この記事では、Microsoft Entra ID 認証を使用して Azure HDInsight クラスターを作成および管理する方法について説明します。
ユーザーは Microsoft Entra ID を使用して、HDInsight クラスターへのアクセスを安全に認証および管理できます。これにより、エンタープライズ レベルのセキュリティと一元化された ID ガバナンスを確保できます。
この機能を使用すると、組織は、既存の Microsoft Entra ID ポリシーを使用して、ロールベースのアクセスを適用し、ユーザーのオンボーディングとオフボードを合理化し、コンプライアンスを強化できます。 これにより、クラスターのセキュリティ管理が簡素化され、データ エンジニア、アナリスト、管理者にシームレスなサインイン エクスペリエンスが提供されます。
[前提条件]
- HDInsight クラスターを作成するための十分なアクセス許可を持つアクティブな Azure サブスクリプション
- Microsoft Entra ID テナント:
- Azure サブスクリプションにリンクされている Microsoft Entra ID テナントへのアクセス
- Microsoft Entra ID グループとロールの作成と割り当てに必要な権限
- HDInsight クラスターをデプロイできる Azure のリソース グループ
- HDInsight クラスターの要件:
- デプロイに使用している HDInsight クラスターの種類 (Hadoop、Spark、HBase、Kafka など)
- Microsoft Entra ID 統合をサポートするリージョン
クラスターの作成時に Microsoft Entra ID 認証を設定する
HDInsight クラスターの作成時に Microsoft Entra ID 認証を設定するには、次の手順に従います。
Microsoft Entra ID 認証方法を選択します。
クラスターを作成するときに、 管理者 の資格情報を持つ Microsoft Entra ID ユーザーを少なくとも 1 人追加します。
Apache Ambari のユーザー プロファイル
Microsoft Entra ID 対応ユーザーは、次の 2 つのプロファイルのいずれかを割り当てることができます。
- クラスター管理者: 管理者アクセス許可。
- クラスター ユーザー: 表示専用アクセス許可。
各クラスターに対して使用できる認証方法は 1 つだけです。
クラスターの作成時に Microsoft Entra ID 認証を選択した場合は、クラスター内のすべてのユーザーが Microsoft Entra ID を使用して認証される必要があります。 その特定のクラスターのライフサイクル全体で、Microsoft Entra ID 認証のみを使用できます。
クラスターの作成時に基本認証を選択した場合は、クラスター内のすべてのユーザーが基本認証を使用して認証される必要があります。 その特定のクラスターのライフサイクル全体で、基本認証のみを使用できます。
サインイン オプション
ユーザーは、Microsoft Entra ID 資格情報を入力した後、多要素認証 (MFA) を使用してサインインできます。
API を使用したユーザーの追加
管理者は、大規模なクラスターの管理に最適な API を使用して、複数のユーザーを同時に追加できます。
この操作により、ユーザーはクラスター ゲートウェイの HTTP 資格情報を変更できます。
| メソッド | 要求 URI |
|---|---|
| POST | https://management.azure.com/subscriptions/{subscription Id}/resourceGroups/{resourceGroup Name}/providers/Microsoft.HDInsight/clusters/{cluster name}/updateGatewaySettings?api-version={api-version} |
| Entra ID クラスター API のバージョン | 以上 2025-01-15-preview |
{
"restAuthEntraUsers": [
{
"objectId": "0d7c4bd6-d042-45ec-9ae5-1ed7871c38e0",
"displayName": "Hemant Gupta",
"upn": "john@contoso.com"
}
]
}
[応答]
操作が正常に完了すると、応答 HTTP 202 (受け入れ済み) を受け取ります。
認証プロセス
認証プロセスは、クラスターの作成時に選択する方法によって異なります。
Microsoft Entra ID を選択した場合:
- クラスター作成者は、Ambari の既定のクラスター管理者ユーザーの ID を提供します。
- 既定の管理者は、クラスターの作成後に Ambari ユーザーを追加できます。 ユーザーには、 クラスター管理者 または クラスター ユーザー のアクセス許可がある場合があります。 これらのアクセス許可は、Ambari UI または REST API を使用して設定できます。
クラスター管理者は、オブジェクト ID と表示名も入力し、[保存] を選択する必要 があります。
ユーザーが Microsoft Entra ID 資格情報を使用してログインすると、多要素認証プロンプトが表示されます。
基本認証
基本認証を選択した場合:
- ユーザーは、既定の管理者ユーザーのユーザー ID とパスワードを提供します。
- 現在の機能と同様に、さまざまなロールを持つ新しいユーザーを作成できます。
- ユーザーは、サインイン後にユーザー ID とパスワードを入力するように求められます。
Ambari UI でのオブジェクト ID の追加
Ambari ポータルにサインインします。
[Ambari の管理] に移動します。
![Ambari ランディング ページの [Ambari の管理] ボタンを示すスクリーンショット。](media/create-clusters-with-entra/click-manage.png)
[ ユーザー ] タブを選択して、現在のすべてのユーザーを表示します。
![[ユーザー] タブを示すスクリーンショット。](media/create-clusters-with-entra/open-user-tab.png)
新しいユーザーを追加するには、[ ユーザーの追加] を選択します。
[オブジェクト ID] と [表示名] の値を入力します。 クラスター管理者またはクラスター ユーザーを選択して、ユーザーのアクセス レベルを定義します。 保存 を選択します。
![Ambari ランディング ページの [Ambari の管理] ボタンを示すスクリーンショット。](media/create-clusters-with-entra/click-manage.png#lightbox)
![[ユーザー] タブを示すスクリーンショット。](media/create-clusters-with-entra/open-user-tab.png#lightbox)
