Aktivieren von Microsoft Entra ID für lokale Überwachungstools

  • Artikel

Azure Private 5G Core bietet die Tools für verteilte Ablaufverfolgung und Paketkerndashboards, damit Sie Ihre Edgebereitstellung überwachen können. Sie können mit Microsoft Entra ID oder einem lokalen Benutzernamen und Kennwort auf diese Tools zugreifen. Es wird empfohlen, die Microsoft Entra-Authentifizierung einzurichten, um die Sicherheit in Ihrer Bereitstellung zu verbessern.

In dieser Anleitung führen Sie die Schritte aus, die Sie nach der Bereitstellung oder Konfiguration eines Standorts ausführen müssen, der Microsoft Entra-ID verwendet, um den Zugriff auf Ihre lokalen Überwachungstools zu authentifizieren. Sie müssen dies nicht befolgen, wenn Sie sich entschieden haben, lokale Benutzernamen und Kennwörter für den Zugriff auf die verteilte Ablaufverfolgung und die Paketkerndashboards zu verwenden.

Achtung

Microsoft Entra ID für lokale Überwachungstools wird nicht unterstützt, wenn ein Webproxy auf dem Azure Stack Edge-Gerät aktiviert ist, auf dem Azure Private 5G Core ausgeführt wird. Wenn Sie eine Firewall konfiguriert haben, die Datenverkehr blockiert, der nicht über den Webproxy übertragen wird, führt die Aktivierung von Microsoft Entra ID dazu, dass die Azure Private 5G Core-Installation fehlschlägt.

Voraussetzungen

  • Sie müssen die Schritte abgeschlossen haben, die unter Ausführen der erforderlichen Aufgaben für die Bereitstellung eines privaten Mobilfunknetzes und Sammeln der erforderlichen Informationen für einen Standort angegeben sind.
  • Sie müssen einen Standort mit Microsoft Entra ID als Authentifizierungstyp bereitgestellt haben.
  • Identifizieren Sie die IP-Adresse für den Zugriff auf die lokalen Überwachungstools, die Sie in Verwaltungsnetzwerk eingerichtet haben.
  • Stellen Sie sicher, dass Sie sich mit einem Konto mit Zugriff auf das aktive Abonnement, das Sie zum Erstellen Ihres privaten mobilen Netzwerks verwendet haben, beim Azure-Portal anmelden können. Das Konto muss über die Berechtigung zum Verwalten von Anwendungen in Microsoft Entra ID verfügen. Integrierte Microsoft Entra-Rollen, die über die erforderlichen Berechtigungen verfügen, sind z. B. Anwendungsadministrator, Anwendungsentwickler und Cloudanwendungsadministrator. Wenn Sie nicht über diesen Zugriff verfügen, wenden Sie sich an den Microsoft Entra-Administrator Ihres Mandanten, damit er bestätigen kann, dass Ihrem Benutzer die richtige Rolle zugewiesen wurde. Informationen hierzu finden sich in Zuweisen von Benutzerrollen mit Microsoft Entra ID.
  • Stellen Sie sicher, dass Ihr lokaler Computer über kubectl-Zugriff auf den Kubernetes-Cluster mit Azure Arc-Unterstützung verfügt. Dies erfordert eine kubeconfig-Kerndatei. Informationen dazu, wie Sie diese erhalten, finden Sie unter Kernnamespacezugriff.

Konfigurieren des DNS-Namens (Domain Name System) für lokale Überwachungs-IP

Beim Registrieren ihrer Anwendung und Konfigurieren von Umleitungs-URIs müssen Ihre Umleitungs-URIs einen Domänennamen anstelle einer IP-Adresse für den Zugriff auf die lokalen Überwachungstools enthalten.

Konfigurieren Sie im autoritativen DNS-Server für die DNS-Zone, in der Sie den DNS-Eintrag erstellen möchten, einen DNS-Eintrag, um den Domänennamen in die IP-Adresse aufzulösen, die für den Zugriff auf lokale Überwachungstools verwendet wird. Diese haben Sie unter Verwaltungsnetzwerk eingerichtet.

Anwendung registrieren

Jetzt registrieren Sie eine neue lokale Überwachungsanwendung mit Microsoft Entra ID, um eine Vertrauensstellung mit der Microsoft Identity Platform einzurichten.

Wenn Ihre Bereitstellung mehrere Standorte umfasst, können Sie die gleichen zwei Umleitungs-URIs für alle Standorte verwenden oder für jeden Standort unterschiedliche URI-Paare erstellen. Sie können maximal zwei Umleitungs-URIs pro Standort konfigurieren. Wenn Sie bereits eine Anwendung für Ihre Bereitstellung registriert haben und dieselben URIs für Ihre Standorte verwenden möchten, können Sie diesen Schritt überspringen.

Hinweis

Bei diesen Anweisungen wird davon ausgegangen, dass Sie eine einzelne Anwendung sowohl für verteilte Ablaufverfolgung als auch für die Paketkerndashboards verwenden. Wenn Sie für verschiedene Benutzergruppen den Zugriff auf diese beiden Tools gewähren möchten, können Sie stattdessen eine Anwendung für die Paketkerndashboardrollen und eine für die Verteilte Ablaufverfolgungsrolle einrichten.

  1. Folgen Sie Schnellstart: Registrieren Sie eine Anwendung bei Microsoft Identity Platform, um eine neue Anwendung für Ihre lokalen Überwachungstools bei der Microsoft Identity Platform zu registrieren.

    1. Wählen Sie unter Hinzufügen eines Umleitungs-URI die Plattform Web aus, und fügen Sie die folgenden beiden Umleitungs-URIs hinzu. Dabei ist <lokale Überwachungsdomäne> der Domänenname für Ihre lokalen Überwachungstools ist, die Sie in Konfigurieren des DNS-Namens (Domain Name System) für lokale Überwachungs-IP eingerichtet haben:

      • https://<lokale Überwachungsdomäne>/sas/auth/aad/callback
      • https://<lokale Überwachungsdomäne>/grafana/login/azuread

    2. Führen Sie in Hinzufügen von Anmeldeinformationen die Schritte aus, um einen geheimen Clientschlüssel hinzuzufügen. Notieren Sie sich unbedingt den geheimen Schlüssel in der Spalte Wert, da dieses Feld nur unmittelbar nach der Erstellung des geheimen Schlüssels verfügbar ist. Dies ist der Wert für den geheimen Clientschlüssel, den Sie später in diesem Verfahren benötigen.

  2. Folgen Sie App-Rollen-UI, um die Rollen für Ihre Anwendung mit der folgenden Konfiguration zu erstellen:

    • Wählen Sie unter Zulässige Membertypen die Option Benutzer/Gruppen aus.
    • Geben Sie unter WertAdmin, Viewer oder Editor ein, abhängig von der Rolle, die Sie erstellen. Für die verteilte Ablaufverfolgung benötigen Sie auch eine sas.user-Rolle.
    • Stellen Sie unter Möchten Sie diese App-Rolle aktivieren? sicher, dass das Kontrollkästchen aktiviert ist.

    Sie können diese Rollen beim Verwalten des Zugriffs auf die Paketkerndashboards und das Tool für verteilte Ablaufverfolgung verwenden.

  3. Folgen Sie Zuweisen von Benutzern und Gruppen zu Rollen, um Benutzern und Gruppen die von Ihnen erstellten Rollen zuzuweisen.

Sammeln der Informationen für Kubernetes-Geheimnisobjekte

  1. Sammeln Sie die Werte in der folgenden Tabelle.

    Wert Erfassung Name des geheimen Kubernetes-Parameters
    Mandanten-ID Suchen Sie im Azure-Portal nach „Microsoft Entra ID“. Sie finden das Feld Mandanten-ID auf der Seite „Übersicht“. tenant_id
    Anwendungs-ID (Client) Navigieren Sie zu der gerade erstellten Registrierung für die lokale Überwachungs-App. Sie finden das Feld Anwendungs-ID (Client) auf der Seite „Übersicht“ unter der Überschrift Zusammenfassung. client_id
    Autorisierungs-URL Wählen Sie auf der Seite „Übersicht“ für die Registrierung der lokalen Überwachungs-App die Option Endpunkte aus. Kopieren Sie den Inhalt des Felds OAuth 2.0-Autorisierungsendpunkt (v2).

    Hinweis:
    Wenn die Zeichenfolge organizations enthält, ersetzen Sie organizations durch den Wert der Mandanten-ID. Beispiel:
    https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize
    wird zu
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/authorize.    		 auth_url
    Token-URL Wählen Sie auf der Seite „Übersicht“ für die Registrierung der lokalen Überwachungs-App die Option Endpunkte aus. Kopieren Sie den Inhalt des Felds OAuth 2.0-Token-Endpunkt (v2).

    Hinweis:
    Wenn die Zeichenfolge organizations enthält, ersetzen Sie organizations durch den Wert der Mandanten-ID. Beispiel:
    https://login.microsoftonline.com/organizations/oauth2/v2.0/token
    wird zu
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/token.    		 token_url
    Geheimer Clientschlüssel Sie haben dies beim Erstellen des geheimen Clientschlüssels im vorherigen Schritt erfasst. client_secret
    Umleitungs-URI-Stamm für verteilte Ablaufverfolgung Notieren Sie sich den folgenden Teil des Umleitungs-URI: https://<lokale Überwachungsdomäne>. redirect_uri_root
    Umleitungs-URI-Stamm für Paketkerndashboards Notieren Sie sich den folgenden Teil des Umleitungs-URI für Paketkerndashboards: https://<lokale Überwachungsdomäne>/grafana. root_url

Ändern des lokalen Zugriffs

Wechseln Sie zum Azure-Portal, und navigieren Sie zur Ressource Packet Core-Steuerungsebene. Wählen Sie die Registerkarte Ändern des lokalen Zugriffs aus.

