Dela via

Skapa och hantera Azure HDInsight-kluster med Entra ID-autentisering

Den här artikeln innehåller omfattande information om hur du skapar och hanterar Azure HDInsight-kluster med Microsoft Entra ID-autentisering. Användare kan autentisera och hantera åtkomst till HDInsight-kluster på ett säkert sätt, vilket säkerställer säkerhet i företagsklass och centraliserad identitetsstyrning med hjälp av Entra-ID.

Med den här funktionen kan organisationer framtvinga rollbaserad åtkomst, effektivisera användarregistrering och offboarding och förbättra efterlevnaden med hjälp av befintliga Entra-ID-principer. Det förenklar klustersäkerhetshanteringen och ger en sömlös inloggningsupplevelse för datatekniker, analytiker och administratörer.

Förutsättningar

Kontrollera att följande krav är uppfyllda innan du börjar:

  • Azure-prenumeration

    • En aktiv Azure-prenumeration med tillräcklig behörighet för att skapa HDInsight-kluster.

  • Microsoft Entra ID-klientorganisation

    • Åtkomst till en Entra ID-tenant som är kopplad till din Azure-abonnemang.

    • Behörigheter för att skapa och tilldela Entra ID-grupper och roller.

  • Resursgrupp

    • En resursgrupp i Azure där HDInsight-klustret kan distribueras.

  • Krav för HDInsight-kluster

    • HDInsight-klustertyp (till exempel Hadoop, Spark, HBase eller Kafka) som valts för distribution.

    • Rätt region som har valts som stöder Entra ID-integrering.

Översikt

Användarna måste utföra följande för att konfigurera Entra ID-autentisering när de skapar ett HDInsight-kluster:

  • Välj önskad autentiseringsmetod: Etttra-ID

  • Lägg till en (eller flera) administratörs-Entra-ID-användare när klustret skapas (det är obligatoriskt att lägga till minst en administratör).

    Skärmbild av landningssidan för att skapa HDInsight-kluster.

Användarprofiler i Ambari

Entra-ID-aktiverade användare tilldelas en av två profiler:

  • Klusteradministratör: Administratörsbehörighet.

  • Klusteranvändare: Visa endast behörighet.

Anmärkning

När klustret skapas om administratören väljer Entra-ID för autentisering måste alla användare i klustret autentiseras med hjälp av Etttra-ID. Om administratören väljer grundläggande autentisering när klustret skapas måste alla användare i klustret autentiseras med grundläggande autentisering. När klustret skapas om användaren väljer Entra-ID-autentisering kan under hela livscykeln för den specifika klusterautentiseringen endast göras med hjälp av Etttra-ID. Om administratören väljer grundläggande autentisering, kan autentisering för det specifika klustret endast göras med grundläggande autentisering under hela dess livscykel. Användaren kan bara använda ett autentiseringsläge för ett visst kluster.

Skärmbild av HDInsight-landningssidan som visar valet av Entra ID-alternativ där.

Skärmbild av en användare som väljer sitt Entra-ID vid val av klusteradministratör.

Inloggningsalternativ

Användare kan logga in via Multifactor Authentication (MFA) när de har angett sitt Entra-ID.

Lägga till användare med API

Administratören kan lägga till flera användare samtidigt via ett API, perfekt för att hantera stora kluster.

Med den här åtgärden kan användare ändra HTTP-autentiseringsuppgifterna för klustergatewayen.

Metod Begär URI
Posten https://management.azure.com/subscriptions/{subscription Id}/resourceGroups/{resourceGroup Name}/providers/Microsoft.HDInsight/clusters/{cluster name}/updateGatewaySettings?api-version={api-version}
Entra-kluster-API-version större än eller lika med 2025-01-15-preview 
		{ 
		"restAuthEntraUsers": [ 
			{ 
				"objectId": "0d7c4bd6-d042-45ec-9ae5-1ed7871c38e0", 
						"displayName": "Hemant Gupta", 
						"upn": "john@contoso.com" 
					} 
				] 
			}

Svar

HTTP 202 (godkänd) när åtgärden har slutförts.

Autentiseringsprocess

Autentiseringsprocessen varierar beroende på vilken metod som valts när klustret skapas:

Om Etttra-ID har valts:

  • Klusterskapare tillhandahåller ett ID för standardklusteradministratörsanvändaren i Ambari.

  • Standardadministratören kan lägga till Ambari-användare när klustret har skapats. Användare kan ha behörigheter som klusteradministratör eller klusteranvändare , som anges via Ambari-användargränssnittet eller REST-API:et. Klusteradministratören måste också lägga till objekt-ID och visningsnamnet och klicka på "Spara".

    Skärmbild av Ambari-sidan som visar användarna i Ambari-portalen.

    Skärmbild av sidan Lägg till användare i Ambari där klusteradministratören väljer roller för nyligen tillagda användare.

  • En fråga om multifaktorautentisering visas när användaren loggar in med sitt Entra-ID.

Grundläggande autentisering

Användare kan också använda det äldre grundläggande autentiseringssättet för att autentisera användare

Om grundläggande autentisering har valts:

  • Användaren tillhandahåller ett användar-ID och lösenord för standardadministratörsanvändaren.

  • Nya användare kan skapas med olika roller, ungefär som aktuella funktioner.

  • Användarna uppmanas att ange sitt användar-ID och lösenord vid inloggning.

Steg för att lägga till objekt-ID i Ambari-användargränssnittet

  1. Logga in på Ambari-portalen.

    Skärmbild av landningssidan för Ambari.

  2. Gå till alternativet "Hantera Ambari".

    Skärmbild av Ambari-landningssidan där klusteradministratören måste klicka på knappen Hantera Ambari.

  3. Klicka på användarfliken för att se alla närvarande användare i Ambari-användargränssnittet.

    Skärmbild av Ambari-sidan där klusteradministratören klickar på fliken Användare.

  4. Klicka på fliken Lägg till användare för att lägga till fler användare i klustret.

    Skärmbild av Ambari-sidan som visar användarna i Ambari-portalen.

  5. Indataobjekt-ID, visningsnamn och välj användaråtkomst (klusteradministratör eller klusteranvändare). Välj "Spara".

    Skärmbild av Ambari-sidan som visar fliken Lägg till användare där klusteradministratören måste ange ny användarinformation.