Azure Active Directory-integrering för Azure Red Hat OpenShiftAzure Active Directory integration for Azure Red Hat OpenShift

Viktigt

Azure Red Hat OpenShift 3,11 kommer att dras tillbaka 30 juni 2022.Azure Red Hat OpenShift 3.11 will be retired 30 June 2022. Stöd för att skapa nya Azure Red Hat OpenShift 3,11-kluster fortsätter till och med 30 november 2020.Support for creation of new Azure Red Hat OpenShift 3.11 clusters continues through 30 November 2020. Efter pensionering kommer de återstående Azure Red Hat OpenShift 3,11-klustren att stängas av för att förhindra säkerhets problem.Following retirement, remaining Azure Red Hat OpenShift 3.11 clusters will be shut down to prevent security vulnerabilities.

Följ den här guiden för att skapa ett Azure Red Hat OpenShift 4-kluster.Follow this guide to create an Azure Red Hat OpenShift 4 cluster. Om du har frågor kan du kontakta oss.If you have specific questions, please contact us.

Om du inte redan har skapat en Azure Active Directory-klient (Azure AD) följer du anvisningarna i skapa en Azure AD-klient för Azure Red Hat OpenShift innan du fortsätter med de här anvisningarna.If you haven't already created an Azure Active Directory (Azure AD) tenant, follow the directions in Create an Azure AD tenant for Azure Red Hat OpenShift before continuing with these instructions.

Microsoft Azure Red Hat OpenShift måste ha behörighet att utföra åtgärder på uppdrag av klustret.Microsoft Azure Red Hat OpenShift needs permissions to perform tasks on behalf of your cluster. Om din organisation inte redan har en Azure AD-användare, Azure AD-säkerhetsgrupp eller en Azure AD-App-registrering som ska användas som tjänstens huvud namn, följer du dessa anvisningar för att skapa dem.If your organization doesn't already have an Azure AD user, Azure AD security group, or an Azure AD app registration to use as the service principal, follow these instructions to create them.

Skapa en ny Azure Active Directory-användareCreate a new Azure Active Directory user

I Azure Portalkontrollerar du att klienten visas under ditt användar namn längst upp till höger i portalen:In the Azure portal, ensure that your tenant appears under your user name in the top right of the portal:

Skärm bild av portalen med klient organisation listad överst till höger om fel klient visas, klicka på ditt användar namn längst upp till höger och klicka sedan på Växla katalogoch välj rätt klient i listan alla kataloger .Screenshot of portal with tenant listed in top right If the wrong tenant is displayed, click your user name in the top right, then click Switch Directory, and select the correct tenant from the All Directories list.

Skapa en ny Azure Active Directory ägarens användare för att logga in i ditt Azure Red Hat OpenShift-kluster.Create a new Azure Active Directory 'Owner' user to sign in to your Azure Red Hat OpenShift cluster.

  1. Gå till bladet användare – alla användare .Go to the Users-All users blade.
  2. Klicka på + ny användare för att öppna fönstret användare .Click +New user to open the User pane.
  3. Ange ett namn för den här användaren.Enter a Name for this user.
  4. Skapa ett användar namn baserat på namnet på den klient som du skapade, med .onmicrosoft.com tillägg i slutet.Create a User name based on the name of the tenant you created, with .onmicrosoft.com appended at the end. Exempelvis yourUserName@yourTenantName.onmicrosoft.com.For example, yourUserName@yourTenantName.onmicrosoft.com. Skriv ned det här användar namnet.Write down this user name. Du behöver den för att logga in på klustret.You'll need it to sign in to your cluster.
  5. Klicka på katalog roll för att öppna fönstret katalog roll och välj ägare och klicka sedan på OK längst ned i fönstret.Click Directory role to open the directory role pane, and select Owner and then click Ok at the bottom of the pane.
  6. I fönstret användare klickar du på Visa lösen ord och registrerar det tillfälliga lösen ordet.In the User pane, click Show Password and record the temporary password. När du har loggat in första gången uppmanas du att återställa den.After you sign in the first time, you'll be prompted to reset it.
  7. Klicka på skapa längst ned i fönstret för att skapa användaren.At the bottom of the pane, click Create to create the user.

Skapa en Azure AD-säkerhetsgruppCreate an Azure AD security group

Medlemskap i en Azure AD-säkerhetsgrupp synkroniseras i OpenShift-gruppen "OSA-Customer-admins" för att bevilja åtkomst till kluster administratören.To grant cluster admin access, the memberships in an Azure AD security group are synced into the OpenShift group "osa-customer-admins". Om inget anges beviljas ingen kluster administratörs åtkomst.If not specified, no cluster admin access will be granted.

  1. Öppna bladet Azure Active Directory grupper .Open the Azure Active Directory groups blade.

  2. Klicka på + ny grupp.Click +New Group.

  3. Ange ett grupp namn och en beskrivning.Provide a group name and description.

  4. Ange grupp typ till säkerhet.Set Group type to Security.

  5. Ange medlemskaps typ som tilldelad.Set Membership type to Assigned.

    Lägg till den Azure AD-användare som du skapade i det tidigare steget i den här säkerhets gruppen.Add the Azure AD user that you created in the earlier step to this security group.

  6. Klicka på medlemmar för att öppna fönstret Välj medlemmar .Click Members to open the Select members pane.

  7. I listan Medlemmar väljer du den Azure AD-användare som du skapade ovan.In the members list, select the Azure AD user that you created above.

  8. Längst ned i portalen klickar du på Välj och sedan skapa för att skapa säkerhets gruppen.At the bottom of the portal, click on Select and then Create to create the security group.

    Skriv ned värdet för grupp-ID.Write down the Group ID value.

  9. När gruppen har skapats visas den i listan över alla grupper.When the group is created, you will see it in the list of all groups. Klicka på den nya gruppen.Click on the new group.

  10. På sidan som visas kopierar du objekt-ID: t.On the page that appears, copy down the Object ID. Vi kommer att referera till det här värdet som GROUPID i själv studie kursen skapa ett Azure Red Hat OpenShift-kluster .We will refer to this value as GROUPID in the Create an Azure Red Hat OpenShift cluster tutorial.

Viktigt

Om du vill synkronisera den här gruppen med OpenShift-gruppen OSA-Customer-admins skapar du klustret med hjälp av Azure CLI.To sync this group with the osa-customer-admins OpenShift group, create the cluster by using the Azure CLI. Azure Portal för närvarande saknar ett fält för att ange den här gruppen.The Azure portal currently lacks a field to set this group.

Skapa en Azure AD-App-registreringCreate an Azure AD app registration

Du kan automatiskt skapa en Azure Active Directory-klient (Azure AD) för program registrering som en del av att skapa klustret genom --aad-client-app-id att utelämna flaggan till az openshift create kommandot.You can automatically create an Azure Active Directory (Azure AD) app registration client as part of creating the cluster by omitting the --aad-client-app-id flag to the az openshift create command. I den här självstudien lär du dig hur du skapar Azure AD-appens registrering för att bli klar.This tutorial shows you how to create the Azure AD app registration for completeness.

Om din organisation inte redan har en Azure Active Directory-app (Azure AD) som ska användas som tjänstens huvud namn, följer du dessa instruktioner för att skapa en.If your organization doesn't already have an Azure Active Directory (Azure AD) app registration to use as a service principal, follow these instructions to create one.

  1. Öppna bladet Appregistreringar och klicka på + ny registrering.Open the App registrations blade and click +New registration.
  2. Ange ett namn för program registreringen i fönstret Registrera ett program .In the Register an application pane, enter a name for your application registration.
  3. Se till att under konto typer som stöds som konton i den här organisations katalogen endast är markerad.Ensure that under Supported account types that Accounts in this organizational directory only is selected. Det här är det säkraste alternativet.This is the most secure choice.
  4. Vi kommer att lägga till en omdirigerings-URI senare när vi känner till klustrets URI.We will add a redirect URI later once we know the URI of the cluster. Klicka på knappen Registrera för att skapa Azure AD-programregistrering.Click the Register button to create the Azure AD application registration.
  5. På sidan som visas kopierar du program-ID: t (klient).On the page that appears, copy down the Application (client) ID. Vi kommer att referera till det här värdet som APPID i själv studie kursen skapa ett Azure Red Hat OpenShift-kluster .We will refer to this value as APPID in the Create an Azure Red Hat OpenShift cluster tutorial.

Skärm bild av sidan app-objekt

Skapa en klient hemlighetCreate a client secret

Generera en klient hemlighet för autentisering av appen till Azure Active Directory.Generate a client secret for authenticating your app to Azure Active Directory.

  1. I avsnittet Hantera på sidan registrerings program klickar du på certifikat & hemligheter.In the Manage section of the app registrations page, click Certificates & secrets.
  2. Klicka på + ny klient hemligheti fönstret certifikat & hemligheter .On the Certificates & secrets pane, click +New client secret. Fönstret Lägg till en klient hemlighet visas.The Add a client secret pane appears.
  3. Ange en Beskrivning.Provide a Description.
  4. Ange förfallo datum för den varaktighet du föredrar, till exempel på två år.Set Expires to the duration you prefer, for example In 2 Years.
  5. Klicka på Lägg till och nyckelvärdet visas i avsnittet klient hemligheter på sidan.Click Add and the key value will appear in the Client secrets section of the page.
  6. Kopiera värdet för nyckel.Copy down the key value. Vi kommer att referera till det här värdet som SECRET i själv studie kursen skapa ett Azure Red Hat OpenShift-kluster .We will refer to this value as SECRET in the Create an Azure Red Hat OpenShift cluster tutorial.

Skärm bild av fönstret certifikat och hemligheter

Mer information om Azure Application objekt finns i program-och tjänst huvud objekt i Azure Active Directory.For more information about Azure Application Objects, see Application and service principal objects in Azure Active Directory.

Mer information om hur du skapar ett nytt Azure AD-program finns i Registrera en app med slut punkten för Azure Active Directory v 1.0.For details on creating a new Azure AD application, see Register an app with the Azure Active Directory v1.0 endpoint.

Lägga till API-behörigheterAdd API permissions

  1. I avsnittet Hantera klickar du på API-behörigheterIn the Manage section click API permissions
  2. Klicka på Lägg till behörighet och välj Azure Active Directory graf sedan delegerade behörigheter.Click Add permission and select Azure Active Directory Graph then Delegated permissions.

Anteckning

Se till att du har valt "Azure Active Directory Graf" och inte "Microsoft Graph"-panelen.Make sure you selected the "Azure Active Directory Graph" and not the "Microsoft Graph" tile.

  1. Expandera användare i listan nedan och aktivera användaren. Läs behörighet.Expand User on the list below and enable the User.Read permission. Om User. Read är aktiverat som standard, se till att det är Azure Active Directory Graph behörighet User. Read.If User.Read is enabled by default, ensure that it is the Azure Active Directory Graph permission User.Read.
  2. Rulla upp och välj program behörigheter.Scroll up and select Application permissions.
  3. Expandera katalogen i listan nedan och aktivera Directory. ReadAll.Expand Directory on the list below and enable Directory.ReadAll.
  4. Klicka på Lägg till behörigheter för att acceptera ändringarna.Click Add permissions to accept the changes.
  5. Panelen API-behörigheter bör nu visa både User. Read och Directory. ReadAll.The API permissions panel should now show both User.Read and Directory.ReadAll. Observera varningen i kolumnen admin medgivande som krävs bredvid Directory. ReadAll.Please note the warning in Admin consent required column next to Directory.ReadAll.
  6. Om du är administratör för Azure-prenumerationklickar du på **bevilja administratörs medgivande för prenumerations namn ** nedan.If you are the Azure Subscription Administrator, click Grant admin consent for Subscription Name below. Om du inte är administratör för Azure-prenumerationenber du ditt medgivande från administratören.If you are not the Azure Subscription Administrator, request the consent from your administrator.

Skärm bild av panelen API-behörigheter.

Viktigt

Synkronisering av gruppen kluster administratörer fungerar bara när medgivande har beviljats.Synchronization of the cluster administrators group will work only after consent has been granted. En grön cirkel visas med en bock markering och ett meddelande "beviljat prenumerations namn" i kolumnen admin medgivande krävs .You will see a green circle with a checkmark and a message "Granted for Subscription Name" in the Admin consent required column.

Mer information om hur du hanterar administratörer och andra roller finns i lägga till eller ändra Azure-prenumerations administratörer.For details on managing administrators and other roles, see Add or change Azure subscription administrators.

ResurserResources

Nästa stegNext steps

Om du har uppfyllt alla de nödvändiga förutsättningarna för att skapa Azure Red Hat OpenShiftär du redo att skapa ditt första kluster!If you've met all the Azure Red Hat OpenShift prerequisites, you're ready to create your first cluster!

Prova själv studie kursen:Try the tutorial: