將 Microsoft Entra 使用者同步處理至 HDInsight 叢集

搭配企業安全性套件 （ESP） 的 HDInsight 叢集可以搭配 Microsoft Entra 使用者使用強式驗證，並使用 Azure 角色型存取控制 （Azure RBAC） 原則。 當您將使用者和群組新增至 Microsoft Entra 識別碼時，您可以同步處理需要存取叢集的使用者。

必要條件

如果您尚未這麼做， 請使用企業安全性套件建立 HDInsight 叢集。

新增 Microsoft Entra 使用者

若要檢視您的主機，請開啟Ambari Web UI。 每個節點都會使用新的自動升級設定來更新。

1. 從 Azure 入口網站，流覽至與您的 ESP 叢集相關聯的 Microsoft Entra 目錄。

2. 從左側功能表中選取 [ 所有使用者 ]，然後選取 [ 新增使用者]。

   

3. 完成新的用戶表單。 選取您為指派叢集型許可權而建立的群組。 在此範例中，建立名為 「HiveUsers」 的群組，您可以指派新使用者。 建立 ESP 叢集的範例指示包括新增兩個群組和 HiveUsers AAD DC Administrators。

   

4. 選取 建立。

使用 Apache Ambari REST API 同步處理使用者

在叢集建立程式期間指定的使用者群組會在該時間進行同步處理。 使用者同步處理會每小時自動進行一次。 若要立即同步處理使用者，或同步處理叢集建立期間所指定群組以外的群組，請使用Ambari REST API。

下列方法會搭配Ambari REST API使用POST。 如需詳細資訊，請參閱 使用 Apache Ambari REST API 管理 HDInsight 叢集。

1. 使用 ssh 命令來連線到您的叢集。 將 取代 CLUSTERNAME 為您的叢集名稱以編輯命令，然後輸入 命令：

   ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
   

2. 驗證之後，請輸入下列命令：

   curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
   -X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
   "https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"
   

   回應看起來應該如下：

   {
     "resources" : [
       {
         "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
         "Event" : {
           "id" : 1
         }
       }
     ]
   }
   

3. 若要檢視同步處理狀態，請執行新的 curl 命令：

   curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1
   

   回應看起來應該如下：

   {
     "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
     "Event" : {
       "id" : 1,
       "specs" : [
         {
           "sync_type" : "existing",
           "principal_type" : "groups"
         }
       ],
       "status" : "COMPLETE",
       "status_detail" : "Completed LDAP sync.",
       "summary" : {
         "groups" : {
           "created" : 0,
           "removed" : 0,
           "updated" : 0
         },
         "memberships" : {
           "created" : 1,
           "removed" : 0
         },
         "users" : {
           "created" : 1,
           "removed" : 0,
           "skipped" : 0,
           "updated" : 0
         }
       },
       "sync_time" : {
         "end" : 1497994072182,
         "start" : 1497994071100
       }
     }
   }
   

4. 此結果顯示狀態為 COMPLETE、已建立一個新使用者，並獲指派成員資格。 在此範例中，使用者會指派給 「HiveUsers」 同步 LDAP 群組，因為使用者已新增至 Microsoft Entra ID 中的相同群組。

   注意

   上述方法只會在叢集建立期間同步處理網域設定之 Access 使用者群組屬性中指定的 Microsoft Entra 群組 。 如需詳細資訊，請參閱 建立 HDInsight 叢集。

確認新新增的 Microsoft Entra 使用者

開啟 Apache Ambari Web UI 以確認已新增新的 Microsoft Entra 使用者。 流覽至 https://CLUSTERNAME.azurehdinsight.net以存取Ambari Web UI。 輸入叢集管理員使用者名稱和密碼。

1. 從Ambari儀錶板中，選取 [管理] 功能表下的 [管理 Ambari]。

   

2. 在頁面左側的 [使用者 + 群組管理] 功能表群組底下，選取 [使用者]。

   

3. 新的用戶應該列在 Users 數據表內。 Type 設定為 LDAP ，而不是 Local。

   

以新使用者身分登入Ambari

當新使用者（或任何其他網域使用者）登入Ambari時，他們會使用其完整的Microsoft Entra使用者名稱和網域認證。 Ambari 會顯示用戶別名，這是 Microsoft Entra ID 中使用者的顯示名稱。 新的範例使用者具有使用者名稱 hiveuser3@contoso.com。 在Ambari中，這個新用戶會顯示為 hiveuser3 ，但使用者以 身分 hiveuser3@contoso.com登入Ambari。

另請參閱

• 在有 ESP 的 HDInsight 中設定 Apache Hive 原則
• 使用 ESP 管理 HDInsight 叢集
• 授權使用者給 Apache Ambari