Integração do Active Directory do Azure para Azure Red Hat OpenShiftAzure Active Directory integration for Azure Red Hat OpenShift

Se você ainda não criou um locatário do Azure Active Directory (Azure AD), siga as instruções em criar um locatário do AD do Azure para Azure Red Hat OpenShift antes de continuar com estas instruções.If you haven't already created an Azure Active Directory (Azure AD) tenant, follow the directions in Create an Azure AD tenant for Azure Red Hat OpenShift before continuing with these instructions.

Microsoft Azure Red Hat OpenShift precisa de permissões para executar tarefas em nome do seu cluster.Microsoft Azure Red Hat OpenShift needs permissions to perform tasks on behalf of your cluster. Se sua organização ainda não tiver um usuário do AD do Azure, grupo de segurança do Azure AD ou um registro de aplicativo do Azure AD para usar como a entidade de serviço, siga estas instruções para criá-los.If your organization doesn't already have an Azure AD user, Azure AD security group, or an Azure AD app registration to use as the service principal, follow these instructions to create them.

Criar um novo usuário do Azure Active DirectoryCreate a new Azure Active Directory user

No portal do Azure, certifique-se de que seu locatário aparece em seu nome de usuário no canto superior direito do portal:In the Azure portal, ensure that your tenant appears under your user name in the top right of the portal:

Captura de tela do portal de locatário listado no canto superior direito se o locatário errado for exibido, clique em seu nome de usuário no canto superior direito, clique mudar diretórioe selecione o locatário correto do todos os Diretórios lista.Screenshot of portal with tenant listed in top right If the wrong tenant is displayed, click your user name in the top right, then click Switch Directory, and select the correct tenant from the All Directories list.

Crie um novo usuário de administrador global do Active Directory do Azure para entrar no seu cluster do Azure Red Hat OpenShift.Create a new Azure Active Directory global administrator user to sign in to your Azure Red Hat OpenShift cluster.

  1. Vá para o os usuários de todos os usuários folha.Go to the Users-All users blade.
  2. Clique em + novo usuário para abrir o usuário painel.Click +New user to open the User pane.
  3. Insira um nome para este usuário.Enter a Name for this user.
  4. Criar uma nome de usuário com base no nome do locatário que você criou, com .onmicrosoft.com acrescentado ao final.Create a User name based on the name of the tenant you created, with .onmicrosoft.com appended at the end. Por exemplo, yourUserName@yourTenantName.onmicrosoft.com.For example, yourUserName@yourTenantName.onmicrosoft.com. Anote esse nome de usuário.Write down this user name. Você precisará dela para entrar no seu cluster.You'll need it to sign in to your cluster.
  5. Clique em função de diretório para abrir o painel de função de diretório e selecione Administrador Global e, em seguida, clique em Okey na parte inferior do painel.Click Directory role to open the directory role pane, and select Global administrator and then click Ok at the bottom of the pane.
  6. No usuário painel, clique em Mostrar senha e registre a senha temporária.In the User pane, click Show Password and record the temporary password. Depois de entrar pela primeira vez, você será solicitado para redefini-lo.After you sign in the first time, you'll be prompted to reset it.
  7. Na parte inferior do painel, clique em criar para criar o usuário.At the bottom of the pane, click Create to create the user.

Criar um grupo de segurança do Azure ADCreate an Azure AD security group

Para conceder acesso de administrador de cluster, as associações em um grupo de segurança do Azure AD são sincronizadas para os OpenShift "osa-cliente-os administradores do grupo".To grant cluster admin access, the memberships in an Azure AD security group are synced into the OpenShift group "osa-customer-admins". Se não especificado, sem acesso de administrador de cluster será concedido.If not specified, no cluster admin access will be granted.

  1. Abra o grupos do Active Directory do Azure folha.Open the Azure Active Directory groups blade.

  2. Clique em + novo grupo.Click +New Group.

  3. Forneça um nome de grupo e uma descrição.Provide a group name and description.

  4. Definir tipo de grupo à segurança.Set Group type to Security.

  5. Definir tipo de associação à atribuído.Set Membership type to Assigned.

    Adicione o usuário do AD do Azure que você criou na etapa anterior para esse grupo de segurança.Add the Azure AD user that you created in the earlier step to this security group.

  6. Clique em membros para abrir o selecionar membros painel.Click Members to open the Select members pane.

  7. Na lista de membros, selecione o usuário do AD do Azure que você criou acima.In the members list, select the Azure AD user that you created above.

  8. Na parte inferior do portal, clique em selecionar e, em seguida criar para criar o grupo de segurança.At the bottom of the portal, click on Select and then Create to create the security group.

    Anote o valor da ID de grupo.Write down the Group ID value.

  9. Quando o grupo é criado, você verá ele na lista de todos os grupos.When the group is created, you will see it in the list of all groups. Clique no novo grupo.Click on the new group.

  10. Na página que aparece, anote o ID do objeto.On the page that appears, copy down the Object ID. Vamos nos referir a esse valor como GROUPID no criar um cluster do Azure Red Hat OpenShift tutorial.We will refer to this value as GROUPID in the Create an Azure Red Hat OpenShift cluster tutorial.

Criar um registro de aplicativo do Azure ADCreate an Azure AD app registration

Você pode criar automaticamente um cliente de registro de aplicativo do Azure Active Directory (Azure AD) como parte da criação do cluster, omitindo o --aad-client-app-id sinalizar para o az openshift create comando.You can automatically create an Azure Active Directory (Azure AD) app registration client as part of creating the cluster by omitting the --aad-client-app-id flag to the az openshift create command. Este tutorial mostra como criar o registro do aplicativo do Azure AD para fins de integridade.This tutorial shows you how to create the Azure AD app registration for completeness.

Se sua organização ainda não tiver um registro de aplicativo do Azure Active Directory (Azure AD) a ser usado como uma entidade de serviço, siga estas instruções para criar um.If your organization doesn't already have an Azure Active Directory (Azure AD) app registration to use as a service principal, follow these instructions to create one.

  1. Abra o folha registros de aplicativo e clique em + novo registro.Open the App registrations blade and click +New registration.
  2. No registrar um aplicativo painel, insira um nome para seu registro de aplicativo.In the Register an application pane, enter a name for your application registration.
  3. Certifique-se de que, em suporte para tipos de conta que contas neste diretório organizacional apenas está selecionado.Ensure that under Supported account types that Accounts in this organizational directory only is selected. Essa é a opção mais segura.This is the most secure choice.
  4. Adicionaremos um URI de redirecionamento mais tarde quando soubermos o URI do cluster.We will add a redirect URI later once we know the URI of the cluster. Clique o registrar botão para criar o registro de aplicativo do Azure AD.Click the Register button to create the Azure AD application registration.
  5. Na página que aparece, anote o ID do aplicativo (cliente) .On the page that appears, copy down the Application (client) ID. Vamos nos referir a esse valor como APPID no criar um cluster do Azure Red Hat OpenShift tutorial.We will refer to this value as APPID in the Create an Azure Red Hat OpenShift cluster tutorial.

Captura de tela da página de objeto de aplicativo

Criar um segredo do clienteCreate a client secret

Gere um segredo do cliente para autenticar seu aplicativo ao Azure Active Directory.Generate a client secret for authenticating your app to Azure Active Directory.

  1. No Manage seção da página de registros do aplicativo, clique em certificados e segredos.In the Manage section of the app registrations page, click Certificates & secrets.
  2. Sobre o certificados e segredos painel, clique em + novo segredo do cliente.On the Certificates & secrets pane, click +New client secret. O adicionar um segredo do cliente painel será exibido.The Add a client secret pane appears.
  3. Fornecer um descrição.Provide a Description.
  4. Definir Expires para a duração que você preferir, por exemplo em 2 anos.Set Expires to the duration you prefer, for example In 2 Years.
  5. Clique em Add e o valor da chave será exibido na segredos de cliente seção da página.Click Add and the key value will appear in the Client secrets section of the page.
  6. Copie o valor da chave.Copy down the key value. Vamos nos referir a esse valor como SECRET no criar um cluster do Azure Red Hat OpenShift tutorial.We will refer to this value as SECRET in the Create an Azure Red Hat OpenShift cluster tutorial.

Captura de tela do painel de certificados e segredos

Para obter mais informações sobre objetos de aplicativo do Azure, consulte aplicativo e objetos de entidade de serviço no Azure Active Directory.For more information about Azure Application Objects, see Application and service principal objects in Azure Active Directory.

Para obter detalhes sobre como criar um novo aplicativo do Azure AD, consulte registrar um aplicativo com o ponto de extremidade do Active Directory do Azure v1.0.For details on creating a new Azure AD application, see Register an app with the Azure Active Directory v1.0 endpoint.

Adicionar permissões de APIAdd API permissions

  1. No Manage seção clique permissões de API.In the Manage section click API permissions.
  2. Clique em adicionar a permissão e selecione Azure Active Directory Graph , em seguida, permissões delegadasClick Add permission and select Azure Active Directory Graph then Delegated permissions
  3. Expandir usuário na lista abaixo e verifique se Read está habilitado.Expand User on the list below and make sure User.Read is enabled.
  4. Role para cima e selecione permissões de aplicativo.Scroll up and select Application permissions.
  5. Expandir diretório na lista abaixo e habilitar Directory.ReadAllExpand Directory on the list below and enable Directory.ReadAll
  6. Clique em adicionar permissões para aceitar as alterações.Click Add permissions to accept the changes.
  7. O painel de permissões de API agora deve mostrar ambos Read e Directory.ReadAll.The API permissions panel should now show both User.Read and Directory.ReadAll. Observe o aviso na consentimento do administrador necessário coluna lado Directory.ReadAll.Please note the warning in Admin consent required column next to Directory.ReadAll.
  8. Se você for o administrador da assinatura do Azure, clique em conceder consentimento do administrador para nome da assinatura abaixo.If you are the Azure Subscription Administrator, click Grant admin consent for Subscription Name below. Se você não o administrador da assinatura do Azure, solicitar o consentimento do administrador.If you are not the Azure Subscription Administrator, request the consent from your administrator. Captura de tela do painel de permissões de API.Screenshot of the API permissions panel. Permissões Read e Directory.ReadAll adicionadas, o consentimento do administrador necessária para Directory.ReadAllUser.Read and Directory.ReadAll permissions added, admin consent required for Directory.ReadAll

Importante

Sincronização do grupo de administradores de cluster funcionará apenas depois que recebeu consentimento.Synchronization of the cluster administrators group will work only after consent has been granted. Você verá um círculo verde com uma marca de seleção e uma mensagem de "concedido para o nome da assinatura" no consentimento do administrador necessário coluna.You will see a green circle with a checkmark and a message "Granted for Subscription Name" in the Admin consent required column.

Para obter detalhes sobre como gerenciar administradores e outras funções, consulte adicionar ou alterar os administradores de assinatura do Azure.For details on managing administrators and other roles, see Add or change Azure subscription administrators.

RecursosResources

Próximas etapasNext steps

Se você cumpriu todos os pré-requisitos do Azure Red Hat OpenShift, você estará pronto para criar seu primeiro cluster!If you've met all the Azure Red Hat OpenShift prerequisites, you're ready to create your first cluster!

Experimente o tutorial:Try the tutorial: