Azure Active Directory-integratie voor Azure Red Hat OpenShiftAzure Active Directory integration for Azure Red Hat OpenShift

Als u al een tenant Azure Active Directory (Azure AD) dat nog niet hebt gemaakt, volgt u de aanwijzingen in maken van een Azure AD-tenant voor Azure Red Hat OpenShift voordat u doorgaat met deze instructies.If you haven't already created an Azure Active Directory (Azure AD) tenant, follow the directions in Create an Azure AD tenant for Azure Red Hat OpenShift before continuing with these instructions.

Microsoft Azure Red Hat OpenShift moet machtigingen voor het uitvoeren van taken namens uw cluster.Microsoft Azure Red Hat OpenShift needs permissions to perform tasks on behalf of your cluster. Als uw organisatie nog niet over een Azure AD-gebruiker, Azure AD-beveiligingsgroep of een Azure AD-app-registratie als de service-principal wilt gebruiken, volgt u deze instructies om ze te maken.If your organization doesn't already have an Azure AD user, Azure AD security group, or an Azure AD app registration to use as the service principal, follow these instructions to create them.

Een nieuwe Azure Active Directory-gebruiker makenCreate a new Azure Active Directory user

In de Azure-portal, zorg ervoor dat uw tenant wordt weergegeven onder de naam van de gebruiker in de rechterbovenhoek van de portal:In the Azure portal, ensure that your tenant appears under your user name in the top right of the portal:

Schermafbeelding van portal met de tenant die worden vermeld in de rechterbovenhoek als de verkeerde tenant wordt weergegeven, klikt u op de naam van de gebruiker in de rechterbovenhoek en klik vervolgens op schakelen tussen mappen, en selecteer de juiste tenant van de alle Mappen lijst.Screenshot of portal with tenant listed in top right If the wrong tenant is displayed, click your user name in the top right, then click Switch Directory, and select the correct tenant from the All Directories list.

Maak een nieuwe gebruiker van de globale beheerder van Azure Active Directory te melden bij uw Azure Red Hat OpenShift-cluster.Create a new Azure Active Directory global administrator user to sign in to your Azure Red Hat OpenShift cluster.

  1. Ga naar de gebruikers alle gebruikers blade.Go to the Users-All users blade.
  2. Klik op + nieuwe gebruiker openen de gebruiker deelvenster.Click +New user to open the User pane.
  3. Voer een naam voor deze gebruiker.Enter a Name for this user.
  4. Maak een gebruikersnaam op basis van de naam van de tenant die u hebt gemaakt, met .onmicrosoft.com toegevoegd aan het einde.Create a User name based on the name of the tenant you created, with .onmicrosoft.com appended at the end. Bijvoorbeeld yourUserName@yourTenantName.onmicrosoft.com.For example, yourUserName@yourTenantName.onmicrosoft.com. Noteer de naam van deze gebruiker.Write down this user name. U moet deze zich aanmeldt bij uw cluster.You'll need it to sign in to your cluster.
  5. Klik op maprol naar het deelvenster van de rol van map openen en selecteer hoofdbeheerder en klik vervolgens op Ok aan de onderkant van het deelvenster.Click Directory role to open the directory role pane, and select Global administrator and then click Ok at the bottom of the pane.
  6. In de gebruiker deelvenster, klikt u op wachtwoord weergeven en noteer het tijdelijke wachtwoord.In the User pane, click Show Password and record the temporary password. Nadat u de eerste keer aanmelden, wordt u gevraagd opnieuw in te stellen.After you sign in the first time, you'll be prompted to reset it.
  7. Klik aan de onderkant van het deelvenster maken om de gebruiker te maken.At the bottom of the pane, click Create to create the user.

Een Azure AD-beveiligingsgroep makenCreate an Azure AD security group

Cluster-beheerder om toegang te verlenen, worden de lidmaatschappen in een Azure AD-beveiligingsgroep gesynchroniseerd in de OpenShift groep 'osa-klant-admins'.To grant cluster admin access, the memberships in an Azure AD security group are synced into the OpenShift group "osa-customer-admins". Indien niet opgegeven, wordt er geen toegang tot de beheerder van het cluster worden verleend.If not specified, no cluster admin access will be granted.

  1. Open de Azure Active Directory-groepen blade.Open the Azure Active Directory groups blade.

  2. Klik op + nieuwe groep.Click +New Group.

  3. Geef een naam en beschrijving.Provide a group name and description.

  4. Stel groepstype naar Security.Set Group type to Security.

  5. Stel lidmaatschapstype naar toegewezen.Set Membership type to Assigned.

    De Azure AD-gebruiker die u hebt gemaakt in de vorige stap aan deze beveiligingsgroep toevoegen.Add the Azure AD user that you created in the earlier step to this security group.

  6. Klik op leden openen de leden selecteren deelvenster.Click Members to open the Select members pane.

  7. Selecteer de Azure AD-gebruiker die u hierboven hebt gemaakt in de lijst met leden.In the members list, select the Azure AD user that you created above.

  8. Klik aan de onderkant van de portal en op Selecteer en vervolgens maken om de beveiligingsgroep te maken.At the bottom of the portal, click on Select and then Create to create the security group.

    Noteer de groeps-ID-waarde.Write down the Group ID value.

  9. Wanneer de groep is gemaakt, ziet u deze in de lijst van alle groepen.When the group is created, you will see it in the list of all groups. Klik op de nieuwe groep.Click on the new group.

  10. Op de pagina die wordt weergegeven, noteert de Object-ID.On the page that appears, copy down the Object ID. Er wordt verwezen naar deze waarde als GROUPID in de maken van een cluster Azure Red Hat OpenShift zelfstudie.We will refer to this value as GROUPID in the Create an Azure Red Hat OpenShift cluster tutorial.

De registratie van een Azure AD-app makenCreate an Azure AD app registration

U kunt automatisch een Azure Active Directory (Azure AD) app-registratie-client als onderdeel van het cluster is gemaakt door weg te laten maken de --aad-client-app-id vlag in op de az openshift create opdracht.You can automatically create an Azure Active Directory (Azure AD) app registration client as part of creating the cluster by omitting the --aad-client-app-id flag to the az openshift create command. Deze zelfstudie leert u over het maken van de Azure AD-app-registratie voor de volledigheid.This tutorial shows you how to create the Azure AD app registration for completeness.

Als uw organisatie niet al een app-registratie voor Azure Active Directory (Azure AD) om te gebruiken als een service-principal hebt, volgt u deze instructies voor het maken van een.If your organization doesn't already have an Azure Active Directory (Azure AD) app registration to use as a service principal, follow these instructions to create one.

  1. Open de blade App-registraties en klikt u op + nieuwe registreren.Open the App registrations blade and click +New registration.
  2. In de registreren van een toepassing deelvenster, voer een naam voor de registratie van uw toepassing.In the Register an application pane, enter a name for your application registration.
  3. Zorg ervoor dat onder ondersteund accounttypen die Accounts in deze organisatie-map alleen is geselecteerd.Ensure that under Supported account types that Accounts in this organizational directory only is selected. Dit is de veiligste optie.This is the most secure choice.
  4. Zodra we weten de URI van het cluster dat, zullen we later een omleidings-URI toevoegen.We will add a redirect URI later once we know the URI of the cluster. Klik op de registreren om te maken van de registratie van de Azure AD-toepassing.Click the Register button to create the Azure AD application registration.
  5. Op de pagina die wordt weergegeven, noteert de (client) toepassings-ID.On the page that appears, copy down the Application (client) ID. Er wordt verwezen naar deze waarde als APPID in de maken van een cluster Azure Red Hat OpenShift zelfstudie.We will refer to this value as APPID in the Create an Azure Red Hat OpenShift cluster tutorial.

Schermafbeelding van pagina voor app-object

Een clientgeheim makenCreate a client secret

Genereren van een clientgeheim voor het verifiëren van uw app naar Azure Active Directory.Generate a client secret for authenticating your app to Azure Active Directory.

  1. In de beheren sectie van de app-registraties pagina, klikt u op certificaten en geheimen.In the Manage section of the app registrations page, click Certificates & secrets.
  2. Op de certificaten en geheimen deelvenster, klikt u op + nieuwe clientgeheim.On the Certificates & secrets pane, click +New client secret. De toevoegen van een clientgeheim deelvenster wordt weergegeven.The Add a client secret pane appears.
  3. Geef een beschrijving.Provide a Description.
  4. Stel verloopt aan de duur die u, bijvoorbeeld wilt na twee jaar.Set Expires to the duration you prefer, for example In 2 Years.
  5. Klik op toevoegen en waarde van de sleutel wordt weergegeven in de Client geheimen sectie van de pagina.Click Add and the key value will appear in the Client secrets section of the page.
  6. Noteer de sleutelwaarde.Copy down the key value. Er wordt verwezen naar deze waarde als SECRET in de maken van een cluster Azure Red Hat OpenShift zelfstudie.We will refer to this value as SECRET in the Create an Azure Red Hat OpenShift cluster tutorial.

Schermafbeelding van het deelvenster certificaten en geheimen

Zie voor meer informatie over Azure-toepassingsobjecten toepassing en service-principalobjecten in Azure Active Directory.For more information about Azure Application Objects, see Application and service principal objects in Azure Active Directory.

Voor meer informatie over het maken van een nieuwe Azure AD-toepassing, Zie een app registreren met het eindpunt van de Azure Active Directory v1.0.For details on creating a new Azure AD application, see Register an app with the Azure Active Directory v1.0 endpoint.

API-machtigingen toevoegenAdd API permissions

  1. In de beheren sectie Klik API-machtigingen.In the Manage section click API permissions.
  2. Klik op machtiging toevoegen en selecteer Azure Active Directory Graph vervolgens gedelegeerde machtigingenClick Add permission and select Azure Active Directory Graph then Delegated permissions
  3. Vouw gebruiker op de onderstaande lijst en zorg ervoor dat User.Read is ingeschakeld.Expand User on the list below and make sure User.Read is enabled.
  4. Blader omhoog en selecteer Toepassingsmachtigingen.Scroll up and select Application permissions.
  5. Vouw Directory op de onderstaande lijst en inschakelen Directory.ReadAllExpand Directory on the list below and enable Directory.ReadAll
  6. Klik op machtigingen toevoegen om de wijzigingen te accepteren.Click Add permissions to accept the changes.
  7. Het deelvenster van de machtigingen API moet beide nu weergeven User.Read en Directory.ReadAll.The API permissions panel should now show both User.Read and Directory.ReadAll. Houd er rekening mee de waarschuwing in beheerderstoestemming vereist kolom naast Directory.ReadAll.Please note the warning in Admin consent required column next to Directory.ReadAll.
  8. Als u de de beheerder van de Azure-abonnement, klikt u op beheerder toestemming voor abonnementsnaam hieronder.If you are the Azure Subscription Administrator, click Grant admin consent for Subscription Name below. Als u niet de de beheerder van de Azure-abonnement, vragen de toestemming van uw beheerder.If you are not the Azure Subscription Administrator, request the consent from your administrator. Schermopname van het paneel API-machtigingen.Screenshot of the API permissions panel. Machtigingen voor User.Read en Directory.ReadAll toegevoegd, beheerderstoestemming vereist voor Directory.ReadAllUser.Read and Directory.ReadAll permissions added, admin consent required for Directory.ReadAll

Belangrijk

Synchronisatie van de beheerdersgroep cluster werkt alleen als toestemming heeft gekregen.Synchronization of the cluster administrators group will work only after consent has been granted. Ziet u een groene cirkel met een vinkje en een bericht "verleend voor abonnementsnaam' in de beheerderstoestemming vereist kolom.You will see a green circle with a checkmark and a message "Granted for Subscription Name" in the Admin consent required column.

Zie voor meer informatie over het beheren van beheerders en andere functies toevoegen of wijzigen Azure-abonnementbeheerders.For details on managing administrators and other roles, see Add or change Azure subscription administrators.

ResourcesResources

Volgende stappenNext steps

Als u al hebt voldaan de Azure Red Hat OpenShift vereisten, u bent klaar om uw eerste cluster te maken!If you've met all the Azure Red Hat OpenShift prerequisites, you're ready to create your first cluster!

Raadpleeg de zelfstudie:Try the tutorial: