Integração do Active Directory do Azure para a Azure Red Hat OpenShiftAzure Active Directory integration for Azure Red Hat OpenShift

Se ainda não tiver criado um inquilino do Azure Active Directory (Azure AD), siga as indicações criar um inquilino do Azure AD para a Azure Red Hat OpenShift antes de continuar com estas instruções.If you haven't already created an Azure Active Directory (Azure AD) tenant, follow the directions in Create an Azure AD tenant for Azure Red Hat OpenShift before continuing with these instructions.

Microsoft Azure Red Hat OpenShift necessita de permissões para executar tarefas em nome do seu cluster.Microsoft Azure Red Hat OpenShift needs permissions to perform tasks on behalf of your cluster. Se sua organização ainda não incluir um utilizador, grupo de segurança do Azure AD ou um registo de aplicação do Azure AD para utilizar como o principal de serviço, siga estas instruções para criá-los.If your organization doesn't already have an Azure AD user, Azure AD security group, or an Azure AD app registration to use as the service principal, follow these instructions to create them.

Criar um novo utilizador do Azure Active DirectoryCreate a new Azure Active Directory user

Na portal do Azure, certifique-se de que o seu inquilino é apresentado em seu nome de utilizador no canto superior direito do portal:In the Azure portal, ensure that your tenant appears under your user name in the top right of the portal:

Captura de ecrã do portal com o inquilino listado no canto superior direito se o inquilino errado for apresentado, clique em seu nome de utilizador no canto superior direito, em seguida, clique em trocar diretórioe selecione o inquilino correto do todos os Diretórios lista.Screenshot of portal with tenant listed in top right If the wrong tenant is displayed, click your user name in the top right, then click Switch Directory, and select the correct tenant from the All Directories list.

Crie um novo utilizador de administrador global do Azure Active Directory para iniciar sessão no seu cluster do Azure Red Hat OpenShift.Create a new Azure Active Directory global administrator user to sign in to your Azure Red Hat OpenShift cluster.

  1. Vá para o os usuários de todos os utilizadores painel.Go to the Users-All users blade.
  2. Clique em + novo utilizador para abrir o utilizador painel.Click +New user to open the User pane.
  3. Introduza um nome para este utilizador.Enter a Name for this user.
  4. Criar uma nome de utilizador com base no nome do inquilino que criou, com .onmicrosoft.com anexada ao final.Create a User name based on the name of the tenant you created, with .onmicrosoft.com appended at the end. Por exemplo, yourUserName@yourTenantName.onmicrosoft.com.For example, yourUserName@yourTenantName.onmicrosoft.com. Anote este nome de utilizador.Write down this user name. Precisará das mesmas para iniciar sessão no seu cluster.You'll need it to sign in to your cluster.
  5. Clique em função de diretório para abrir o painel de função de diretório e selecione Administrador Global e, em seguida, clique em Ok na parte inferior do painel.Click Directory role to open the directory role pane, and select Global administrator and then click Ok at the bottom of the pane.
  6. Na usuário painel, clique em mostrar palavra-passe e registe a palavra-passe temporária.In the User pane, click Show Password and record the temporary password. Depois de iniciar sessão pela primeira vez, será solicitado a repô-lo.After you sign in the first time, you'll be prompted to reset it.
  7. Na parte inferior do painel, clique em criar para criar o utilizador.At the bottom of the pane, click Create to create the user.

Criar um grupo de segurança do Azure ADCreate an Azure AD security group

Para conceder acesso de administrador de cluster, as associações num grupo de segurança do Azure AD são sincronizadas nos OpenShift grupo "osa--administradores de clientes".To grant cluster admin access, the memberships in an Azure AD security group are synced into the OpenShift group "osa-customer-admins". Se não for especificado, sem acesso de administrador de cluster vai ser concedido.If not specified, no cluster admin access will be granted.

  1. Abra o grupos do Azure Active Directory painel.Open the Azure Active Directory groups blade.

  2. Clique em + novo grupo.Click +New Group.

  3. Forneça um nome de grupo e a descrição.Provide a group name and description.

  4. Definir tipo de grupo ao segurança.Set Group type to Security.

  5. Definir tipo de associação ao atribuído.Set Membership type to Assigned.

    Adicione o utilizador do Azure AD que criou no passo anterior para este grupo de segurança.Add the Azure AD user that you created in the earlier step to this security group.

  6. Clique em membros para abrir o selecionar membros do painel.Click Members to open the Select members pane.

  7. Na lista de membros, selecione o utilizador do Azure AD que criou acima.In the members list, select the Azure AD user that you created above.

  8. Na parte inferior do portal, clique em selecionar e, em seguida criar para criar o grupo de segurança.At the bottom of the portal, click on Select and then Create to create the security group.

    Anote o valor de ID de grupo.Write down the Group ID value.

  9. Quando o grupo é criado, verá-lo na lista de todos os grupos.When the group is created, you will see it in the list of all groups. Clique no novo grupo.Click on the new group.

  10. Na página que aparece, copie os ID de objeto.On the page that appears, copy down the Object ID. Nós nos referiremos a este valor como GROUPID no criar um cluster do Azure Red Hat OpenShift tutorial.We will refer to this value as GROUPID in the Create an Azure Red Hat OpenShift cluster tutorial.

Criar um registo de aplicação do Azure ADCreate an Azure AD app registration

Pode criar automaticamente um cliente de registo de aplicações do Azure Active Directory (Azure AD) como parte da criação do cluster omitindo os --aad-client-app-id Sinalizar para o az openshift create comando.You can automatically create an Azure Active Directory (Azure AD) app registration client as part of creating the cluster by omitting the --aad-client-app-id flag to the az openshift create command. Este tutorial mostra-lhe como criar o registo de aplicações do Azure AD para fornecer uma visão completa.This tutorial shows you how to create the Azure AD app registration for completeness.

Se sua organização ainda não tiver um registo de aplicações do Azure Active Directory (Azure AD) para utilizar como um principal de serviço, siga estas instruções para criar um.If your organization doesn't already have an Azure Active Directory (Azure AD) app registration to use as a service principal, follow these instructions to create one.

  1. Abra o painel de registos de aplicação e clique em + novo registo.Open the App registrations blade and click +New registration.
  2. Na registar uma aplicação painel, introduza um nome para o registo de aplicação.In the Register an application pane, enter a name for your application registration.
  3. Certifique-se de que, em tipos de conta suportados que contas neste diretório organizacional apenas está selecionada.Ensure that under Supported account types that Accounts in this organizational directory only is selected. Esta é a opção mais segura.This is the most secure choice.
  4. Adicionaremos um URI de redirecionamento mais tarde quando soubermos o URI do cluster.We will add a redirect URI later once we know the URI of the cluster. Clique nas registar botão para criar o registo de aplicação do Azure AD.Click the Register button to create the Azure AD application registration.
  5. Na página que aparece, copie os ID da aplicação (cliente) .On the page that appears, copy down the Application (client) ID. Nós nos referiremos a este valor como APPID no criar um cluster do Azure Red Hat OpenShift tutorial.We will refer to this value as APPID in the Create an Azure Red Hat OpenShift cluster tutorial.

Captura de ecrã da página de objeto de aplicação

Criar um segredo do clienteCreate a client secret

Gere um segredo do cliente para autenticar a sua aplicação ao Azure Active Directory.Generate a client secret for authenticating your app to Azure Active Directory.

  1. Na Manage secção da página de registos da aplicação, clique em certificados e segredos.In the Manage section of the app registrations page, click Certificates & secrets.
  2. Sobre o certificados e segredos painel, clique em + novo segredo do cliente.On the Certificates & secrets pane, click +New client secret. O adicionar um segredo de cliente é apresentado o painel.The Add a client secret pane appears.
  3. Fornecer um Descrição.Provide a Description.
  4. Definir Expires para a duração de sua preferência, por exemplo dentro de 2 anos.Set Expires to the duration you prefer, for example In 2 Years.
  5. Clique em Add e o valor da chave aparecerá na segredos de cliente secção da página.Click Add and the key value will appear in the Client secrets section of the page.
  6. Copie o valor da chave.Copy down the key value. Nós nos referiremos a este valor como SECRET no criar um cluster do Azure Red Hat OpenShift tutorial.We will refer to this value as SECRET in the Create an Azure Red Hat OpenShift cluster tutorial.

Captura de ecrã do painel de certificados e segredos

Para obter mais informações sobre objetos de aplicação do Azure, consulte aplicativos e objetos de principal de serviço no Azure Active Directory.For more information about Azure Application Objects, see Application and service principal objects in Azure Active Directory.

Para obter detalhes sobre como criar uma nova aplicação do Azure AD, consulte registar uma aplicação com o ponto de final do Azure Active Directory v1.0.For details on creating a new Azure AD application, see Register an app with the Azure Active Directory v1.0 endpoint.

Adicionar permissões de APIAdd API permissions

  1. Na Manage secção clique permissões de API.In the Manage section click API permissions.
  2. Clique em adicionar permissão e selecione Azure Active Directory Graph , em seguida, permissões delegadasClick Add permission and select Azure Active Directory Graph then Delegated permissions
  3. Expanda usuário na lista abaixo e certifique-se User.Read está ativada.Expand User on the list below and make sure User.Read is enabled.
  4. Role e selecione permissões de aplicação.Scroll up and select Application permissions.
  5. Expanda diretório na lista abaixo e ativar Directory.ReadAllExpand Directory on the list below and enable Directory.ReadAll
  6. Clique em adicionar permissões para aceitar as alterações.Click Add permissions to accept the changes.
  7. O painel de permissões de API deve agora mostrar ambos User.Read e Directory.ReadAll.The API permissions panel should now show both User.Read and Directory.ReadAll. Tenha em atenção o aviso no consentimento de administrador necessário coluna junto a Directory.ReadAll.Please note the warning in Admin consent required column next to Directory.ReadAll.
  8. Se estiver a administrador da subscrição do Azure, clique em conceder autorização de administrador para nome da subscrição abaixo.If you are the Azure Subscription Administrator, click Grant admin consent for Subscription Name below. Se não for o administrador da subscrição do Azure, solicitar o consentimento do seu administrador.If you are not the Azure Subscription Administrator, request the consent from your administrator. Captura de ecrã do painel de permissões de API.Screenshot of the API permissions panel. Permissões User.Read e Directory.ReadAll adicionadas, o consentimento de administrador necessária para Directory.ReadAllUser.Read and Directory.ReadAll permissions added, admin consent required for Directory.ReadAll

Importante

Sincronização do grupo de administradores de cluster irá funcionar apenas depois de consentimento foi concedido.Synchronization of the cluster administrators group will work only after consent has been granted. Verá um círculo verde com uma marca de verificação e uma mensagem "para o nome da subscrição" no consentimento de administrador necessário coluna.You will see a green circle with a checkmark and a message "Granted for Subscription Name" in the Admin consent required column.

Para obter detalhes sobre a gestão de administradores e outras funções, consulte adicionar ou alterar os administradores de subscrição do Azure.For details on managing administrators and other roles, see Add or change Azure subscription administrators.

RecursosResources

Passos SeguintesNext steps

Se tiver cumprido todos os pré-requisitos do Azure Red Hat OpenShift, está pronto para criar seu primeiro cluster!If you've met all the Azure Red Hat OpenShift prerequisites, you're ready to create your first cluster!

Experimente o tutorial:Try the tutorial: