Integración de Azure Active Directory para Red Hat OpenShift en AzureAzure Active Directory integration for Azure Red Hat OpenShift

Si aún no ha creado un inquilino de Azure Active Directory (Azure AD), siga las indicaciones sobre la creación de un inquilino de Azure AD para Red Hat OpenShift en Azure antes de continuar con estas instrucciones.If you haven't already created an Azure Active Directory (Azure AD) tenant, follow the directions in Create an Azure AD tenant for Azure Red Hat OpenShift before continuing with these instructions.

Red Hat OpenShift en Microsoft Azure necesita permisos para realizar tareas en nombre del clúster.Microsoft Azure Red Hat OpenShift needs permissions to perform tasks on behalf of your cluster. Si su organización aún no dispone de un usuario, un grupo de seguridad o un registro de aplicación de Azure AD para usarlos como entidad de servicio, siga estas instrucciones para crearlos.If your organization doesn't already have an Azure AD user, Azure AD security group, or an Azure AD app registration to use as the service principal, follow these instructions to create them.

Creación de un usuario de Azure Active Directory nuevoCreate a new Azure Active Directory user

En Azure Portal, asegúrese de que el inquilino aparece bajo el nombre de usuario en la parte superior derecha del portal:In the Azure portal, ensure that your tenant appears under your user name in the top right of the portal:

Captura de pantalla del portal en el que aparece el inquilino en la parte superior derecha. Si se muestra el inquilino incorrecto, haga clic en el nombre de usuario en la parte superior derecha, luego haga clic en Cambiar directorio y seleccione el inquilino correcto de la lista Todos los directorios.Screenshot of portal with tenant listed in top right If the wrong tenant is displayed, click your user name in the top right, then click Switch Directory, and select the correct tenant from the All Directories list.

Cree un nuevo usuario de administrador global de Azure Active Directory para iniciar sesión en el clúster de Red Hat OpenShift en Azure.Create a new Azure Active Directory global administrator user to sign in to your Azure Red Hat OpenShift cluster.

  1. Vaya a la hoja Usuarios: todos los usuarios.Go to the Users-All users blade.
  2. Haga clic en +Nuevo usuario para abrir el panel Usuario.Click +New user to open the User pane.
  3. Escriba un Nombre para este usuario.Enter a Name for this user.
  4. Cree un Nombre de usuario basado en el nombre del inquilino que haya creado, con .onmicrosoft.com anexado al final.Create a User name based on the name of the tenant you created, with .onmicrosoft.com appended at the end. Por ejemplo, yourUserName@yourTenantName.onmicrosoft.com.For example, yourUserName@yourTenantName.onmicrosoft.com. Anote este nombre de usuario.Write down this user name. Lo necesitará para conectarse en el clúster.You'll need it to sign in to your cluster.
  5. Haga clic en Rol de directorio para abrir el panel de rol de directorio, seleccione Administrador global y luego haga clic en Aceptar en la parte inferior del panel.Click Directory role to open the directory role pane, and select Global administrator and then click Ok at the bottom of the pane.
  6. En el panel Usuario, haga clic en Mostrar contraseña y anote la contraseña temporal.In the User pane, click Show Password and record the temporary password. Después de iniciar sesión por primera vez, se le pedirá que la restablezca.After you sign in the first time, you'll be prompted to reset it.
  7. Haga clic en Crear en la parte inferior del panel para crear el usuario.At the bottom of the pane, click Create to create the user.

Creación de un grupo de seguridad de Azure ADCreate an Azure AD security group

Para conceder acceso de administrador de clúster, las pertenencias de un grupo de seguridad de Azure AD se sincronizarán con el grupo de OpenShift "osa-customer-admins".To grant cluster admin access, the memberships in an Azure AD security group are synced into the OpenShift group "osa-customer-admins". Si no se especifica, no se concederá ningún acceso de administrador de clúster.If not specified, no cluster admin access will be granted.

  1. Abra la hoja Grupos de Azure Active Directory.Open the Azure Active Directory groups blade.

  2. Haga clic en +Nuevo grupo.Click +New Group.

  3. Proporcione un nombre de grupo y una descripción.Provide a group name and description.

  4. Establezca el Tipo de grupo en Seguridad.Set Group type to Security.

  5. Establezca Tipo de pertenencia en Asignado.Set Membership type to Assigned.

    Agregue el usuario de Azure AD que ha creado en el paso anterior a este grupo de seguridad.Add the Azure AD user that you created in the earlier step to this security group.

  6. Haga clic en Miembros para abrir el panel Seleccionar miembros.Click Members to open the Select members pane.

  7. En la lista de miembros, seleccione el usuario de Azure AD que ha creado anteriormente.In the members list, select the Azure AD user that you created above.

  8. Para crear el grupo de seguridad, en la parte inferior del portal haga clic en Seleccionar y luego en Crear.At the bottom of the portal, click on Select and then Create to create the security group.

    Anote el valor de id. de grupo.Write down the Group ID value.

  9. Cuando se haya creado el grupo, lo verá en la lista de todos los grupos.When the group is created, you will see it in the list of all groups. Haga clic en el nuevo grupo.Click on the new group.

  10. En la página que aparece, copie el Id. de objeto.On the page that appears, copy down the Object ID. En el tutorial Creación de un clúster de Red Hat OpenShift en Azure, se hará referencia a este valor como GROUPID.We will refer to this value as GROUPID in the Create an Azure Red Hat OpenShift cluster tutorial.

Creación de un registro de aplicación de Azure ADCreate an Azure AD app registration

Puede crear automáticamente un cliente de registro de aplicación de Azure Active Directory (Azure AD) como parte de la creación del clúster al omitir la marca --aad-client-app-id en el comando az openshift create.You can automatically create an Azure Active Directory (Azure AD) app registration client as part of creating the cluster by omitting the --aad-client-app-id flag to the az openshift create command. En este tutorial se muestra cómo crear el registro de aplicación de Azure AD para tener una visión completa.This tutorial shows you how to create the Azure AD app registration for completeness.

Si su organización aún no dispone de un registro de aplicación de Azure AD para usarlo como entidad de servicio, siga estas instrucciones para uno.If your organization doesn't already have an Azure Active Directory (Azure AD) app registration to use as a service principal, follow these instructions to create one.

  1. Abra la hoja de Registros de aplicaciones y haga clic en +Nuevo registro.Open the App registrations blade and click +New registration.
  2. En el panel Registrar una aplicación, escriba el nombre del registro de aplicación.In the Register an application pane, enter a name for your application registration.
  3. Asegúrese de que en Tipos de cuenta admitidos se selecciona Solo cuentas en este directorio organizativo.Ensure that under Supported account types that Accounts in this organizational directory only is selected. Esta es la opción más segura.This is the most secure choice.
  4. Una vez que sepamos el URI del clúster, se agregará un URI de redireccionamiento.We will add a redirect URI later once we know the URI of the cluster. Haga clic en el botón Registro para crear el registro de aplicación de Azure AD.Click the Register button to create the Azure AD application registration.
  5. En la página que aparece, copie el Id. de aplicación (cliente) .On the page that appears, copy down the Application (client) ID. En el tutorial Creación de un clúster de Red Hat OpenShift en Azure, se hará referencia a este valor como APPID.We will refer to this value as APPID in the Create an Azure Red Hat OpenShift cluster tutorial.

Captura de pantalla de la página de objeto de aplicación

Creación de un secreto de clienteCreate a client secret

Genere un secreto de cliente para autenticar la aplicación en Azure Active Directory.Generate a client secret for authenticating your app to Azure Active Directory.

