配置Azure AD

配置Azure AD

Rancher v2.0.3版本支持

如果您在Azure中启用了Active Directory(AD)服务，则可以配置Rancher以允许您的用户使用Azure AD帐户登录。

一、在Azure中注册Rancher

在Rancher中启用Azure AD之前，必须向Azure注册Rancher。

Azure分Global区和中国区：

中国区Portal地址：https://portal.azure.cn
Global区Portal地址：https://portal.azure.com

本文配置以中国区为例，Global区方法类似

1、步骤中的配置需要管理访问权限，所以需要以管理用户身份登录Microsoft Azure portal。

2、搜索应用注册并打开

3、点击新应用程序注册，并完成表单填写,最后点击右下角的创建。

注意登录URL需要填写为Rancher设置中配置的server_url，但是中国区需要在rancher_server_url地址后面添加verify-auth-azure后缀，例如：https://demo.rancher.com/verify-auth-azure，Azure为Global区不用添加。

二、创建Azure API密钥

从Azure门户中创建API密钥，Rancher将使用此密钥对Azure AD进行身份验证。

1、搜索应用注册服务，然后打开上一个过程中创建的rancher-test。可能会提示您不是此目录中任何应用程序的所有者,直接点击查看所有应用程序。

2、点击rancher-test后弹出新的窗口

3、单击设置，从设置边栏中选择密钥。

4、输入密钥描述,比如rancher-test，选择密钥的有效期，最后点击保存。

注意因为密钥只显示一次，所以需要复制密钥并保存到一个安全的地方。

三、设置Rancher的必需权限

接下来，在Azure中为Rancher设置API权限。

1、紧接上一步，从设置边栏选择所需权限。

2、单击Windows Azure Active Directory。

3、从启用访问权限边栏选项卡中，勾选以下委派权限：

以登录用户身份访问该目录
读取目录数据
读取所有群组
读取所有用户的完整个人资料
读取所有用户的基本配置文件
登录并读取用户个人资料

注意必须以Azure管理员身份登录才能成功保存权限设置。

四、复制Azure应用程序数据

Azure配置的最后一步，复制用于配置Rancher进行Azure AD身份验证的相关配置参数到空文本文件中。

1、获取目录ID

搜索Azure Active Directory服务
从Azure Active Directory菜单中，打开属性
复制目录ID并将其粘贴到文本文件中2、获取应用ID。
搜索应用注册
找到创建的rancher-test应用
复制应用程序ID并将其粘贴到您的文本文件中

3、获取MICROSOFT AZURE AD GRAPH API终结点、OAUTH 2.0令牌终结点和OAUTH 2.0授权终结点。

搜索应用注册，并点击终结点

4、将以下端点复制到剪贴板并将其粘贴到文本文件中

MICROSOFT AZURE AD GRAPH API终结点
OAUTH 2.0令牌终结点
OAUTH 2.0授权终结点

五、在Rancher中配置Azure AD

在Rancher UI中，输入在Azure中获取到的AD配置信息以完成配置。

1、登录RancherUI,从全局视图中，选择安全>认证。

2、选择Azure AD。

3、输入对应的配置信息:

下表是Azure门户配置与Rancher认证配置的字段对应表:

Rancher	Azure AD
租户ID(Tenant ID)	目录ID(Directory ID)
应用ID(Application ID)	应用ID(Application ID)
Application Secret	密钥
Endpoint	https://login.chinacloudapi.cn
Graph Endpoint	https://graph.chinacloudapi.cn
Token Endpoint	OAUTH 2.0 令牌终结点
Auth Endpoint	OAUTH 2.0 授权终结点

重要提示Global区Endpoint地址: https://login.windows.net/Global区Graph Endpoint地址：https://graph.windows.net/具体信息请查阅：Check-endpoints-in-Azure

4、最后点击启用Azure AD。