Intégration d’Azure Active Directory pour Azure Red Hat OpenShiftAzure Active Directory integration for Azure Red Hat OpenShift

Si vous n’avez pas encore créé un locataire Azure Active Directory (Azure AD), suivez les instructions dans Créer un locataire Azure AD pour Azure Red Hat OpenShiftavant de poursuivre avec ces instructions.If you haven't already created an Azure Active Directory (Azure AD) tenant, follow the directions in Create an Azure AD tenant for Azure Red Hat OpenShift before continuing with these instructions.

Microsoft Azure Red Hat OpenShift a besoin de permissions pour exécuter des tâches au nom de votre cluster.Microsoft Azure Red Hat OpenShift needs permissions to perform tasks on behalf of your cluster. Si votre organisation n’a pas déjà un utilisateur Azure AD, un groupe de sécurité Azure AD ou un enregistrement d’application Azure AD à utiliser comme principal du service, suivez ces instructions pour les créer.If your organization doesn't already have an Azure AD user, Azure AD security group, or an Azure AD app registration to use as the service principal, follow these instructions to create them.

Création d’un nouvel utilisateur Azure Active DirectoryCreate a new Azure Active Directory user

Dans le Portail Microsoft Azure, assurez-vous que votre locataire apparaît sous votre nom d’utilisateur dans le coin supérieur droit du portail :In the Azure portal, ensure that your tenant appears under your user name in the top right of the portal:

Capture d’écran du portail avec le locataire en haut à droite. Si le mauvais locataire est affiché, cliquez sur votre nom d’utilisateur en haut à droite, puis cliquez sur Commuter répertoire, et sélectionnez le bon locataire dans la liste Tous les répertoires.Screenshot of portal with tenant listed in top right If the wrong tenant is displayed, click your user name in the top right, then click Switch Directory, and select the correct tenant from the All Directories list.

Créez un nouvel utilisateur administrateur mondial Azure Active Directory pour vous connecter à votre cluster Azure Red Hat OpenShift.Create a new Azure Active Directory global administrator user to sign in to your Azure Red Hat OpenShift cluster.

  1. Accédez au panneau Utilisateurs-Tous les utilisateurs.Go to the Users-All users blade.
  2. Cliquez sur +Nouvel utilisateur pour ouvrir le volet Utilisateur.Click +New user to open the User pane.
  3. Entrez un Nom pour cet utilisateur.Enter a Name for this user.
  4. Créez un nom d’utilisateur basé sur le nom du locataire que vous avez créé, avec .onmicrosoft.com ajouté à la fin.Create a User name based on the name of the tenant you created, with .onmicrosoft.com appended at the end. Par exemple : yourUserName@yourTenantName.onmicrosoft.com.For example, yourUserName@yourTenantName.onmicrosoft.com. Notez ce nom d’utilisateur.Write down this user name. Vous en aurez besoin pour vous connecter à votre cluster.You'll need it to sign in to your cluster.
  5. Cliquez sur Rôle d’annuaire pour ouvrir le volet de rôle d’annuaire, et sélectionnez Administrateur d’entreprise, puis cliquez sur Ok en bas du volet.Click Directory role to open the directory role pane, and select Global administrator and then click Ok at the bottom of the pane.
  6. Dans le volet Utilisateur, cliquez sur Afficher le mot de passe et enregistrez le mot de passe temporaire.In the User pane, click Show Password and record the temporary password. Après vous être connecté la première fois, vous serez invité à le réinitialiser.After you sign in the first time, you'll be prompted to reset it.
  7. En bas du volet, cliquez sur Créerpour créer l’utilisateur.At the bottom of the pane, click Create to create the user.

Créer un groupe de sécurité Azure ADCreate an Azure AD security group

Pour accorder l’accès à l’administrateur du cluster, les membres d’un groupe de sécurité Azure AD sont synchronisés dans le groupe OpenShift « osa-customer-admins ».To grant cluster admin access, the memberships in an Azure AD security group are synced into the OpenShift group "osa-customer-admins". S’il n’est pas spécifié, aucun accès administrateur du cluster ne sera accordé.If not specified, no cluster admin access will be granted.

  1. Ouvrez le panneau Groupes Azure Active Directory.Open the Azure Active Directory groups blade.

  2. Cliquez sur +Nouveau groupe.Click +New Group.

  3. Entrez un nom et une description pour le groupe.Provide a group name and description.

  4. Définissez Type de groupe sur Sécurité.Set Group type to Security.

  5. Définissez Type d’appartenance sur Affecté.Set Membership type to Assigned.

    Ajoutez à ce groupe de sécurité l’utilisateur Azure AD que vous avez créé à l’étape précédente.Add the Azure AD user that you created in the earlier step to this security group.

  6. Cliquez sur Membres pour ouvrir le volet Sélectionner des membres.Click Members to open the Select members pane.

  7. Dans la liste des membres, sélectionnez l’utilisateur Azure AD que vous avez créé précédemment.In the members list, select the Azure AD user that you created above.

  8. En bas du portail, cliquez sur Sélectionner, puis Créer pour créer le groupe de sécurité.At the bottom of the portal, click on Select and then Create to create the security group.

    Notez la valeur ID de groupe.Write down the Group ID value.

  9. Lorsque le groupe est créé, vous le verrez dans la liste de tous les groupes.When the group is created, you will see it in the list of all groups. Cliquez sur le nouveau groupe.Click on the new group.

  10. Dans la page qui s’affiche, notez l’ID d’objet.On the page that appears, copy down the Object ID. Nous nous référerons à cette valeur en tant que GROUPID dans le didacticiel Créer un cluster Azure Red Hat OpenShift.We will refer to this value as GROUPID in the Create an Azure Red Hat OpenShift cluster tutorial.

Créer une inscription d’application Azure ADCreate an Azure AD app registration

Vous pouvez créer automatiquement un client d’inscription d’application Azure Active Directory (Azure AD) dans le cadre de la création du cluster en omettant l’indicateur --aad-client-app-id de la commande az openshift create.You can automatically create an Azure Active Directory (Azure AD) app registration client as part of creating the cluster by omitting the --aad-client-app-id flag to the az openshift create command. Ce didacticiel vous montre comment créer l’inscription d’application Azure AD par souci d’exhaustivité.This tutorial shows you how to create the Azure AD app registration for completeness.

Si votre organisation n’a pas encore d’inscription d’application Azure Active Directory (Azure AD) à utiliser en tant que service principal, suivez ces instructions pour créer une.If your organization doesn't already have an Azure Active Directory (Azure AD) app registration to use as a service principal, follow these instructions to create one.

  1. Ouvrez le panneau Inscriptions d’applications, puis cliquez sur +Nouvelle inscription.Open the App registrations blade and click +New registration.
  2. Sur la page Inscrire une application, entrez un nom pour votre inscription d’application.In the Register an application pane, enter a name for your application registration.
  3. Vérifiez que sous Types de comptes pris en charge, l’option Comptes dans cet annuaire organisationnel uniquement est sélectionnée.Ensure that under Supported account types that Accounts in this organizational directory only is selected. Il s’agit de l’option la plus sûre.This is the most secure choice.
  4. Nous allons ajouter un URI de redirection ultérieurement, lorsque nous saurons l’URI du cluster.We will add a redirect URI later once we know the URI of the cluster. Cliquez sur le bouton S’inscrire permettant de créer l’inscription de l’application Azure AD.Click the Register button to create the Azure AD application registration.
  5. Dans la page qui s’affiche, notez l’ID d’application (client) .On the page that appears, copy down the Application (client) ID. Nous nous référerons à cette valeur en tant que APPID dans le didacticiel Créer un cluster Azure Red Hat OpenShift.We will refer to this value as APPID in the Create an Azure Red Hat OpenShift cluster tutorial.

Capture d’écran de la page Objet de l’application

Créer une clé secrète clientCreate a client secret

Générez une clé secrète client pour authentifier votre application sur Azure Active Directory.Generate a client secret for authenticating your app to Azure Active Directory.

  1. Dans la section Gérer de la page Inscriptions d’application, cliquez sur Certificats et clés secrètes.In the Manage section of the app registrations page, click Certificates & secrets.
  2. Dans le volet Certificats et clés secrètes, cliquez sur +Créer une clé secrète client.On the Certificates & secrets pane, click +New client secret. La page Ajouter une clé secrète client s’affiche.The Add a client secret pane appears.
  3. Entrez une Description.Provide a Description.
  4. Définissez le paramètre Expires sur la durée de votre choix, par exemple Dans 2 ans.Set Expires to the duration you prefer, for example In 2 Years.
  5. Cliquez sur Ajouter et la valeur de la clé s’affiche dans la section Clés secrètes client de la page.Click Add and the key value will appear in the Client secrets section of the page.
  6. Copiez la valeur de la clé.Copy down the key value. Nous nous référerons à cette valeur en tant que SECRET dans le didacticiel Créer un cluster Azure Red Hat OpenShift.We will refer to this value as SECRET in the Create an Azure Red Hat OpenShift cluster tutorial.

Capture d’écran du volet Certificats et clés secrètes

Pour plus d’informations sur les objets Azure Application, veuillez consulter Objets application et principal du service dans Azure Active Directory.For more information about Azure Application Objects, see Application and service principal objects in Azure Active Directory.

Pour plus d’informations sur la création d’une application Azure AD, consultez Inscrire une application auprès du point de terminaison Azure Active Directory v1.0.For details on creating a new Azure AD application, see Register an app with the Azure Active Directory v1.0 endpoint.

Ajouter des autorisations d’APIAdd API permissions

  1. Dans la Gérer, cliquez sur Autorisations des API.In the Manage section click API permissions.
  2. Cliquez sur Ajouter une autorisation, sélectionnez Azure Active Directory Graph, puis Autorisations déléguéesClick Add permission and select Azure Active Directory Graph then Delegated permissions
  3. Développez Utilisateur dans la liste ci-dessous et vérifiez que User.Read est activé.Expand User on the list below and make sure User.Read is enabled.
  4. Faites défiler la fenêtre vers le haut, puis sélectionnez Autorisations de l’application.Scroll up and select Application permissions.
  5. Développez Directory (Répertoire) dans la liste ci-dessous et activez Directory.ReadAllExpand Directory on the list below and enable Directory.ReadAll
  6. Cliquez sur Ajouter des autorisations pour accepter les modifications.Click Add permissions to accept the changes.
  7. Le panneau Autorisations des API doit désormais afficher User.Read et Directory.ReadAll.The API permissions panel should now show both User.Read and Directory.ReadAll. Veuillez noter l’avertissement dans la colonne consentement administrateur requis en regard de Directory.ReadAll.Please note the warning in Admin consent required column next to Directory.ReadAll.
  8. Si vous êtes l’administrateur d’abonnement Azure, cliquez sur Accorder le consentement administrateur pour Nom de l’abonnement ci-dessous.If you are the Azure Subscription Administrator, click Grant admin consent for Subscription Name below. Si vous n’êtes pas l’administrateur d’abonnement Azure, veuillez demander le consentement à votre administrateur.If you are not the Azure Subscription Administrator, request the consent from your administrator. Capture d’écran du panneau Autorisations des API.Screenshot of the API permissions panel. Les autorisations User.Read et Directory.ReadAll sont ajoutées, le consentement de l’administrateur est requis pour Directory.ReadAllUser.Read and Directory.ReadAll permissions added, admin consent required for Directory.ReadAll

Important

La synchronisation du groupe d’administrateurs de cluster fonctionne uniquement lorsque l’autorisation a pas été accordée.Synchronization of the cluster administrators group will work only after consent has been granted. Vous verrez un cercle vert avec une coche et un message « Autorisations accordées pour Nom de l’abonnement » dans la colonne Consentement de l’administrateur requis.You will see a green circle with a checkmark and a message "Granted for Subscription Name" in the Admin consent required column.

Pour plus d’informations sur la gestion des administrateurs et d’autres rôles, consultez Ajout ou modification des administrateurs d’abonnements Azure.For details on managing administrators and other roles, see Add or change Azure subscription administrators.

RessourcesResources

Étapes suivantesNext steps

Si vous avez rempli toutes les conditions préalables à l’utilisation d’Azure Red Hat OpenShift, vous pouvez créer votre premier cluster !If you've met all the Azure Red Hat OpenShift prerequisites, you're ready to create your first cluster!

Essayez le tutoriel :Try the tutorial: