مزامنة مستخدمي Microsoft Entra إلى مجموعة HDInsight
يمكن لمجموعات HDInsight مع حزمة أمان المؤسسة (ESP) استخدام مصادقة قوية مع مستخدمي Microsoft Entra، واستخدام نهج التحكم في الوصول المستندة إلى دور Azure (Azure RBAC ). أثناء إضافة مستخدمين ومجموعات إلى معرف Microsoft Entra، يمكنك مزامنة المستخدمين الذين يحتاجون إلى الوصول إلى مجموعتك.
المتطلبات الأساسية
إذا لم تكن قد فعلت ذلك بالفعل، فقم بإنشاء مجموعة HDInsight باستخدام حزمة أمان المؤسسة.
إضافة مستخدمين جدد من Microsoft Entra
لعرض المضيفين، افتح Ambari Web UI. يتم تحديث كل عقدة بإعدادات ترقية جديدة غير مراقبة.
من مدخل Microsoft Azure، انتقل إلى دليل Microsoft Entra المقترن بمجموعة ESP الخاصة بك.
حدد All users من القائمة اليسرى، ثم حدد New user.
أكمل نموذج المستخدم الجديد. حدد المجموعات التي أنشأتها لتعيين أذونات على أساس المجموعة. في هذا المثال، أنشئ مجموعة تسمى "HiveUsers"، والتي يمكنك تعيين مستخدمين جدد لها. تتضمن إرشادات المثال لإنشاء مجموعة ESP إضافة مجموعتين و
HiveUsers.AAD DC Administrators
حدد إنشاء.
استخدام Apache Ambari REST API لمزامنة المستخدمين
تتم مزامنة مجموعات المستخدمين المحددة أثناء عملية إنشاء مجموعة في ذلك الوقت. تحدث مزامنة المستخدم تلقائيًا مرة كل ساعة. لمزامنة المستخدمين مباشرة، أو لمزامنة مجموعة أخرى غير المجموعات المحددة أثناء إنشاء المجموعة، استخدم Ambari REST API.
يستخدم الأسلوب التالي POST مع Ambari REST API. لمزيد من المعلومات، راجع إدارة مجموعات HDInsight باستخدام Apache Ambari REST API.
استخدم الأمر ssh للاتصال بنظام المجموعة الخاص بك. قم بتحرير الأمر عن طريق استبدال
CLUSTERNAMEباسم نظام المجموعة الخاص بك، ثم أدخل الأمر :ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.netبعد المصادقة، أدخل الأمر التالي:
curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \ -X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \ "https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"ينبغي أن تبدو الاستجابة كما يلي:
{ "resources" : [ { "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1", "Event" : { "id" : 1 } } ] }لمشاهدة حالة المزامنة، قم بتنفيذ أمر جديد
curl:curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1ينبغي أن تبدو الاستجابة كما يلي:
{ "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1", "Event" : { "id" : 1, "specs" : [ { "sync_type" : "existing", "principal_type" : "groups" } ], "status" : "COMPLETE", "status_detail" : "Completed LDAP sync.", "summary" : { "groups" : { "created" : 0, "removed" : 0, "updated" : 0 }, "memberships" : { "created" : 1, "removed" : 0 }, "users" : { "created" : 1, "removed" : 0, "skipped" : 0, "updated" : 0 } }, "sync_time" : { "end" : 1497994072182, "start" : 1497994071100 } } }توضح هذه النتيجة أن الحالة COMPLETE، وتم إنشاء مستخدم جديد واحد، وتم تعيين عضوية للمستخدم. في هذا المثال، يتم تعيين المستخدم إلى مجموعة LDAP المتزامنة "HiveUsers"، حيث تمت إضافة المستخدم إلى نفس المجموعة في معرف Microsoft Entra.
إشعار
الأسلوب السابق يقوم فقط بمزامنة مجموعات Microsoft Entra المحددة في خاصية مجموعة مستخدم Access لإعدادات المجال أثناء إنشاء نظام المجموعة. لمزيد من المعلومات، راجع إنشاء مجموعة HDInsight.
تحقق من مستخدم Microsoft Entra المضاف حديثا
افتح واجهة مستخدم ويب Apache Ambari للتحقق من إضافة مستخدم Microsoft Entra الجديد. قم بالوصول إلى واجهة مستخدم ويب Ambari عن طريق الاستعراض إلى https://CLUSTERNAME.azurehdinsight.net. أدخل اسم المستخدم وكلمة المرور لمسؤول المجموعة.
من لوحة معلومات Ambari، حدد إدارة Ambari ضمن قائمة المسؤول .
حدد Users ضمن مجموعة قائمة User + Group Management على الجانب الأيسر من الصفحة.
يجب إدراج المستخدم الجديد ضمن جدول المستخدمين. يتم تعيين النوع إلى
LDAPبدلاً منLocal.
تسجيل الدخول إلى Ambari كمستخدم جديد
عندما يقوم المستخدم الجديد (أو أي مستخدم مجال آخر) بتسجيل الدخول إلى Ambari، يستخدم اسم مستخدم Microsoft Entra الكامل وبيانات اعتماد المجال الخاصة به. يعرض Ambari اسما مستعارا للمستخدم، وهو اسم العرض للمستخدم في معرف Microsoft Entra.
المستخدم المثال الجديد لديه اسم hiveuser3@contoso.comالمستخدم . في Ambari، يظهر هذا المستخدم الجديد على أنه hiveuser3 ولكن يسجل المستخدم الدخول إلى Ambari ك hiveuser3@contoso.com.