使用 Microsoft Entra ID 身份验证创建和管理 Azure HDInsight 群集

本文介绍如何使用 Microsoft Entra ID 身份验证创建和管理 Azure HDInsight 群集。

用户可以使用 Microsoft Entra ID 安全地对 HDInsight 群集的访问进行身份验证和管理，这有助于确保企业级安全性和集中式标识治理。

借助此功能，组织可以强制实施基于角色的访问、简化用户载入和卸载，并使用现有的 Microsoft Entra ID 策略增强合规性。 它简化了群集安全管理，同时为数据工程师、分析师和管理员提供无缝登录体验。

先决条件

• 权限足以创建 HDInsight 群集的活动 Azure 订阅
• Microsoft Entra ID 租户：
  • 访问与您的 Azure 订阅相关联的 Microsoft Entra ID 租户
  • 创建和分配Microsoft Entra ID 组和角色的权限
• 可在其中部署 HDInsight 群集的 Azure 中的资源组
• HDInsight 群集要求：
  • 用于部署的 HDInsight 群集类型（例如 Hadoop、Spark、HBase 或 Kafka）
  • 支持Microsoft Entra ID 集成的区域

在创建群集期间设置Microsoft Entra ID 身份验证

若要在创建 HDInsight 群集时设置Microsoft Entra ID 身份验证，请执行以下步骤：

1. 选择 Microsoft Entra ID 身份验证方法。

2. 创建群集时，请至少添加一个具有 管理员 凭据的 Microsoft Entra ID 用户。

Apache Ambari 中的用户配置文件

你可以为已启用 Microsoft Entra ID 的用户分配以下两个配置文件之一：

• 群集管理员：管理员权限。
• 群集用户：仅查看权限。

每个群集只能使用一种身份验证方法。

如果在创建群集时选择Microsoft Entra ID 身份验证，则必须使用 Microsoft Entra ID 对群集中的所有用户进行身份验证。 在该特定群集的整个生命周期内，只能使用Microsoft Entra ID 身份验证。

如果在创建群集时选择基本身份验证，则必须使用基本身份验证对群集中的所有用户进行身份验证。 在该特定群集的整个生命周期内，只能使用基本身份验证。

登录选项

用户输入其Microsoft Entra ID 凭据后，可以通过多重身份验证（MFA）登录。

使用 API 添加用户

管理员可以使用 API 同时添加多个用户，该 API 非常适合用于管理大型群集。

此作允许用户更改群集网关 HTTP 凭据。

		{ 
		"restAuthEntraUsers": [ 
			{ 
				"objectId": "0d7c4bd6-d042-45ec-9ae5-1ed7871c38e0", 
						"displayName": "Hemant Gupta", 
						"upn": "john@contoso.com" 
					} 
				] 
			} 

响应

如果作成功完成，则会收到响应 HTTP 202 （已接受）。

身份验证过程

身份验证过程因创建群集时选择的方法而异。

如果选择Microsoft Entra ID：

• 群集创建者为 Ambari 中的默认群集管理员用户提供 ID。
• 默认管理员可以在创建群集后添加 Ambari 用户。 用户可能具有 群集管理员 或 群集用户 权限。 可以通过 Ambari UI 或 REST API 设置这些权限。

  • 群集管理员还必须填写对象 ID 和显示名称，然后选择“ 保存”。

    

    

  • 当用户使用其Microsoft Entra ID 凭据登录时，将显示多重身份验证提示。

基本身份验证

如果选择基本身份验证：

• 用户为默认管理员用户提供用户 ID 和密码。
• 可以创建具有各种角色的新用户，类似于当前功能。
• 登录后，系统会提示用户输入其用户 ID 和密码。

在 Ambari UI 中添加对象 ID

1. 登录到 Ambari 门户。

   

2. 转到 Manage Ambari。

   

3. 选择“ 用户 ”选项卡可查看所有当前用户。

   

4. 若要添加新用户，请选择“ 添加用户”。

   

5. 输入 对象 ID 和 显示名称的值。 通过选择 群集管理员 或 群集用户来定义用户的访问权限级别。 选择“保存”。