Menyinkronkan pengguna Microsoft Entra ke kluster HDInsight

Kluster HDInsight dengan Paket Keamanan Perusahaan (ESP) dapat menggunakan autentikasi yang kuat dengan pengguna Microsoft Entra, dan menggunakan kebijakan kontrol akses berbasis peran Azure (Azure RBAC). Saat menambahkan pengguna dan grup ke ID Microsoft Entra, Anda dapat menyinkronkan pengguna yang memerlukan akses ke kluster Anda.

Prasyarat

Jika Anda belum melakukannya, buat kluster HDInsight dengan Paket Keamanan Perusahaan.

Menambahkan pengguna Microsoft Entra baru

Untuk menampilkan host Anda, buka Ambari Web UI. Setiap simpul diperbarui dengan pengaturan peningkatan baru yang tidak dijaga.

1. Dari portal Azure, navigasikan ke direktori Microsoft Entra yang terkait dengan kluster ESP Anda.

2. Pilih Semua pengguna dari menu sebelah kiri, lalu pilih Pengguna baru.

   

3. Lengkapi formulir pengguna baru. Pilih grup yang Anda buat untuk menetapkan izin akses berbasis kluster. Dalam contoh ini, buat grup bernama "HiveUsers", tempat Anda dapat menetapkan pengguna baru. Contoh instruksi untuk membuat kluster ESP mencakup penambahan dua grup, HiveUsers dan AAD DC Administrators.

   

4. Pilih Buat.

Gunakan APACHE Ambari REST API untuk menyinkronkan pengguna

Grup pengguna yang ditentukan selama proses pembuatan kluster disinkronkan pada saat itu. Sinkronisasi pengguna terjadi secara otomatis setiap jam sekali. Untuk menyinkronkan pengguna secara langsung, atau untuk menyinkronkan grup selain grup yang ditentukan selama pembuatan kluster, gunakan Ambari REST API.

Metode berikut menggunakan POST dengan REST API Ambari. Untuk informasi selengkapnya, lihat Kelola kluster Microsoft Azure HDInsight dengan menggunakan Apache Ambari REST API.

1. Gunakan perintah ssh untuk menyambungkan ke kluster Anda. Edit perintah dengan mengganti CLUSTERNAME dengan nama kluster Anda, lalu masukkan perintah:

   ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
   

2. Setelah mengautentikasi, masukkan perintah berikut:

   curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
   -X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
   "https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"
   

   Sebuah respons akan terlihat seperti ini:

   {
     "resources" : [
       {
         "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
         "Event" : {
           "id" : 1
         }
       }
     ]
   }
   

3. Untuk melihat status sinkronisasi, jalankan sebuah perintah curl baru:

   curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1
   

   Sebuah respons akan terlihat seperti ini:

   {
     "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
     "Event" : {
       "id" : 1,
       "specs" : [
         {
           "sync_type" : "existing",
           "principal_type" : "groups"
         }
       ],
       "status" : "COMPLETE",
       "status_detail" : "Completed LDAP sync.",
       "summary" : {
         "groups" : {
           "created" : 0,
           "removed" : 0,
           "updated" : 0
         },
         "memberships" : {
           "created" : 1,
           "removed" : 0
         },
         "users" : {
           "created" : 1,
           "removed" : 0,
           "skipped" : 0,
           "updated" : 0
         }
       },
       "sync_time" : {
         "end" : 1497994072182,
         "start" : 1497994071100
       }
     }
   }
   

4. Hasil ini menunjukkan bahwa status SELESAI, satu pengguna baru dibuat, dan pengguna diberi keanggotaan. Dalam contoh ini, pengguna ditetapkan ke grup LDAP yang disinkronkan "HiveUsers", karena pengguna ditambahkan ke grup yang sama di ID Microsoft Entra.

   Catatan

   Metode sebelumnya hanya menyinkronkan grup Microsoft Entra yang ditentukan dalam properti Grup pengguna Access dari pengaturan domain selama pembuatan kluster. Untuk informasi selengkapnya, lihat membuat kluster Microsoft Azure HDInsight.

Memverifikasi pengguna Microsoft Entra yang baru ditambahkan

Buka Apache Ambari Web UI untuk memverifikasi bahwa pengguna Microsoft Entra baru telah ditambahkan. Akses Ambari Web UI dengan menelusuri ke https://CLUSTERNAME.azurehdinsight.net. Masukkan nama pengguna dan kata sandi admin kluster.

1. Dari dasbor Ambari, pilih Kelola Ambari di bawah menu admin.

   

2. Pilih Pengguna di bawah menu Manajemen Pengguna + Grup di sisi kiri halaman.

   

3. Pengguna baru harus dicantumkan dalam tabel Pengguna. Jenis diatur ke LDAP bukan Local.

   

Masuk ke Ambari sebagai pengguna baru

Saat pengguna baru (atau pengguna domain lain) masuk ke Ambari, mereka menggunakan nama pengguna dan kredensial domain Microsoft Entra lengkap mereka. Ambari menampilkan alias pengguna, yang merupakan nama tampilan pengguna di ID Microsoft Entra. Contoh baru pengguna memiliki nama pengguna hiveuser3@contoso.com. Di Ambari, pengguna baru ini muncul sebagai hiveuser3 tetapi pengguna masuk ke Ambari sebagai hiveuser3@contoso.com.

Lihat juga

• Konfigurasikan kebijakan Apache Hive di Microsoft Azure HDInsight dengan Paket Keamanan Perusahaan
• Kelola kluster Microsoft Azure HDInsight dengan ESP
• Otorisasi pengguna untuk Apache Ambari