  1. Wenn der Authentifizierungstyp auf Microsoft Entra ID festgelegt ist, fahren Sie mit Erstellen von Kubernetes-Geheimnisobjekten fort.
  2. Andernfalls:
    1. Wählen Sie Microsoft Entra ID aus der Dropdownliste Authentifizierungstyp aus.
    2. Wählen Sie Review (Überprüfen) aus.
    3. Klicken Sie auf Senden.

Erstellen von Kubernetes-Geheimnisobjekten

Um Microsoft Entra ID in Azure Private 5G Core-Anwendungen zu unterstützen, benötigen Sie eine YAML-Datei, die Kubernetes-Geheimnisse enthält.

  1. Konvertieren Sie alle Werte, die Sie unter Sammeln der Informationen für Kubernetes-Geheimnisobjekte erfasst haben, in das Base64-Format. Sie können beispielsweise den folgenden Befehl in einem Bash-Fenster für Azure Cloud Shell ausführen:

    echo -n <Value> | base64

  2. Erstellen Sie die Datei secret-azure-ad-local-monitoring.yaml mit den Base64-codierten Werten, um die verteilte Ablaufverfolgung und die Paketkerndashboards zu konfigurieren. Das Geheimnis für die verteilte Ablaufverfolgung muss den Namen sas-auth-secrets erhalten, und das Geheimnis für die Paketkerndashboards muss den Namen grafana-auth-secretshaben.

    apiVersion: v1
kind: Secret
metadata:
    name: sas-auth-secrets
    namespace: core
type: Opaque
data:
    client_id: <Base64-encoded client ID>
    client_secret: <Base64-encoded client secret>
    redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
    tenant_id: <Base64-encoded tenant ID>

---

apiVersion: v1
kind: Secret
metadata:
    name: grafana-auth-secrets
    namespace: core
type: Opaque
data:
    client_id: <Base64-encoded client ID>
    client_secret: <Base64-encoded client secret>
    auth_url: <Base64-encoded authorization URL>
    token_url: <Base64-encoded token URL>
    root_url: <Base64-encoded packet core dashboards redirect URI root>

Anwenden von Kubernetes-Geheimnisobjekten

Sie müssen Ihre Kubernetes-Geheimnisobjekte anwenden, wenn Sie Microsoft Entra ID für einen Standort aktivieren, sowie nach einem Paketkernausfall oder nach dem Aktualisieren der YAML-Datei des Kubernetes-Geheimnisobjekts.

  1. Melden Sie sich bei Azure Cloud Shell an, und wählen Sie PowerShell aus. Wenn Sie zum ersten Mal über Azure Cloud Shell auf Ihren Cluster zugreifen, folgen Sie Zugreifen auf Ihren Cluster, um den kubectl-Zugriff zu konfigurieren.

  2. Wenden Sie das Geheimnisobjekt sowohl für die verteilte Ablaufverfolgung als auch für Paketkerndashboards an, und geben Sie den kubeconfig-Kerndateinamen an.

    kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>

  3. Verwenden Sie die folgenden Befehle, um zu überprüfen, ob die Geheimnisobjekte ordnungsgemäß angewendet wurden, und geben Sie den kubeconfig-Kerndateinamen an. Sie sollten die richtigen Werte für Name, Namespace und Typ zusammen mit der Größe der codierten Werte sehen.

    kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>

    kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>

  4. Starten Sie die Pods für die verteilte Ablaufverfolgung und Paketkerndashboards neu.

    1. Rufen Sie den Namen Ihres Paketkerndashboard-Pods ab:

      kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"

    2. Kopieren Sie die Ausgabe des vorherigen Schritts, und ersetzen Sie sie im folgenden Befehl, um Ihre Pods neu zu starten.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

Zugriff überprüfen

Folgen Sie Zugreifen auf die grafische Webbenutzeroberfläche für die verteilte Ablaufverfolgungsweb und Verwenden des Packet Core-Dashboards, um zu überprüfen, ob Sie mithilfe von Microsoft Entra ID auf Ihre lokalen Überwachungstools zugreifen können.

Aktualisieren von Kubernetes-Geheimnisobjekten

Führen Sie diesen Schritt aus, wenn Sie Ihre vorhandenen Kubernetes-Geheimnisobjekte aktualisieren müssen, z. B. nach dem Aktualisieren der Umleitungs-URIs oder Verlängern eines abgelaufenen geheimen Clientschlüssels.

  1. Nehmen Sie die erforderlichen Änderungen an der YAML-Datei des Kubernetes-Geheimnisobjekts vor, die Sie in Erstellen von Kubernetes-Geheimnisobjekten erstellt haben.
  2. Anwenden von Kubernetes-Geheimnisobjekten.
  3. Überprüfen des Zugriffs.

Nächste Schritte

Jetzt sollten Sie die Richtliniensteuerungskonfiguration Ihres privaten mobilen Netzwerks entwerfen, falls dies noch nicht geschehen ist. So können Sie anpassen, wie Ihre Paketkerninstanz QoS-Merkmale (Quality of Service) auf den Datenverkehr anwendet. Sie können auch bestimmte Flows blockieren oder einschränken.