Configurare cluster HDInsight per l'integrazione di Azure Active Directory con Enterprise Security Package

Questo articolo fornisce un riepilogo e una panoramica del processo di creazione e configurazione di un cluster HDInsight integrato con Azure Active Directory. Questa integrazione si basa su una funzionalità HDInsight denominata Enterprise Security Package (ESP), Azure Active Directory Domain Services (Azure AD-DS) e active Directory locale preesistente.

Per un'esercitazione dettagliata e dettagliata sulla configurazione di un dominio in Azure e sulla creazione di un cluster abilitato per ESP e sulla sincronizzazione degli utenti locali, vedere Creare e configurare cluster di Enterprise Security Package in Azure HDInsight.

Sfondo

Enterprise Security Package (ESP) offre l'integrazione di Active Directory per Azure HDInsight. Questa integrazione consente agli utenti di dominio di usare le credenziali di dominio per l'autenticazione con cluster HDInsight ed eseguire processi di Big Data.

Nota

ESP è disponibile a livello generale in HDInsight 3.6 e 4.0 per questi tipi di cluster: Apache Spark, Interactive, Hadoop e HBase. ESP per il tipo di cluster Apache Kafka è disponibile in anteprima solo con il supporto ottimale. I cluster ESP creati prima della data di disponibilità generale esp (1° ottobre 2018) non sono supportati.

Prerequisiti

Prima di poter creare un cluster HDInsight abilitato per ESP, è necessario completare alcuni prerequisiti:

  • Active Directory locale esistente e Azure Active Directory.
  • Abilitare Azure AD-DS.
  • Controllare lo stato di integrità di Azure AD DS per assicurarsi che la sincronizzazione sia stata completata.
  • Creare e autorizzare un'identità gestita.
  • Completare la configurazione di rete per DNS e problemi correlati.

Ognuno di questi elementi verrà illustrato in dettaglio di seguito. Per una procedura dettagliata per completare tutti questi passaggi, vedere Creare e configurare cluster Enterprise Security Package in Azure HDInsight.

Abilitare Azure AD DS

L'abilitazione di Azure AD DS è un prerequisito prima di poter creare un cluster HDInsight con ESP. Per altre informazioni, vedere Abilitare Azure Active Directory Domain Services tramite il portale di Azure.

Quando Azure AD DS è abilitato, tutti gli utenti e gli oggetti iniziano la sincronizzazione da Azure Active Directory (Azure AD) ad Azure AD DS per impostazione predefinita. La durata dell'operazione di sincronizzazione dipende dal numero di oggetti in Azure AD. La sincronizzazione potrebbe richiedere alcuni giorni per centinaia di migliaia di oggetti.

Per usare HDInsight, il nome di dominio usato con Azure AD DS deve contenere o meno 39 caratteri.

È possibile scegliere di sincronizzare solo i gruppi che devono accedere ai cluster HDInsight. Questa opzione di sincronizzazione che coinvolge solo determinati gruppi è chiamata sincronizzazione con ambito. Per istruzioni, vedere Configurare la sincronizzazione con ambito da Azure AD al dominio gestito.

Quando si abilita LDAP sicuro, inserire il nome di dominio nel nome soggetto. E il nome alternativo del soggetto nel certificato. Se il nome di dominio è contoso100.onmicrosoft.com, verificare che il nome esatto esista nel nome soggetto del certificato e nel nome alternativo del soggetto del certificato. Per altre informazioni, vedere Configurare l'accesso LDAP sicuro (LDAPS) per un dominio gestito di Azure AD DS.

Nell'esempio seguente viene creato un certificato autofirmato. Il nome di dominio contoso100.onmicrosoft.com si trova sia Subject in (nome soggetto) che DnsName in (nome alternativo soggetto).

$lifetime=Get-Date
New-SelfSignedCertificate -Subject contoso100.onmicrosoft.com `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.contoso100.onmicrosoft.com, contoso100.onmicrosoft.com

Nota

Solo gli amministratori tenant dispongono dei privilegi per abilitare Azure AD DS. Se l'archiviazione cluster è Azure Data Lake Storage Gen1 o Gen2, disabilitare Multi-Factor Authentication di Azure AD solo per gli utenti che dovranno accedere al cluster usando le autenticazioni Kerberos di base. Se l'organizzazione richiede Multi-Factor Authentication, provare a usare la funzionalità Gestore ID HDInsight.

