Azure Red Hat OpenShift를 위한 Azure Active Directory 통합

중요

Azure Red Hat OpenShift 3.11은 2022년 6월 30일부터 사용이 중지됩니다. 새 Azure Red Hat OpenShift 3.11 클러스터 만들기 지원은 2020년 11월 30일까지 계속됩니다. 사용 중지 후에는 보안 취약성을 방지하기 위해 남아 있는 Azure Red Hat OpenShift 3.11 클러스터가 종료됩니다.

이 가이드를 따라 Azure Red Hat OpenShift 4 클러스터를 만듭니다. 궁금한 점은 문의하세요.

Azure AD(Azure Active Directory) 테넌트를 아직 만들지 않았다면 다음 지침을 계속 진행하기 전에 Azure Red Hat OpenShift용 Azure AD 테넌트 만들기의 지침을 먼저 따르세요.

Microsoft Azure Red Hat OpenShift에는 클러스터 대신 작업을 수행할 수 있는 권한이 필요합니다. 조직에 서비스 사용자로 사용할 Azure AD 사용자, Azure AD 보안 그룹 또는 Azure AD 앱 등록이 아직 없다면 다음 지침에 따라 해당 사용자를 만듭니다.

새 Azure Active Directory 사용자 만들기

Azure Portal에서 테넌트가 포털의 오른쪽 위에 있는 사용자 이름 아래에 표시되는지 확인합니다.

테넌트가 오른쪽 위에 나열된 포털의 스크린샷 잘못된 테넌트가 표시되면 오른쪽 위에 있는 사용자 이름을 클릭한 다음 디렉터리 전환을 클릭하고 모든 디렉터리 목록에서 올바른 테넌트 선택

새로운 Azure Active Directory ‘소유자’ 사용자를 만들어 Azure Red Hat OpenShift 클러스터에 로그인합니다.

  1. 사용자-모든 사용자 블레이드로 이동합니다.
  2. +새 사용자를 클릭하여 사용자 창을 엽니다.
  3. 이 사용자의 이름을 입력합니다.
  4. 만든 .onmicrosoft.com 테넌트 이름에 따라 사용자 이름을 만들고 끝에 추가합니다. 예들 들어 yourUserName@yourTenantName.onmicrosoft.com입니다. 이 사용자 이름을 적어 두세요. 클러스터에 로그인하는 데 필요합니다.
  5. 디렉터리 역할을 클릭하여 디렉터리 역할 창을 열고 소유자를 선택한 다음, 창 아래쪽에서 확인을 클릭합니다.
  6. 사용자 창에서 암호 표시를 클릭하고 임시 암호를 기록합니다. 처음 로그인하면 초기화하라는 메시지가 표시됩니다.
  7. 창 아래쪽에서 만들기를 클릭하여 사용자를 만듭니다.

Azure AD 보안 그룹 만들기

클러스터 관리자 액세스 권한을 부여하기 위해, Azure AD 보안 그룹의 멤버 자격은 OpenShift 그룹 “osa-고객-관리자”로 동기화됩니다. 지정하지 않으면 클러스터 관리자 액세스 권한이 부여되지 않습니다.

  1. Azure Active Directory 그룹 블레이드를 엽니다.

  2. +새 그룹을 클릭합니다.

  3. 그룹 이름 및 설명을 제공합니다.

  4. 그룹 유형보안으로 설정합니다.

  5. 멤버 자격 유형할당됨으로 설정합니다.

    이전 단계에서 만든 Azure AD 사용자를 이 보안 그룹에 추가합니다.

  6. 멤버 를 클릭하여 멤버 선택 창을 엽니다.

  7. 멤버 목록에서 위에서 만든 Azure AD 사용자를 선택합니다.

  8. 포털의 아래쪽에서 선택 을 클릭한 다음 만들기 를 클릭하여 보안 그룹을 만듭니다.

    그룹 ID 값을 적어 둡니다.

  9. 그룹이 만들어지면 모든 그룹 목록에 표시됩니다. 새 그룹을 클릭합니다.

  10. 표시되는 페이지에서 개체 ID를 복사합니다. 이 값은 Azure Red Hat OpenShift 클러스터 만들기 자습서에서 GROUPID로 참조됩니다.

중요

이 그룹을 osa-고객-관리자 OpenShift 그룹과 동기화하려면 Azure CLI를 사용하여 클러스터를 만듭니다. 현재 Azure Portal에는 이 그룹을 설정할 필드가 없습니다.

Azure AD 앱 등록 구성

조직에 서비스 사용자로 사용할 Azure AD(Azure Active Directory) 앱 등록이 아직 없는 경우 다음 지침에 따라 계정을 만드세요.

  1. 앱 등록 블레이드를 열고 +새 등록을 클릭합니다.
  2. 애플리케이션 등록 창에서 애플리케이션 등록의 이름을 입력합니다.
  3. 지원되는 계정 유형에서 해당 조직 디렉터리의 계정만 선택되어 있는지 확인합니다. 이 모드가 가장 안전한 모드입니다.
  4. 클러스터의 URI를 알고 있으면 나중에 리디렉션 URI를 추가합니다. 등록 단추를 클릭하여 Azure AD 애플리케이션 등록을 만듭니다.
  5. 표시되는 페이지에서 애플리케이션(클라이언트) ID를 복사합니다. 이 값은 Azure Red Hat OpenShift 클러스터 만들기 자습서에서 APPID로 참조됩니다.

앱 개체 페이지의 스크린샷

클라이언트 비밀 만들기

Azure Active Directory에 앱을 인증하기 위한 클라이언트 암호를 생성합니다.

  1. 앱 등록 페이지의 관리 섹션에서 인증서 & 비밀을 클릭합니다.
  2. 인증서 & 비밀 창에서 +새 클라이언트 암호를 클릭합니다. 클라이언트 암호 추가 창이 표시됩니다.
  3. 설명을 제공합니다.
  4. 만료 시간은 사용자가 원하는 기간(예: 2년)으로 설정됩니다.
  5. 추가를 클릭하면 키 값이 페이지의 클라이언트 암호 섹션에 나타납니다.
  6. 키 값을 복사합니다. 이 값은 Azure Red Hat OpenShift 클러스터 만들기 자습서에서 SECRET로 참조됩니다.

인증서 및 암호 창의 스크린샷

Azure Application Objects에 대한 자세한 내용은 Azure Active Directory의 애플리케이션 및 서비스 사용자 개체를 참조하세요.

새 Azure AD 애플리케이션을 만드는 방법에 대한 자세한 내용은 Azure Active Directory v1.0 엔드포인트로 앱 등록을 참조하세요.

API 사용 권한 추가

  1. 관리 섹션에서 API 권한을 클릭합니다.
  2. 권한 추가를 클릭하고 Azure Active Directory Graph를 먼저 선택한 다음 위임된 권한을 차례로 선택합니다.

참고

“Microsoft Graph” 타일이 아니라 “Azure Active Directory Graph”를 선택했는지 확인합니다.

  1. 아래 목록에서 사용자를 확장하고 User.Read 권한을 사용하는 것으로 설정합니다. User.Read가 기본적으로 사용하는 것으로 설정되어 있으면 Azure Active Directory Graph 권한 User.Read인지 확인합니다.
  2. 위로 스크롤하여 애플리케이션 권한을 선택합니다.
  3. 아래 목록에서 디렉터리를 확장하고 Directory.ReadAll을 사용하도록 설정합니다.
  4. 권한 추가를 클릭하여 변경 내용을 적용합니다.
  5. 이제 API 권한 패널에 User.ReadDirectory.ReadAll을 모두 표시해야 합니다. Directory.ReadAll 옆에 있는 관리자 동의 필요 열에서 경고를 확인하세요.
  6. Azure 구독 관리자인 경우 아래 구독 이름에 대해 관리자 동의 부여를 클릭합니다. Azure 구독 관리자가 아닌 경우 관리자에게 동의를 요청합니다.

API 권한 패널의 스크린샷. User.Read 및 Directory.ReadAll 권한이 추가됨, Directory.ReadAll에 필요한 관리자 동의

중요

동의가 부여된 후에만 클러스터 관리자 그룹의 동기화가 작동합니다. 관리자 동의 필요 열에서 확인 표시와 “구독 이름에 대해 부여됨” 메시지가 표시된 녹색 원이 표시됩니다.

관리자 및 기타 역할 관리에 대한 자세한 내용은 Azure 구독 관리자 추가 또는 변경을 참조하세요.

리소스

다음 단계

모든 Azure Red Hat OpenShift 필수 구성 요소를 충족한다면 첫 클러스터를 만들 준비가 되었습니다.

다음 자습서를 실행해 보세요.