本文永久鏈接: https://www.xtplayer.cn/rancher/authentication/rancher2-azure-ad-authentication/

版本支持: Rancher v2.0.3+

如果您在 Azure中啟用了 Active Directory(AD)服務(wù)，則可以配置 Rancher以允許您的用戶使用 Azure AD帳戶登錄。

在 Azure中注冊(cè) Rancher

在 Rancher中啟用 Azure AD之前，必須向 Azure注冊(cè) Rancher。

Azure分 Global區(qū)和中國(guó)區(qū)：

·中國(guó)區(qū) Portal地址：https://portal.azure.cn

·Global區(qū)Portal地址：https://portal.azure.com

本文配置以中國(guó)區(qū)為例，Global區(qū)方法類似

1.步驟中的配置需要管理訪問權(quán)限，所以需要以管理用戶身份登錄Microsoft Azure portal。

2.搜索應(yīng)用注冊(cè)并打開

3.點(diǎn)擊新應(yīng)用程序注冊(cè)，并完成表單填寫，最后點(diǎn)擊右下角的創(chuàng)建。

注意:登錄 URL需要填寫為 Rancher設(shè)置中配置的server_url，但是中國(guó)區(qū)需要在rancher_server_url地址后面添加verify-auth-azure 后綴，例如：https://demo.rancher.com/verify-auth-azure，Azure為 Global區(qū)不用添加。

創(chuàng)建 Azure API密鑰

從 Azure門戶中創(chuàng)建 API密鑰，Rancher將使用此密鑰對(duì) Azure AD進(jìn)行身份驗(yàn)證。

1.搜索應(yīng)用注冊(cè)服務(wù)，然后打開上一個(gè)過程中創(chuàng)建的rancher-test?？赡軙?huì)提示您不是此目錄中任何應(yīng)用程序的所有者,直接點(diǎn)擊查看所有應(yīng)用程序。

2.點(diǎn)擊rancher-test后彈出新的窗口

3.單擊設(shè)置，從設(shè)置邊欄中選擇密鑰。

4.輸入密鑰描述,比如rancher-test，選擇密鑰的有效期，最后點(diǎn)擊保存。

注意: 因?yàn)槊荑€只顯示一次，所以需要復(fù)制密鑰并保存到一個(gè)安全的地方。

設(shè)置 Rancher的必需權(quán)限

接下來，在 Azure中為 Rancher設(shè)置 API權(quán)限。

1.緊接上一步，從設(shè)置邊欄選擇所需權(quán)限。

2.單擊Windows Azure Active Directory。

3.從啟用訪問權(quán)限邊欄選項(xiàng)卡中，勾選以下委派權(quán)限：

o以登錄用戶身份訪問該目錄

o讀取目錄數(shù)據(jù)

o讀取所有群組

o讀取所有用戶的完整個(gè)人資料

o讀取所有用戶的基本配置文件

o登錄并讀取用戶個(gè)人資料

注意:必須以 Azure管理員身份登錄才能成功保存權(quán)限設(shè)置。

復(fù)制 Azure應(yīng)用程序數(shù)據(jù)

Azure配置的最后一步，復(fù)制用于配置 Rancher進(jìn)行 Azure AD身份驗(yàn)證的相關(guān)配置參數(shù)到空文本文件中。

1.獲取目錄 ID

o搜索 Azure Active Directory服務(wù)

o從 Azure Active Directory菜單中，打開屬性

o復(fù)制目錄 ID并將其粘貼到文本文件中

2.獲取應(yīng)用 ID。

o搜索應(yīng)用注冊(cè)

o找到創(chuàng)建的rancher-test應(yīng)用

o復(fù)制應(yīng)用程序 ID并將其粘貼到您的文本文件中

o獲取MICROSOFT AZURE AD GRAPH API終結(jié)點(diǎn)、OAUTH 2.0令牌終結(jié)點(diǎn)和OAUTH 2.0授權(quán)終結(jié)點(diǎn)。

o搜索應(yīng)用注冊(cè)，并點(diǎn)擊終結(jié)點(diǎn)

3.將以下端點(diǎn)復(fù)制到剪貼板并將其粘貼到文本文件中

oMICROSOFT AZURE AD GRAPH API終結(jié)點(diǎn)

oOAUTH 2.0令牌終結(jié)點(diǎn)

oOAUTH 2.0授權(quán)終結(jié)點(diǎn)

在 Rancher中配置 Azure AD

在 Rancher UI中，輸入在 Azure中獲取到的 AD配置信息以完成配置。

1.登錄 RancherUI,從全局視圖中，選擇安全>認(rèn)證。

2.選擇 Azure AD。

3.輸入對(duì)應(yīng)的配置信息:

下表是 Azure 門戶配置與 Rancher 認(rèn)證配置的字段對(duì)應(yīng)表:

重要提示

Global區(qū) Endpoint地址: https://login.windows.net/
Global區(qū) Graph Endpoint地址：https://graph.windows.net/
具體信息請(qǐng)查閱：Check-endpoints-in-Azure

4.最后點(diǎn)擊啟用 Azure AD。