Condividi tramite

Abilitare Microsoft Entra ID per gli strumenti di monitoraggio locali

  • Articolo

Azure Private 5G Core offre gli strumenti di traccia distribuita e dashboard di base dei pacchetti per il monitoraggio della distribuzione all'perimetro. È possibile accedere a questi strumenti usando Microsoft Entra ID o un nome utente e una password locali. È consigliabile configurare l'autenticazione di Microsoft Entra per migliorare la sicurezza nella distribuzione.

In questa guida pratica verranno eseguiti i passaggi necessari dopo la distribuzione o la configurazione di un sito che usa Microsoft Entra ID per autenticare l'accesso agli strumenti di monitoraggio locali. Non è necessario seguire questa procedura se si è deciso di usare nomi utente e password locali per accedere ai dashboard di base di traccia e pacchetti distribuiti.

Attenzione

L'ID Microsoft Entra per gli strumenti di monitoraggio locale non è supportato quando un proxy Web è abilitato nel dispositivo Azure Stack Edge in cui è in esecuzione Azure Private 5G Core. Se è stato configurato un firewall che blocca il traffico non trasmesso tramite il proxy Web, l'abilitazione di Microsoft Entra ID causerà l'esito negativo dell'installazione di Azure Private 5G Core.

Prerequisiti

  • È necessario aver completato i passaggi descritti in Completare le attività dei prerequisiti per la distribuzione di una rete mobile privata e Raccogliere le informazioni necessarie per un sito.
  • È necessario aver distribuito un sito con l'ID Microsoft Entra impostato come tipo di autenticazione.
  • Identificare l'indirizzo IP per l'accesso agli strumenti di monitoraggio locali configurati in Rete di gestione.
  • Assicurarsi di poter accedere al portale di Azure usando un account con accesso alla sottoscrizione attiva usata per creare la rete mobile privata. Questo account deve avere l'autorizzazione per gestire le applicazioni in Microsoft Entra ID. I ruoli predefiniti di Microsoft Entra che dispongono delle autorizzazioni necessarie includono, ad esempio, amministratore dell'applicazione, sviluppatore di applicazioni e amministratore di applicazioni cloud. Se non si dispone di questo accesso, contattare l'amministratore di Microsoft Entra del tenant in modo che possa confermare che l'utente sia stato assegnato il ruolo corretto seguendo l'articolo Assegnare i ruoli utente con Microsoft Entra ID.
  • Verificare che il computer locale disponga dell'accesso kubectl principale al cluster Kubernetes abilitato per Azure Arc. Questo richiede un file kubeconfig di base, che è possibile ottenere seguendo l'accesso dello spazio dei nomi Core.

Configurare il nome del sistema di dominio (DNS) per l'IP di monitoraggio locale

Quando si registra l'applicazione e si configurano gli URI di reindirizzamento, è necessario che gli URI di reindirizzamento contengano un nome di dominio anziché un indirizzo IP per l'accesso agli strumenti di monitoraggio locali.

Nel server DNS autorevole per la zona DNS in cui si vuole creare il record DNS configurare un record DNS per risolvere il nome di dominio nell'indirizzo IP usato per accedere agli strumenti di monitoraggio locali configurati in Rete di gestione.

Registra applicazione

A questo punto si registrerà una nuova applicazione di monitoraggio locale con Microsoft Entra ID per stabilire una relazione di trust con Microsoft Identity Platform.

Se la distribuzione contiene più siti, è possibile usare gli stessi due URI di reindirizzamento per tutti i siti o creare coppie URI diverse per ogni sito. È possibile configurare un massimo di due URI di reindirizzamento per sito. Se è già stata registrata un'applicazione per la distribuzione e si vogliono usare gli stessi URI nei siti, è possibile ignorare questo passaggio.

  1. Seguire Avvio rapido: Registrare un'applicazione con Microsoft Identity Platform per registrare una nuova applicazione per gli strumenti di monitoraggio locali con Microsoft Identity Platform.

    1. In Aggiungi un URI di reindirizzamento selezionare la piattaforma Web e aggiungere i due URI di reindirizzamento seguenti, dove <il dominio> di monitoraggio locale è il nome di dominio per gli strumenti di monitoraggio locale configurati in Configurare il nome del sistema di dominio (DNS) per l'INDIRIZZO IP di monitoraggio locale:

      • <https:// dominio> di monitoraggio locale/sas/auth/aad/callback
      • <https:// dominio> di monitoraggio locale/grafana/login/azuread

    2. In Aggiungi credenziali seguire la procedura per aggiungere un segreto client. Assicurarsi di registrare il segreto nella colonna Valore , perché questo campo è disponibile solo subito dopo la creazione del segreto. Questo è il valore del segreto client che sarà necessario più avanti in questa procedura.

  2. Seguire l'interfaccia utente dei ruoli dell'app per creare tre ruoli per l'applicazione (Amministrazione, Visualizzatore e Editor) con la configurazione seguente:

    • In Tipi di membri consentiti selezionare Utenti/Gruppi.
    • In Valore immettere uno dei Amministrazione, Visualizzatore e Editor per ogni ruolo che si sta creando.
    • In Abilitare questo ruolo dell'app? verificare che la casella di controllo sia selezionata.

    È possibile usare questi ruoli quando si gestisce l'accesso ai dashboard di base dei pacchetti.

  3. Seguire Assegnare utenti e gruppi ai ruoli per assegnare utenti e gruppi ai ruoli creati.

Raccogliere le informazioni per gli oggetti segreti kubernetes

  1. Raccogliere i valori nella tabella seguente.

    Valore Come raccogliere Nome del parametro del segreto Kubernetes
    ID tenant Nella portale di Azure cercare Microsoft Entra ID. È possibile trovare il campo ID tenant nella pagina Panoramica. tenant_id
    ID applicazione (client) Passare alla nuova registrazione dell'app di monitoraggio locale appena creata. È possibile trovare il campo ID applicazione (client) nella pagina Panoramica, sotto l'intestazione Informazioni di base . client_id
    URL di autorizzazione Nella pagina Panoramica della registrazione dell'app di monitoraggio locale selezionare Endpoint. Copiare il contenuto del campo endpoint di autorizzazione OAuth 2.0 (v2).

    Nota:
    Se la stringa contiene organizations, sostituire organizations con il valore ID tenant. Ad esempio,
    https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize
    Diventa
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/authorize.    		 auth_url
    URL del token Nella pagina Panoramica della registrazione dell'app di monitoraggio locale selezionare Endpoint. Copiare il contenuto del campo endpoint token OAuth 2.0 (v2).

    Nota:
    Se la stringa contiene organizations, sostituire organizations con il valore ID tenant. Ad esempio,
    https://login.microsoftonline.com/organizations/oauth2/v2.0/token
    Diventa
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/token.    		 token_url
    Segreto client Questa operazione è stata raccolta durante la creazione del segreto client nel passaggio precedente. client_secret
    Radice dell'URI di reindirizzamento della traccia distribuita Prendere nota della parte seguente dell'URI di reindirizzamento: https://< dominio> di monitoraggio locale. redirect_uri_root
    Radice dell'URI di reindirizzamento dei dashboard di base dei pacchetti Prendere nota della parte seguente dell'URI di reindirizzamento dei dashboard di base del pacchetto: https://< dominio> di monitoraggio locale/grafana. root_url

Modificare l'accesso locale

Passare alla portale di Azure e passare alla risorsa Piano di controllo pacchetti core del sito. Selezionare la scheda Modifica accesso locale del pannello.

  1. Se il tipo di autenticazione è impostato su Microsoft Entra ID, passare a Create Kubernetes Secret Objects (Crea oggetti segreti Kubernetes).
  2. Altrimenti:
    1. Selezionare Microsoft Entra ID nell'elenco a discesa Tipo di autenticazione.
    2. Seleziona Esamina.
    3. Selezionare Invia.

