Integração do Azure Active Directory para o Red Hat OpenShift no Azure

Importante

O Red Hat OpenShift no Azure 3.11 será desativado em 30 de junho de 2022. O suporte para a criação de clusters do Red Hat OpenShift no Azure 3.11 continuará até 30 de novembro de 2020. Após a aposentadoria, os clusters restantes do Red Hat OpenShift no Azure 3.11 serão desligados para evitar vulnerabilidades de segurança.

Siga este guia para criar um cluster do Red Hat OpenShift 4 no Azure. Se tiver dúvidas específicas, entre em contato conosco.

Se você ainda não criou um locatário do Azure Active Directory (Azure AD), siga as instruções em Criar um locatário do Azure AD para Red Hat OpenShift no Azure antes de continuar com estas instruções.

O Red Hat OpenShift no Microsoft Azure precisa de permissões para executar tarefas em nome do cluster. Se sua organização ainda não tiver um usuário do Azure AD, um grupo de segurança do Azure AD ou um registro de aplicativo do Azure AD para usar como a entidade de serviço, siga estas instruções para criá-los.

Criar um novo usuário do Azure Active Directory

No portal do Azure, verifique se o locatário aparece sob seu nome de usuário no canto superior direito do portal:

Captura de tela do portal com locatário listado no canto superior direito Se o locatário errado for exibido, clique no seu nome de usuário no canto superior direito, clique em Alternar diretório e selecione o locatário correto na lista Todos os diretórios.

Crie um novo usuário 'Proprietário' do Azure Active Directory para entrar no cluster do Red Hat OpenShift no Azure.

  1. Vá para a folha Usuários – Todos os usuários.
  2. Clique em + Novo usuário para abrir o Painel de usuário.
  3. Insira um Nome para este usuário.
  4. Crie um Nome de usuário com base no nome do locatário que você criou, com .onmicrosoft.com anexado no final. Por exemplo, yourUserName@yourTenantName.onmicrosoft.com. Anote este nome de usuário. Você precisará dele para entrar no cluster.
  5. Clique em Função de diretório para abrir o painel de função de diretório, selecione Proprietário e, em seguida, clique em OK na parte inferior do painel.
  6. No painel do usuário, clique em Mostrar senha e registre a senha temporária. Depois de entrar na primeira vez, você será solicitada uma redefinição.
  7. Na parte inferior do painel, clique em Criar para criar o usuário.

Criar um grupo de segurança do Azure AD

Para conceder acesso de administrador de cluster, as associações em um grupo de segurança do Azure AD são sincronizadas no grupo OpenShift "OSA-Customer-admins". Se não for especificado, nenhum acesso de administrador de cluster será concedido.

  1. Abra a folha do Azure Active Directory.

  2. Clique em +Novo Grupo.

  3. Forneça um nome de grupo e uma descrição.

  4. Defina o Tipo de grupo como Segurança.

  5. Defina o Tipo de associação como Atribuído.

    Adicione o usuário do Azure AD que você criou na etapa anterior a esse grupo de segurança.

  6. Clique em Membros para abrir o painel Selecionar membros.

  7. Na lista de membros, selecione o usuário do Azure AD que você criou acima.

  8. Na parte inferior do portal, clique em Selecionar e em Criar para criar o grupo de segurança.

    Anote o valor da ID do grupo.

  9. Quando o grupo for criado, você o verá na lista de todos os grupos. Clique no novo grupo.

  10. Na página exibida, copie a ID do objeto. Iremos nos referir a esse valor como GROUPID no tutorial Criar um cluster do Red Hat OpenShift no Azure.

Importante

Para sincronizar esse grupo com o grupo OpenShift OSA-Customer-admins, crie o cluster usando a CLI do Azure. O portal do Azure atualmente não tem um campo para definir esse grupo.

Criar um registro no aplicativo Azure AD

Se sua organização ainda não tiver um registro de aplicativo do Azure Active Directory (Azure AD) para usar como uma entidade de serviço, siga estas instruções para criar um.

  1. Abra a folha Registros de aplicativo e clique em +Novo registro.
  2. No painel Registrar um aplicativo, insira um nome para o registro do seu aplicativo.
  3. Certifique-se de que em Tipos de conta com suporte somenteContas neste diretório organizacional está selecionado. Essa é a escolha mais segura.
  4. Adicionaremos um URI de redirecionamento mais tarde, uma vez que soubermos o URI do cluster. Clique no botão Registrar para criar o registro do aplicativo do Azure AD.
  5. Na página exibida, copie a ID do aplicativo (cliente) . Iremos nos referir a esse valor como APPID no tutorial criar um cluster do Red Hat OpenShift no Azure.

Captura de tela da página de objeto do aplicativo

Criar um segredo do cliente

Gere um segredo do cliente para autenticar seu aplicativo para o Azure Active Directory.

  1. Na seção Gerenciar da página registros de aplicativo, clique em Certificados & segredos.
  2. No painel Certificados & segredos, clique em +Novo segredo do cliente. O painel Adicionar um segredo do cliente aparecerá.
  3. Forneça uma Descrição.
  4. Defina Expirar para a duração que você preferir, por exemplo, Em 2 anos.
  5. Clique em Adicionar e o valor da chave será exibido na seção Segredos do cliente da página.
  6. Anote o valor da chave. Iremos nos referir a esse valor como SECRET no tutorial Criar um cluster do Red Hat OpenShift no Azure.

Captura de tela do painel Certificados e segredos

Para obter mais informações sobre Objetos de Aplicativos do Azure, consulte Objetos de aplicativo e de entidade de serviço no Azure Active Directory.

Para obter detalhes sobre como criar um novo aplicativo do Azure AD, consulte Registrar um aplicativo com o endpoint do Azure Active Directory v 1.0.

Adicionar permissões de API

  1. Na seção Gerenciar, clique em Permissões de API
  2. Clique em Adicionar permissão, selecione Azure Active Directory Graph e, em seguida, Permissões delegadas.

Observação

Verifique se você selecionou o "Azure Active Directory Graph", e não a peça "Microsoft Graph".

  1. Expanda Usuário na lista abaixo e habilite a permissão User.Read. Se User.Read estiver habilitado por padrão, certifique-se de que é a permissão do Azure Active Directory User.Read.
  2. Role para cima e selecione Permissões de aplicativo.
  3. Expanda diretório na lista abaixo e habilite Directory.ReadAll.
  4. Clique em Adicionar permissões para aceitar as mudanças.
  5. O painel de permissões de API agora deve mostrar User.Read e Directory.ReadAll. Observe o aviso na coluna Obrigatório consentimento do administrador ao lado de Directory.ReadAll.
  6. Se você for o Administrador da assinatura do Azure, clique em Conceder consentimento do administrador para o Nome da assinatura abaixo. Se você não for o Administrador da assinatura do Azure, solicite o consentimento do seu administrador.

Captura de tela do painel de permissões da API. User.Read e Directory.ReadAll adicionadas, consentimento do administrador necessário para o Directory.ReadAll

Importante

A sincronização do grupo de administradores de cluster só funcionará depois que o consentimento tiver sido dado. Você verá um círculo verde com uma marca de seleção e a mensagem "Concedida para o Nome da assinatura" na coluna Consentimento do administrador obrigatório.

Para detalhes sobre como gerenciar administradores e outras funções, consulte Adicionar ou alterar administradores de assinatura do Azure.

Recursos

Próximas etapas

Se você tiver atendido todos os pré-requisitos do Red Hat OpenShift no Azure, estará pronto para criar seu primeiro cluster!

Use o tutorial: