Azure Red Hat OpenShift の Azure Active Directory 統合

重要

Azure Red Hat OpenShift 3.11 は、2022 年 6 月 30 日に廃止されます。 新しい Azure Red Hat OpenShift 3.11 クラスターの作成のサポートは、2020 年 11 月 30 日まで継続されます。 廃止された後、残っている Azure Red Hat OpenShift 3.11 クラスターは、セキュリティの脆弱性を防ぐためにシャットダウンされます。

このガイドに従って、Azure Red Hat OpenShift 4 クラスターを作成します。 ご質問がある場合は、お問い合わせください

Azure Active Directory (Azure AD) テナントをまだ作成していない場合は、これらの手順を続行する前に Azure Red Hat OpenShift 用の Azure AD テナントの作成に関する記事の手順を行います。

Microsoft Azure Red Hat OpenShift には、クラスターに代わってタスクを実行するためのアクセス許可が必要です。 サービス プリンシパルとして使用する Azure AD ユーザー、Azure AD セキュリティ グループ、Azure AD アプリの登録が組織にまだない場合は、次の手順に従って作成します。

新しい Azure Active Directory ユーザーを作成する

Azure portal で、ポータルの右上のユーザー名の下にテナントが表示されていることを確認します。

右上にテナントが表示されているポータルのスクリーンショット 不適切なテナントが表示される場合は、右上の自分のユーザー名をクリックし、[ディレクトリの切り替え] をクリックして、[すべてのディレクトリ] リストから正しいテナントを選択します。

Azure Red Hat OpenShift クラスターにサインインするための新しい Azure Active Directory の "所有者" ユーザーを作成します。

  1. [ユーザー - すべてのユーザー] ブレードに移動します。
  2. [+ 新しいユーザー] をクリックし、 [ユーザー] ウィンドウを開きます。
  3. このユーザーの [名前] を入力します。
  4. 末尾に .onmicrosoft.com を追加して作成したテナントの名前に基づいて、[ユーザー名] を作成します。 たとえば、「 yourUserName@yourTenantName.onmicrosoft.com 」のように入力します。 このユーザー名をメモします。 これは、クラスターにサインインするときに必要になります。
  5. [ディレクトリ ロール] をクリックしてディレクトリ ロール ペインを開き、 [所有者] を選択してから、ペインの下部にある [OK] をクリックします。
  6. [ユーザー] ウィンドウで [パスワードを表示] をクリックして一時パスワードをメモします。 初めてサインインした後は、リセットするように求められます。
  7. ウィンドウの下部にある [作成] をクリックしてユーザーを作成します。

Azure AD セキュリティ グループを作成する

クラスター管理者アクセスを与える目的で、Azure AD セキュリティ グループのメンバーシップが OpenShift グループ "osa-customer-admins" に同期されます。 指定しない場合、クラスター管理者アクセスは与えられません。

  1. [Azure Active Directory グループ] ブレードを開きます。

  2. [+ 新しいグループ] をクリックします。

  3. グループ名と説明を指定します。

  4. [グループの種類][セキュリティ] に設定します。

  5. [メンバーシップの種類][割り当て済み] を選択します。

    前の手順で作成した Azure AD ユーザーをこのセキュリティ グループに追加します。

  6. [メンバー] をクリックし、 [メンバーの選択] ウィンドウを開きます。

  7. メンバーの一覧で、上記で作成した Azure AD ユーザーを選択します。

  8. ポータルの下部で [選択] をクリックし、 [作成] をクリックしてセキュリティ グループを作成します。

    グループ ID 値を書き留めます。

  9. グループが作成されると、すべてのグループの一覧に表示されます。 新しいグループをクリックします。

  10. ページが表示されたら、 [オブジェクト ID] をコピーします。 Azure Red Hat OpenShift クラスターの作成のチュートリアルでは、この値を GROUPID と呼びます。

重要

このグループを osa-customer-admins OpenShift グループと同期するには、Azure CLI を使用してクラスターを作成します。 現在 Azure portal には、このグループを設定するためのフィールドがありません。

Azure AD アプリの登録を作成する

サービス プリンシパルとして使用する Azure Active Directory (Azure AD) アプリの登録が組織にまだない場合は、次の手順に従って作成します。

  1. [アプリの登録] ブレードを開き、 [+ 新しい登録] をクリックします。
  2. [アプリケーションの登録] ウィンドウで、アプリケーションの登録の名前を入力します。
  3. [サポートされているアカウントの種類][この組織のディレクトリ内のアカウントのみ] を確実に選択します。 これは最も確実な選択肢です。
  4. 後で、クラスターの URI が確認されたとき、リダイレクト URI が追加されます。 [登録] ボタンをクリックして Azure AD アプリケーションの登録を作成します。
  5. 表示されたページで、 [アプリケーション (クライアント) ID] をコピーします。 Azure Red Hat OpenShift クラスターの作成のチュートリアルでは、この値を APPID と呼びます。

アプリ オブジェクト ページのスクリーンショット

クライアント シークレットの作成

Azure Active Directory に対してアプリを認証するためのクライアント シークレットを生成します。

  1. アプリの登録ページの [管理] セクションで、[証明書とシークレット&] をクリックします。
  2. [証明書とシークレット&] ウィンドウで、[+ 新しいクライアント シークレット] をクリックします。 [クライアント シークレットの追加] ウィンドウが表示されます。
  3. [説明] を入力します。
  4. [有効期限] を任意の期間に設定します。たとえば、 [年 2] にします。
  5. [追加] をクリックします。ページの [クライアント シークレット] セクションにキー値が表示されます。
  6. キー値をコピーします。 Azure Red Hat OpenShift クラスターの作成のチュートリアルでは、この値を SECRET と呼びます。

[証明書とシークレット] ウィンドウのスクリーンショット

Azure アプリケーション オブジェクトの詳細については、「Azure Active Directory のアプリケーション オブジェクトとサービス プリンシパル オブジェクト」を参照してください。

新しい Azure AD アプリケーションの作成の詳細については、Azure Active Directory v1.0 エンドポイントへのアプリの登録に関する記事を参照してください。

API アクセス許可を追加する

  1. [管理] セクションで [API のアクセス許可] をクリックします。
  2. [アクセス許可の追加] をクリックし、 [Azure Active Directory Graph][委任されたアクセス許可] の順に選択します。

Note

"Microsoft Graph" タイルではなく、"Azure Active Directory Graph" を選択したことを確認します。

  1. 下の一覧で [ユーザー] を展開し、User.Read アクセス許可を有効にします。 User.Read が既定で有効になっている場合、Azure Active Directory Graph のアクセス許可 User.Read であることを確認してください。
  2. 上にスクロールして [アプリケーションのアクセス許可] を選択します。
  3. 下の一覧で [ディレクトリ] を展開し、Directory.ReadAll を有効にします。
  4. [アクセス許可の追加] をクリックして変更を適用します。
  5. この時点で、API アクセス許可パネルに User.ReadDirectory.ReadAll の両方が表示されているはずです。 Directory.ReadAll の隣の [Admin consent required](管理者の同意が必要) 列の警告に注意してください。
  6. Azure サブスクリプション管理者である場合、下の [Grant admin consent for Subscription Name](<サブスクリプション名> に管理者の同意を付与する) をクリックします。 Azure サブスクリプション管理者でない場合、管理者からの同意を要求します。

[API のアクセス許可] パネルのスクリーンショット。User.Read および Directory.ReadAll アクセス許可が追加され、Directory.ReadAll に管理者の同意が必要です

重要

クラスター管理者グループの同期は、同意が付与された後でないと機能しません。 チェックマークが付いた緑色の円と、"Granted for Subscription Name" (<サブスクリプション名> に許可済み) というメッセージが [Admin consent required](管理者の同意が必要) 列に表示されます。

管理者およびその他のロールの管理の詳細については、Azure サブスクリプション管理者の追加または変更に関する記事を参照してください。

リソース

次のステップ

Azure Red Hat OpenShift の前提条件をすべて満たすと、最初のクラスターを作成する準備は完了です。

次のチュートリアルを試してください。