使用 Entra ID 身份验证创建和管理 Azure HDInsight 群集

本文提供有关使用 Microsoft Entra ID 身份验证创建和管理 Azure HDInsight 群集的综合信息。 用户可以使用 Entra ID 安全地对 HDInsight 群集进行身份验证和管理访问权限，确保企业级安全性和集中式标识治理。

借助此功能，组织可以强制实施基于角色的访问、简化用户加入和卸载，并使用现有的 Entra ID 策略增强合规性。 它简化了群集安全管理，同时为数据工程师、分析师和管理员提供无缝登录体验。

先决条件

在开始之前，请确保满足以下要求：

• Azure 订阅

  • 具备足够权限用于创建 HDInsight 群集的活跃 Azure 订阅。

• Microsoft Entra ID 租户

  • 访问与您的 Azure 订阅关联的 Entra ID 租户。

  • 创建和分配 Entra ID 组和角色的权限。

• 资源组

  • 可在其中部署 HDInsight 群集的 Azure 中的资源组。

• HDInsight 群集要求

  • 已选择 HDInsight 群集类型（例如 Hadoop、Spark、HBase 或 Kafka）进行部署。

  • 选择支持 Entra ID 集成的正确区域。

概述

创建 HDInsight 群集时，用户必须执行以下作来设置 Entra ID 身份验证：

• 选择所需的身份验证方法：Entra ID

• 在群集创建期间添加一个（或更多）管理员 Entra ID 用户（添加至少一个管理员是必需的）。

  

Ambari 中的用户配置文件

已启用 Entra ID 的用户会被分配两个用户角色之一：

• 群集管理员：管理员权限。

• 群集用户：仅查看权限。

登录选项

用户输入 Entra ID 后，即可通过多重身份验证（MFA）登录。

使用 API 添加用户

管理员可以通过 API 一次性添加多个用户，非常适合管理大型群集。

此作允许用户更改群集网关 HTTP 凭据。

		{ 
		"restAuthEntraUsers": [ 
			{ 
				"objectId": "0d7c4bd6-d042-45ec-9ae5-1ed7871c38e0", 
						"displayName": "Hemant Gupta", 
						"upn": "john@contoso.com" 
					} 
				] 
			} 

响应

成功完成操作时的 HTTP 202（已接受）。

身份验证过程

身份验证过程因群集创建过程中选择的方法而异：

如果选择了 Entra ID：

• 群集创建者为 Ambari 中的默认群集管理员用户提供 ID。

• 默认管理员可以在创建群集后添加 Ambari 用户。 用户可能具有通过 Ambari UI 或 REST API 设置的 群集管理员 或 群集用户 权限。 群集管理员还必须添加对象 ID，显示名称并单击“保存”。

  

  

• 当用户使用其 Entra ID 登录时，将显示多重身份验证提示。

基本身份验证

用户也可以使用旧式基本身份验证方式对用户进行身份验证

如果选择了基本身份验证：

• 用户为默认管理员用户提供用户 ID 和密码。

• 可以使用各种角色（类似于当前功能）创建新用户。

• 登录时，系统会提示用户输入其用户 ID 和密码。

在 Ambari UI 中添加对象 ID 的步骤

1. 登录到 Ambari 门户。

   

2. 导航到“管理 Ambari”选项。

   

3. 单击“用户”选项卡即可在Ambari UI中查看所有当前用户。

   

4. 单击“添加用户”选项卡，在群集中添加更多用户。

   

5. 输入对象 ID、显示名称并选择用户访问（群集管理员或群集用户）。 选择“保存”。