在Azure Red Hat OpenShift 4.3中配置Azure AD身份认证的完整指南

前言

在现代企业IT环境中，身份认证是确保系统安全的关键环节。本文将详细介绍如何在Azure Red Hat OpenShift 4.3集群中配置Azure Active Directory(AD)身份认证，使企业用户能够使用现有的AD凭证安全访问OpenShift集群。

准备工作

在开始配置前，请确保已完成以下准备工作：

1. 已部署Azure Red Hat OpenShift 4.3集群
2. 拥有集群管理员权限
3. 已安装并配置Azure CLI工具
4. 拥有Azure AD的管理权限

第一步：构建OAuth回调URL

首先需要确定集群的OAuth回调URL，这个URL将在后续的Azure AD应用注册中使用。执行以下命令获取：

domain=$(az aro show -g 资源组名称 -n 集群名称 --query clusterProfile.domain -o tsv)
location=$(az aro show -g 资源组名称 -n 集群名称 --query location -o tsv)
echo "OAuth回调URL: https://oauth-openshift.apps.$domain.$location.aroapp.io/oauth2callback/AAD"

请记录下这个URL，后续步骤会用到。

第二步：创建Azure AD应用程序

1. 登录Azure门户，导航到"应用注册"页面
2. 点击"新注册"创建新应用
3. 输入应用名称(如"aro-azuread-auth")
4. 在"重定向URI"字段填入上一步获取的OAuth回调URL

第三步：配置客户端密钥

1. 在应用注册页面，导航到"证书和密码"部分
2. 创建新的客户端密码
3. 记录密钥值(此值只显示一次，后续无法再次查看)

第四步：记录关键ID信息

在应用概览页面，记录以下重要信息：

• 应用程序(客户端)ID
• 目录(租户)ID

这些信息将在OpenShift配置中使用。

第五步：配置可选声明

为了在认证过程中获取更多用户信息，我们需要配置可选声明：

1. 导航到"令牌配置(预览)"
2. 添加可选声明
3. 选择"ID"令牌类型
4. 勾选"email"和"upn"声明

这样配置后，OpenShift可以使用email声明，并回退到upn来设置首选用户名。

第六步：(可选)分配用户和组

默认情况下，Azure AD租户中的所有用户都可以使用此应用进行认证。如果需要限制访问：

1. 在Azure AD中配置应用的用户和组分配
2. 仅允许特定用户或安全组访问应用

第七步：配置OpenShift OIDC认证

获取kubeadmin凭证

az aro list-credentials \
  --name 集群名称 \
  --resource-group 资源组名称

命令返回包含kubeadmin用户名和密码的JSON对象。

登录OpenShift控制台

1. 获取控制台URL：

az aro show \
    --name 集群名称 \
    --resource-group 资源组名称 \
    --query "consoleProfile.url" -o tsv

2. 使用kubeadmin凭证登录控制台

配置OAuth身份提供者

1. 导航到"管理" > "集群设置"
2. 选择"全局配置"选项卡
3. 找到并点击"OAuth"部分
4. 在"身份提供者"下点击"添加"
5. 选择"OpenID Connect"类型

填写OIDC配置

1. 名称：AAD (或其他有意义的名称)
2. 客户端ID：之前记录的应用程序ID
3. 客户端密钥：之前创建的客户端密码
4. 颁发者URL：格式为https://login.microsoftonline.com/租户ID

在"声明"部分：

1. 将"首选用户名"设置为使用"upn"声明值

保存配置后，OpenShift将开始使用Azure AD进行身份认证。

验证配置

1. 注销OpenShift控制台
2. 重新登录，现在应该能看到"AAD"登录选项
3. 使用Azure AD凭证登录测试

常见问题解决

1. 登录选项未出现：配置可能需要几分钟生效，请耐心等待
2. 认证失败：检查所有配置值是否正确，特别是客户端密钥和回调URL
3. 权限不足：确保Azure AD用户已被分配访问应用的权限

最佳实践建议

1. 为生产环境配置适当的用户和组访问控制
2. 定期轮换客户端密钥
3. 考虑实现多因素认证增强安全性
4. 监控认证日志以发现异常活动

总结

通过本文的步骤，您已成功将Azure Red Hat OpenShift 4.3集群与Azure Active Directory集成，实现了企业级身份认证方案。这种集成不仅提高了安全性，还简化了用户管理，使企业用户能够使用统一的凭证访问OpenShift平台。