È possibile usare indirizzi IP attendibili o accesso condizionale per disabilitare Multi-Factor Authentication per utenti specifici solo quando accedono all'intervallo IP per la rete virtuale del cluster HDInsight.

Se l'archiviazione cluster è archiviazione BLOB di Azure, non disabilitare Multi-Factor Authentication.

Controllare lo stato di integrità di Azure AD DS

Visualizzare lo stato di integrità di Azure Active Directory Domain Services selezionando Integrità nella categoria Gestisci . Assicurarsi che lo stato di Azure AD DS sia verde (in esecuzione) e che la sincronizzazione sia stata completata.

Azure AD DS health

Creare e autorizzare un'identità gestita

Usare un'identità gestita assegnata dall'utente per semplificare le operazioni dei servizi di dominio sicuri. Quando si assegna il ruolo Collaboratore servizi di dominio HDInsight all'identità gestita, può leggere, creare, modificare ed eliminare le operazioni dei servizi di dominio.

Alcune operazioni dei servizi di dominio, ad esempio la creazione di unità organizzative e entità servizio, sono necessarie per HDInsight Enterprise Security Package. È possibile creare identità gestite in qualsiasi sottoscrizione. Per altre informazioni sulle identità gestite in generale, vedere Identità gestite per le risorse di Azure. Per altre informazioni sul funzionamento delle identità gestite in Azure HDInsight, vedere Identità gestite in Azure HDInsight.

Per configurare i cluster ESP, creare un'identità gestita assegnata dall'utente, se non è già disponibile. Vedere Create, list, delete, or assign a role to a user-assigned managed identity by using the Azure portal.

Assegnare quindi il ruolo collaboratore di HDInsight Domain Services all'identità gestita in Controllo di accesso per Azure AD DS. Per assegnare questo ruolo, sono necessari privilegi di amministratore di Azure AD DS.

Azure Active Directory Domain Services Access control

L'assegnazione del ruolo Collaboratore servizi di dominio HDInsight garantisce che questa identità disponga dell'accesso appropriato (on behalf of) per eseguire operazioni sui servizi di dominio nel dominio di Azure AD DS. Queste operazioni includono la creazione e l'eliminazione di unità organizzative.

Dopo aver assegnato il ruolo all'identità gestita, l'amministratore di Azure AD DS gestisce chi lo usa. In primo luogo, l'amministratore seleziona l'identità gestita nel portale. Selezionare quindi Controllo di accesso (IAM) in Panoramica. L'amministratore assegna il ruolo Operatore identità gestita a utenti o gruppi che vogliono creare cluster ESP.

Ad esempio, l'amministratore di Azure AD DS può assegnare questo ruolo al gruppo MarketingTeam per l'identità gestita sjmsi . Nell'immagine seguente è illustrato un esempio. Questa assegnazione garantisce che le persone giuste nell'organizzazione possano usare l'identità gestita per creare cluster ESP.

HDInsight Managed Identity Operator Role Assignment

Configurazione di rete

Nota

Azure AD DS deve essere distribuito in una rete virtuale basata su Azure Resource Manager. Le reti virtuali classiche non sono supportate per Azure AD DS. Per altre informazioni, vedere Abilitare Azure Active Directory Domain Services tramite il portale di Azure.

Abilitare Azure AD DS. Viene quindi eseguito un server DNS (Domain Name System) locale nelle macchine virtuali (VM) di Active Directory. Configurare la rete virtuale di Azure AD DS per l'uso di questi server DNS personalizzati. Per individuare gli indirizzi IP corretti, selezionare Proprietà nella categoria Gestisci e cercare in INDIRIZZO IP NELLA RETE VIRTUALE.

Locate IP addresses for local DNS servers

Modificare la configurazione dei server DNS nella rete virtuale di Azure AD DS. Per usare questi INDIRIZZI IP personalizzati, selezionare Server DNS nella categoria Impostazioni . Selezionare quindi l'opzione Personalizzata , immettere il primo indirizzo IP nella casella di testo e selezionare Salva. Aggiungere altri indirizzi IP usando gli stessi passaggi.

Updating the virtual network DNS configuration

È più semplice posizionare sia l'istanza Azure AD DS, sia il cluster HDInsight nella stessa rete virtuale di Azure. Se si prevede di usare reti virtuali diverse, è necessario eseguire il peering di tali reti virtuali in modo che il controller di dominio sia visibile alle macchine virtuali HDInsight. Per altre informazioni, vedere Peering di rete virtuale.

