Habilitación de Microsoft Entra ID para herramientas de supervisión local

Azure Private 5G Core proporciona las herramientas de seguimiento distribuido y paneles de la red troncal de paquetes para supervisar la implementación en el perímetro. Puede acceder a estas herramientas mediante Microsoft Entra ID o un nombre de usuario y una contraseña locales. Se recomienda configurar la autenticación de Microsoft Entra para mejorar la seguridad en la implementación.

En esta guía paso a paso, realizará los pasos que debe completar después de implementar o configurar un sitio que use Microsoft Entra ID para autenticar el acceso a las herramientas de supervisión local. No es necesario seguir esto si decidió usar nombres de usuario y contraseñas locales para acceder al seguimiento distribuido y a los paneles de la red troncal de paquetes.

Precaución

No se admite Microsoft Entra ID para las herramientas de supervisión local cuando se habilita un proxy web en el dispositivo de Azure Stack Edge en el que se ejecuta Azure Private 5G Core. Si ha configurado un firewall que bloquea el tráfico que no se transmite a través del proxy web, la habilitación de Microsoft Entra ID hará que se produzca un error en la instalación de Azure Private 5G Core.

Requisitos previos

• Debe haber realizado los pasos descritos en Finalización de las tareas previas necesarias para implementar una red móvil privada y Recopilación de la información necesaria para un sitio.
• Debe haber implementado un sitio con Microsoft Entra ID establecido como el tipo de autenticación.
• Identifique la dirección IP para acceder a las herramientas de supervisión local que configuró en Red de administración.
• Asegúrese de que puede iniciar sesión en Azure Portal mediante una cuenta con acceso a la suscripción activa que usó para crear la red móvil privada. Esta cuenta debe tener permiso para administrar aplicaciones en Microsoft Entra ID. Entre los roles integrados de Microsoft Entra que tienen los permisos necesarios, se incluyen, por ejemplo, Administrador de aplicaciones, Desarrollador de aplicaciones y Administrador de aplicaciones en la nube. Si no tiene este acceso, póngase en contacto con el administrador de inquilinos de Microsoft Entra para confirmar que al usuario se le ha asignado el rol correcto siguiendo Asignar roles de usuario con Microsoft Entra ID.
• Asegúrese de que el equipo local tiene acceso principal kubectl al clúster de Kubernetes habilitado para Azure Arc. Esto requiere un archivo kubeconfig básico, que puede obtener siguiendo Acceso principal al espacio de nombres.

Configuración del nombre del sistema de dominio (DNS) para la dirección IP de supervisión local

Al registrar la aplicación y configurar los URI de redireccionamiento, necesitará que los URI de redireccionamiento contengan un nombre de dominio en lugar de una dirección IP para acceder a las herramientas de supervisión local.

En el servidor DNS autoritativo de la zona DNS en la que desea crear el registro DNS, configure un registro DNS para resolver el nombre de dominio en la dirección IP que se usa para acceder a las herramientas de supervisión local, que configuró en Red de administración.

Registrar aplicación

Ahora registrará una nueva aplicación de supervisión local con Microsoft Entra ID para establecer una relación de confianza con la plataforma de identidad de Microsoft.

Si la implementación contiene varios sitios, puede usar los mismos dos URI de redireccionamiento para todos los sitios o crear pares de URI diferentes para cada sitio. Puede configurar un máximo de dos URI de redireccionamiento por sitio. Si ya ha registrado una aplicación para la implementación y quiere usar los mismos URI en los sitios, puede omitir este paso.

Nota:

En estas instrucciones se supone que usa una sola aplicación para el seguimiento distribuido y los paneles de núcleos de paquetes. Si quiere conceder acceso a distintos grupos de usuarios para estas dos herramientas, puede configurar una aplicación para los roles de paneles principales de paquetes y otra para el rol de seguimiento distribuido.

