حزمة أمان المؤسسات لـ HDInsight
مقطع التخزين القياسي Azure HDInsight هو مقطع تخزين لمستخدم واحد. ويناسب معظم الشركات التي لديها فرق صغيرة لبناء تطبيقات تستلزم التعامل مع بيانات كبيرة. يمكن لكل مستخدم إنشاء مقطع تخزين عند الطلب وإزالته عند انتفاء الحاجة له.
ولقد تبنت العديد من الشركات فكرة نموذج يستطيع من خلاله فرق عمل تكنولوجيا المعلومات إدارة المجموعات، ومشاركة هذه المجموعة مع الفرق المتعددة لبناء التطبيقات. تحتاج هذه المؤسسات الكبيرة إلى وصول متعدد للمستخدمين إلى كل نظام مجموعة في Azure HDInsight.
HDInsight يعتمد على موفر هوية مشهور-- خدمات مجال Active Directory-- بطريقة مدارة. من خلال دمج HDInsight مع Microsoft Entra Domain Services، يمكنك الوصول إلى المجموعات باستخدام بيانات اعتماد المجال.
الأجهزة الظاهرية (VMs) في HDInsight هي مجال مرتبط بالمجال المتوفر لك. لذلك، فإن جميع الخدمات التي تعمل على HDInsight (Apache Ambari، Apache Ranger، وخادم توفير Apache Spark، وغيرها) تعمل بسلاسة للمستخدم المُصادق. يمكن للمسؤولين بعدها إنشاء نهج تخويل قوية باستخدام Apache Ranger لتوفير تحكم حسب الدور المطلوب للوصول إلى الموارد في نظام المجموعة.
تكامل HDInsight مع Active Directory
يعتمد Apache Hadoop مفتوح المصدر على بروتوكول Kerberos للمصادقة والأمان. لذلك، يتم ربط عقد نظام مجموعة HDInsight مع حزمة أمان المؤسسة (ESP) إلى مجال تتم إدارته بواسطة Microsoft Entra Domain Services. تم تكوين أمان Kerberos لمكونات Hadoop على نظام المجموعة.
تنشئ الأشياء التالية تلقائيا:
- كيان الخدمة لكل مكون من مكونات Hadoop
- تحكم أساسي لكل جهاز تم ربطه بالمجال
- وحدة تنظيمية (OU) لكل مقطع تخزين لتخزين هذه الخدمات و أساسيات الجهاز
باختصار، تحتاج إلى إعداد بيئة مع:
- مجال Active Directory (تتم إدارته بواسطة Microsoft Entra Domain Services). يجب أن يكون اسم المجال 39 حرفا أو أقل للعمل مع Azure HDInsight.
- تمكين LDAP الآمن (LDAPS) في Microsoft Entra Domain Services.
- اتصال شبكة الاتصال المناسب من شبكة HDInsight الظاهرية إلى الشبكة الظاهرية لخدمات مجال Microsoft Entra، إذا اخترت شبكات ظاهرية منفصلة لهم. يجب أن يكون للجهاز الظاهري داخل شبكة HDInsight الظاهرية خط رؤية لخدمات مجال Microsoft Entra من خلال تناظر الشبكة الظاهرية. إذا تم نشر HDInsight وMicrosoft Entra Domain Services في نفس الشبكة الظاهرية، يتم توفير الاتصال تلقائيا، ولا يلزم اتخاذ أي إجراء آخر.
إعداد وحدات تحكم مجال مختلفة
يدعم HDInsight حاليا خدمات مجال Microsoft Entra فقط كوحدة تحكم المجال الرئيسية التي يستخدمها نظام المجموعة لاتصال Kerberos. ولكن من الممكن القيام بإعدادات Active Directory المعقدة الأخرى، طالما أن مثل هذا الإعداد يؤدي إلى تمكين Microsoft Entra Domain Services للوصول إلى HDInsight.
خدمات مجال Microsoft Entra
توفر Microsoft Entra Domain Services مجالا مدارا متوافقا تماما مع Windows Server Active Directory. تهتم Microsoft بإدارة المجال وتصحيحه ومراقبته في إعداد ذو قابلية وصول عالية (HA). يمكنك نشر نظام المجموعة دون القلق حول المحافظة على وحدات تحكم المجال.
تتم مزامنة المستخدمين والمجموعات وكلمات المرور من معرف Microsoft Entra. تتيح المزامنة أحادية الاتجاه من مثيل Microsoft Entra إلى Microsoft Entra Domain Services للمستخدمين تسجيل الدخول إلى نظام المجموعة باستخدام بيانات اعتماد الشركة نفسها.
