|
Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar. |
Microsoft Entra ID
Eine Anwendung in Entra ID erstellen
-
Registrieren Sie eine Anwendung in Entra ID, indem Sie diesem Leitfaden folgen
-
Als Anzeigename können Sie beispielsweise
SUSE Observabilityverwenden -
Wählen Sie die
WebPlattform aus und geben Sie die Umleitungs-URL an:https://<your-stackstate-installation>/loginCallback?client_name=StsOidcClient -
Beim Hinzufügen von Anmeldeinformationen verwenden Sie die
client secretAnmeldeinformationen und stellen Sie sicher, dass Sie das Geheimnis speichern
-
-
Die anderen Abschnitte im
Prepare for developmentAbschnitt sind nicht erforderlich, aber für eine Produktionsinstallation sollten Sie ihnen folgen, um einen Eigentümer festzulegen und möglicherweise bestimmte Berechtigungen vorab zu genehmigen (siehe den nächsten Abschnitt für die Berechtigungen, die SUSE Observability anfordern wird) -
Stellen Sie schließlich sicher, dass SUSE Observability die Gruppen eines Benutzers (zur Autorisierung erforderlich) erhält, indem Sie den Gruppenanspruch zur Anwendungsregistrierung hinzufügen und diesem Leitfaden folgen. Wählen Sie aus, welche Arten von Gruppen Sie anzeigen möchten; der Rest dieses Dokuments geht davon aus, dass Sie die Token-Eigenschaften nicht angepasst haben und SUSE Observability die Gruppen-ID erhält.
Konfigurieren von SUSE Observability
Verwenden Sie die Informationen zur Anwendungsregistrierung, um eine neue authentication.yaml-Datei für SUSE Observability zu erstellen:
stackstate:
authentication:
oidc:
# The client id is in the list of essentials on the overview page of the App registration
clientId: "<Application (client) ID>"
secret: "<Application (client) secret>"
# The Directory (Tenant) ID is in the list of essentials on the overview page of the App registration
discoveryUri: "https://login.microsoftonline.com/<Directory (tenant) ID>/v2.0/.well-known/openid-configuration"
jwsAlgorithm: RS256
scope: ["openid", "email", "profile", "offline_access"]
jwtClaims:
usernameField: "email"
groupsField: groups
roles:
guest: []
powerUser: []
admin: [ "aaaaaaaa-bbbb-1111-2222-aabbccddeeff", "eeeeeeeeee-bbbb-1111-2222-aabbccddeeff" ]
k8sTroubleshooter: []
Holen Sie sich die Werte für:
-
Anwendungs- (Client-) ID: im Abschnitt Essentials auf der Übersichtsseite der App-Registrierung
-
Anwendungs- (Client-) Geheimnis: erstellt in Schritt 1 des vorherigen Abschnitts und irgendwo gespeichert
-
Verzeichnis- (Mandanten-) ID: im Abschnitt Essentials auf der Übersichtsseite der App-Registrierung
-
Die Gruppen-IDs für die verschiedenen Rollen: Als Entra ID-Administrator navigieren Sie zu . Die Gruppen-IDs befinden sich in der zweiten Spalte mit der Bezeichnung
Object Id. Entscheiden Sie, welche Entra ID-Gruppen welches Berechtigungsniveau haben sollen, und weisen Sie sie den entsprechenden Rollen im obigen YAML-Beispiel zu (entfernen Sie die 2 Beispielgruppen-IDs).
Setzen Sie SUSE Observability jetzt mit dem Helm-Befehl, der zur Installation verwendet wurde, erneut ein, aber fügen Sie jetzt die neue authentication.yaml Datei, helm upgrade … --values authentication.yaml, hinzu. Stellen Sie sicher, dass Sie diese Datei jetzt immer bei einem Upgrade einfügen.
Verwendete Scopes
SUSE Observability ist so konfiguriert, dass 4 Scopes angefordert werden:
-
openid, um die Authentifizierung durchzuführen
-
email, um Benutzer zu identifizieren
-
profile, um das Benutzerprofil anfordern zu können, das die Gruppen für die Benutzer enthält
-
offline_access, um einen Benutzer länger ohne erneute Authentifizierung angemeldet zu halten und um dem Benutzer die Verwendung von SUSE Observability API-Token zu ermöglichen.
Für weitere Details siehe, Berechtigungen und Einwilligung in der Microsoft-Identitätsplattform (learn.microsoft.com).