本文永久鏈接: https://www.xtplayer.cn/rancher/authentication/rancher2-azure-ad-authentication/
版本支持: Rancher v2.0.3+
如果您在 Azure中啟用了 Active Directory(AD)服務(wù)祟滴,則可以配置 Rancher以允許您的用戶使用 Azure AD帳戶登錄责蝠。
在 Azure中注冊(cè) Rancher
在 Rancher中啟用 Azure AD之前晕换,必須向 Azure注冊(cè) Rancher盹沈。
Azure分 Global區(qū)和中國(guó)區(qū):
·中國(guó)區(qū) Portal地址:https://portal.azure.cn
·Global區(qū)Portal地址:https://portal.azure.com
本文配置以中國(guó)區(qū)為例踊谋,Global區(qū)方法類(lèi)似
1.步驟中的配置需要管理訪問(wèn)權(quán)限框仔,所以需要以管理用戶身份登錄Microsoft Azure portal初婆。
2.搜索應(yīng)用注冊(cè)并打開(kāi)
3.點(diǎn)擊新應(yīng)用程序注冊(cè)机打,并完成表單填寫(xiě)矫户,最后點(diǎn)擊右下角的創(chuàng)建。
注意:登錄 URL需要填寫(xiě)為 Rancher設(shè)置中配置的server_url残邀,但是中國(guó)區(qū)需要在rancher_server_url地址后面添加verify-auth-azure 后綴吏垮,例如:https://demo.rancher.com/verify-auth-azure,Azure為 Global區(qū)不用添加罐旗。
創(chuàng)建 Azure API密鑰
從 Azure門(mén)戶中創(chuàng)建 API密鑰膳汪,Rancher將使用此密鑰對(duì) Azure AD進(jìn)行身份驗(yàn)證。
1.搜索應(yīng)用注冊(cè)服務(wù)九秀,然后打開(kāi)上一個(gè)過(guò)程中創(chuàng)建的rancher-test遗嗽。可能會(huì)提示您不是此目錄中任何應(yīng)用程序的所有者,直接點(diǎn)擊查看所有應(yīng)用程序鼓蜒。
2.點(diǎn)擊rancher-test后彈出新的窗口
3.單擊設(shè)置痹换,從設(shè)置邊欄中選擇密鑰。
4.輸入密鑰描述,比如rancher-test都弹,選擇密鑰的有效期娇豫,最后點(diǎn)擊保存。
注意: 因?yàn)槊荑€只顯示一次畅厢,所以需要復(fù)制密鑰并保存到一個(gè)安全的地方冯痢。
設(shè)置 Rancher的必需權(quán)限
接下來(lái),在 Azure中為 Rancher設(shè)置 API權(quán)限框杜。
1.緊接上一步浦楣,從設(shè)置邊欄選擇所需權(quán)限。
2.單擊Windows Azure Active Directory咪辱。
3.從啟用訪問(wèn)權(quán)限邊欄選項(xiàng)卡中振劳,勾選以下委派權(quán)限:
o以登錄用戶身份訪問(wèn)該目錄
o讀取目錄數(shù)據(jù)
o讀取所有群組
o讀取所有用戶的完整個(gè)人資料
o讀取所有用戶的基本配置文件
o登錄并讀取用戶個(gè)人資料
注意:必須以 Azure管理員身份登錄才能成功保存權(quán)限設(shè)置。
復(fù)制 Azure應(yīng)用程序數(shù)據(jù)
Azure配置的最后一步油狂,復(fù)制用于配置 Rancher進(jìn)行 Azure AD身份驗(yàn)證的相關(guān)配置參數(shù)到空文本文件中历恐。
1.獲取目錄 ID
o搜索 Azure Active Directory服務(wù)
o從 Azure Active Directory菜單中,打開(kāi)屬性
o復(fù)制目錄 ID并將其粘貼到文本文件中
2.獲取應(yīng)用 ID专筷。
o搜索應(yīng)用注冊(cè)
o找到創(chuàng)建的rancher-test應(yīng)用
o復(fù)制應(yīng)用程序 ID并將其粘貼到您的文本文件中
o獲取MICROSOFT AZURE AD GRAPH API終結(jié)點(diǎn)弱贼、OAUTH 2.0令牌終結(jié)點(diǎn)和OAUTH 2.0授權(quán)終結(jié)點(diǎn)。
o搜索應(yīng)用注冊(cè)仁堪,并點(diǎn)擊終結(jié)點(diǎn)
3.將以下端點(diǎn)復(fù)制到剪貼板并將其粘貼到文本文件中
oMICROSOFT AZURE AD GRAPH API終結(jié)點(diǎn)
oOAUTH 2.0令牌終結(jié)點(diǎn)
oOAUTH 2.0授權(quán)終結(jié)點(diǎn)
在 Rancher中配置 Azure AD
在 Rancher UI中哮洽,輸入在 Azure中獲取到的 AD配置信息以完成配置。
1.登錄 RancherUI,從全局視圖中弦聂,選擇安全>認(rèn)證鸟辅。
2.選擇 Azure AD氛什。
3.輸入對(duì)應(yīng)的配置信息:
下表是 Azure 門(mén)戶配置與 Rancher 認(rèn)證配置的字段對(duì)應(yīng)表:
重要提示
Global區(qū) Endpoint地址: https://login.windows.net/
Global區(qū) Graph Endpoint地址:https://graph.windows.net/
具體信息請(qǐng)查閱:Check-endpoints-in-Azure
4.最后點(diǎn)擊啟用 Azure AD。
