Dela via

Använda hanterad identitet för SQL-databasautentisering i Azure HDInsight

HDInsight lade till alternativet Hanterad identitet (MI) för att autentisera SQL-databaser i dess klustererbjudanden och tillhandahålla en säkrare autentiseringsmekanism.

Den här artikeln beskriver processen med att använda alternativet Hanterad identitet för SQL-databasautentisering när du skapar ett HDInsight-kluster.

Alternativet hanterad identitet är tillgängligt för följande databaser:

Databaser Värd för (HoBo) DB Ta med din egen databas
Ambari
Hive
Oozie
Ranger (ESP)

Viktigt!

  • Vi rekommenderar att du inte uppdaterar den hanterade identiteten efter klustrets återskapande eftersom den kan störa klusteråtgärden.
  • När du återskapar en hanterad identitet med samma namn måste du återskapa den inneslutna användaren och omtilldela roller, eftersom den nya hanterade identiteten har ett annat objekt-ID och klient-ID även om namnet förblir oförändrat.

Steg för att använda hanterad identitet när kluster skapas i Azure-portalen

  1. När klustret skapas går du till avsnittet Lagring och väljer SQL-databasen för Ambari/Hive/Oozie. Välj hanterad identitet som autentiseringsmetod.

    Skärmbild som visar fliken Grundläggande.

  2. Välj den hanterade identiteten för att autentisera med SQL-databasen.

    Skärmbild som visar fliken Lagring.

  3. Skapa en innesluten användare med den hanterade identiteten i motsvarande SQL-databas.

    Följ de här stegen i Frågeredigeraren för Azure SQL Database för att skapa en databasanvändare och ge den läs- och skrivbehörighet. Utför de här stegen för varje SQL Database som du ska använda för olika tjänster som Ambari, Hive eller Oozie.

    Anteckning

    Användarnamnet måste innehålla det ursprungliga hanterade identitetsnamnet som utökats med ett användardefinierat suffix. Som bästa praxis kan suffixet innehålla en första del av dess objekt-ID. Objekt-ID för hanterad identitet kan hämtas från portalen på sidan för den hanterade identitetsportalen.

    Till exempel:

    • MI-namn: contosoMSI
    • Objekt-ID: aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
    • user_name kan vara contosoMSI_aaaaaaaa
    CREATE USER {user_name} FROM EXTERNAL PROVIDER WITH OBJECT_ID={object id of cluster managed identity};   

ALTER ROLE db_datareader ADD MEMBER {user_name};   
ALTER ROLE db_ddladmin ADD MEMBER {user_name};   
ALTER ROLE db_datawriter ADD MEMBER {user_name};

    Anteckning

    Om rollerna db_executor, db_view_defoch db_view_state redan har definierats i databasen, behöver du inte fortsätta med det efterföljande steget.

    CREATE ROLE db_executor;   
GRANT EXECUTE TO db_executor;   
ALTER ROLE db_executor ADD MEMBER {user_name};   

CREATE ROLE db_view_def;   
GRANT VIEW DEFINITION TO db_view_def;   
ALTER ROLE db_view_def ADD MEMBER {user_name};   
CREATE ROLE db_view_db_state;  

GRANT VIEW DATABASE STATE TO db_view_db_state;   

ALTER ROLE db_view_def ADD MEMBER {user_name};

  4. När du har angett nödvändig information fortsätter du med att skapa kluster på portalen.