Azure Active Directory-Integration für Azure Red Hat OpenShift

Wichtig

Azure Red Hat OpenShift 3.11 wird zum 30. Juni 2022 eingestellt. Unterstützung für die Erstellung neuer Azure Red Hat OpenShift 3.11-Cluster wird bis zum 30. November 2020 bereitgestellt. Nach der Einstellung werden die verbleibenden Azure Red Hat OpenShift 3.11-Cluster abgeschaltet, um Sicherheitsrisiken zu vermeiden.

Führen Sie die Schritte in diesem Leitfaden aus, um einen Azure Red Hat OpenShift 4-Cluster zu erstellen. Wenn Sie spezielle Fragen haben, kontaktieren Sie uns.

Wenn Sie noch keinen Azure Active Directory-Mandanten erstellt haben, befolgen Sie die Anweisungen unter Erstellen von Azure AD-Mandanten für Azure Red Hat OpenShift, bevor Sie mit dieser Anleitung fortfahren.

Microsoft Azure Red Hat OpenShift benötigt Berechtigungen zum Ausführen von Tasks für Ihren Cluster. Wenn Ihre Organisation noch keine Azure AD-Benutzer, Azure AD-Sicherheitsgruppe oder Azure AD-App-Registrierung zur Verwendung als Dienstprinzipal besitzt, befolgen Sie die folgenden Anweisungen, um diese zu erstellen.

Erstellen eines neuen Azure Active Directory-Benutzers

Stellen Sie im Azure-Portal sicher, dass Ihr Mandant unter Ihrem Benutzernamen oben rechts im Portal angezeigt wird:

Screenshot des Portals mit Anzeige des Mandanten oben rechts Wenn der falsche Mandant angezeigt wird, klicken Sie oben rechts auf Ihren Benutzernamen. Klicken Sie dann auf Verzeichnis wechseln, und wählen Sie den richtigen Mandanten aus der Liste Alle Verzeichnisse aus.

Erstellen Sie einen neuen Azure Active Directory-Benutzer vom Typ „Besitzer“, um sich bei Ihrem Azure Red Hat OpenShift-Cluster anzumelden.

  1. Wechseln Sie zum Blatt Benutzer – Alle Benutzer.
  2. Klicken Sie zum Öffnen des Bereichs Benutzer auf Neuer Benutzer.
  3. Geben Sie einen Namen für diesen Benutzer ein.
  4. Erstellen Sie einen Benutzernamen, der auf dem Namen des erstellten Mandanten basiert, und fügen Sie am Ende .onmicrosoft.com an. Beispiel: yourUserName@yourTenantName.onmicrosoft.com. Notieren Sie sich diesen Benutzernamen. Sie benötigen ihn zur Anmeldung bei Ihrem Cluster.
  5. Klicken Sie zum Öffnen des Bereichs „Verzeichnisrolle“ auf Verzeichnisrolle, und wählen Sie Besitzer aus. Klicken Sie dann am unteren Rand des Bereichs auf OK.
  6. Klicken Sie im Bereich Benutzer auf Kennwort anzeigen, und notieren Sie das temporäre Kennwort. Nachdem Sie sich zum ersten Mal angemeldet haben, werden Sie zum Zurücksetzen des Kennworts aufgefordert.
  7. Klicken Sie im unteren Bereich auf Erstellen, um den Benutzer zu erstellen.

Erstellen einer Azure AD-Sicherheitsgruppe

Die Mitgliedschaften in einer Azure AD-Sicherheitsgruppe werden mit der OpenShift-Gruppe „osa-customer-admins“ synchronisiert, um Clusteradministratorzugriff zu gewähren. Wenn dies nicht angegeben wird, wird kein Clusteradministratorzugriff gewährt.

  1. Öffnen Sie das Blatt Azure Active Directory-Gruppen.

  2. Klicken Sie auf +Neue Gruppe.

  3. Geben Sie einen Gruppennamen und eine Beschreibung an.

  4. Legen Sie für Gruppentyp die Option Sicherheit fest.

  5. Legen Sie den Mitgliedschaftstyp auf Zugewiesen fest.

    Fügen Sie dieser Sicherheitsgruppe den Azure AD-Benutzer hinzu, den Sie in einem vorherigen Schritt erstellt haben.

  6. Klicken Sie auf Mitglieder, um den Bereich Mitglieder auswählen zu öffnen.

  7. Wählen Sie in der Liste der Mitglieder den Azure AD-Benutzer aus, den Sie zuvor erstellt haben.

  8. Klicken Sie im Portal im unteren Bereich der Seite zuerst auf Auswählen und anschließend auf Erstellen, um die Sicherheitsgruppe zu erstellen.

    Notieren Sie sich den Wert der Gruppen-ID.

  9. Wenn die Gruppe erstellt wurde, wird diese in der Liste aller Gruppen angezeigt. Klicken Sie auf die neue Gruppe.

  10. Kopieren Sie die Objekt-ID, die auf der Seite angezeigt wird. Im Tutorial Erstellen eines Azure Red Hat OpenShift-Clusters bezeichnen wir diesen Wert als GROUPID.

Wichtig

Um diese Gruppe mit der OpenShift-Gruppe „osa-customer-admins“ zu synchronisieren, erstellen Sie den Cluster mithilfe der Azure CLI. Im Azure-Portal fehlt zurzeit ein Feld zum Festlegen dieser Gruppe.

Erstellen einer Azure AD-App-Registrierung

Wenn Ihre Organisation noch keine Azure Active Directory-App-Registrierung (Azure AD) zur Verwendung als Dienstprinzipal besitzt, befolgen Sie die folgenden Anweisungen, um diese zu erstellen.

  1. Öffnen Sie das Blatt App-Registrierungen, und klicken Sie auf + Neue Registrierung.
  2. Geben Sie im Bereich Anwendung registrieren einen Namen für Ihre Anwendungsregistrierung ein.
  3. Stellen Sie sicher, dass unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis ausgewählt ist. Dies ist die sicherste Option.
  4. Sobald wir den URI des Clusters wissen, fügen wir einen Umleitungs-URI hinzu. Klicken Sie auf die Schaltfläche Registrieren, um die Azure AD-Anwendungsregistrierung zu erstellen.
  5. Kopieren Sie die Anwendungs-ID (Client-ID) , die auf der Seite angezeigt wird. Im Tutorial Erstellen eines Azure Red Hat OpenShift-Clusters bezeichnen wir diesen Wert als APPID.

Screenshot der Seite „App-Objekt“

Erstellen eines Clientgeheimnisses

Generieren Sie ein Clientgeheimnis zur Authentifizierung Ihrer App bei Azure Active Directory.

  1. Klicken Sie im Abschnitt Verwalten der Seite „App-Registrierungen“ auf Zertifikate & Geheimnisse.
  2. Klicken Sie im Bereich Zertifikate & Geheimnisse auf +Neuer geheimer Clientschlüssel. Der Bereich Geheimen Clientschlüssel hinzufügen wird angezeigt.
  3. Geben Sie eine Beschreibung ein.
  4. Legen Sie Expires (Läuft ab) auf die von Ihnen gewünschte Dauer fest (z. B. In 2 Jahren).
  5. Klicken Sie auf Hinzufügen. Daraufhin wird der Schlüsselwert im Abschnitt Geheime Clientschlüssel der Seite angezeigt.
  6. Notieren Sie sich den Schlüsselwert. Im Tutorial Erstellen eines Azure Red Hat OpenShift-Clusters bezeichnen wir diesen Wert als SECRET.

Screenshot des Bereichs „Zertifikate und Geheimnisse“

Weitere Informationen zu Azure-Anwendungsobjekten finden Sie unter Anwendungs- und Dienstprinzipalobjekte in Azure Active Directory.

Details zur Erstellung einer neuen Azure AD-Anwendung finden Sie unter Registrieren einer App mit dem Azure AD v1.0-Endpunkt.

Hinzufügen von API-Berechtigungen

  1. Klicken Sie im Bereich Verwalten auf API-Berechtigungen.
  2. Klicken Sie auf Berechtigung hinzufügen, und wählen Sie Azure Active Directory Graph und dann Delegierte Berechtigungen aus.

Hinweis

Vergewissern Sie sich, dass Sie die Kachel „Azure Active Directory Graph“ und nicht die Kachel „Microsoft Graph“ ausgewählt haben.

  1. Erweitern Sie Benutzer in der folgenden Liste, und aktivieren Sie die Berechtigung User.Read. Wenn User.Read standardmäßig aktiviert ist, stellen Sie sicher, dass es sich um die Azure Active Directory Graph-Berechtigung User.Read handelt.
  2. Scrollen Sie nach oben, und wählen Sie Anwendungsberechtigungen aus.
  3. Erweitern Sie Verzeichnis in der folgenden Liste, und aktivieren Sie Directory.ReadAll.
  4. Klicken Sie auf Berechtigungen hinzufügen, um die Änderungen zu übernehmen.
  5. Der Bereich der API-Berechtigungen sollte nun sowohl User.Read als auch Directory.ReadAll anzeigen. Bitte beachten Sie die Warnung in der Spalte Administratoreinwilligung erforderlich neben Directory.ReadAll.
  6. Wenn Sie der Azure-Abonnementadministrator sind, klicken Sie unten auf Administratorzustimmung für Abonnementname erteilen. Wenn Sie nicht der Azure-Abonnementadministrator sind, fordern Sie die Zustimmung von Ihrem Administrator an.

Screenshot des Bereichs der API-Berechtigungen. Die Berechtigungen „User.Read“ und „Directory.ReadAll“ sind hinzugefügt, die Zustimmung des Administrators ist für „Directory.ReadAll“ erforderlich.

Wichtig

Die Synchronisierung der Clusteradministratorengruppe funktioniert nur, nachdem die Zustimmung erteilt ist. Daraufhin wird ein grüner Kreis mit einem Häkchen und die Meldung „Gewährt für Abonnementname“ in der Spalte Administratoreinwilligung erforderlich angezeigt.

Weitere Informationen zum Verwalten von Administratoren und anderen Rollen finden Sie unter Hinzufügen oder Ändern von Azure-Abonnementadministratoren.

Ressourcen

Nächste Schritte

Wenn Sie alle Azure Red Hat OpenShift-Voraussetzungen erfüllt haben, können Sie Ihren ersten Cluster erstellen!

Lesen Sie dieses Tutorial: