Microsoft Entra kullanıcılarını HDInsight kümesine eşitleme

Kurumsal Güvenlik Paketi (ESP) içeren HDInsight kümeleri, Microsoft Entra kullanıcıları ile güçlü kimlik doğrulaması kullanabilir ve Azure rol tabanlı erişim denetimi (Azure RBAC) ilkelerini kullanabilir. Microsoft Entra Id'ye kullanıcı ve grup eklerken, kümenize erişmesi gereken kullanıcıları eşitleyebilirsiniz.

Önkoşullar

Henüz yapmadıysanız, Kurumsal Güvenlik Paketi ile bir HDInsight kümesi oluşturun.

Yeni Microsoft Entra kullanıcıları ekleme

Konaklarınızı görüntülemek için Ambari Web kullanıcı arabirimini açın. Her düğüm yeni katılımsız yükseltme ayarlarıyla güncelleştirilir.

1. Azure portalından ESP kümenizle ilişkili Microsoft Entra dizinine gidin.

2. Sol taraftaki menüden Tüm kullanıcılar'ı ve ardından Yeni kullanıcı'yı seçin.

   

3. Yeni kullanıcı formunu doldurun. Küme tabanlı izinler atamak için oluşturduğunuz grupları seçin. Bu örnekte, yeni kullanıcılar atayabileceğiniz "HiveUsers" adlı bir grup oluşturun. ESP kümesi oluşturmaya yönelik örnek yönergeler, ve AAD DC Administratorsolmak üzere iki grup HiveUsers eklemeyi içerir.

   

4. Oluştur'u belirleyin.

Apache Ambari REST API'sini kullanarak kullanıcıları eşitleme

Küme oluşturma işlemi sırasında belirtilen kullanıcı grupları o anda eşitlenir. Kullanıcı eşitleme işlemi saatte bir olmak üzere otomatik olarak gerçekleşir. Kullanıcıları hemen eşitlemek veya küme oluşturma sırasında belirtilen gruplardan başka bir grubu eşitlemek için Ambari REST API'sini kullanın.

Aşağıdaki yöntem Ambari REST API ile POST kullanır. Daha fazla bilgi için bkz . Apache Ambari REST API'sini kullanarak HDInsight kümelerini yönetme.

1. Kümenize bağlanmak için ssh komutunu kullanın. öğesini kümenizin adıyla değiştirerek CLUSTERNAME komutunu düzenleyin ve ardından şu komutu girin:

   ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
   

2. Kimlik doğrulamasından sonra aşağıdaki komutu girin:

   curl -u admin:PASSWORD -sS -H "X-Requested-By: ambari" \
   -X POST -d '{"Event": {"specs": [{"principal_type": "groups", "sync_type": "existing"}]}}' \
   "https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events"
   

   Yanıt aşağıdaki gibi görünmelidir:

   {
     "resources" : [
       {
         "href" : "http://<ACTIVE-HEADNODE-NAME>.<YOUR DOMAIN>.com:8080/api/v1/ldap_sync_events/1",
         "Event" : {
           "id" : 1
         }
       }
     ]
   }
   

3. Eşitleme durumunu görmek için yeni curl bir komut yürütür:

   curl -u admin:PASSWORD https://CLUSTERNAME.azurehdinsight.net/api/v1/ldap_sync_events/1
   

   Yanıt aşağıdaki gibi görünmelidir:

   {
     "href" : "http://<ACTIVE-HEADNODE-NAME>.YOURDOMAIN.com:8080/api/v1/ldap_sync_events/1",
     "Event" : {
       "id" : 1,
       "specs" : [
         {
           "sync_type" : "existing",
           "principal_type" : "groups"
         }
       ],
       "status" : "COMPLETE",
       "status_detail" : "Completed LDAP sync.",
       "summary" : {
         "groups" : {
           "created" : 0,
           "removed" : 0,
           "updated" : 0
         },
         "memberships" : {
           "created" : 1,
           "removed" : 0
         },
         "users" : {
           "created" : 1,
           "removed" : 0,
           "skipped" : 0,
           "updated" : 0
         }
       },
       "sync_time" : {
         "end" : 1497994072182,
         "start" : 1497994071100
       }
     }
   }
   

4. Bu sonuç, durumun TAMAMLANDıĞıNı, yeni bir kullanıcı oluşturulduğunu ve kullanıcıya üyelik atandığını gösterir. Bu örnekte, kullanıcı Microsoft Entra ID'de aynı gruba eklendiğinden, kullanıcı "HiveUsers" eşitlenmiş LDAP grubuna atanır.

   Not

   Önceki yöntem yalnızca küme oluşturma sırasında etki alanı ayarlarının Access kullanıcı grubu özelliğinde belirtilen Microsoft Entra gruplarını eşitler. Daha fazla bilgi için bkz . HDInsight kümesi oluşturma.

Yeni eklenen Microsoft Entra kullanıcısını doğrulama

Yeni Microsoft Entra kullanıcısının eklendiğini doğrulamak için Apache Ambari Web kullanıcı arabirimini açın. adresine göz atarak Ambari Web kullanıcı arabirimine https://CLUSTERNAME.azurehdinsight.neterişin. Küme yöneticisi kullanıcı adını ve parolasını girin.

1. Ambari panosundan yönetici menüsünün altında Ambari'yi Yönet'i seçin.

   

2. Sayfanın sol tarafındaki Kullanıcı + Grup Yönetimi menü grubunun altında Kullanıcılar'ı seçin.

   

3. Yeni kullanıcı Kullanıcılar tablosunda listelenmelidir. Tür yerine olarak LDAP Localayarlanır.

   

Ambari'de yeni kullanıcı olarak oturum açın

Yeni kullanıcı (veya başka bir etki alanı kullanıcısı) Ambari'de oturum açtığında, tam Microsoft Entra kullanıcı adını ve etki alanı kimlik bilgilerini kullanır. Ambari, Microsoft Entra Id'de kullanıcının görünen adı olan bir kullanıcı diğer adı görüntüler. Yeni örnek kullanıcı, kullanıcı adına hiveuser3@contoso.comsahiptir. Ambari'de bu yeni kullanıcı olarak hiveuser3 görünür ancak kullanıcı Ambari'de olarak hiveuser3@contoso.comoturum açar.

Ayrıca bkz.

• ESP ile HDInsight içinde Apache Hive ilkelerini yapılandırma
• ESP ile HDInsight kümelerini yönetme
• Kullanıcıları Apache Ambari'ye yetkilendirme