获取 Azure 登录详细信息

为使 Incredibuild Cloud 能与 Azure 一起使用，您需要在激活 Incredibuild Cloud 期间提供以下登录详细信息。

• Tenant ID

• 新建 Azure AD 应用 ID

• 客户端密码

要生成这些详细信息，请使用具有Global Administrator 和 Owner 角色的用户身份执行本文中的过程。

注意：这些过程是在 2020 年进行的，但在此时间之后 Azure 应用程序可能已发生变化。

创建 Azure AD 应用程序

要让 Incredibuild Cloud 为您管理 Azure 平台上的资源，您需要创建一个新的 Azure AD 应用程序，该应用将授予 Incredibuild Cloud 访问和修改 Azure 资源的权限。了解有关创建 Azure Active Directory 应用程序的详细信息，请参阅Azure 文档。

1. 在 Azure 门户搜索框中输入：App registrations 。

2. 在App registrations 页面中，点击 + New registration 选项：

   

3. 在Register an Application 页面中，输入 Name 并保留 Supported Account Types 默认设置。

   

4. 在新建应用程序页面中，复制以下数据并将其保存在可用位置：

   • Application (client) ID – 此为新建 Azure AD 应用 ID。

   • Directory (tenant) ID – 此为 Tenant ID。

     

     在激活 Incredibuild Cloud 解决方案时会用到以上这些详细信息。但只要不删除新建应用程序，您就可以在日后返回 Azure 门户时检索到这些信息。

5. 在同一页面中点击Add an Application ID URI 选项：

   

6. 在新建应用程序 – Expose an API 页面中，点击 Add a scope 选项：

   

7. 在Add a scope 对话框中，执行以下操作：

   

   1. 接受默认设置并点击Save and Continue

   2. 注意：以“api://....”开头的文本仅是一个默认生成的可用 GUID。您可以在其中输入任何 URL 格式，“api://”与“http://”效果等同。

8. 在第二个Add a scope 对话框中输入以下内容：

   

   • Scope name – 输入 user_impersonation。

   • 谁可以同意？– 选择 Admins and users。

   • Admin consent display name – 输入 Access Incredibuild Cloud App。

   • Admin consent description – 输入Allow the application to access Incredibuild Cloud App on behalf of the signed-in user。

   • User consent display name –输入 Access Incredibuild Cloud App。

   • User consent description – 输入Allow the application to access Incredibuild Cloud App on behalf of the signed-in user。

   • State – 选择 Enabled 。

9. 输入了所有必需的详细信息后，点击Add scope 按钮。保存您的新建应用程序。

10. 打开Authentication界面。然后点击Add a platform 按钮：

    

11. 在Configure platforms 对话框中选择 Web 选项：

    

12. 在Configure Web 对话框中执行以下操作：

    

    - Redirect URLs – 输入虚拟 URL。- Implicit grant – 选中 ID tokens 复选框。然后点击配置 Configure 按钮。

创建新的客户端密码

要使用 Azure AD 对新建 Azure 应用程序进行身份验证，则需要客户端密码，也称应用程序密码。客户端密码创建后，您应将其复制并保存在可用位置，此后您将无法检索到它。如果无法找到原始客户端密码，您可以创建一个新密码并用它登录 Incredibuild Cloud。

1. 打开Certificates & secrets页面。然后点击+ New client secret 选项：

   

2. 在Add a client secret 对话框中执行以下操作：

   

   • Description - 输入任意描述。

   • Expires - 选中 Never 单选按钮。

   然后点击Add 按钮。

3. 在Certificates & secrets 页面– Client secrets 部分，复制新建应用程序的值列内容：

   

   重要！在激活过程中，您需要将此 Client Secret 的值输入到 Incredibuild Cloud – Azure Login 对话框中。

创建一个或多个自定义 Azure 角色

这些角色定义了 Incredibuild 在您的帐户中的权限。根据您的云配置，所需的权限会有所不同。

1. 请决定您想使用以下哪个选项：

   1. 设定一个在整个订阅中拥有所有权限的角色。

      fullPermissions.json 文件包含所有 Incredibuild 用例所需的全部权限。

   2. 对不同的资源组使用三套不同的自定义角色：

      1. vnetPermissions.json：必须在您的虚拟网络所在的资源组上设置

      2. nsgPermissions.json：必须在您的网络安全组所在的资源组上设置

      3. resourceManagementPermissions.json：必须在将包含 Incredibuild Helpers 的资源组上设置

2. 下载 JSON 格式的权限集。

3. 在 Azure 门户的搜索框中输入 Subscriptions。

4. 在Subscriptions 页面中，选择您想要将新建应用程序分配至哪个订阅：

   

5. 在已选订阅页面中，选择Access control (IAM)。

6. 为您需要的每一组权限创建一个角色：

   1. 点击 Add >Add Custom Role。

      

   2. 点击 Start from JSON 并选择具有该角色权限的 JSON。

      

   3. 转到 Assignable Scopes（可分配范围）并选择所需的订阅。

      

   4. 点击 Review and Create。

   5. 如果要创建多个角色，请重复此步骤。

为应用分配角色

如果你设定了一个自定义的权限集合，可以直接将这个角色分配到整个订阅。否则，请根据需要将这些角色分别分配到对应的资源组。第二种方案是为每个角色重复以下步骤。

1. 前往相关资源组或订阅。

2. 前往 Access control (IAM) > Add > Add Role Assignment。

   

3. 在 Add role assignment 对话框中，选择一个您刚刚创建的自定义角色。

   

4. 选择您之前创建的、将由 Incredibuild 使用的应用程序：

   

5. 点击 Review and Assign。