=0777,file_mode=0777,sec=ntlmssp

  7. Anta till exempel att du har monterat din Azure Files-resurs i katalogen /data/workspace . Skapa kataloger för var och en av dina användare i resursen:

    • /data/arbetsyta/user1
    • /data/arbetsyta/användare2
    • och så vidare.

    Skapa en notebooks katalog på arbetsytan för varje användare

  8. Skapa symboliska länkar för notebooks i $HOME/userx/notebooks/remote

Nu har du användarna i din Active Directory-instans, som finns i Azure. Med Active Directory-autentiseringsuppgifter kan användare logga in på valfri DSVM (SSH eller JupyterHub) som är ansluten till Microsoft Entra Domain Services. Eftersom en Azure Files-resurs är värd för användararbetsytan kan användarna komma åt sina notebook-filer och annat arbete från valfri DSVM när de använder JupyterHub.

För automatisk skalning kan du använda en VM-skalningsuppsättning för att skapa en pool med virtuella datorer som alla är anslutna till domänen på det här sättet och med den delade disken monterad. Användare kan logga in på alla tillgängliga datorer i vm-skalningsuppsättningen och få åtkomst till den delade disk där deras notebook-filer sparas.

Nästa steg