Delen via

Microsoft Entra-verificatie configureren voor een Azure Red Hat OpenShift 4-cluster (portal)

  • Artikel

Als u ervoor kiest om de CLI lokaal te installeren en te gebruiken, moet u Azure CLI 2.6.0 of hoger gebruiken voor deze zelfstudie. Voer az --version uit om de versie te bekijken. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren.

Voordat u begint

Maak de OAuth-callback-URL van het cluster en noteer deze. Zorg ervoor dat u aro-rg vervangt door de naam en het aro-cluster van uw resourcegroep door de naam van uw cluster.

Notitie

De AAD sectie in de OAuth-callback-URL moet overeenkomen met de naam van de OAuth-id-provider die u later gaat instellen.

domain=$(az aro show -g aro-rg -n aro-cluster --query clusterProfile.domain -o tsv)
location=$(az aro show -g aro-rg -n aro-cluster --query location -o tsv)
echo "OAuth callback URL: https://oauth-openshift.apps.$domain.$location.aroapp.io/oauth2callback/AAD"

Een Microsoft Entra-toepassing maken voor verificatie

Meld u aan bij Azure Portal en navigeer naar App-registraties blade en klik vervolgens op Nieuwe registratie om een nieuwe toepassing te maken.

Geef een naam op voor de toepassing, bijvoorbeeld aro-azuread-auth, en vul de omleidings-URI in met behulp van de waarde van de OAuth-callback-URL die u eerder hebt opgehaald.

New application registration

Navigeer naar Certificaten en geheimen en klik op Nieuw clientgeheim en vul de details in. Noteer de sleutelwaarde, omdat u deze in een later stadium gaat gebruiken. U kunt deze niet meer ophalen.

Create a secret

Navigeer naar het overzicht en noteer de toepassings-id en map-id (tenant). U hebt ze later nodig.

Retrieve Application (client) and Directory (tenant) IDs

Optionele claims configureren

Toepassingsontwikkelaars kunnen optionele claims gebruiken in hun Microsoft Entra-toepassingen om op te geven welke claims ze willen in tokens die naar hun toepassing worden verzonden.

U kunt optionele claims gebruiken voor het volgende:

  • Aanvullende claims selecteren die u wilt opnemen in tokens voor uw toepassing.
  • Wijzig het gedrag van bepaalde claims die microsoft Entra-id retourneert in tokens.
  • Aangepaste claims voor uw toepassing toevoegen en openen.

We configureren OpenShift om de email claim te gebruiken en terug te vallen om upn de voorkeursgebruikersnaam in te stellen door het upn als onderdeel van het id-token toe te voegen dat wordt geretourneerd door Microsoft Entra ID.

Navigeer naar de tokenconfiguratie en klik op Optionele claim toevoegen. Selecteer id en controleer vervolgens de e-mail - en upn-claims .

Screenshot that shows the email and upn claims that were added.

Gebruikers en groepen toewijzen aan het cluster (optioneel)

Toepassingen die zijn geregistreerd in een Microsoft Entra-tenant zijn standaard beschikbaar voor alle gebruikers van de tenant die zijn geverifieerd. Met Microsoft Entra ID kunnen tenantbeheerders en ontwikkelaars een app beperken tot een specifieke set gebruikers of beveiligingsgroepen in de tenant.

Volg de instructies in de Microsoft Entra-documentatie om gebruikers en groepen toe te wijzen aan de app.

OpenShift OpenID-verificatie configureren

Haal de kubeadmin referenties op. Voer de volgende opdracht uit om het wachtwoord voor de kubeadmin-gebruiker te vinden.

az aro list-credentials \
  --name aro-cluster \
  --resource-group aro-rg

In de volgende voorbeeld ziet u dat het wachtwoord in kubeadminPassword is.

{
  "kubeadminPassword": "<generated password>",
  "kubeadminUsername": "kubeadmin"
}

U kunt de URL van de clusterconsole vinden door de volgende opdracht uit te voeren, die eruit ziet als https://console-openshift-console.apps.<random>.<region>.aroapp.io/

 az aro show \
    --name aro-cluster \
    --resource-group aro-rg \
    --query "consoleProfile.url" -o tsv

Start de console-URL in een browser en meld u aan met de referenties van kubeadmin.

Navigeer naar Beheer istratie, klik op Cluster Instellingen en selecteer vervolgens het tabblad Configuratie. Schuif om OAuth te selecteren.

Schuif omlaag om Toevoegen onder Id-providers te selecteren en openID Verbinding maken te selecteren. Select OpenID Connect from the Identity Providers dropdown

Vul de naam in als Microsoft Entra-id, de client-id als de toepassings-id en het clientgeheim. De URL van de verlener is als volgt opgemaakt: https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/v2.0. Vervang de tijdelijke aanduiding door de tenant-id die u eerder hebt opgehaald.

Fill in OAuth details

Schuif omlaag naar de sectie Claims en werk de gebruikersnaam van voorkeur bij om de waarde van de upn-claim te gebruiken.

Fill in claims details

Aanmelding verifiëren via Microsoft Entra-id

Als u zich nu afmeldt bij de OpenShift-webconsole en u zich opnieuw probeert aan te melden, krijgt u een nieuwe optie te zien om u aan te melden met Microsoft Entra ID. Mogelijk moet u enkele minuten wachten.

Login screen with Microsoft Entra option

Notitie

Als u de fout 'AADSTS50011: de omleidings-URI https://oauth-openshift.apps.xxxxxxxxxx.xxxxxxx.aroapp.io/oauth2callback/xxxx die in de aanvraag is opgegeven, komt niet overeen met de omleidings-URI's die zijn geconfigureerd', volgt u de probleemoplossingsgids voor aanmelding van Azure AD (OIDC) wanneer omleidings-URI niet juist is ingesteld om het probleem op te lossen.