我的书签
添加书签
移除书签如果您在 Azure 中托管了一个 Active Directory(AD)实例,您可以将 Rancher 配置为允许您的用户使用 AD 帐户登录。Azure AD 外部身份验证的配置要求您在 Azure 和 Rancher 中进行配置。
将 Rancher 配置为允许用户使用其 Azure AD 帐户进行身份验证涉及多个过程。开始之前,请查看下文操作步骤。
提示: 在开始之前,我们建议您创建一个空文本文件。您可以使用此文件从 Azure 复制值,稍后将其粘贴到 Rancher 中。
注册 Rancher
在 Rancher 中启用 Azure AD 之前,必须向 Azure 注册 Rancher。
以管理用户身份登录到 。以后步骤中的配置需要管理访问权限。
使用搜索功能打开App registrations服务。
单击New registrations,完成创建表单。
输入名称(类似于)。
在 Supported account types,选择 “Accounts in this organizational directory only (AzureADTest only - Single tenant)”。这对应于旧版应用程序注册选项。
在 Redirect URI 部分中,确保从下拉列表中选择了 Web,然后在下拉菜单旁边的文本框中输入 Rancher Server 的 URL。该 Rancher Server URL 应附加验证路径:
<MY_RANCHER_URL>/verify-auth-azure单击 Register。
注意: 此更改最多可能需要五分钟才能生效,因此,如果在配置 Azure AD 之后无法立即进行身份验证,请不要惊慌。
在 Azure 门户中,创建客户端密钥。 Rancher 将使用此密钥向 Azure AD 进行身份验证。
使用搜索打开App registrations服务。然后打开您在上一个过程中创建的 Rancher 条目。
在左侧的导航窗格中,单击 Certificates and Secrets。
从设置页中,选择键。
复制键值并将其保存到空文本文件。
稍后,您将此密钥作为应用程序机密输入 Rancher UI。
您将无法在 Azure UI 中再次访问密钥值。
设置 Rancher 所需权限
接下来,在 Azure 中为 Rancher 设置 API 权限。
在左侧的导航窗格中,选择 API permissions。
点击 Add a permission。
从 Azure Active Directory Graph,选中以下的 Delegated Permissions:
- Access the directory as the signed-in user
- Read directory data
- Read all groups
- Read all users’ full profiles
- Read all users’ basic profiles
- Sign in and read user profile
单击保存。
在所需权限中,单击授予权限。然后单击是。
要将 Azure AD 与 Rancher 一起使用,必须将 Rancher 与 Azure 一起白名单。您可以通过向 Azure 提供 Rancher 的回调 URL 来完成此白名单,该 URL 是您的 Rancher Server URL,后跟验证路径。
从设置页中,选择回调 URL。
单击保存。
结果: 您的回调 URL 已保存。
注意: 此更改最长可能需要 5 分钟才能生效,因此如果在 Azure AD 配置之后无法立即进行身份验证,请不要惊慌。
复制 Azure 应用程序数据
作为在 Azure 中的最后一步,复制将用于为 Azure AD 身份验证配置 Rancher 的数据,并将其粘贴到空文本文件中。
您将把这个值作为租户 ID粘贴到 Rancher 中。
获取您的 Rancher申请 ID。
1 使用搜索打开应用程序注册。
找到您为 Rancher 创建的条目。
复制应用程序 ID并粘贴到文本文件。
获取 Rancher图形端点、令牌端点和身份验证端点。
从 Rancher UI 中,输入有关托管在 Azure 中的 AD 实例的信息以完成配置。
输入复制到文本文件的值。
登录到 Rancher。在全局视图中,选择安全性>身份验证。
选择Azure AD。
单击 使用 Azure 进行身份验证。
