Abilitare Microsoft Entra ID per gli strumenti di monitoraggio locali

Azure Private 5G Core offre strumenti di tracciamento distribuito e dashboard di Packet Core per il monitoraggio della distribuzione al perimetro. È possibile accedere a questi strumenti usando ID Entra Microsoft o un nome utente e una password locali. È consigliabile configurare l'autenticazione di Microsoft Entra per migliorare la sicurezza nella distribuzione.

In questa guida pratica verranno eseguiti i passaggi necessari dopo la distribuzione o la configurazione di un sito che usa Microsoft Entra ID per autenticare l'accesso agli strumenti di monitoraggio locali. Non è necessario seguire questa procedura se si è deciso di usare nomi utente e password locali per accedere ai dashboard di base di traccia e pacchetti distribuiti.

Prerequisiti

• È necessario aver completato i passaggi descritti in Completare le attività dei prerequisiti per la distribuzione di una rete mobile privata e Raccogliere le informazioni necessarie per un sito.
• È necessario aver distribuito un sito con l'ID Microsoft Entra impostato come tipo di autenticazione.
• Identificare l'indirizzo IP per l'accesso agli strumenti di monitoraggio locali configurati in Rete di gestione.
• Assicurarsi di poter accedere al portale di Azure usando un account con accesso alla sottoscrizione attiva utilizzato per creare la rete mobile privata. Questo account deve avere l'autorizzazione per gestire le applicazioni in Microsoft Entra ID. I ruoli predefiniti di Microsoft Entra che dispongono delle autorizzazioni necessarie includono, ad esempio, amministratore dell'applicazione, sviluppatore di applicazioni e amministratore applicazione cloud. Se non si dispone di questo accesso, contattare l'amministratore di Microsoft Entra del tenant in modo che possa confermare che all'utente sia stato assegnato il ruolo corretto seguendo Assegnare i ruoli utente con Microsoft Entra ID.
• Verificare che il computer locale disponga dell'accesso kubectl principale al cluster Kubernetes abilitato per Azure Arc. Questo richiede un file kubeconfig di base, che è possibile ottenere seguendo l'accesso dello spazio dei nomi Core.

Configurare il nome del sistema di dominio (DNS) per l'IP di monitoraggio locale

Quando si registra l'applicazione e si configurano gli URI di reindirizzamento, è necessario che gli URI di reindirizzamento contengano un nome di dominio anziché un indirizzo IP per l'accesso agli strumenti di monitoraggio locali.

Nel server DNS autorevole per la zona DNS in cui si vuole creare il record DNS configurare un record DNS per risolvere il nome di dominio nell'indirizzo IP usato per accedere agli strumenti di monitoraggio locali, configurati in Rete di gestione.

Registra applicazione

A questo punto si registrerà una nuova applicazione di monitoraggio locale con Microsoft Entra ID per stabilire una relazione di trust con Microsoft Identity Platform.

Se la distribuzione contiene più siti, è possibile usare gli stessi due URI di reindirizzamento per tutti i siti o creare coppie URI diverse per ogni sito. È possibile configurare un massimo di due URI di reindirizzamento per sito. Se è già stata registrata un'applicazione per la distribuzione e si vogliono usare gli stessi URI nei siti, è possibile ignorare questo passaggio.

1. Seguire Avvio rapido: Registrare un'applicazione con Microsoft Identity Platform per registrare una nuova applicazione per gli strumenti di monitoraggio locali con Microsoft Identity Platform.

   1. In Aggiungere un URI di reindirizzamento selezionare la piattaforma Web e aggiungere i due URI di reindirizzamento seguenti, in cui <Dominio di monitoraggio locale> è il nome di dominio per gli strumenti di monitoraggio locali configurati in Configurare il nome del sistema di dominio (DNS) per l'IP di monitoraggio locale:

      • https://<dominio di monitoraggio locale>/sas/auth/aad/callback
      • https://<dominio di monitoraggio locale>/grafana/login/azuread

   2. In Aggiungi credenziali seguire la procedura per aggiungere un segreto client. Assicurarsi di registrare il segreto nella colonna Valore, perché questo campo è disponibile solo dopo la creazione del segreto. Questo è il valore Segreto client necessario più avanti in questa procedura.

2. Seguire l'interfaccia utente ruoli app per creare i ruoli per l'applicazione con la configurazione seguente:

   • In Tipi di membri consentiti selezionare Utenti/Gruppi.
   • In Valore immettere un'opzione tra Amministratore, Visualizzatore ed Editor per ogni ruolo che si sta creando. Per la traccia distribuita, è necessario anche un ruolo sas.user.
   • In Abilitare questo ruolo dell'app? verificare che la casella di controllo sia selezionata.

   È possibile usare questi ruoli quando si gestisce l'accesso ai dashboard di base del pacchetto e allo strumento di traccia distribuita.

3. Seguire Assegnare utenti e gruppi ai ruoli per assegnare utenti e gruppi ai ruoli creati.

Raccogliere le informazioni per gli oggetti segreti Kubernetes

1. Raccogliere i valori nella tabella seguente.

   Valore	Come raccogliere	Nome del parametro del segreto Kubernetes
   ID tenant	Nel portale di Azure cercare Microsoft Entra ID. È possibile trovare il campo ID tenant nella pagina Panoramica.	tenant_id
   ID applicazione (client)	Passare alla nuova registrazione dell'app di monitoraggio locale appena creata. È possibile trovare il campo ID applicazione (client) nella pagina Panoramica, sotto l'intestazione Essentials.	client_id
   URL di autorizzazione	Nella pagina Panoramica della registrazione dell'app di monitoraggio locale selezionare Endpoint. Copiare il contenuto del campo Endpoint di autorizzazione OAuth 2.0 (v2). Nota: Se la stringa contiene organizations, sostituire organizations con il valore id tenant. Ad esempio, https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize diventa https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/v2.0/authorize.	auth_url
   URL del token	Nella pagina Panoramica della registrazione dell'app di monitoraggio locale selezionare Endpoint. Copiare il contenuto del campo Endpoint token OAuth 2.0 (v2). Nota: Se la stringa contiene organizations, sostituire organizations con il valore id tenant. Ad esempio, https://login.microsoftonline.com/organizations/oauth2/v2.0/token diventa https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/v2.0/token.	token_url
   Segreto client	Questa operazione è stata raccolta durante la creazione del segreto client nel passaggio precedente.	client_secret
   Radice URI di reindirizzamento della traccia distribuita	Prendere nota della parte seguente dell'URI di reindirizzamento: https://<dominio di monitoraggio locale>.	redirect_uri_root
   Radice URI di reindirizzamento dashboard di Packet Core	Prendere nota della parte seguente dell'URI di reindirizzamento dei dashboard di Packet Core: https://<dominio di monitoraggio locale>/grafana.	root_url

Modificare l'accesso locale

Passare al portale di Azure e quindi alla risorsa Piano di controllo di Packet Core del sito. Selezionare la scheda Modifica accesso locale del pacchetto.

1. Se il Tipo di autenticazione è impostato su Microsoft Entra ID, continuare a Creare oggetti segreti Kubernetes.
2. In caso contrario:
   1. Selezionare Microsoft Entra ID dall'elenco a discesa Tipo di autenticazione.
   2. Seleziona Esamina.
   3. Selezionare Invia.

Creare oggetti segreti Kubernetes

Per supportare Microsoft Entra ID in Private 5G Core di Azure, è necessario un file YAML contenente segreti Kubernetes.

1. Convertire ognuno dei valori raccolti in Raccogliere le informazioni per gli oggetti segreti Kubernetes in formato Base64. Ad esempio, è possibile eseguire il comando seguente in una finestra di Azure Cloud Shell Bash:

   echo -n <Value> | base64
   

2. Creare un file secret-azure-ad-local-monitoring.yaml contenente i valori con codifica Base64 per configurare la traccia distribuita e i dashboard di Packet Core. Il segreto per la traccia distribuita deve essere denominato sas-auth-secrets, mentre il segreto per i dashboard di Packet Core deve essere denominato grafana-auth-secrets.

   apiVersion: v1
   kind: Secret
   metadata:
       name: sas-auth-secrets
       namespace: core
   type: Opaque
   data:
       client_id: <Base64-encoded client ID>
       client_secret: <Base64-encoded client secret>
       redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
       tenant_id: <Base64-encoded tenant ID>
   
   ---
   
   apiVersion: v1
   kind: Secret
   metadata:
       name: grafana-auth-secrets
       namespace: core
   type: Opaque
   data:
       GF_AUTH_AZUREAD_CLIENT_ID: <Base64-encoded client ID>
       GF_AUTH_AZUREAD_CLIENT_SECRET: <Base64-encoded client secret>
       GF_AUTH_AZUREAD_AUTH_URL: <Base64-encoded authorization URL>
       GF_AUTH_AZUREAD_TOKEN_URL: <Base64-encoded token URL>
       GF_SERVER_ROOT_URL: <Base64-encoded packet core dashboards redirect URI root>
   

Applicare oggetti segreti Kubernetes

È necessario applicare gli oggetti segreti Kubernetes se si abilita Microsoft Entra ID per un sito, dopo un'interruzione di Packet Core o dopo l'aggiornamento del file YAML dell'oggetto segreto Kubernetes.

1. Accedere ad Azure Cloud Shell e selezionare PowerShell. Se è la prima volta che si accede al cluster tramite Azure Cloud Shell, seguire Accedere al cluster per configurare l'accesso kubectl.

2. Applicare l'oggetto segreto sia per la traccia distribuita che per i dashboard di Packet Core, specificando il nome file kubeconfig principale.

   kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>

3. Usare i comandi seguenti per verificare se gli oggetti segreti sono stati applicati correttamente, specificando il nome file kubeconfig di base. Verranno visualizzati i valori Nome, Spazio dei nomi e Tipo, insieme alle dimensioni dei valori codificati.

   kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>

   kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>

4. Riavviare i pod della traccia distribuita e dei dashboard di base dei pacchetti.

   1. Ottenere il nome del pod dei dashboard di base del pacchetto:

      kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"

   2. Copiare l'output del passaggio precedente e sostituirlo nel comando seguente per riavviare i pod.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

Verifica dell'accesso

Seguire Accedere all'interfaccia utente grafica Web di traccia distribuita e Accedere ai dashboard di Packet Core per verificare se è possibile accedere agli strumenti di monitoraggio locali usando Microsoft Entra ID.

Aggiornare gli oggetti segreti Kubernetes

Seguire questo passaggio se è necessario aggiornare gli oggetti segreti Kubernetes esistenti, ad esempio dopo l'aggiornamento degli URI di reindirizzamento o il rinnovo di un segreto client scaduto.

1. Apportare le modifiche necessarie al file YAML dell'oggetto segreto Kubernetes creato in Creare oggetti segreti Kubernetes.
2. Applicare oggetti segreti Kubernetes.
3. Verificare l'accesso.

Passaggi successivi

Se non è già stato fatto, è ora necessario progettare la configurazione del controllo dei criteri per la rete mobile privata. In questo modo è possibile personalizzare il modo in cui le istanze di base del pacchetto applicano caratteristiche di qualità del servizio (QoS) al traffico. È anche possibile bloccare o limitare determinati flussi.

• Altre informazioni sulla progettazione della configurazione del controllo dei criteri per la rete mobile privata