1. Siga Inicio rápido: registro de una aplicación con la plataforma de identidad de Microsoft para registrar una nueva aplicación para las herramientas de supervisión local con la plataforma de identidad de Microsoft.

   1. En Agregar un URI de redireccionamiento, seleccione la plataforma Web y agregue los dos URI de redireccionamiento siguientes, donde <dominio de supervisión local> es el nombre de dominio de las herramientas de supervisión local que configuró en Configuración del nombre del sistema de dominio (DNS) para la dirección IP de supervisión local:

      • https://<dominio de supervisión local>/sas/auth/aad/callback
      • https://<dominio de supervisión local>/grafana/login/azuread

   2. En Agregar credenciales, siga los pasos para agregar un secreto de cliente. Asegúrese de registrar el secreto en la columna Valor, ya que este campo solo está disponible inmediatamente después de la creación del secreto. Este es el valor del secreto de cliente que necesitará más adelante en este procedimiento.

2. Siga la App roles UI para crear los roles para su aplicación con la siguiente configuración:

   • En Tipos de miembro permitidos, seleccione Usuarios o grupos.
   • En Valor, escriba un valor de Administrador, Visor y Editor para cada rol que cree. Para el seguimiento distribuido, también necesita un rol de sas.user.
   • En ¿Desea habilitar este rol de aplicación?, asegúrese de que la casilla está activada.

   Podrá utilizar estos roles cuando gestione el acceso a los paneles del núcleo de paquetes y a la herramienta de rastreo distribuido.

3. Siga Asignación de usuarios y grupos a roles para asignar usuarios y grupos a los roles que creó.

Recopilación de la información de objetos secretos de Kubernetes

1. Recopile los valores de la siguiente tabla.

   Value	Cómo realizar la recopilación	Nombre del parámetro secreto de Kubernetes
   Id. de inquilino	En Azure Portal, busque Microsoft Entra ID. Puede encontrar el campo id. de inquilino en la página Información general.	tenant_id
   Id. de la aplicación (cliente)	Vaya al nuevo registro de aplicaciones de supervisión local que acaba de crear. Puede encontrar el campo id. de aplicación (cliente) en la página Información general, en el encabezado Essentials.	client_id
   Dirección URL de autorización	En la página Información general del registro de aplicaciones de supervisión local, seleccione Puntos de conexión. Copie el contenido del campo Punto de conexión de autorización de OAuth 2.0 (v2). Nota: Si la cadena contiene organizations, reemplace organizations por el valor del identificador de inquilino. Por ejemplo: https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize se convierte en https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/authorize.	auth_url
   Dirección URL del token	En la página Información general del registro de aplicaciones de supervisión local, seleccione Puntos de conexión. Copie el contenido del campo Punto de conexión de token de OAuth 2.0 (v2). Nota: Si la cadena contiene organizations, reemplace organizations por el valor del identificador de inquilino. Por ejemplo: https://login.microsoftonline.com/organizations/oauth2/v2.0/token se convierte en https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/token.	token_url
   Secreto de cliente	Lo recopiló al crear el secreto de cliente en el paso anterior.	client_secret
   Raíz del URI de redireccionamiento de seguimiento distribuido	Anote la siguiente parte del URI de redireccionamiento: https://<dominio de supervisión local>.	redirect_uri_root
   Raíz del URI de redireccionamiento de los paneles de la red troncal de paquetes	Anote la siguiente parte del URI de redireccionamiento de los paneles de la red troncal de paquetes: https://<dominio de supervisión local>/grafana.	root_url

Modificación del acceso local

Vaya a Azure Portal y vaya al recurso Plano de control de la red troncal de paquetes del sitio. Seleccione la pestaña Modificar acceso local de la hoja.

1. Si el tipo de autenticación está establecido en Microsoft Entra ID, continúe a Crear objetos secretos de Kubernetes.
2. De lo contrario:
   1. Seleccione Microsoft Entra ID en la lista desplegable Tipo de autenticación.
   2. Seleccione Review (Revisar).
   3. Seleccione Submit (Enviar).

Creación de objetos secretos de Kubernetes

Para admitir Microsoft Entra ID en aplicaciones de Azure Private 5G Core, necesitará un archivo YAML que contenga secretos de Kubernetes.

1. Convierta cada uno de los valores recopilados en Recopilación de la información de objetos secretos de Kubernetes en formato Base64. Por ejemplo, puede ejecutar el siguiente comando en una ventana de Bash de Azure Cloud Shell:

   echo -n <Value> | base64
   

2. Cree un archivo secret-azure-ad-local-monitoring.yaml que contenga los valores codificados en Base64 para configurar el seguimiento distribuido y los paneles de la red troncal de paquetes. El secreto para el seguimiento distribuido debe tener el nombre sas-auth-secrets y el secreto de los paneles de la red troncal de paquetes debe tener el nombre grafana-auth-secrets.

   apiVersion: v1
   kind: Secret
   metadata:
       name: sas-auth-secrets
       namespace: core
   type: Opaque
   data:
       client_id: <Base64-encoded client ID>
       client_secret: <Base64-encoded client secret>
       redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
       tenant_id: <Base64-encoded tenant ID>
   
   ---
   
   apiVersion: v1
   kind: Secret
   metadata:
       name: grafana-auth-secrets
       namespace: core
   type: Opaque
   data:
       client_id: <Base64-encoded client ID>
       client_secret: <Base64-encoded client secret>
       auth_url: <Base64-encoded authorization URL>
       token_url: <Base64-encoded token URL>
       root_url: <Base64-encoded packet core dashboards redirect URI root>
   

Aplicación de objetos secretos de Kubernetes

Tendrá que aplicar los objetos secretos de Kubernetes si habilita Microsoft Entra ID para un sitio, después de una interrupción de la red troncal de paquetes o después de actualizar el archivo YAML del objeto secreto de Kubernetes.

1. Inicie sesión en Azure Cloud Shell y seleccione PowerShell. Si es la primera vez que accede al clúster a través de Azure Cloud Shell, siga Acceso al clúster para configurar el acceso kubectl.

2. Aplique el objeto secreto para el seguimiento distribuido y para los paneles de la red troncal de paquetes, especificando el nombre de archivo kubeconfig principal.

   kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>

3. Use los siguientes comandos para comprobar si los objetos secretos se aplicaron correctamente, especificando el nombre de archivo kubeconfig principal. Debería ver los valores correctos Nombre, Espacio de nombres y Tipo, junto con el tamaño de los valores codificados.

   kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>

   kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>

4. Reinicie los pods del seguimiento distribuido y de los paneles de la red troncal de paquetes.

   1. Obtenga el nombre del pod de los paneles de la red troncal de paquetes:

      kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"

   2. Copie la salida del paso anterior y reemplácela en el siguiente comando para reiniciar los pods.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

Comprobar acceso

Siga Acceso a la GUI web de seguimiento distribuido y Acceso a los paneles de la red troncal de paquetes para comprobar si puede acceder a las herramientas de supervisión local mediante Microsoft Entra ID.

Actualización de objetos secretos de Kubernetes

Siga este paso si necesita actualizar los objetos secretos de Kubernetes existentes; por ejemplo, después de actualizar los URI de redireccionamiento o renovar un secreto de cliente expirado.

1. Realice los cambios necesarios en el archivo YAML del objeto secreto de Kubernetes que creó en Creación de objetos secretos de Kubernetes.
2. Aplicación de objetos secretos de Kubernetes.
3. Comprobación del acceso.

Pasos siguientes

Si aún no lo ha hecho, ahora debe diseñar la configuración de control de directivas para la red móvil privada. Puede personalizar cómo aplican las instancias de la red troncal de paquetes las características de Calidad de servicio (QoS) al tráfico. También puede bloquear o limitar determinados flujos.

• Más información sobre el diseño de la configuración de control de directivas para la red móvil privada