Поделиться через

Синхронизация пользователей Microsoft Entra с кластером HDInsight

  • Статья

Кластеры HDInsight с корпоративным пакетом безопасности (ESP) могут использовать строгую проверку подлинности с пользователями Microsoft Entra и использовать политики управления доступом на основе ролей Azure (Azure RBAC). При добавлении пользователей и групп в идентификатор Microsoft Entra можно синхронизировать пользователей, которым требуется доступ к кластеру.

Необходимые компоненты

Если вы еще этого не сделали, создайте кластер HDInsight с корпоративным пакетом безопасности.

Добавление новых пользователей Microsoft Entra

Чтобы просмотреть узлы, откройте веб-интерфейс Ambari. Каждый узел обновляется с новыми параметрами автоматического обновления.

  1. В портал Azure перейдите в каталог Microsoft Entra, связанный с кластером ESP.

  2. Выберите All users (Все пользователи) в левом меню, а затем щелкните New user (Новый пользователь).

    Azure portal users and groups all.

  3. Заполните форму нового пользователя. Выберите группы, созданные для назначения разрешений на основе кластеров. В этом примере создайте группу с именем HiveUsers, которой можно назначить новых пользователей. Примеры инструкций для создания кластера ESP включают в себя добавление двух групп: HiveUsers и AAD DC Administrators.

    Azure portal user pane select groups.

  4. Нажмите кнопку создания.

Синхронизация пользователей с помощью REST API Apache Ambari

Группы пользователей, указанные во время создания кластера, уже синхронизированы. Синхронизация пользователей выполняется автоматически один раз в час. Чтобы немедленно синхронизировать пользователей или группы, которые не указаны при создании кластера, используйте REST API Ambari.

Следующий метод использует POST с REST API Ambari. Дополнительные сведения см. в статье Управление кластерами HDInsight с помощью REST API Ambari.

  1. С помощью команды ssh command подключитесь к кластеру. Измените команду, заменив CLUSTERNAME имя кластера, а затем введите команду:

    ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net

  2. После аутентификации введите следующую команду:

    curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
-X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
"https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"

    Теперь ответ должен выглядеть так:

    {
  "resources" : [
    {
      "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
      "Event" : {
        "id" : 1
      }
    }
  ]
}

  3. Чтобы просмотреть состояние синхронизации, выполните новую команду curl:

    curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1

    Теперь ответ должен выглядеть так:

    {
  "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
  "Event" : {
    "id" : 1,
    "specs" : [
      {
        "sync_type" : "existing",
        "principal_type" : "groups"
      }
    ],
    "status" : "COMPLETE",
    "status_detail" : "Completed LDAP sync.",
    "summary" : {
      "groups" : {
        "created" : 0,
        "removed" : 0,
        "updated" : 0
      },
      "memberships" : {
        "created" : 1,
        "removed" : 0
      },
      "users" : {
        "created" : 1,
        "removed" : 0,
        "skipped" : 0,
        "updated" : 0
      }
    },
    "sync_time" : {
      "end" : 1497994072182,
      "start" : 1497994071100
    }
  }
}

  4. В этом результате показано, что состояние — COMPLETE (Завершено) (был создан один пользователь с назначением членства). В этом примере пользователю назначается синхронизированная группа LDAP "HiveUsers", так как пользователь был добавлен в ту же группу в идентификаторе Microsoft Entra.

    Примечание.

    Предыдущий метод синхронизирует только группы Microsoft Entra, указанные в свойстве группы пользователей Access параметров домена во время создания кластера. Дополнительные сведения см. в статье о создании кластера HDInsight.

Проверка только что добавленного пользователя Microsoft Entra

Откройте веб-интерфейс Apache Ambari, чтобы убедиться, что добавлен новый пользователь Microsoft Entra. Получите доступ к веб-интерфейсу Ambari, перейдя к https://CLUSTERNAME.azurehdinsight.net. Укажите имя администратора и пароль кластера.

  1. На панели мониторинга Ambari выберите Manage Ambari (Управление Ambari) в меню admin.

    Apache Ambari dashboard Manage Ambari.

  2. Выберите Пользователи в группе меню User + Group Management (Управление пользователями и группами) в левой части страницы.

    HDInsight users and groups menu.

  3. Новый пользователь должен быть указан в таблице "Пользователи". Для типа задано значение LDAP, а не Local.

    HDInsight Microsoft Entra users page overview.

Вход в Ambari в качестве нового пользователя

Когда новый пользователь (или любой другой пользователь домена) входит в Ambari, он использует полное имя пользователя Microsoft Entra и учетные данные домена. Ambari отображает псевдоним пользователя, который является отображаемым именем пользователя в идентификаторе Microsoft Entra. В новом примере имя пользователя — hiveuser3@contoso.com. В Ambari этот пользователь отображается как hiveuser3, но он входит в Ambari как hiveuser3@contoso.com.

См. также