首页
/ 在Azure Red Hat OpenShift 4.3中配置Azure AD身份认证的完整指南

在Azure Red Hat OpenShift 4.3中配置Azure AD身份认证的完整指南

2025-06-26 17:01:51作者:咎岭娴Homer

前言

在现代企业IT环境中,身份认证是确保系统安全的关键环节。本文将详细介绍如何在Azure Red Hat OpenShift 4.3集群中配置Azure Active Directory(AD)身份认证,使企业用户能够使用现有的AD凭证安全访问OpenShift集群。

准备工作

在开始配置前,请确保已完成以下准备工作:

  1. 已部署Azure Red Hat OpenShift 4.3集群
  2. 拥有集群管理员权限
  3. 已安装并配置Azure CLI工具
  4. 拥有Azure AD的管理权限

第一步:构建OAuth回调URL

首先需要确定集群的OAuth回调URL,这个URL将在后续的Azure AD应用注册中使用。执行以下命令获取:

domain=$(az aro show -g 资源组名称 -n 集群名称 --query clusterProfile.domain -o tsv)
location=$(az aro show -g 资源组名称 -n 集群名称 --query location -o tsv)
echo "OAuth回调URL: https://oauth-openshift.apps.$domain.$location.aroapp.io/oauth2callback/AAD"

请记录下这个URL,后续步骤会用到。

第二步:创建Azure AD应用程序

  1. 登录Azure门户,导航到"应用注册"页面
  2. 点击"新注册"创建新应用
  3. 输入应用名称(如"aro-azuread-auth")
  4. 在"重定向URI"字段填入上一步获取的OAuth回调URL

第三步:配置客户端密钥

  1. 在应用注册页面,导航到"证书和密码"部分
  2. 创建新的客户端密码
  3. 记录密钥值(此值只显示一次,后续无法再次查看)

第四步:记录关键ID信息

在应用概览页面,记录以下重要信息:

  • 应用程序(客户端)ID
  • 目录(租户)ID

这些信息将在OpenShift配置中使用。

第五步:配置可选声明

为了在认证过程中获取更多用户信息,我们需要配置可选声明:

  1. 导航到"令牌配置(预览)"
  2. 添加可选声明
  3. 选择"ID"令牌类型
  4. 勾选"email"和"upn"声明

这样配置后,OpenShift可以使用email声明,并回退到upn来设置首选用户名。

第六步:(可选)分配用户和组

默认情况下,Azure AD租户中的所有用户都可以使用此应用进行认证。如果需要限制访问:

  1. 在Azure AD中配置应用的用户和组分配
  2. 仅允许特定用户或安全组访问应用

第七步:配置OpenShift OIDC认证

获取kubeadmin凭证

az aro list-credentials \
  --name 集群名称 \
  --resource-group 资源组名称

命令返回包含kubeadmin用户名和密码的JSON对象。

登录OpenShift控制台

  1. 获取控制台URL:
az aro show \
    --name 集群名称 \
    --resource-group 资源组名称 \
    --query "consoleProfile.url" -o tsv
  1. 使用kubeadmin凭证登录控制台

配置OAuth身份提供者

  1. 导航到"管理" > "集群设置"
  2. 选择"全局配置"选项卡
  3. 找到并点击"OAuth"部分
  4. 在"身份提供者"下点击"添加"
  5. 选择"OpenID Connect"类型

填写OIDC配置

  1. 名称:AAD (或其他有意义的名称)
  2. 客户端ID:之前记录的应用程序ID
  3. 客户端密钥:之前创建的客户端密码
  4. 颁发者URL:格式为https://login.microsoftonline.com/租户ID

在"声明"部分:

  1. 将"首选用户名"设置为使用"upn"声明值

保存配置后,OpenShift将开始使用Azure AD进行身份认证。

验证配置

  1. 注销OpenShift控制台
  2. 重新登录,现在应该能看到"AAD"登录选项
  3. 使用Azure AD凭证登录测试

常见问题解决

  1. 登录选项未出现:配置可能需要几分钟生效,请耐心等待
  2. 认证失败:检查所有配置值是否正确,特别是客户端密钥和回调URL
  3. 权限不足:确保Azure AD用户已被分配访问应用的权限

最佳实践建议

  1. 为生产环境配置适当的用户和组访问控制
  2. 定期轮换客户端密钥
  3. 考虑实现多因素认证增强安全性
  4. 监控认证日志以发现异常活动

总结

通过本文的步骤,您已成功将Azure Red Hat OpenShift 4.3集群与Azure Active Directory集成,实现了企业级身份认证方案。这种集成不仅提高了安全性,还简化了用户管理,使企业用户能够使用统一的凭证访问OpenShift平台。

登录后查看全文
热门项目推荐

最新内容推荐

项目优选

收起
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
176
261
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
860
511
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
129
182
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
259
300
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
93
15
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
332
1.08 K
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
398
371
note-gennote-gen
一款跨平台的 Markdown AI 笔记软件,致力于使用 AI 建立记录和写作的桥梁。
TSX
83
4
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.07 K
0
kernelkernel
deepin linux kernel
C
22
5