Microsoft Entra-felhasználók szinkronizálása HDInsight-fürtre

Az Enterprise Security Package (ESP) használatával rendelkező HDInsight-fürtök erős hitelesítést használhatnak a Microsoft Entra-felhasználókkal, és azure-beli szerepköralapú hozzáférés-vezérlési (Azure RBAC-) szabályzatokat használhatnak. Amikor felhasználókat és csoportokat ad hozzá a Microsoft Entra-azonosítóhoz, szinkronizálhatja a fürthöz hozzáférésre szoruló felhasználókat.

Előfeltételek

Ha még nem tette meg, hozzon létre egy HDInsight-fürtöt az Enterprise Security Package használatával.

Új Microsoft Entra-felhasználók hozzáadása

A gazdagépek megtekintéséhez nyissa meg az Ambari webes felhasználói felületét. Minden csomópont új felügyelet nélküli frissítési beállításokkal frissül.

1. Az Azure Portalon keresse meg az ESP-fürthöz társított Microsoft Entra könyvtárat.

2. Válassza az Összes felhasználó lehetőséget a bal oldali menüben, majd válassza az Új felhasználó lehetőséget.

   

3. Töltse ki az új felhasználói űrlapot. Válassza ki a fürtalapú engedélyek hozzárendeléséhez létrehozott csoportokat. Ebben a példában hozzon létre egy "HiveUsers" nevű csoportot, amelyhez új felhasználókat rendelhet hozzá. Az ESP-fürt létrehozására vonatkozó példautasítások közé tartozik két csoport hozzáadása és HiveUsersAAD DC Administratorsa .

   

4. Válassza a Létrehozás lehetőséget.

Az Apache Ambari REST API használata a felhasználók szinkronizálásához

Ekkor történik a fürt létrehozása során meghatározott felhasználói csoportok szinkronizálása. A felhasználók szinkronizálása óránként egyszer automatikusan megtörténik. A felhasználók azonnali szinkronizálásához vagy a fürt létrehozása során megadott csoportoktól eltérő csoport szinkronizálásához használja az Ambari REST API-t.

Az alábbi módszer a POST-t használja az Ambari REST API-val. További információ: HDInsight-fürtök kezelése az Apache Ambari REST API használatával.

1. Az ssh paranccsal csatlakozzon a fürthöz. Szerkessze a parancsot a fürt nevére cserélve CLUSTERNAME , majd írja be a parancsot:

   ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
   

2. A hitelesítés után adja meg a következő parancsot:

   curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
   -X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
   "https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"
   

   A következő választ kell kapnia:

   {
     "resources" : [
       {
         "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
         "Event" : {
           "id" : 1
         }
       }
     ]
   }
   

3. A szinkronizálás állapotának megtekintéséhez hajtsa végre az új curl parancsot:

   curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1
   

   A következő választ kell kapnia:

   {
     "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
     "Event" : {
       "id" : 1,
       "specs" : [
         {
           "sync_type" : "existing",
           "principal_type" : "groups"
         }
       ],
       "status" : "COMPLETE",
       "status_detail" : "Completed LDAP sync.",
       "summary" : {
         "groups" : {
           "created" : 0,
           "removed" : 0,
           "updated" : 0
         },
         "memberships" : {
           "created" : 1,
           "removed" : 0
         },
         "users" : {
           "created" : 1,
           "removed" : 0,
           "skipped" : 0,
           "updated" : 0
         }
       },
       "sync_time" : {
         "end" : 1497994072182,
         "start" : 1497994071100
       }
     }
   }
   

4. Ez az eredmény azt mutatja, hogy az állapot KÉSZ, egy új felhasználó jött létre, és a felhasználóhoz tagság lett hozzárendelve. Ebben a példában a felhasználó hozzá van rendelve a "HiveUsers" szinkronizált LDAP-csoporthoz, mivel a felhasználó ugyanahhoz a csoporthoz lett hozzáadva a Microsoft Entra-azonosítóban.

   Feljegyzés

   Az előző metódus csak a tartománybeállítások Access felhasználói csoport tulajdonságában megadott Microsoft Entra-csoportokat szinkronizálja a fürt létrehozása során. További információ: HDInsight-fürt létrehozása.

Az újonnan hozzáadott Microsoft Entra-felhasználó ellenőrzése

Nyissa meg az Apache Ambari webes felhasználói felületét az új Microsoft Entra-felhasználó hozzáadásának ellenőrzéséhez. Nyissa meg az Ambari webes felhasználói felületét a következőre való tallózással https://CLUSTERNAME.azurehdinsight.net: . Adja meg a fürt rendszergazdájának felhasználónevét és jelszavát.

1. Az Ambari irányítópulton válassza az Ambari kezelése lehetőséget a rendszergazdai menüben.

   

2. A lap bal oldalán válassza a Felhasználók lehetőséget a Felhasználó + Csoportkezelés menücsoport alatt.

   

3. Az új felhasználónak szerepelnie kell a Felhasználók táblában. A típus ahelyett, hogy a típusra LDAPLocalvan állítva.

   

Jelentkezzen be az Ambariba új felhasználóként

Amikor az új felhasználó (vagy bármely más tartományfelhasználó) bejelentkezik az Ambariba, a teljes Microsoft Entra-felhasználónevet és tartomány hitelesítő adatait használja. Az Ambari megjelenít egy felhasználói aliast, amely a felhasználó megjelenítendő neve a Microsoft Entra-azonosítóban. Az új példafelhasználó felhasználónévvel hiveuser3@contoso.comrendelkezik. Az Ambariban ez az új felhasználó megjelenik, hiveuser3 de a felhasználó a következőként hiveuser3@contoso.comjelentkezik be az Ambariba: .

Lásd még

• Apache Hive-szabályzatok konfigurálása HDInsightban ESP használatával
• HDInsight-fürtök kezelése ESP-vel
• Felhasználók engedélyezése az Apache Ambarihoz