10.4. 配置 Red Hat OpenShift Service on AWS 集群以使用 Entra ID 作为身份提供程序
您必须将 Red Hat OpenShift Service on AWS 配置为使用 Entra ID 作为其身份提供程序。
虽然 ROSA 提供了使用 OpenShift Cluster Manager 配置身份提供程序的功能,但 ROSA CLI 使用 ROSA CLI 将集群的 OAuth 供应商配置为使用 Entra ID 作为其身份提供程序。在配置身份提供程序前,为身份提供程序配置设置必要的变量。
流程
运行以下命令来创建变量:
$ CLUSTER_NAME=example-cluster 1 $ IDP_NAME=AAD 2 $ APP_ID=yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy 3 $ CLIENT_SECRET=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 4 $ TENANT_ID=zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz 5
运行以下命令来配置集群的 OAuth 提供程序。如果启用了组声明,请确保使用
--group-claims groups参数。如果启用了组声明,请运行以下命令:
$ rosa create idp \ --cluster ${CLUSTER_NAME} \ --type openid \ --name ${IDP_NAME} \ --client-id ${APP_ID} \ --client-secret ${CLIENT_SECRET} \ --issuer-url https://login.microsoftonline.com/${TENANT_ID}/v2.0 \ --email-claims email \ --name-claims name \ --username-claims preferred_username \ --extra-scopes email,profile \ --groups-claims groups如果没有启用组声明,请运行以下命令:
$ rosa create idp \ --cluster ${CLUSTER_NAME} \ --type openid \ --name ${IDP_NAME} \ --client-id ${APP_ID} \ --client-secret ${CLIENT_SECRET} \ --issuer-url https://login.microsoftonline.com/${TENANT_ID}/v2.0 \ --email-claims email \ --name-claims name \ --username-claims preferred_username \ --extra-scopes email,profile
几分钟后,集群身份验证 Operator 会协调您的更改,您可以使用 Entra ID 登录到集群。
