Enterprise Security Package configuraties met Azure Active Directory Domain Services in HDInsightEnterprise Security Package configurations with Azure Active Directory Domain Services in HDInsight

Enterprise Security Package-clusters (ESP) bieden toegang van meerdere gebruikers op Azure HDInsight-clusters.Enterprise Security Package (ESP) clusters provide multi-user access on Azure HDInsight clusters. HDInsight-clusters met ESP zijn verbonden met een domein, zodat domein gebruikers hun domein referenties kunnen gebruiken om zich te verifiëren bij de clusters en big data-taken uit te voeren.HDInsight clusters with ESP are connected to a domain so that domain users can use their domain credentials to authenticate with the clusters and run big data jobs.

In dit artikel leert u hoe u een HDInsight-cluster met ESP kunt configureren met behulp van Azure Active Directory Domain Services (Azure AD DS).In this article, you learn how to configure a HDInsight cluster with ESP by using Azure Active Directory Domain Services (Azure AD-DS).

Notitie

ESP is algemeen beschikbaar in HDInsight 3,6 en 4,0 voor cluster typen: Apache Spark, Interactive, Hadoop en HBase.ESP is generally available in HDInsight 3.6 and 4.0 for cluster types: Apache Spark, Interactive, Hadoop and HBase. ESP voor Apache Kafka cluster type is in Preview met best mogelijke ondersteuning.ESP for Apache Kafka cluster type is in preview with best effort support only. ESP-clusters die zijn gemaakt vóór ESP-GA-datum (1 oktober 2018) worden niet ondersteund.ESP clusters created before ESP GA date (October 1, 2018) are not supported.

Azure AD-DS inschakelenEnable Azure AD-DS

Notitie

Alleen Tenant beheerders hebben de bevoegdheid om Azure AD-DS in te scha kelen.Only tenant administrators have the privileges to enable Azure AD-DS. Als de cluster opslag is Azure Data Lake Storage (ADLS) gen1 of Gen2, moet u Multi-Factor Authentication (MFA) alleen uitschakelen voor gebruikers die toegang moeten hebben tot het cluster met behulp van basis-Kerberos-verificaties.If the cluster storage is Azure Data Lake Storage (ADLS) Gen1 or Gen2, you must disable Multi-Factor Authentication (MFA) only for users who will need to access the cluster using basic Kerberos authentications. U kunt met behulp van vertrouwde IP- adressen of voorwaardelijke toegang voor specifieke gebruikers alleen MFA uitschakelen als ze toegang hebben tot het VNET-IP-bereik van het HDInsight-cluster.You can use trusted IPs or Conditional Access to disable MFA for specific users ONLY when they are accessing the HDInsight cluster VNET IP range. Als u voorwaardelijke toegang gebruikt, moet u ervoor zorgen dat het AD-service-eind punt is ingeschakeld in het HDInsight-VNET.If you are using Conditional Access please make sure that AD service endpoint in enabled on the HDInsight VNET.

Als de cluster opslag Azure Blob Storage (WASB) is, moet u MFA niet uitschakelen.If the cluster storage is Azure Blob Storage (WASB), do not disable MFA.

Het inschakelen van AzureAD-DS is een vereiste voordat u een HDInsight-cluster met ESP kunt maken.Enabling AzureAD-DS is a prerequisite before you can create a HDInsight cluster with ESP. Zie Azure Active Directory Domain Services inschakelen met behulp van de Azure Portalvoor meer informatie.For more information, see Enable Azure Active Directory Domain Services using the Azure portal.

Als Azure AD-DS is ingeschakeld, beginnen alle gebruikers en objecten standaard met het synchroniseren van Azure Active Directory (AAD) naar Azure AD DS.When Azure AD-DS is enabled, all users and objects start synchronizing from Azure Active Directory (AAD) to Azure AD-DS by default. De lengte van de synchronisatie bewerking is afhankelijk van het aantal objecten in azure AD.The length of the sync operation depends on the number of objects in Azure AD. De synchronisatie kan enkele dagen duren voor honderd duizenden objecten.The sync could take a few days for hundreds of thousands of objects.

De domein naam die u met Azure AD-DS gebruikt, mag Maxi maal 39 tekens lang zijn, om te kunnen werken met HDInsight.The domain name that you use with Azure AD-DS must be 39 characters or less, to work with HDInsight.

U kunt ervoor kiezen om alleen de groepen te synchroniseren die toegang nodig hebben tot de HDInsight-clusters.You can choose to sync only the groups that need access to the HDInsight clusters. Deze optie om alleen bepaalde groepen te synchroniseren, wordt scoped Synchronizationgenoemd.This option of syncing only certain groups is called scoped synchronization. Zie de scoped Synchronization from Azure AD configureren voor instructies in uw beheerde domein .See Configure Scoped Synchronization from Azure AD to your managed domain for instructions.

Wanneer u beveiligd LDAP inschakelt, plaatst u de domein naam in de onderwerpnaam en de alternatieve naam voor het onderwerp in het certificaat.When enabling secure LDAP, put the domain name in the subject name and the subject alternative name in the certificate. Als uw domein naam bijvoorbeeld contoso100.onmicrosoft.comis, zorgt u ervoor dat de naam van de certificaat houder en de alternatieve naam van het onderwerp bestaat.For example, if your domain name is contoso100.onmicrosoft.com, make sure that exact name exists in your certificate subject name and subject alternative name. Zie secure LDAP configureren voor een beheerd domein van Azure AD-DSvoor meer informatie.For more information, see Configure secure LDAP for an Azure AD-DS managed domain. Hieronder ziet u een voor beeld van het maken van een zelfondertekend certificaat en de domein naam (contoso100.onmicrosoft.com) in de onderwerpnaam en DnsName (alternatieve naam voor het onderwerp):Below is an example of creating a self-signed cert and have the domain name (contoso100.onmicrosoft.com) in both Subject name and DnsName (Subject alternate name):

$lifetime=Get-Date
New-SelfSignedCertificate -Subject contoso100.onmicrosoft.com `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.contoso100.onmicrosoft.com, contoso100.onmicrosoft.com

De Azure AD-DS-status controlerenCheck Azure AD-DS health status

Bekijk de status van uw Azure Active Directory Domain Services door de status te selecteren onder de categorie beheren .View the health status of your Azure Active Directory Domain Services by selecting Health under the Manage category. Zorg ervoor dat de status van Azure AD-DS groen is (wordt uitgevoerd) en de synchronisatie is voltooid.Make sure the status of Azure AD-DS is green (running) and the synchronization is complete.

Azure Active Directory Domain Services status

Een beheerde identiteit maken en autoriserenCreate and Authorize a managed identity

Een door de gebruiker toegewezen beheerde identiteit wordt gebruikt om Domain Services-bewerkingen te vereenvoudigen en te beveiligen.A user-assigned managed identity is used to simplify and secure domain services operations. Wanneer u de functie voor het beheren van de HDInsight Domain Services-rol toewijst aan de beheerde identiteit, kan deze Domain Services-bewerkingen lezen, maken, wijzigen en verwijderen.When you assign the HDInsight Domain Services Contributor role to the managed identity, it can read, create, modify, and delete domain services operations. Bepaalde Domain Services-bewerkingen, zoals het maken van organisatie-eenheden en service-principals, zijn nodig voor de HDInsight-Enterprise Security Package.Certain domain services operations such as creating OUs and service principals are needed for the HDInsight Enterprise Security Package. Beheerde identiteiten kunnen in elk abonnement worden gemaakt.Managed identities can be created in any subscription. Zie beheerde identiteiten voor Azure-resourcesvoor meer informatie over beheerde identiteiten in het algemeen.For more information on managed identities in general, see Managed identities for Azure resources. Zie beheerde identiteiten in azure hdinsightvoor meer informatie over de werking van beheerde identiteiten in azure hdinsight.For more information on how managed identities work in Azure HDInsight, see Managed identities in Azure HDInsight.

Als u ESP-clusters wilt instellen, moet u een door de gebruiker toegewezen beheerde identiteit maken als u er nog geen hebt.To set up ESP clusters, create a user-assigned managed identity if you don’t have one already. Zie een rol maken, weer geven, verwijderen of toewijzen aan een door de gebruiker toegewezen beheerde identiteit met behulp van de Azure Portal voor instructies.See Create, list, delete, or assign a role to a user-assigned managed identity using the Azure portal for instructions. Wijs vervolgens de rol van HDInsight Domain Services-Inzender toe aan de beheerde identiteit in azure AD-DS Access Control (Aad-DS-beheer bevoegdheden zijn vereist om deze roltoewijzing te maken).Next, assign the HDInsight Domain Services Contributor role to the managed identity in Azure AD-DS Access control (AAD-DS admin privileges are required to make this role assignment).

Toegangs beheer Azure Active Directory Domain Services

Als u de functie voor het toewijzen van de HDInsight Domain Services-Inzender hebt, zorgt u ervoor dat deze identiteit gemachtigd is om Domain Services-bewerkingen uit te voeren, zoals het maken van organisatie-eenheden, het verwijderen van organisatie-eenheden, enzovoort op het Aad-DS-domein.Assigning the HDInsight Domain Services Contributor role ensures that this identity has proper (on behalf of) access to perform domain services operations such as creating OUs, deleting OUs, etc. on the AAD-DS domain.

Zodra de beheerde identiteit is gemaakt en de juiste rol heeft gekregen, kan de AAD-DS-beheerder instellen wie deze beheerde identiteit mag gebruiken.Once the managed identity is created and given the correct role, the AAD-DS admin can set up who can use this managed identity. Als u gebruikers wilt instellen voor de beheerde identiteit, moet de beheerder de beheerde identiteit selecteren in de portal en vervolgens op Access Control (IAM) onder overzichtklikken.To set up users for the managed identity, the admin should select the managed identity in the portal, then click Access Control (IAM) under Overview. Wijs vervolgens aan de rechter kant de rol Managed Identity-operator toe aan de gebruikers of groepen die HDInsight ESP-clusters willen maken.Then, on the right, assign the Managed Identity Operator role to the users or groups that want to create HDInsight ESP clusters. De AAD-DS-beheerder kan deze rol bijvoorbeeld toewijzen aan de groep MarketingTeam voor de beheerde identiteit sjmsi , zoals weer gegeven in de volgende afbeelding.For example, the AAD-DS admin can assign this role to the MarketingTeam group for the sjmsi managed identity as shown in the following image. Dit zorgt ervoor dat de juiste personen in de organisatie toegang hebben tot het gebruik van deze beheerde identiteit voor het maken van ESP-clusters.This will ensure that the right people in the organization have access to use this managed identity for the purpose of creating ESP clusters.

Roltoewijzing beheerde identiteits operator voor HDInsight

Aandachtspunten voor netwerkenNetworking considerations

Notitie

Azure AD-DS moet worden geïmplementeerd in een op Azure Resource Manager gebaseerd vNET.Azure AD-DS must be deployed in an Azure Resource Manager based vNET. Klassieke virtuele netwerken worden niet ondersteund voor Azure AD-DS.Classic virtual networks are not supported for Azure AD-DS. Zie Azure Active Directory Domain Services inschakelen met behulp van de Azure Portalvoor meer informatie.For more information, see Enable Azure Active Directory Domain Services using the Azure portal.

Nadat u Azure AD-DS hebt ingeschakeld, wordt een lokale Domain Name Service (DNS)-server uitgevoerd op de AD-Virtual Machines (Vm's).After you enable Azure AD-DS, a local Domain Name Service (DNS) server runs on the AD Virtual Machines (VMs). Configureer uw Azure AD-DS-Virtual Network (VNET) voor het gebruik van deze aangepaste DNS-servers.Configure your Azure AD-DS Virtual Network (VNET) to use these custom DNS servers. Als u de juiste IP-adressen wilt vinden, selecteert u Eigenschappen onder de categorie beheren en bekijkt u de IP-adressen onder IP-adres op Virtual Network.To locate the right IP addresses, select Properties under the Manage category and look at the IP Addresses listed beneath IP Address on Virtual Network.

IP-adressen voor lokale DNS-servers zoeken

Wijzig de configuratie van de DNS-servers in azure AD-DS VNET voor gebruik van deze aangepaste Ip's door DNS-servers te selecteren onder de categorie instellingen .Change the configuration of the DNS servers in the Azure AD-DS VNET to use these custom IPs by selecting DNS Servers under the Settings category. Klik vervolgens op het keuze rondje naast aangepast, voer het eerste IP-adres in het onderstaande tekstvak in en klik op Opslaan.Then click the radio button next to Custom, enter the first IP Address in the text box below, and click Save. Voeg aan de hand van dezelfde stappen extra IP-adressen toe.Add additional IP Addresses using the same steps.

De VNET DNS-configuratie bijwerken

Het is eenvoudiger om zowel het Azure AD-DS-exemplaar als het HDInsight-cluster in hetzelfde virtuele Azure-netwerk te plaatsen.It's easier to place both the Azure AD-DS instance and the HDInsight cluster in the same Azure virtual network. Als u van plan bent verschillende VNETs te gebruiken, moet u deze virtuele netwerken peeren zodat de domein controller zichtbaar is voor virtuele machines van HDI.If you plan to use different VNETs, you must peer those virtual networks so that the domain controller is visible to HDI VMs. Zie peering van virtuele netwerkenvoor meer informatie.For more information, see Virtual network peering.

Nadat de VNETs zijn gekoppeld, configureert u de HDInsight VNET voor het gebruik van een aangepaste DNS-server en voert u de persoonlijke Ip's van Azure AD-DS in als de DNS-server adressen.After the VNETs are peered, configure the HDInsight VNET to use a custom DNS server and input the Azure AD-DS private IPs as the DNS server addresses. Wanneer beide VNETs dezelfde DNS-servers gebruiken, wordt uw aangepaste domein naam omgezet in het juiste IP-adres en is deze bereikbaar vanaf HDInsight.When both VNETs use the same DNS servers, your custom domain name will resolve to the right IP and will be reachable from HDInsight. Als uw domein naam bijvoorbeeld contoso.com is, wordt na deze stap ping contoso.com omgezet naar het juiste Azure AD-DS-IP-adres.For example if your domain name is contoso.com then after this step, ping contoso.com should resolve to the right Azure AD-DS IP.

Aangepaste DNS-servers configureren voor gepeerde VNET

Als u regels voor netwerk beveiligings groepen (NSG) in uw HDInsight-subnet gebruikt, moet u de vereiste ip's toestaan voor zowel binnenkomend als uitgaand verkeer.If you're using Network Security Groups (NSG) rules in your HDInsight subnet, you should allow the required IPs for both Inbound and Outbound traffic.

Als u wilt testen of uw netwerk correct is ingesteld, voegt u een virtuele Windows-machine toe aan het HDInsight VNET/subnet en pingt u de domein naam (deze moet worden omgezet in een IP-adres) en voert u Ldp. exe uit om toegang te krijgen tot het Azure AD-DS-domein.To test if your networking is set up correctly, join a windows VM to the HDInsight VNET/Subnet and ping the domain name (it should resolve to an IP), then run ldp.exe to access Azure AD-DS domain. Voeg deze Windows-VM vervolgens toe aan het domein om te bevestigen dat alle vereiste RPC-aanroepen tussen de client en de server zijn geslaagd.Then join this windows VM to the domain to confirm that all the required RPC calls succeed between the client and server. U kunt nslookup ook gebruiken om de netwerk toegang te bevestigen voor uw opslag account of een externe data base die u kunt gebruiken (bijvoorbeeld externe Hive-metastore of zwerver DB).You can also use nslookup to confirm networking access to your storage account or any external DB you might use (for example, external Hive metastore or Ranger DB). Zorg ervoor dat alle vereiste poorten in de white list van de Aad-DS-subnetten worden uitgevoerd als Aad-DS wordt beveiligd door een NSG.You should make sure that all of the required ports are whitelisted in the AAD-DS subnet Network Security Group rules, if AAD-DS is secured by an NSG. Als het domein dat lid is van deze Windows-VM is voltooid, kunt u door gaan met de volgende stap en ESP-clusters maken.If the domain joining of this windows VM is successful, then you can continue to the next step and create ESP clusters.

Een HDInsight-cluster maken met ESPCreate a HDInsight cluster with ESP

Nadat u de vorige stappen op de juiste manier hebt ingesteld, is de volgende stap het maken van het HDInsight-cluster met ESP ingeschakeld.After setting up the previous steps correctly, the next step is to create the HDInsight cluster with ESP enabled. Wanneer u een HDInsight-cluster maakt, kunt u Enterprise Security Package inschakelen op het tabblad beveiliging en netwerk . Als u liever een Azure Resource Manager-sjabloon gebruikt voor implementatie, gebruikt u de portal ervaring eenmaal en downloadt u de vooraf ingevulde sjabloon op de pagina evalueren en maken voor toekomstig gebruik.When you create an HDInsight cluster, you can enable Enterprise Security Package in the Security + networking tab. If you prefer to use an Azure Resource Manager template for deployment, use the portal experience once and download the pre-filled template on the Review + create page for future reuse.

Notitie

De eerste zes tekens van de ESP-cluster namen moeten uniek zijn in uw omgeving.The first six characters of the ESP cluster names must be unique in your environment. Als u bijvoorbeeld meerdere ESP-clusters in verschillende VNETs hebt, kiest u een naam Convension die ervoor zorgt dat de eerste zes tekens op de cluster namen uniek zijn.For example, if you have multiple ESP clusters in different VNETs, you should choose a naming convension that ensures the first six characters on the cluster names are unique.

Domein validatie van Azure HDInsight Enter prise-beveiligings pakket

Zodra u ESP hebt ingeschakeld, worden veelvoorkomende onjuiste configuratie-items die betrekking hebben op Azure AD-DS, automatisch gedetecteerd en gevalideerd.Once you enable ESP, common misconfigurations related to Azure AD-DS will be automatically detected and validated. Nadat u deze fouten hebt opgelost, kunt u door gaan met de volgende stap:After fixing these errors, you can continue with the next step:

Domein validatie van Azure HDInsight Enter prise-beveiligings pakket is mislukt

Wanneer u een HDInsight-cluster met ESP maakt, moet u de volgende para meters opgeven:When you create a HDInsight cluster with ESP, you must supply the following parameters:

  • Gebruiker van Cluster beheerder: Kies een beheerder voor uw cluster uit uw gesynchroniseerde Azure AD-DS.Cluster admin user: Choose an admin for your cluster from your synced Azure AD-DS. Dit domein account moet al worden gesynchroniseerd en beschikbaar zijn in azure AD-DS.This domain account must be already synced and available in Azure AD-DS.

  • Cluster toegangs groepen: De beveiligings groepen waarvan u de gebruikers wilt synchroniseren en toegang tot het cluster wilt, moeten beschikbaar zijn in azure AD-DS.Cluster access groups: The security groups whose users you want to sync and have access to the cluster should be available in Azure AD-DS. Bijvoorbeeld HiveUsers-groep.For example, HiveUsers group. Zie een groep maken en leden toevoegen in azure Active Directoryvoor meer informatie.For more information, see Create a group and add members in Azure Active Directory.

  • URL VAN LDAPS: Een voorbeeld is ldaps://contoso.com:636.LDAPS URL: An example is ldaps://contoso.com:636.

De beheerde identiteit die u hebt gemaakt, kunt u kiezen in vanuit de door de gebruiker toegewezen vervolg keuzelijst beheerde identiteit bij het maken van een nieuw cluster.The managed identity you created can be chosen in from the user-assigned managed identity dropdown when creating a new cluster.

Beheerde identiteit van Azure HDInsight ESP Active Directory Domain Services..

Volgende stappenNext steps