10.3. 在 Entra ID 中配置应用程序注册,使其包含可选和组声明
因此,AWS 上的 Red Hat OpenShift Service 有充足的信息来创建用户帐户,您必须配置 Entra ID,以提供两个可选声明: email 和 preferred_username。有关 Entra ID 中的可选声明的更多信息,请参阅 Microsoft 文档。
除了单独的用户身份验证外,Red Hat OpenShift Service on AWS 还提供组声明功能。此功能允许 OpenID Connect (OIDC)身份提供程序(如 Entra ID)提供用户的组成员资格,以便在 AWS 上的 Red Hat OpenShift Service 中使用。
配置可选声明
您可以在 Entra ID 中配置可选声明。
点 Token configuration sub-blade 并选择 Add optional claim 按钮。
选择 ID 单选按钮。
选中 电子邮件 声明复选框。
选中
preferred_username声明复选框。然后,点 Add 来配置 电子邮件和 preferred_username 声明您的 Entra ID 应用程序。
页面的顶部会出现一个对话框。按照提示启用必要的 Microsoft Graph 权限。
配置组声明(可选)
配置 Entra ID 以提供组声明。
流程
在 Token configuration sub-blade 中点 Add groups claim。
要为您的 Entra ID 应用程序配置组声明,请选择 Security groups,然后点 Add。
注意在本例中,组声明包含用户所属的所有安全组。在真实生产环境中,确保组声明仅包含适用于 Red Hat OpenShift Service on AWS 的组。
