Azure Active Directory integrację z usługą Azure Red Hat OpenShiftAzure Active Directory integration for Azure Red Hat OpenShift

Jeśli nie utworzono jeszcze dzierżawy usługi Azure Active Directory (Azure AD), postępuj zgodnie z instrukcjami w temacie Tworzenie dzierżawy usługi Azure AD dla systemu Azure Red Hat OpenShift przed kontynuowaniem tych instrukcji.If you haven't already created an Azure Active Directory (Azure AD) tenant, follow the directions in Create an Azure AD tenant for Azure Red Hat OpenShift before continuing with these instructions.

Microsoft Azure Red Hat OpenShift potrzebuje uprawnień do wykonywania zadań w imieniu klastra.Microsoft Azure Red Hat OpenShift needs permissions to perform tasks on behalf of your cluster. Jeśli Twoja organizacja nie ma jeszcze użytkownika usługi Azure AD, grupy zabezpieczeń usługi Azure AD lub rejestracji aplikacji usługi Azure AD, która ma być używana jako nazwa główna usługi, wykonaj te instrukcje, aby je utworzyć.If your organization doesn't already have an Azure AD user, Azure AD security group, or an Azure AD app registration to use as the service principal, follow these instructions to create them.

Tworzenie nowego użytkownika usługi Azure Active DirectoryCreate a new Azure Active Directory user

W Azure Portalupewnij się, że dzierżawa jest wyświetlana pod nazwą użytkownika w prawym górnym rogu portalu:In the Azure portal, ensure that your tenant appears under your user name in the top right of the portal:

zrzut ekranu portalu z dzierżawcą wymieniony w prawym górnym rogu Jeśli zostanie wyświetlona niewłaściwa dzierżawa, kliknij nazwę użytkownika w prawym górnym rogu, a następnie kliknij pozycję Przełącz katalogi wybierz poprawną dzierżawę z listy wszystkie katalogi .Screenshot of portal with tenant listed in top right If the wrong tenant is displayed, click your user name in the top right, then click Switch Directory, and select the correct tenant from the All Directories list.

Utwórz nowego użytkownika Azure Active Directory administratora globalnego, aby zalogować się do klastra Red Hat OpenShift platformy Azure.Create a new Azure Active Directory global administrator user to sign in to your Azure Red Hat OpenShift cluster.

  1. Przejdź do bloku Użytkownicy — wszyscy użytkownicy .Go to the Users-All users blade.
  2. Kliknij pozycję + nowy użytkownik , aby otworzyć okienko użytkownika .Click +New user to open the User pane.
  3. Wprowadź nazwę dla tego użytkownika.Enter a Name for this user.
  4. Utwórz nazwę użytkownika na podstawie nazwy utworzonej dzierżawy, a .onmicrosoft.com dołączona na końcu.Create a User name based on the name of the tenant you created, with .onmicrosoft.com appended at the end. Na przykład yourUserName@yourTenantName.onmicrosoft.com.For example, yourUserName@yourTenantName.onmicrosoft.com. Zapisz tę nazwę użytkownika.Write down this user name. Będzie on potrzebny do zalogowania się do klastra.You'll need it to sign in to your cluster.
  5. Kliknij pozycję rola katalogu , aby otworzyć okienko rola katalogu, a następnie wybierz pozycję administrator globalny , a następnie kliknij przycisk OK w dolnej części okienka.Click Directory role to open the directory role pane, and select Global administrator and then click Ok at the bottom of the pane.
  6. W okienku użytkownika kliknij pozycję Pokaż hasło i Zarejestruj hasło tymczasowe.In the User pane, click Show Password and record the temporary password. Po pierwszym zalogowaniu zostanie wyświetlony monit o zresetowanie go.After you sign in the first time, you'll be prompted to reset it.
  7. W dolnej części okienka kliknij pozycję Utwórz , aby utworzyć użytkownika.At the bottom of the pane, click Create to create the user.

Tworzenie grupy zabezpieczeń usługi Azure ADCreate an Azure AD security group

Aby udzielić dostępu administratora klastra, członkostwa w grupie zabezpieczeń usługi Azure AD są synchronizowane z grupą OpenShift "OSA-Customer-admins".To grant cluster admin access, the memberships in an Azure AD security group are synced into the OpenShift group "osa-customer-admins". Jeśli nie zostanie określony, nie zostanie udzielony żaden dostęp administratora klastra.If not specified, no cluster admin access will be granted.

  1. Otwórz blok grupy Azure Active Directory .Open the Azure Active Directory groups blade.

  2. Kliknij pozycję + Nowa grupa.Click +New Group.

  3. Podaj nazwę i opis grupy.Provide a group name and description.

  4. Ustaw Typ grupy na zabezpieczenia.Set Group type to Security.

  5. Ustaw Typ członkostwa na przypisane.Set Membership type to Assigned.

    Dodaj użytkownika usługi Azure AD, który został utworzony we wcześniejszym kroku, do tej grupy zabezpieczeń.Add the Azure AD user that you created in the earlier step to this security group.

  6. Kliknij pozycję elementy członkowskie , aby otworzyć okienko Wybierz członków .Click Members to open the Select members pane.

  7. Z listy członków wybierz utworzonego powyżej użytkownika usługi Azure AD.In the members list, select the Azure AD user that you created above.

  8. W dolnej części portalu kliknij pozycję Wybierz , a następnie Utwórz , aby utworzyć grupę zabezpieczeń.At the bottom of the portal, click on Select and then Create to create the security group.

    Zapisz wartość identyfikatora grupy.Write down the Group ID value.

  9. Po utworzeniu grupy zobaczysz ją na liście wszystkich grup.When the group is created, you will see it in the list of all groups. Kliknij nową grupę.Click on the new group.

  10. Na wyświetlonej stronie Skopiuj Identyfikator obiektu.On the page that appears, copy down the Object ID. Ta wartość zostanie odwołująca się do GROUPID w samouczku Tworzenie klastra usługi Azure Red Hat OpenShift .We will refer to this value as GROUPID in the Create an Azure Red Hat OpenShift cluster tutorial.

Ważne

Aby zsynchronizować tę grupę z grupą OSA-OpenShift-admins, Utwórz klaster przy użyciu interfejsu wiersza polecenia platformy Azure.To sync this group with the osa-customer-admins OpenShift group, create the cluster by using the Azure CLI. Azure Portal aktualnie nie ma pola, aby ustawić tę grupę.The Azure portal currently lacks a field to set this group.

Tworzenie rejestracji aplikacji usługi Azure ADCreate an Azure AD app registration

Można automatycznie utworzyć klienta rejestracji aplikacji Azure Active Directory (Azure AD) w ramach tworzenia klastra, pomijając flagę --aad-client-app-id do polecenia az openshift create.You can automatically create an Azure Active Directory (Azure AD) app registration client as part of creating the cluster by omitting the --aad-client-app-id flag to the az openshift create command. W tym samouczku pokazano, jak utworzyć rejestrację aplikacji usługi Azure AD pod kątem kompletności.This tutorial shows you how to create the Azure AD app registration for completeness.

Jeśli Twoja organizacja nie ma jeszcze rejestracji aplikacji Azure Active Directory (Azure AD) do użycia jako jednostki usługi, postępuj zgodnie z poniższymi instrukcjami, aby ją utworzyć.If your organization doesn't already have an Azure Active Directory (Azure AD) app registration to use as a service principal, follow these instructions to create one.

  1. Otwórz blok rejestracje aplikacji i kliknij pozycję + Nowa rejestracja.Open the App registrations blade and click +New registration.
  2. W okienku zarejestruj aplikację wprowadź nazwę rejestracji aplikacji.In the Register an application pane, enter a name for your application registration.
  3. Upewnij się, że w obszarze obsługiwane typy kont są zaznaczone tylko konta w tym katalogu organizacyjnym .Ensure that under Supported account types that Accounts in this organizational directory only is selected. Jest to najbardziej bezpieczny wybór.This is the most secure choice.
  4. Po poznaniu identyfikatora URI klastra zostanie dodany identyfikator URI przekierowania.We will add a redirect URI later once we know the URI of the cluster. Kliknij przycisk zarejestruj , aby utworzyć rejestrację aplikacji usługi Azure AD.Click the Register button to create the Azure AD application registration.
  5. Na wyświetlonej stronie Skopiuj Identyfikator aplikacji (klienta) .On the page that appears, copy down the Application (client) ID. Ta wartość zostanie odwołująca się do APPID w samouczku Tworzenie klastra usługi Azure Red Hat OpenShift .We will refer to this value as APPID in the Create an Azure Red Hat OpenShift cluster tutorial.

Zrzut ekranu przedstawiający stronę obiektu aplikacji

Tworzenie klucza tajnego klientaCreate a client secret

Wygeneruj klucz tajny klienta na potrzeby uwierzytelniania aplikacji w Azure Active Directory.Generate a client secret for authenticating your app to Azure Active Directory.

  1. W sekcji Zarządzanie na stronie rejestracje aplikacji kliknij pozycję Certyfikaty & wpisy tajne.In the Manage section of the app registrations page, click Certificates & secrets.
  2. W okienku certyfikaty & wpisy tajne kliknij pozycję + nowy klucz tajny klienta.On the Certificates & secrets pane, click +New client secret. Zostanie wyświetlone okienko Dodaj wpis tajny klienta .The Add a client secret pane appears.
  3. Podaj Opis.Provide a Description.
  4. Ustawienie wygasa na preferowany czas, na przykład przez 2 lata.Set Expires to the duration you prefer, for example In 2 Years.
  5. Kliknij przycisk Dodaj . wartość klucza zostanie wyświetlona w sekcji wpisy tajne klienta strony.Click Add and the key value will appear in the Client secrets section of the page.
  6. Skopiuj wartość klucza.Copy down the key value. Ta wartość zostanie odwołująca się do SECRET w samouczku Tworzenie klastra usługi Azure Red Hat OpenShift .We will refer to this value as SECRET in the Create an Azure Red Hat OpenShift cluster tutorial.

Zrzut ekranu przedstawiający okienko certyfikaty i wpisy tajne

Aby uzyskać więcej informacji na temat obiektów aplikacji platformy Azure, zobacz temat obiekty główne aplikacji i usługi w Azure Active Directory.For more information about Azure Application Objects, see Application and service principal objects in Azure Active Directory.

Aby uzyskać szczegółowe informacje na temat tworzenia nowej aplikacji usługi Azure AD, zobacz Rejestrowanie aplikacji za pomocą punktu końcowego Azure Active Directory v 1.0.For details on creating a new Azure AD application, see Register an app with the Azure Active Directory v1.0 endpoint.

Dodawanie uprawnień interfejsu APIAdd API permissions

  1. W sekcji Zarządzanie kliknij pozycję uprawnienia interfejsu API.In the Manage section click API permissions.
  2. Kliknij pozycję Dodaj uprawnienie , a następnie wybierz pozycję Azure Active Directory Graph następnie uprawnienia delegowane.Click Add permission and select Azure Active Directory Graph then Delegated permissions.
  3. Rozwiń pozycję użytkownik na poniższej liście i Włącz uprawnienie User. Read .Expand User on the list below and enable the User.Read permission. Jeśli funkcja User. Read jest włączona domyślnie, upewnij się, że jest to element uprawnień Azure Active Directory Graph . odczyt, nie Microsoft Graph uprawnień użytkownika. odczyt.If User.Read is enabled by default, ensure that it is the Azure Active Directory Graph permission User.Read, not the Microsoft Graph permission User.Read.
  4. Przewiń w górę i wybierz pozycję uprawnienia aplikacji.Scroll up and select Application permissions.
  5. Rozwiń katalog znajdujący się na poniższej liście i Włącz katalog.Expand Directory on the list below and enable Directory.ReadAll
  6. Kliknij przycisk Dodaj uprawnienia , aby zaakceptować zmiany.Click Add permissions to accept the changes.
  7. Panel uprawnień interfejsu API powinien teraz wyświetlać zarówno użytkownika. Read i Directory. readal.The API permissions panel should now show both User.Read and Directory.ReadAll. Zwróć uwagę na ostrzeżenie w kolumnie wymagana zgoda administratora obok katalogu Directory. readal.Please note the warning in Admin consent required column next to Directory.ReadAll.
  8. Jeśli jesteś administratorem subskrypcji platformy Azure, kliknij przycisk Udziel zgody administratora na nazwę subskrypcji poniżej.If you are the Azure Subscription Administrator, click Grant admin consent for Subscription Name below. Jeśli nie jesteś administratorem subskrypcji platformy Azure, zażądaj zgody od administratora.If you are not the Azure Subscription Administrator, request the consent from your administrator. zrzut ekranu przedstawiający panel uprawnień interfejsu API.Screenshot of the API permissions panel. Uprawnienia User. Read i Directory. readal dodane, zgoda administratora wymagana dla katalogu.User.Read and Directory.ReadAll permissions added, admin consent required for Directory.ReadAll

Ważne

Synchronizacja grupy Administratorzy klastra będzie działała dopiero po udzieleniu zgody.Synchronization of the cluster administrators group will work only after consent has been granted. Zobaczysz zielony okrąg z zaznaczeniem i komunikatem "udzielono dla nazwy subskrypcji" w kolumnie wymagana zgoda administratora .You will see a green circle with a checkmark and a message "Granted for Subscription Name" in the Admin consent required column.

Aby uzyskać szczegółowe informacje na temat zarządzania administratorami i innymi rolami, zobacz Dodawanie lub zmienianie administratorów subskrypcji platformy Azure.For details on managing administrators and other roles, see Add or change Azure subscription administrators.

ZasobyResources

Następne krokiNext steps

Jeśli spełniono wszystkie wymagania wstępne dotyczące usługi Azure Red Hat OpenShift, możesz utworzyć pierwszy klaster.If you've met all the Azure Red Hat OpenShift prerequisites, you're ready to create your first cluster!

Wypróbuj samouczek:Try the tutorial: