ApsaraMQ for Kafka：使用SSO登入Control Center

步驟一：配置第三方證明伺服器

1. 登入 Microsoft Entra 管理中心。

2. 在左側導覽列，選擇應用程式 > 應用註冊。

3. 在應用註冊頁面，單擊新註冊，在註冊應用程式頁面，完成相關配置後，單擊註冊。

   說明

   重新導向URI的地址格式為：https://<Control Center base URL>/api/metadata/security/1.0/oidc/authorization-code/callback ，其中Control Center base URL為雲訊息佇列 Confluent 版執行個體CONTROL_CENTER服務的公網連結地址（不包含連接埠號碼）。CONTROL_CENTER服務的公網連結地址可以在雲訊息佇列 Confluent 版控制台的訪問連結與介面頁面中查看。

   

4. 完成註冊後，如下所示：

   

5. 在左側導覽列，單擊認證和密碼，在用戶端密碼頁簽，單擊新用戶端密碼。

6. 在添加用戶端密碼面板，完成配置，然後單擊添加。

   

步驟二：擷取第三方證明伺服器的相關資訊

1. 通過GET請求訪問https://login.microsoftonline.com/${租戶ID}/v2.0/.well-known/openid-configuration擷取認證資訊。其中租戶ID可以在應用的概述頁面的概要地區中擷取。

   

2. 將擷取到的認證資訊，按照如下的JSON模板進行組裝。

   {
       "ssoConfig": {
           "ClientId": "",
           "TokenBaseEndpointUri": "",
           "Issuer": "",
           "ClientSecret": "",
           "AuthorizeBaseEndpointUri": "",
           "JwksEndpointUri": ""
       }
   }

   模板中的參數和擷取的資訊對應關係如下：

   模板參數	擷取的認證資訊	備忘
   ClientId	無	應用程式(用戶端) ID。可以在應用的概述頁面的概要地區中擷取。
   TokenBaseEndpointUri	token_endpoint	無
   Issuer	issuer	無
   ClientSecret	無	機密 ID。可以在應用的認證和密碼頁面的用戶端密碼頁簽中擷取。
   AuthorizeBaseEndpointUri	authorization_endpoint	無
   JwksEndpointUri	jwks_uri	無

步驟三：配置SSO登入帳號的許可權

一旦開啟SSO認證後，Control Center僅允許SSO方式登入，所以需要提前為雲訊息佇列 Confluent 版執行個體建立一個SSO認證登入帳號。Azure AD在SSO登入時profile資訊是帳號的Email，所以需要首先在Confluent Control 控制台為主帳號（Email）授予所有叢集的SysAdmin許可權，方便後期使用該帳號給其他SSO使用者添加資源許可權。授權操作請參見RBAC授權。

需要授權的叢集資源和角色如下所示：

步驟四：提交工單申請開通SSO登入認證

將步驟二中組裝好的JSON資料、雲訊息佇列 Confluent 版執行個體所在的地區和執行個體ID附在工單中，提交工單進行申請開通。

步驟五：配置VPC公網NAT Gateway

請確保部署雲訊息佇列 Confluent 版執行個體所選VPC與SSO證明伺服器間網路互連，以達到Confluent服務端向SSO伺服器發起認證及跳轉的目的。

一種可行方案是配置VPC公網NAT Gateway，請參見公網 NAT Gateway。配置以下資訊，其餘配置項保持預設即可：

1. 建立公網 NAT Gateway並綁定 EIP：

   • 地區：選擇雲訊息佇列 Confluent 版執行個體所在地區。

   • 網路及可用性區域：選擇雲訊息佇列 Confluent 版執行個體所屬的VPC和交換器。

   • 網路類型：選擇公網NAT Gateway。

   • Elastic IP Address：選擇已有或新購Elastic IP Address。

2. 配置 SNAT 條目：

   • SNAT條目粒度：選擇VPC粒度，或選擇交換器粒度並選擇雲訊息佇列 Confluent 版執行個體所屬的交換器。

   • Elastic IP Address：選擇已有的Elastic IP Address。