لمزيد من المعلومات، راجع تكوين مجموعات HDInsight باستخدام ESP باستخدام Microsoft Entra Domain Services.
تمت مزامنة Azure Active Directory مع Active Directory على الأجهزة الظاهرية IaaS
إذا كان لديك مثيل Active Directory محلي أو إعدادات Active Directory أكثر تعقيدا لمجالك، يمكنك مزامنة هذه الهويات مع معرف Microsoft Entra باستخدام Microsoft Entra الاتصال. يمكنك بعد ذلك تمكين Microsoft Entra Domain Services على مستأجر Active Directory هذا.
نظرا لأن Kerberos يعتمد على تجزئة كلمة المرور، يجب تمكين مزامنة تجزئة كلمة المرور على Microsoft Entra Domain Services.
إذا كنت تستخدم نظام الدخول الموحد مع خدماتActive Directory (AD FS) يجب تمكين مزامنة تجزئة كلمة المرور. (للحصول على إعداد موصى به، راجع هذا الفيديو.) تساعد مزامنة تجزئة كلمة المرور في استرداد البيانات في حالة فشل البنية الأساسية ل AD FS، كما تساعد في توفير حماية بيانات الاعتماد المسربة. لمزيد من المعلومات، راجع تمكين مزامنة تجزئة كلمة المرور باستخدام Microsoft Entra الاتصال Sync.
استخدام Active Directory محلي أو Active Directory على أجهزة IaaS الظاهرية وحدها، دون معرف Microsoft Entra وخدمات مجال Microsoft Entra، ليس تكوينا مدعوما لمجموعات HDInsight مع ESP.
إشعار
تم إهمال وحدات Azure AD وMSOnline PowerShell اعتبارا من 30 مارس 2024. لمعرفة المزيد، اقرأ تحديث الإهمال. بعد هذا التاريخ، يقتصر دعم هذه الوحدات النمطية على مساعدة الترحيل إلى Microsoft Graph PowerShell SDK وإصلاحات الأمان. ستستمر الوحدات المهملة في العمل حتى مارس 30 2025.
نوصي بالترحيل إلى Microsoft Graph PowerShell للتفاعل مع معرف Microsoft Entra (المعروف سابقا ب Azure AD). للحصول على أسئلة الترحيل الشائعة، راجع الأسئلة المتداولة حول الترحيل. ملاحظة: قد تواجه الإصدارات 1.0.x من MSOnline تعطيلا بعد 30 يونيو 2024.
عند تفعيل نظام الدخول الموحد وإجراء مزامنة تجزئة كلمة المرور بشكل صحيح، ومع ذلك فشلت المصادقة، تحقق من تمكين مصادقة شبكة النظير لكلمة المرور لكيان خدمة PowerShell. إذا لم يكن الأمر كما هو، يجب تعيين نهج Home Realm Discovery (HRD) لمستأجر Microsoft Entra. للتحقق من نهج HRD وتعيينه:
قم بتثبيت وحدة معاينة Azure AD PowerShell.
Install-Module AzureADالاتصال باستخدام بيانات اعتماد المسؤول العمومي (مسؤول المستأجر).
Connect-AzureADتحقق من كيان الخدمة Microsoft Azure PowerShell بالفعل.
Get-AzureADServicePrincipal -SearchString "Microsoft Azure PowerShell"إذا لم يكن موجودا، فقم بإنشاء كيان الخدمة.
$powershellSPN = New-AzureADServicePrincipal -AppId 1950a258-227b-4e31-a9cf-717495945fc2إنشاء و إرفاق النهج إلى كيان الخدمة.
# Determine whether policy exists Get-AzureADPolicy | Where {$_.DisplayName -eq "EnableDirectAuth"} # Create if not exists $policy = New-AzureADPolicy ` -Definition @('{"HomeRealmDiscoveryPolicy":{"AllowCloudPasswordValidation":true}}') ` -DisplayName "EnableDirectAuth" ` -Type "HomeRealmDiscoveryPolicy" # Determine whether a policy for the service principal exist Get-AzureADServicePrincipalPolicy ` -Id $powershellSPN.ObjectId # Add a service principal policy if not exist Add-AzureADServicePrincipalPolicy ` -Id $powershellSPN.ObjectId ` -refObjectID $policy.ID