红帽全球峰会19.3. 配置 Microsoft Entra ID 联邦
RHACS 集成可以使用受管或工作负载身份向 Microsoft Azure 进行身份验证。如果要在 Microsoft Azure 集成中使用受管或工作负载身份启用身份验证,在创建新的 Microsoft Azure Container Registry (ACR)集成过程中选择 Use workload identity 复选框。
有关 Azure 管理身份的更多信息,请参阅 Azure 资源管理的身份是什么?(Microsoft Azure 文档)。
有关 Azure 工作负载身份的更多信息,请参阅 工作负载身份联邦 (Microsoft Azure 文档)。
通过工作负载身份与 RHACS pod 关联的身份必须具有集成的 IAM 权限。例如,要设置与 Microsoft ACR 集成的工作负载身份,请将 Reader 角色分配给包含 registry 的范围。
有关 Microsoft Azure IAM 角色的更多信息,请参阅 Azure RBAC 文档 (Microsoft Azure 文档)。
19.3.1. 配置 Microsoft Azure Kubernetes Service
通过在 Microsoft Azure Kubernetes Service (AKS)上运行 Red Hat Advanced Cluster Security for Kubernetes (RHACS),您可以使用 Microsoft Entra ID 管理的身份配置短期令牌。
先决条件
- 您可以访问 Microsoft Azure 中的集群和集成资源。
流程
在 Microsoft Entra ID 中,在外部 IdP 和用户提供的管理身份或应用程序之间创建信任关系。
如需更多信息,请参阅 Workload identity federation (Microsoft Azure 文档)。
运行以下命令来注解 RHACS 服务帐户:
oc annotate serviceaccount \1
Copy to clipboardCopied$ oc annotate serviceaccount \1 central \2 --namespace stackrox \ azure.workload.identity/client-id=<CLIENT_ID> 3输出示例
serviceaccount/central annotated
Copy to clipboardCopiedserviceaccount/central annotated
19.3.2. 配置 OpenShift Container Platform
通过在 OpenShift Container Platform 上运行 Red Hat Advanced Cluster Security for Kubernetes (RHACS),您可以使用 Microsoft Entra ID 管理的身份配置简短的令牌。
先决条件
您有一个公共 OpenID Connect (OIDC)配置存储桶,带有 OpenShift Container Platform 服务帐户签名者密钥。
如需更多信息,请参阅 OpenShift Container Platform 文档中的 "带有简短凭证的模式 "。
- 您有一个 Microsoft Entra ID 用户分配的管理身份。
- 您可以使用分配角色分配的权限访问 Microsoft Azure 订阅。
流程
要将联邦身份凭证添加到用户提供的受管身份,请运行以下命令:
az identity federated-credential create \ --name "${FEDERATED_CREDENTIAL_NAME}" \ --identity-name "${MANAGED_IDENTITY_NAME}" \1
Copy to clipboardCopied$ az identity federated-credential create \ --name "${FEDERATED_CREDENTIAL_NAME}" \ --identity-name "${MANAGED_IDENTITY_NAME}" \1 --resource-group "${RESOURCE_GROUP}" \ --issuer "${OIDC_ISSUER_URL}" \2 --subject system:serviceaccount:stackrox:central \ 3 --audience openshift有关如何使用 Microsoft Entra ID 管理的身份配置简短令牌的更多信息,请参阅 配置用户分配的受管身份以信任外部身份提供程序 (Microsoft Azure 文档)。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}