Dopo aver eseguito il peering delle reti virtuali, configurare la rete virtuale HDInsight per l'uso di un server DNS personalizzato. Immettere gli indirizzi IP privati di Azure AD DS come indirizzi del server DNS. Quando entrambe le reti virtuali usano gli stessi server DNS, il nome di dominio personalizzato verrà risolto nell'indirizzo IP corretto e sarà raggiungibile da HDInsight. Ad esempio, se il nome di dominio è contoso.com, dopo questo passaggio, ping contoso.com dovrebbe essere risolto nell'indirizzo IP di Azure AD DS corretto.

Configuring custom DNS servers for a peered virtual network

Se si usano regole del gruppo di sicurezza di rete (NSG) nella subnet HDInsight, è necessario consentire gli INDIRIZZI IP necessari per il traffico in ingresso e in uscita.

Per testare la configurazione di rete, aggiungere una macchina virtuale Windows alla rete virtuale/subnet HDInsight e effettuare il ping del nome di dominio. Deve essere risolto in un indirizzo IP. Eseguire ldp.exe per accedere al dominio di Azure AD DS. Aggiungere quindi questa macchina virtuale Windows al dominio per verificare che tutte le chiamate RPC necessarie abbiano esito positivo tra il client e il server.

Usare nslookup per confermare l'accesso di rete all'account di archiviazione. Oppure qualsiasi database esterno che è possibile usare( ad esempio, metastore Hive esterno o database Ranger). Verificare che le porte necessarie siano consentite nelle regole del gruppo di sicurezza di rete della subnet di Azure AD DS, se un gruppo di sicurezza di rete protegge Azure AD DS. Se l'aggiunta al dominio di questa macchina virtuale Windows ha esito positivo, è possibile continuare con il passaggio successivo e creare cluster ESP.

Creare un cluster HDInsight con ESP

Dopo aver configurato correttamente i passaggi precedenti, il passaggio successivo consiste nel creare il cluster HDInsight con ESP abilitato. Quando si crea un cluster HDInsight, è possibile abilitare Enterprise Security Package nella scheda Sicurezza e rete . Per un modello di Azure Resource Manager per la distribuzione, usare l'esperienza del portale una sola volta. Scaricare quindi il modello precompilato nella pagina Rivedi e crea per riutilizzare in futuro.

È anche possibile abilitare la funzionalità Gestore ID HDInsight durante la creazione del cluster. La funzionalità id Broker consente di accedere a Ambari usando Multi-Factor Authentication e ottenere i ticket Kerberos necessari senza dover eseguire l'hash delle password in Azure AD DS.

Nota

I primi sei caratteri dei nomi di cluster ESP devono essere univoci nell'ambiente in uso. Ad esempio, se sono presenti più cluster ESP in reti virtuali diverse, scegliere una convenzione di denominazione che garantisce che i primi sei caratteri nei nomi del cluster siano univoci.

Domain validation for Azure HDInsight Enterprise Security Package

Dopo aver abilitato ESP, le configurazioni comuni correlate a Azure AD DS vengono rilevate e convalidate automaticamente. Dopo aver risolto questi errori, è possibile continuare con il passaggio successivo.

Azure HDInsight Enterprise Security Package failed domain validation

Quando si crea un cluster HDInsight con ESP, è necessario specificare i parametri seguenti:

  • Utente amministratore del cluster: scegliere un amministratore per il cluster dall'istanza di Azure AD DS sincronizzata. Questo account di dominio deve essere già sincronizzato e disponibile in Azure AD DS.

  • Gruppi di accesso al cluster: i gruppi di sicurezza i cui utenti si desidera sincronizzare e avere accesso al cluster devono essere disponibili in Azure AD DS. Un esempio è il gruppo HiveUsers. Per altre informazioni, vedere Creare un gruppo e aggiungere membri in Azure Active Directory.

  • URL LDAPS: un esempio è ldaps://contoso.com:636.

L'identità gestita creata può essere scelta dall'elenco a discesa Identità gestita assegnata dall'utente quando si crea un nuovo cluster.

Azure HDInsight ESP Active Directory Domain Services managed identity .

Passaggi successivi