Creare oggetti segreti Kubernetes

Per supportare Microsoft Entra ID nelle applicazioni 5G Core private di Azure, è necessario un file YAML contenente segreti Kubernetes.

  1. Convertire ognuno dei valori raccolti in Raccogliere le informazioni per gli oggetti segreti Kubernetes in formato Base64. Ad esempio, è possibile eseguire il comando seguente in una finestra Bash di Azure Cloud Shell:

    echo -n <Value> | base64

  2. Creare un file secret-azure-ad-local-monitoring.yaml contenente i valori con codifica Base64 per configurare la traccia distribuita e i dashboard di base dei pacchetti. Il segreto per la traccia distribuita deve essere denominato sas-auth-secrets e il segreto per i dashboard di base del pacchetto deve essere denominato grafana-auth-secrets.

    apiVersion: v1
kind: Secret
metadata:
    name: sas-auth-secrets
    namespace: core
type: Opaque
data:
    client_id: <Base64-encoded client ID>
    client_secret: <Base64-encoded client secret>
    redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
    tenant_id: <Base64-encoded tenant ID>

---

apiVersion: v1
kind: Secret
metadata:
    name: grafana-auth-secrets
    namespace: core
type: Opaque
data:
    client_id: <Base64-encoded client ID>
    client_secret: <Base64-encoded client secret>
    auth_url: <Base64-encoded authorization URL>
    token_url: <Base64-encoded token URL>
    root_url: <Base64-encoded packet core dashboards redirect URI root>

Applicare oggetti segreti Kubernetes

È necessario applicare gli oggetti segreti Kubernetes se si abilita Microsoft Entra ID per un sito, dopo un'interruzione del core di pacchetto o dopo l'aggiornamento del file YAML dell'oggetto segreto Kubernetes.

  1. Accedere ad Azure Cloud Shell e selezionare PowerShell. Se è la prima volta che si accede al cluster tramite Azure Cloud Shell, seguire Accedere al cluster per configurare l'accesso kubectl.

  2. Applicare l'oggetto segreto sia per la traccia distribuita che per i dashboard di base del pacchetto, specificando il nome file kubeconfig principale.

    kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>

  3. Usare i comandi seguenti per verificare se gli oggetti segreti sono stati applicati correttamente, specificando il nome file kubeconfig di base. Verranno visualizzati i valori Name, Namespace e Type corretti, insieme alle dimensioni dei valori codificati.

    kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>

    kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>

  4. Riavviare i pod della traccia distribuita e dei dashboard di base dei pacchetti.

    1. Ottenere il nome del pod dei dashboard di base del pacchetto:

      kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"

    2. Copiare l'output del passaggio precedente e sostituirlo nel comando seguente per riavviare i pod.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

Verifica dell'accesso

Seguire Accedere all'interfaccia utente grafica Web di traccia distribuita e Accedere ai dashboard principali dei pacchetti per verificare se è possibile accedere agli strumenti di monitoraggio locali usando Microsoft Entra ID.

Aggiornare gli oggetti segreti kubernetes

Seguire questo passaggio se è necessario aggiornare gli oggetti segreti Kubernetes esistenti; ad esempio, dopo l'aggiornamento degli URI di reindirizzamento o il rinnovo di un segreto client scaduto.

  1. Apportare le modifiche necessarie al file YAML dell'oggetto segreto Kubernetes creato in Creare oggetti segreti Kubernetes.
  2. Applicare oggetti segreti Kubernetes.
  3. Verificare l'accesso.

Passaggi successivi

Se non è già stato fatto, è ora necessario progettare la configurazione del controllo dei criteri per la rete mobile privata. In questo modo è possibile personalizzare il modo in cui le istanze di base del pacchetto applicano caratteristiche di qualità del servizio (QoS) al traffico. È anche possibile bloccare o limitare determinati flussi.