Condividi tramite

Sincronizzare gli utenti di Microsoft Entra con un cluster HDInsight

  • Articolo

I cluster HDInsight con Enterprise Security Package (ESP) possono usare l'autenticazione avanzata con gli utenti di Microsoft Entra e usare i criteri di controllo degli accessi in base al ruolo di Azure . Quando si aggiungono utenti e gruppi all'ID Microsoft Entra, è possibile sincronizzare gli utenti che devono accedere al cluster.

Prerequisiti

Se non è già stato fatto, creare un cluster HDInsight con Enterprise Security Package.

Aggiungere nuovi utenti di Microsoft Entra

Per visualizzare gli host, aprire l'interfaccia utente Web di Ambari. Ogni nodo viene aggiornato con nuove impostazioni di aggiornamento automatico.

  1. Dal portale di Azure passare alla directory Microsoft Entra associata al cluster ESP.

  2. Selezionare Tutti gli utenti nel menu a sinistra e quindi selezionare Nuovo utente.

    Azure portal users and groups all.

  3. Completare il modulo del nuovo utente. Selezionare i gruppi creati per l'assegnazione delle autorizzazioni basate sui cluster. In questo esempio, creare un gruppo denominato "HiveUsers", a cui è possibile assegnare nuovi utenti. Le istruzioni di esempio per la creazione di un cluster ESP includono l'aggiunta di due gruppi, HiveUsers e AAD DC Administrators.

    Azure portal user pane select groups.

  4. Seleziona Crea.

Usare l'API REST di Apache Ambari per sincronizzare gli utenti

I gruppi di utenti specificati durante il processo di creazione del cluster vengono sincronizzati in quel momento. La sincronizzazione degli utenti avviene automaticamente una volta all'ora. Per sincronizzare immediatamente gli utenti o per sincronizzare un gruppo diverso dai gruppi specificati durante la creazione del cluster, usare l'API REST di Ambari.

Il metodo seguente usa POST con l'API REST di Ambari. Per altre informazioni, vedere Gestire i cluster HDInsight usando l'API REST di Apache Ambari.

  1. Usare il comando ssh per connettersi al cluster. Modificare il comando sostituendo CLUSTERNAME con il nome del cluster e quindi immettere il comando :

    ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net

  2. Dopo l'autenticazione, immettere il comando seguente:

    curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
-X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
"https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"

    La risposta sarà simile alla seguente:

    {
  "resources" : [
    {
      "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
      "Event" : {
        "id" : 1
      }
    }
  ]
}

  3. Per visualizzare lo stato di sincronizzazione, eseguire un nuovo comando curl:

    curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1

    La risposta sarà simile alla seguente:

    {
  "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
  "Event" : {
    "id" : 1,
    "specs" : [
      {
        "sync_type" : "existing",
        "principal_type" : "groups"
      }
    ],
    "status" : "COMPLETE",
    "status_detail" : "Completed LDAP sync.",
    "summary" : {
      "groups" : {
        "created" : 0,
        "removed" : 0,
        "updated" : 0
      },
      "memberships" : {
        "created" : 1,
        "removed" : 0
      },
      "users" : {
        "created" : 1,
        "removed" : 0,
        "skipped" : 0,
        "updated" : 0
      }
    },
    "sync_time" : {
      "end" : 1497994072182,
      "start" : 1497994071100
    }
  }
}

  4. Questo risultato indica che lo stato è COMPLETE, è stato creato un nuovo utente e all'utente è stata assegnata un'appartenenza. In questo esempio l'utente viene assegnato al gruppo LDAP sincronizzato "HiveUsers", poiché l'utente è stato aggiunto allo stesso gruppo in Microsoft Entra ID.

    Nota

    Il metodo precedente sincronizza solo i gruppi di Microsoft Entra specificati nella proprietà Gruppo utenti di Access delle impostazioni del dominio durante la creazione del cluster. Per altre informazioni, vedere la procedura per creare un cluster HDInsight.

Verificare l'utente di Microsoft Entra appena aggiunto

Aprire l'interfaccia utente Web di Apache Ambari per verificare che il nuovo utente di Microsoft Entra sia stato aggiunto. Accedere all'interfaccia utente Web di Ambari passando a https://CLUSTERNAME.azurehdinsight.net. Immettere il nome utente e la password dell'amministratore del cluster.

  1. Nel dahsboard di Ambari selezionare Manage Ambari (Gestisci Ambari) nel menu admin (amministratore).

    Apache Ambari dashboard Manage Ambari.

  2. Selezionare Users (Utenti) nel gruppo di menu User + Group Management (Gestione utenti e gruppi) sul lato sinistro della pagina.

    HDInsight users and groups menu.

  3. Il nuovo utente dovrebbe essere elencato nella tabella Users (Utenti). Il tipo è impostato su LDAP anziché Local.

    HDInsight Microsoft Entra users page overview.

Accedere ad Ambari come il nuovo utente

Quando il nuovo utente (o qualsiasi altro utente di dominio) accede ad Ambari, usa il nome utente e le credenziali di dominio microsoft Entra completi. Ambari visualizza un alias utente, ovvero il nome visualizzato dell'utente in Microsoft Entra ID. Il nuovo utente di esempio ha il nome utente hiveuser3@contoso.com. In Ambari, il nuovo utente viene visualizzato come hiveuser3 ma l'utente accede ad Ambari come hiveuser3@contoso.com.

Vedi anche