  1. En la sección Administrar de la página de registros de aplicación, haga clic en Certificados y secretos.In the Manage section of the app registrations page, click Certificates & secrets.
  2. En el panel Certificados y secretos, haga clic en +Nuevo secreto de cliente.On the Certificates & secrets pane, click +New client secret. Aparece el panel Agregar un secreto de cliente.The Add a client secret pane appears.
  3. Proporcione una Descripción.Provide a Description.
  4. Establezca Expira en la duración que prefiera, por ejemplo en 2 años.Set Expires to the duration you prefer, for example In 2 Years.
  5. Haga clic en Agregar y aparecerá el valor de clave en la sección Secretos de cliente de la página.Click Add and the key value will appear in the Client secrets section of the page.
  6. Copie el valor de la clave.Copy down the key value. En el tutorial Creación de un clúster de Red Hat OpenShift en Azure, se hará referencia a este valor como SECRET.We will refer to this value as SECRET in the Create an Azure Red Hat OpenShift cluster tutorial.

Captura de pantalla del panel de certificados y secretos

Para obtener más información acerca de objetos de aplicación de Azure, consulte Objetos de aplicación y de entidad de servicio de Azure Active Directory.For more information about Azure Application Objects, see Application and service principal objects in Azure Active Directory.

Para obtener información sobre cómo crear una nueva aplicación de Azure AD, consulte Registro de una aplicación con el punto de conexión de Azure Active Directory v1.0.For details on creating a new Azure AD application, see Register an app with the Azure Active Directory v1.0 endpoint.

Adición de permisos de APIAdd API permissions

  1. En la sección Administrar, haga clic en Permisos de API.In the Manage section click API permissions.
  2. Haga clic en Agregar permiso y seleccione Azure Active Directory Graph y luego Permisos delegados.Click Add permission and select Azure Active Directory Graph then Delegated permissions
  3. Expanda la opción Usuario en la lista siguiente y asegúrese de que User.Read está habilitado.Expand User on the list below and make sure User.Read is enabled.
  4. Desplácese hacia arriba y seleccione Permisos de aplicación.Scroll up and select Application permissions.
  5. Expanda la opción Directorio en la lista siguiente y habilite Directory.ReadAllExpand Directory on the list below and enable Directory.ReadAll
  6. Para aceptar los cambios, haga clic en Agregar permisos.Click Add permissions to accept the changes.
  7. El panel de permisos de API debe mostrar ahora User.Read y Directory.ReadAll.The API permissions panel should now show both User.Read and Directory.ReadAll. Tenga en cuenta la advertencia que aparece en la columna Consentimiento del administrador requerido junto a Directory.ReadAll.Please note the warning in Admin consent required column next to Directory.ReadAll.
  8. Si es el administrador de suscripciones de Azure, haga clic en Conceder consentimiento del administrador para nombre de la suscripción debajo.If you are the Azure Subscription Administrator, click Grant admin consent for Subscription Name below. Si no es el administrador de suscripciones de Azure, solicítelo al administrador.If you are not the Azure Subscription Administrator, request the consent from your administrator. Captura de pantalla del panel de permisos de API.Screenshot of the API permissions panel. Permisos User.Read y Directory.ReadAll agregados, consentimiento del administrador requerido para Directory.ReadAllUser.Read and Directory.ReadAll permissions added, admin consent required for Directory.ReadAll

Importante

La sincronización del grupo de administradores de clúster funcionará solo después de que se conceda el consentimiento.Synchronization of the cluster administrators group will work only after consent has been granted. Verá un círculo verde con una marca de verificación y el mensaje "Concedido para nombre de la suscripción" en la columna Consentimiento del administrador requerido.You will see a green circle with a checkmark and a message "Granted for Subscription Name" in the Admin consent required column.

Para obtener más información acerca de cómo gestionar los administradores y otros roles, consulte Agregar o cambiar los administradores de la suscripción de Azure.For details on managing administrators and other roles, see Add or change Azure subscription administrators.

RecursosResources

Pasos siguientesNext steps

Si se han cumplido todos los requisitos previos de Red Hat OpenShift en Azure, ya está listo para crear su primer clúster.If you've met all the Azure Red Hat OpenShift prerequisites, you're ready to create your first cluster!

Pruebe el tutorial:Try the tutorial: