Синхронизация пользователей Microsoft Entra с кластером HDInsight

Кластеры HDInsight с корпоративным пакетом безопасности (ESP) могут использовать строгую проверку подлинности с пользователями Microsoft Entra и использовать политики управления доступом на основе ролей Azure (Azure RBAC). При добавлении пользователей и групп в идентификатор Microsoft Entra можно синхронизировать пользователей, которым требуется доступ к кластеру.

Необходимые компоненты

Если вы еще этого не сделали, создайте кластер HDInsight с корпоративным пакетом безопасности.

Добавление новых пользователей Microsoft Entra

Чтобы просмотреть узлы, откройте веб-интерфейс Ambari. Каждый узел обновляется с новыми параметрами автоматического обновления.

1. В портал Azure перейдите в каталог Microsoft Entra, связанный с кластером ESP.

2. Выберите All users (Все пользователи) в левом меню, а затем щелкните New user (Новый пользователь).

   

3. Заполните форму нового пользователя. Выберите группы, созданные для назначения разрешений на основе кластеров. В этом примере создайте группу с именем HiveUsers, которой можно назначить новых пользователей. Примеры инструкций для создания кластера ESP включают в себя добавление двух групп: HiveUsers и AAD DC Administrators.

   

4. Нажмите кнопку создания.

Синхронизация пользователей с помощью REST API Apache Ambari

Группы пользователей, указанные во время создания кластера, уже синхронизированы. Синхронизация пользователей выполняется автоматически один раз в час. Чтобы немедленно синхронизировать пользователей или группы, которые не указаны при создании кластера, используйте REST API Ambari.

Следующий метод использует POST с REST API Ambari. Дополнительные сведения см. в статье Управление кластерами HDInsight с помощью REST API Ambari.

1. С помощью команды ssh command подключитесь к кластеру. Измените команду, заменив CLUSTERNAME имя кластера, а затем введите команду:

   ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
   

2. После аутентификации введите следующую команду:

   curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
   -X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
   "https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"
   

   Теперь ответ должен выглядеть так:

   {
     "resources" : [
       {
         "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
         "Event" : {
           "id" : 1
         }
       }
     ]
   }
   

3. Чтобы просмотреть состояние синхронизации, выполните новую команду curl:

   curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1
   

   Теперь ответ должен выглядеть так:

   {
     "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
     "Event" : {
       "id" : 1,
       "specs" : [
         {
           "sync_type" : "existing",
           "principal_type" : "groups"
         }
       ],
       "status" : "COMPLETE",
       "status_detail" : "Completed LDAP sync.",
       "summary" : {
         "groups" : {
           "created" : 0,
           "removed" : 0,
           "updated" : 0
         },
         "memberships" : {
           "created" : 1,
           "removed" : 0
         },
         "users" : {
           "created" : 1,
           "removed" : 0,
           "skipped" : 0,
           "updated" : 0
         }
       },
       "sync_time" : {
         "end" : 1497994072182,
         "start" : 1497994071100
       }
     }
   }
   

4. В этом результате показано, что состояние — COMPLETE (Завершено) (был создан один пользователь с назначением членства). В этом примере пользователю назначается синхронизированная группа LDAP "HiveUsers", так как пользователь был добавлен в ту же группу в идентификаторе Microsoft Entra.

   Примечание.

   Предыдущий метод синхронизирует только группы Microsoft Entra, указанные в свойстве группы пользователей Access параметров домена во время создания кластера. Дополнительные сведения см. в статье о создании кластера HDInsight.

Проверка только что добавленного пользователя Microsoft Entra

Откройте веб-интерфейс Apache Ambari, чтобы убедиться, что добавлен новый пользователь Microsoft Entra. Получите доступ к веб-интерфейсу Ambari, перейдя к https://CLUSTERNAME.azurehdinsight.net. Укажите имя администратора и пароль кластера.

1. На панели мониторинга Ambari выберите Manage Ambari (Управление Ambari) в меню admin.

   

2. Выберите Пользователи в группе меню User + Group Management (Управление пользователями и группами) в левой части страницы.

   

3. Новый пользователь должен быть указан в таблице "Пользователи". Для типа задано значение LDAP, а не Local.

   

Вход в Ambari в качестве нового пользователя

Когда новый пользователь (или любой другой пользователь домена) входит в Ambari, он использует полное имя пользователя Microsoft Entra и учетные данные домена. Ambari отображает псевдоним пользователя, который является отображаемым именем пользователя в идентификаторе Microsoft Entra. В новом примере имя пользователя — hiveuser3@contoso.com. В Ambari этот пользователь отображается как hiveuser3, но он входит в Ambari как hiveuser3@contoso.com.

См. также

• Настройка политик Apache Hive в кластере HDInsight с ESP
• Управление кластерами HDInsight с помощью корпоративного пакета безопасности
• Предоставление пользователям доступа к представлениям Apache Ambari