Integrace s Azure Active Directory pro Azure Red Hat OpenShiftAzure Active Directory integration for Azure Red Hat OpenShift

Pokud jste ještě nevytvořili tenanta služby Azure Active Directory (Azure AD), postupujte podle pokynů v vytvoření tenanta Azure AD pro Azure Red Hat OpenShift než budete pokračovat s využitím těchto pokynů.If you haven't already created an Azure Active Directory (Azure AD) tenant, follow the directions in Create an Azure AD tenant for Azure Red Hat OpenShift before continuing with these instructions.

Microsoft Azure Red Hat OpenShift potřebuje oprávnění k provádění úkolů v zastoupení vašeho clusteru.Microsoft Azure Red Hat OpenShift needs permissions to perform tasks on behalf of your cluster. Pokud vaše organizace ještě nemá uživatele služby Azure AD, skupiny zabezpečení Azure AD nebo registrace aplikace Azure AD pro použití jako instanční objekt, postupujte podle těchto pokynů a vytvořte je.If your organization doesn't already have an Azure AD user, Azure AD security group, or an Azure AD app registration to use as the service principal, follow these instructions to create them.

Vytvoření nového uživatele Azure Active DirectoryCreate a new Azure Active Directory user

V webu Azure portal, ujistěte se, že váš tenant se zobrazí v části své uživatelské jméno v horním pravém rohu portálu:In the Azure portal, ensure that your tenant appears under your user name in the top right of the portal:

Snímek obrazovky portálu s tenantem uvedené v pravém horním rohu Pokud nesprávného tenanta se zobrazí, klikněte na své uživatelské jméno v pravém horním rohu a pak klikněte na přepnout adresářa vyberte správné tenanta z všechny Adresáře seznamu.Screenshot of portal with tenant listed in top right If the wrong tenant is displayed, click your user name in the top right, then click Switch Directory, and select the correct tenant from the All Directories list.

Vytvoření nového uživatele globální správce Azure Active Directory pro přihlášení ke clusteru Azure Red Hat OpenShift.Create a new Azure Active Directory global administrator user to sign in to your Azure Red Hat OpenShift cluster.

  1. Přejděte uživatelé všechny uživatele okno.Go to the Users-All users blade.
  2. Klikněte na tlačítko + nový uživatel otevřít uživatele podokně.Click +New user to open the User pane.
  3. Zadejte název pro tohoto uživatele.Enter a Name for this user.
  4. Vytvoření uživatelské jméno vycházet z názvu tenanta vytvoříte, s .onmicrosoft.com přidán na konec.Create a User name based on the name of the tenant you created, with .onmicrosoft.com appended at the end. Například, yourUserName@yourTenantName.onmicrosoft.com.For example, yourUserName@yourTenantName.onmicrosoft.com. Poznamenejte si toto uživatelské jméno.Write down this user name. Budete potřebovat k přihlášení ke clusteru.You'll need it to sign in to your cluster.
  5. Klikněte na tlačítko role adresáře otevřete v podokně role adresáře a vybrat globálního správce a potom klikněte na tlačítko Ok v dolní části podokna.Click Directory role to open the directory role pane, and select Global administrator and then click Ok at the bottom of the pane.
  6. V uživatele podokně klikněte na tlačítko zobrazit heslo a dočasné heslo si poznamenejte.In the User pane, click Show Password and record the temporary password. Po přihlášení poprvé, budete vyzváni k jejímu resetování.After you sign in the first time, you'll be prompted to reset it.
  7. V dolní části podokna klikněte na tlačítko vytvořit pro vytvoření uživatele.At the bottom of the pane, click Create to create the user.

Vytvoření skupiny zabezpečení služby Azure ADCreate an Azure AD security group

Pokud chcete udělit přístup pro správu clusteru, členství ve skupině zabezpečení Azure AD synchronizuje OpenShift skupiny "osa--správci zákazníka".To grant cluster admin access, the memberships in an Azure AD security group are synced into the OpenShift group "osa-customer-admins". Pokud není zadán, budou mít uživatelé přístup správce bez clusteru.If not specified, no cluster admin access will be granted.

  1. Otevřít skupin Azure Active Directory okno.Open the Azure Active Directory groups blade.

  2. Klikněte na tlačítko + nová skupina.Click +New Group.

  3. Zadejte název skupiny a popis.Provide a group name and description.

  4. Nastavte typ skupiny k zabezpečení.Set Group type to Security.

  5. Nastavte typ členství k přiřazeno.Set Membership type to Assigned.

    Přidáte uživatele Azure AD, kterou jste vytvořili v předchozím kroku do této skupiny zabezpečení.Add the Azure AD user that you created in the earlier step to this security group.

  6. Klikněte na tlačítko členy otevřít výběr členů podokně.Click Members to open the Select members pane.

  7. V seznamu členů vyberte uživatele Azure AD, který jste vytvořili výše.In the members list, select the Azure AD user that you created above.

  8. V dolní části portálu klikněte na vyberte a potom vytvořit vytvořte skupinu zabezpečení.At the bottom of the portal, click on Select and then Create to create the security group.

    Poznamenejte si hodnotu ID skupiny.Write down the Group ID value.

  9. Když se skupině, uvidíte seznam všech skupin.When the group is created, you will see it in the list of all groups. Klikněte na novou skupinu.Click on the new group.

  10. Na stránce, která se zobrazí, poznamenejte ID objektu.On the page that appears, copy down the Object ID. Společnost Microsoft bude odkazovat na tuto hodnotu jako GROUPID v vytvoření clusteru Azure Red Hat OpenShift kurzu.We will refer to this value as GROUPID in the Create an Azure Red Hat OpenShift cluster tutorial.

Vytvoření registrace aplikace Azure ADCreate an Azure AD app registration

Můžete automaticky vytvoření klienta registrace aplikace Azure Active Directory (Azure AD) jako součást vytváření clusteru vynecháním --aad-client-app-id příznak, který az openshift create příkazu.You can automatically create an Azure Active Directory (Azure AD) app registration client as part of creating the cluster by omitting the --aad-client-app-id flag to the az openshift create command. V tomto kurzu se dozvíte, jak vytvořit registrace aplikace Azure AD pro úplnost.This tutorial shows you how to create the Azure AD app registration for completeness.

Pokud vaše organizace ještě nemá registrace aplikace Azure Active Directory (Azure AD) pro použití jako objekt služby, postupujte podle těchto pokynů a vytvořte si ho.If your organization doesn't already have an Azure Active Directory (Azure AD) app registration to use as a service principal, follow these instructions to create one.

  1. Otevřít okně registrace aplikace a klikněte na tlačítko + registrace nové.Open the App registrations blade and click +New registration.
  2. V zaregistrovat aplikaci podokně, zadejte název pro registraci vaší aplikace.In the Register an application pane, enter a name for your application registration.
  3. Ujistěte se, že v části podporovaných typů účtu , který účty v tomto adresáři organizace jenom zaškrtnuto.Ensure that under Supported account types that Accounts in this organizational directory only is selected. Toto je nejbezpečnější možnost.This is the most secure choice.
  4. Přidáme na identifikátor URI přesměrování vyšší Jakmile víme URI clusteru.We will add a redirect URI later once we know the URI of the cluster. Klikněte na tlačítko zaregistrovat pro vytvoření registrace aplikace Azure AD.Click the Register button to create the Azure AD application registration.
  5. Na stránce, která se zobrazí, poznamenejte ID aplikace (klient) .On the page that appears, copy down the Application (client) ID. Společnost Microsoft bude odkazovat na tuto hodnotu jako APPID v vytvoření clusteru Azure Red Hat OpenShift kurzu.We will refer to this value as APPID in the Create an Azure Red Hat OpenShift cluster tutorial.

Snímek obrazovky stránky objektu aplikace

Vytvoření tajného klíče klientaCreate a client secret

Vygenerujte tajný kód klienta pro ověřování vaší aplikace do Azure Active Directory.Generate a client secret for authenticating your app to Azure Active Directory.

  1. V spravovat části na stránce registrace aplikace, klikněte na tlačítko certifikáty a tajné kódy.In the Manage section of the app registrations page, click Certificates & secrets.
  2. Na certifikáty a tajné kódy podokně klikněte na tlačítko + nový tajný kód klienta.On the Certificates & secrets pane, click +New client secret. Přidat tajný klíč klienta otevře se podokno.The Add a client secret pane appears.
  3. Zadejte popis.Provide a Description.
  4. Nastavte Expires doby trvání, dáváte přednost, například 2 roky.Set Expires to the duration you prefer, for example In 2 Years.
  5. Klikněte na tlačítko přidat a hodnota klíče, která se zobrazí v tajné klíče klienta části stránky.Click Add and the key value will appear in the Client secrets section of the page.
  6. Zkopírujte si hodnotu klíče.Copy down the key value. Společnost Microsoft bude odkazovat na tuto hodnotu jako SECRET v vytvoření clusteru Azure Red Hat OpenShift kurzu.We will refer to this value as SECRET in the Create an Azure Red Hat OpenShift cluster tutorial.

Snímek obrazovky podokna certifikátů a tajných kódů

Další informace o objektech aplikace Azure, najdete v části aplikace a instanční objekty v Azure Active Directory.For more information about Azure Application Objects, see Application and service principal objects in Azure Active Directory.

Podrobnosti o vytvoření nové aplikace Azure AD, najdete v článku registrace aplikace ke koncovému bodu Azure Active Directory verze 1.0.For details on creating a new Azure AD application, see Register an app with the Azure Active Directory v1.0 endpoint.

Přidání oprávnění pro rozhraní APIAdd API permissions

  1. V spravovat klikněte na oprávnění k rozhraní API.In the Manage section click API permissions.
  2. Klikněte na tlačítko přidejte oprávnění a vyberte Azure Active Directory Graphu pak delegovaná oprávněníClick Add permission and select Azure Active Directory Graph then Delegated permissions
  3. Rozbalte uživatele v níže uvedeném seznamu a ujistěte se, že User.Read je povolená.Expand User on the list below and make sure User.Read is enabled.
  4. Posunout nahoru a vyberte oprávnění aplikace.Scroll up and select Application permissions.
  5. Rozbalte Directory v seznamu níže a povolte Directory.ReadAllExpand Directory on the list below and enable Directory.ReadAll
  6. Klikněte na tlačítko přidat oprávnění změny uložte.Click Add permissions to accept the changes.
  7. Na panelu oprávnění rozhraní API by měl nyní zobrazit obojí User.Read a Directory.ReadAll.The API permissions panel should now show both User.Read and Directory.ReadAll. Všimněte si upozornění v vyžaduje souhlas správce vedle sloupce Directory.ReadAll.Please note the warning in Admin consent required column next to Directory.ReadAll.
  8. Pokud jste správcem předplatného Azure, klikněte na tlačítko udělit souhlas správce pro název předplatného níže.If you are the Azure Subscription Administrator, click Grant admin consent for Subscription Name below. Pokud nejste správcem předplatného Azure, požádat o souhlas správce.If you are not the Azure Subscription Administrator, request the consent from your administrator. Snímek obrazovky panelu oprávnění rozhraní API.Screenshot of the API permissions panel. Oprávnění User.Read a Directory.ReadAll přidali, vyžaduje souhlas správce pro Directory.ReadAllUser.Read and Directory.ReadAll permissions added, admin consent required for Directory.ReadAll

Důležité

Synchronizace skupiny administrators clusteru bude fungovat pouze po udělení souhlasu.Synchronization of the cluster administrators group will work only after consent has been granted. Zobrazí se zelený kroužek s značka zaškrtnutí a napište zprávu, "udělit název předplatného" v vyžaduje souhlas správce sloupce.You will see a green circle with a checkmark and a message "Granted for Subscription Name" in the Admin consent required column.

Podrobnosti o správě správců a dalších rolí najdete v tématu přidat nebo změnit správce předplatného Azure.For details on managing administrators and other roles, see Add or change Azure subscription administrators.

Zdroje a prostředkyResources

Další postupNext steps

Pokud jste splnili veškeré požadavky Azure Red Hat OpenShift, jste připraveni vytvořit svůj první cluster!If you've met all the Azure Red Hat OpenShift prerequisites, you're ready to create your first cluster!

Projděte si kurz:Try the tutorial: