Azure Red Hat OpenShift の Azure Active Directory 統合Azure Active Directory integration for Azure Red Hat OpenShift

Azure Active Directory (Azure AD) テナントをまだ作成していない場合は、これらの手順を続行する前に Azure Red Hat OpenShift 用の Azure AD テナントの作成に関する記事の手順を行います。If you haven't already created an Azure Active Directory (Azure AD) tenant, follow the directions in Create an Azure AD tenant for Azure Red Hat OpenShift before continuing with these instructions.

Microsoft Azure Red Hat OpenShift には、クラスターに代わってタスクを実行するためのアクセス許可が必要です。Microsoft Azure Red Hat OpenShift needs permissions to perform tasks on behalf of your cluster. サービス プリンシパルとして使用する Azure AD ユーザー、Azure AD セキュリティ グループ、Azure AD アプリの登録が組織にまだない場合は、次の手順に従って作成します。If your organization doesn't already have an Azure AD user, Azure AD security group, or an Azure AD app registration to use as the service principal, follow these instructions to create them.

新しい Azure Active Directory ユーザーを作成するCreate a new Azure Active Directory user

Azure portal で、ポータルの右上のユーザー名の下にテナントが表示されていることを確認します。In the Azure portal, ensure that your tenant appears under your user name in the top right of the portal:

右上にテナントが表示されているポータルのスクリーンショット 不適切なテナントが表示される場合は、右上の自分のユーザー名をクリックし、 [ディレクトリの切り替え] をクリックして [すべてのディレクトリ] リストから正しいテナントを選択します。Screenshot of portal with tenant listed in top right If the wrong tenant is displayed, click your user name in the top right, then click Switch Directory, and select the correct tenant from the All Directories list.

Azure Red Hat OpenShift クラスターにサインインするために使用する新しい Azure Active Directory グローバル管理者ユーザーを作成します。Create a new Azure Active Directory global administrator user to sign in to your Azure Red Hat OpenShift cluster.

  1. [ユーザー - すべてのユーザー] ブレードに移動します。Go to the Users-All users blade.
  2. [+ 新しいユーザー] をクリックし、 [ユーザー] ウィンドウを開きます。Click +New user to open the User pane.
  3. このユーザーの [名前] を入力します。Enter a Name for this user.
  4. 末尾に .onmicrosoft.com を追加して作成したテナントの名前に基づいて [ユーザー名] を作成します。Create a User name based on the name of the tenant you created, with .onmicrosoft.com appended at the end. たとえば、「 yourUserName@yourTenantName.onmicrosoft.com 」のように入力します。For example, yourUserName@yourTenantName.onmicrosoft.com. このユーザー名をメモします。Write down this user name. これは、クラスターにサインインするときに必要になります。You'll need it to sign in to your cluster.
  5. [ディレクトリ ロール] をクリックして [ディレクトリ ロール] ウィンドウを開き、 [グローバル管理者] を選択してから、ウィンドウの下部にある [OK] をクリックします。Click Directory role to open the directory role pane, and select Global administrator and then click Ok at the bottom of the pane.
  6. [ユーザー] ウィンドウで [パスワードを表示] をクリックして一時パスワードをメモします。In the User pane, click Show Password and record the temporary password. 初めてサインインした後は、リセットするように求められます。After you sign in the first time, you'll be prompted to reset it.
  7. ウィンドウの下部にある [作成] をクリックしてユーザーを作成します。At the bottom of the pane, click Create to create the user.

Azure AD セキュリティ グループを作成するCreate an Azure AD security group

クラスター管理者アクセスを与える目的で、Azure AD セキュリティ グループのメンバーシップが OpenShift グループ "osa-customer-admins" に同期されます。To grant cluster admin access, the memberships in an Azure AD security group are synced into the OpenShift group "osa-customer-admins". 指定しない場合、クラスター管理者アクセスは与えられません。If not specified, no cluster admin access will be granted.

  1. [Azure Active Directory グループ] ブレードを開きます。Open the Azure Active Directory groups blade.

  2. [+ 新しいグループ] をクリックします。Click +New Group.

  3. グループ名と説明を指定します。Provide a group name and description.

  4. [グループの種類][セキュリティ] に設定します。Set Group type to Security.

  5. [メンバーシップの種類][割り当て済み] を選択します。Set Membership type to Assigned.

    前の手順で作成した Azure AD ユーザーをこのセキュリティ グループに追加します。Add the Azure AD user that you created in the earlier step to this security group.

  6. [メンバー] をクリックし、 [メンバーの選択] ウィンドウを開きます。Click Members to open the Select members pane.

  7. メンバーの一覧で、上記で作成した Azure AD ユーザーを選択します。In the members list, select the Azure AD user that you created above.

  8. ポータルの下部で [選択] をクリックし、 [作成] をクリックしてセキュリティ グループを作成します。At the bottom of the portal, click on Select and then Create to create the security group.

    グループ ID 値を書き留めます。Write down the Group ID value.

  9. グループが作成されると、すべてのグループの一覧に表示されます。When the group is created, you will see it in the list of all groups. 新しいグループをクリックします。Click on the new group.

  10. ページが表示されたら、 [オブジェクト ID] をコピーします。On the page that appears, copy down the Object ID. Azure Red Hat OpenShift クラスターの作成のチュートリアルでは、この値を GROUPID と呼びます。We will refer to this value as GROUPID in the Create an Azure Red Hat OpenShift cluster tutorial.

重要

このグループを osa-customer-admins OpenShift グループと同期するには、Azure CLI を使用してクラスターを作成します。To sync this group with the osa-customer-admins OpenShift group, create the cluster by using the Azure CLI. 現在 Azure portal には、このグループを設定するためのフィールドがありません。The Azure portal currently lacks a field to set this group.

Azure AD アプリの登録を作成するCreate an Azure AD app registration

az openshift create コマンドの --aad-client-app-id フラグを省略することで、クラスター作成の一環として Azure Active Directory (Azure AD) アプリの登録を自動作成できます。You can automatically create an Azure Active Directory (Azure AD) app registration client as part of creating the cluster by omitting the --aad-client-app-id flag to the az openshift create command. このチュートリアルでは、完全を期す目的で、Azure AD アプリの登録を作成する方法を示します。This tutorial shows you how to create the Azure AD app registration for completeness.

サービス プリンシパルとして使用する Azure Active Directory (Azure AD) アプリの登録が組織にまだない場合は、次の手順に従って作成します。If your organization doesn't already have an Azure Active Directory (Azure AD) app registration to use as a service principal, follow these instructions to create one.

  1. [アプリの登録] ブレードを開き、 [+ 新しい登録] をクリックします。Open the App registrations blade and click +New registration.
  2. [アプリケーションの登録] ウィンドウで、アプリケーションの登録の名前を入力します。In the Register an application pane, enter a name for your application registration.
  3. [サポートされているアカウントの種類][この組織のディレクトリ内のアカウントのみ] を確実に選択します。Ensure that under Supported account types that Accounts in this organizational directory only is selected. これは最も確実な選択肢です。This is the most secure choice.
  4. 後で、クラスターの URI が確認されたとき、リダイレクト URI が追加されます。We will add a redirect URI later once we know the URI of the cluster. [登録] ボタンをクリックして Azure AD アプリケーションの登録を作成します。Click the Register button to create the Azure AD application registration.
  5. 表示されたページで、 [アプリケーション (クライアント) ID] をコピーします。On the page that appears, copy down the Application (client) ID. Azure Red Hat OpenShift クラスターの作成のチュートリアルでは、この値を APPID と呼びます。We will refer to this value as APPID in the Create an Azure Red Hat OpenShift cluster tutorial.

アプリ オブジェクト ページのスクリーンショット

クライアント シークレットの作成Create a client secret

Azure Active Directory に対してアプリを認証するためのクライアント シークレットを生成します。Generate a client secret for authenticating your app to Azure Active Directory.

  1. アプリの登録ページの [管理] セクションで、 [証明書とシークレット] をクリックします。In the Manage section of the app registrations page, click Certificates & secrets.
  2. [証明書とシークレット] ウィンドウで、 [+ 新しいクライアント シークレット] をクリックします。On the Certificates & secrets pane, click +New client secret. [クライアント シークレットの追加] ウィンドウが表示されます。The Add a client secret pane appears.
  3. [説明] を入力します。Provide a Description.
  4. [有効期限] を任意の期間に設定します。たとえば、 [年 2] にします。Set Expires to the duration you prefer, for example In 2 Years.
  5. [追加] をクリックします。ページの [クライアント シークレット] セクションにキー値が表示されます。Click Add and the key value will appear in the Client secrets section of the page.
  6. キー値をコピーします。Copy down the key value. Azure Red Hat OpenShift クラスターの作成のチュートリアルでは、この値を SECRET と呼びます。We will refer to this value as SECRET in the Create an Azure Red Hat OpenShift cluster tutorial.

[証明書とシークレット] ウィンドウのスクリーンショット

Azure アプリケーション オブジェクトの詳細については、「Azure Active Directory のアプリケーション オブジェクトとサービス プリンシパル オブジェクト」を参照してください。For more information about Azure Application Objects, see Application and service principal objects in Azure Active Directory.

新しい Azure AD アプリケーションの作成の詳細については、Azure Active Directory v1.0 エンドポイントへのアプリの登録に関する記事を参照してください。For details on creating a new Azure AD application, see Register an app with the Azure Active Directory v1.0 endpoint.

API アクセス許可を追加するAdd API permissions

  1. [管理] セクションで [API のアクセス許可] をクリックします。In the Manage section click API permissions.
  2. [アクセス許可の追加] をクリックし、 [Azure Active Directory Graph][委任されたアクセス許可] の順に選択します。Click Add permission and select Azure Active Directory Graph then Delegated permissions.
  3. 下の一覧で [ユーザー] を展開し、User.Read アクセス許可を有効にします。Expand User on the list below and enable the User.Read permission. User.Read が既定で有効になっている場合、それが Microsoft Graph のアクセス許可 User.Read では "なく"、Azure Active Directory Graph のアクセス許可 User.Readであることを確認してください。If User.Read is enabled by default, ensure that it is the Azure Active Directory Graph permission User.Read, not the Microsoft Graph permission User.Read.
  4. 上にスクロールして [アプリケーションのアクセス許可] を選択します。Scroll up and select Application permissions.
  5. 下のリストで [ディレクトリ] を展開し、Directory.ReadAll を有効にします。Expand Directory on the list below and enable Directory.ReadAll
  6. [アクセス許可の追加] をクリックして変更を適用します。Click Add permissions to accept the changes.
  7. この時点で、API アクセス許可パネルに User.ReadDirectory.ReadAll の両方が表示されているはずです。The API permissions panel should now show both User.Read and Directory.ReadAll. Directory.ReadAll の隣の [Admin consent required](管理者の同意が必要) 列の警告に注意してください。Please note the warning in Admin consent required column next to Directory.ReadAll.
  8. Azure サブスクリプション管理者である場合、下の [Grant admin consent for Subscription Name](<サブスクリプション名> に管理者の同意を付与する) をクリックします。If you are the Azure Subscription Administrator, click Grant admin consent for Subscription Name below. Azure サブスクリプション管理者でない場合、管理者からの同意を要求します。If you are not the Azure Subscription Administrator, request the consent from your administrator. API アクセス許可パネルのスクリーンショット。Screenshot of the API permissions panel. User.Read および Directory.ReadAll アクセス許可が追加され、Directory.ReadAll に管理者の同意が必要User.Read and Directory.ReadAll permissions added, admin consent required for Directory.ReadAll

重要

クラスター管理者グループの同期は、同意が付与された後でないと機能しません。Synchronization of the cluster administrators group will work only after consent has been granted. チェックマークが付いた緑色の円と、"Granted for Subscription Name" (<サブスクリプション名> に許可済み) というメッセージが [Admin consent required](管理者の同意が必要) 列に表示されます。You will see a green circle with a checkmark and a message "Granted for Subscription Name" in the Admin consent required column.

管理者およびその他のロールの管理の詳細については、Azure サブスクリプション管理者の追加または変更に関する記事を参照してください。For details on managing administrators and other roles, see Add or change Azure subscription administrators.

リソースResources

次のステップNext steps

Azure Red Hat OpenShift の前提条件をすべて満たすと、最初のクラスターを作成する準備は完了です。If you've met all the Azure Red Hat OpenShift prerequisites, you're ready to create your first cluster!

次のチュートリアルを試してください。Try the tutorial: