Delen via


Microsoft Entra-id inschakelen voor lokale bewakingshulpprogramma's

Azure Private 5G Core biedt de hulpprogramma's voor gedistribueerde tracering en pakketkernen voor het bewaken van uw implementatie aan de rand. U hebt toegang tot deze hulpprogramma's met behulp van Microsoft Entra ID of een lokale gebruikersnaam en wachtwoord. U wordt aangeraden Microsoft Entra-verificatie in te stellen om de beveiliging in uw implementatie te verbeteren.

In deze handleiding voert u de stappen uit die u moet uitvoeren nadat u een site hebt geïmplementeerd of geconfigureerd die gebruikmaakt van Microsoft Entra ID om toegang tot uw lokale bewakingshulpprogramma's te verifiëren. U hoeft dit niet te volgen als u hebt besloten om lokale gebruikersnamen en wachtwoorden te gebruiken voor toegang tot de gedistribueerde tracering en pakketkerndashboards.

Let op

Microsoft Entra-id voor lokale bewakingshulpprogramma's wordt niet ondersteund wanneer een webproxy is ingeschakeld op het Azure Stack Edge-apparaat waarop Azure Private 5G Core wordt uitgevoerd. Als u een firewall hebt geconfigureerd die verkeer blokkeert dat niet via de webproxy wordt verzonden, zorgt het inschakelen van Microsoft Entra ID ervoor dat de Installatie van Azure Private 5G Core mislukt.

Vereisten

  • U moet de stappen in De vereiste taken voor het implementeren van een privé mobiel netwerk hebben voltooid en de vereiste informatie voor een site verzamelen.
  • U moet een site hebben geïmplementeerd met microsoft Entra-id ingesteld als verificatietype.
  • Identificeer het IP-adres voor toegang tot de lokale bewakingshulpprogramma's die u hebt ingesteld in het beheernetwerk.
  • Zorg ervoor dat u zich kunt aanmelden bij Azure Portal met behulp van een account met toegang tot het actieve abonnement dat u hebt gebruikt om uw privé-mobiele netwerk te maken. Dit account moet gemachtigd zijn voor het beheren van toepassingen in Microsoft Entra ID. Ingebouwde Microsoft Entra-rollen met de vereiste machtigingen zijn bijvoorbeeld toepassingsbeheerder, toepassingsontwikkelaar en cloudtoepassingsbeheerder. Als u deze toegang niet hebt, neemt u contact op met de Microsoft Entra-beheerder van uw tenant, zodat deze kan bevestigen dat uw gebruiker de juiste rol heeft gekregen door gebruikersrollen toewijzen met Microsoft Entra-id te volgen.
  • Zorg ervoor dat uw lokale computer kerntoegang tot kubectl heeft tot het Kubernetes-cluster met Azure Arc. Hiervoor is een kubeconfig-kernbestand vereist dat u kunt verkrijgen door de toegang tot de Core-naamruimte te volgen.

Dns (Domain System Name) configureren voor lokale bewakings-IP

Wanneer u uw toepassing registreert en omleidings-URI's configureert, hebt u uw omleidings-URI's nodig om een domeinnaam te bevatten in plaats van een IP-adres voor toegang tot de lokale bewakingshulpprogramma's.

Configureer in de gezaghebbende DNS-server voor de DNS-zone waarin u de DNS-record wilt maken een DNS-record om de domeinnaam om te zetten in het IP-adres dat wordt gebruikt voor toegang tot lokale bewakingshulpprogramma's, die u in het beheernetwerk hebt ingesteld.

Toepassing registreren

U registreert nu een nieuwe lokale bewakingstoepassing met Microsoft Entra ID om een vertrouwensrelatie met het Microsoft Identity Platform tot stand te brengen.

Als uw implementatie meerdere sites bevat, kunt u dezelfde twee omleidings-URI's voor alle sites gebruiken of voor elke site verschillende URI-paren maken. U kunt maximaal twee omleidings-URI's per site configureren. Als u al een toepassing voor uw implementatie hebt geregistreerd en u dezelfde URI's op uw sites wilt gebruiken, kunt u deze stap overslaan.

Notitie

In deze instructies wordt ervan uitgegaan dat u één toepassing gebruikt voor gedistribueerde tracering en de pakketkerndashboards. Als u toegang wilt verlenen tot verschillende gebruikersgroepen voor deze twee hulpprogramma's, kunt u in plaats daarvan één toepassing instellen voor de rollen pakketkerndashboards en één voor de gedistribueerde traceringsrol.

  1. Volg de quickstart: Registreer een toepassing bij het Microsoft Identity Platform om een nieuwe toepassing te registreren voor uw lokale bewakingshulpprogramma's bij het Microsoft Identity Platform.

    1. Selecteer in Een omleidings-URI toevoegen het webplatform en voeg de volgende twee omleidings-URI's toe, waarbij< het lokale bewakingsdomein> de domeinnaam is voor uw lokale bewakingshulpprogramma's die u hebt ingesteld in DNS (Domain System Name) configureren voor lokale bewakings-IP:

      • <https:// lokaal bewakingsdomein>/sas/auth/aad/callback
      • <https:// lokaal bewakingsdomein>/grafana/login/azuread
    2. Volg in Referenties toevoegen de stappen om een clientgeheim toe te voegen. Zorg ervoor dat u het geheim onder de kolom Waarde opneemt, omdat dit veld alleen beschikbaar is direct na het maken van het geheim. Dit is de waarde van het clientgeheim die u later in deze procedure nodig hebt.

  2. Volg de gebruikersinterface van app-rollen om de rollen voor uw toepassing te maken met de volgende configuratie:

    • Selecteer In Toegestane lidtypen gebruikers/groepen.
    • Voer in Waarde een van de beheerders-, viewer- en editor-functies in voor elke rol die u maakt. Voor gedistribueerde tracering hebt u ook een sas.user-rol nodig.
    • In Wilt u deze app-rol inschakelen?, controleert u of het selectievakje is ingeschakeld.

    U kunt deze rollen gebruiken bij het beheren van de toegang tot het pakketkerndashboards en het hulpprogramma voor gedistribueerde tracering.

  3. Volg Gebruikers en groepen toewijzen aan rollen om gebruikers en groepen toe te wijzen aan de rollen die u hebt gemaakt.

De informatie verzamelen voor Kubernetes Secret Objects

  1. Verzamel de waarden in de volgende tabel.

    Weergegeven als Verzamelen Naam van kubernetes-geheime parameter
    Tenant ID Zoek in Azure Portal naar Microsoft Entra-id. U vindt het veld Tenant-id op de pagina Overzicht. tenant_id
    Toepassings-id (client) Navigeer naar de nieuwe registratie van de lokale bewakings-app die u zojuist hebt gemaakt. U vindt het veld Toepassings-id (client) op de pagina Overzicht onder de kop Essentials . client_id
    Autorisatie-URL Selecteer Eindpunten op de pagina Overzicht van de registratie van lokale bewakings-apps. Kopieer de inhoud van het veld OAuth 2.0-autorisatie-eindpunt (v2 ).

    Opmerking:
    Als de tekenreeks de waarde tenant-id bevat organizations, vervangt organizations u deze. Bijvoorbeeld
    https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize
    Wordt
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/authorize.
    auth_url
    Token-URL Selecteer Eindpunten op de pagina Overzicht van de registratie van lokale bewakings-apps. Kopieer de inhoud van het veld OAuth 2.0-tokeneindpunt (v2).

    Opmerking:
    Als de tekenreeks de waarde tenant-id bevat organizations, vervangt organizations u deze. Bijvoorbeeld
    https://login.microsoftonline.com/organizations/oauth2/v2.0/token
    Wordt
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/token.
    token_url
    Client secret U hebt dit verzameld bij het maken van het clientgeheim in de vorige stap. client_secret
    Omleidings-URI-hoofdmap voor gedistribueerde tracering Noteer het volgende deel van de omleidings-URI: https://< lokaal bewakingsdomein>. redirect_uri_root
    Omleidings-URI-hoofdmap van pakketkerndashboards Noteer het volgende deel van de omleidings-URI voor pakketkerndashboards: https://< lokaal bewakingsdomein>/grafana. root_url

Lokale toegang wijzigen

Ga naar De Azure-portal en navigeer naar de resource van het pakketkernbesturingsvlak van uw site. Selecteer het tabblad Lokale toegang wijzigen op de blade.

  1. Als het verificatietype is ingesteld op Microsoft Entra-id, gaat u verder met het maken van Kubernetes Secret Objects.
  2. Anders:
    1. Selecteer Microsoft Entra-id in de vervolgkeuzelijst Verificatietype .
    2. Selecteer Beoordelen.
    3. Selecteer Indienen.

Kubernetes-geheime objecten maken

U hebt een YAML-bestand met Kubernetes-geheimen nodig om Microsoft Entra ID in Azure Private 5G Core-toepassingen te ondersteunen.

  1. Converteer elk van de waarden die u hebt verzameld in De gegevens voor Kubernetes Secret Objects verzamelen naar de Base64-indeling. U kunt bijvoorbeeld de volgende opdracht uitvoeren in een Azure Cloud Shell Bash-venster :

    echo -n <Value> | base64
    
  2. Maak een bestand secret-azure-ad-local-monitoring.yaml met de met Base64 gecodeerde waarden om gedistribueerde tracering en de pakketkerndashboards te configureren. Het geheim voor gedistribueerde tracering moet sas-auth-secrets zijn genoemd en het geheim voor de pakketkerndashboards moet grafana-auth-secrets zijn.

    apiVersion: v1
    kind: Secret
    metadata:
        name: sas-auth-secrets
        namespace: core
    type: Opaque
    data:
        client_id: <Base64-encoded client ID>
        client_secret: <Base64-encoded client secret>
        redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
        tenant_id: <Base64-encoded tenant ID>
    
    ---
    
    apiVersion: v1
    kind: Secret
    metadata:
        name: grafana-auth-secrets
        namespace: core
    type: Opaque
    data:
        GF_AUTH_AZUREAD_CLIENT_ID: <Base64-encoded client ID>
        GF_AUTH_AZUREAD_CLIENT_SECRET: <Base64-encoded client secret>
        GF_AUTH_AZUREAD_AUTH_URL: <Base64-encoded authorization URL>
        GF_AUTH_AZUREAD_TOKEN_URL: <Base64-encoded token URL>
        GF_SERVER_ROOT_URL: <Base64-encoded packet core dashboards redirect URI root>
    

Kubernetes-geheime objecten toepassen

U moet uw Kubernetes Secret Objects toepassen als u Microsoft Entra ID inschakelt voor een site, na een storing in de pakketkern of na het bijwerken van het YAML-bestand voor Kubernetes Secret Object.

  1. Meld u aan bij Azure Cloud Shell en selecteer PowerShell. Als dit de eerste keer is dat u uw cluster opent via Azure Cloud Shell, volgt u Toegang tot uw cluster om kubectl-toegang te configureren.

  2. Pas het geheime object toe voor zowel gedistribueerde tracering als de pakketkerndashboards, waarbij de bestandsnaam van de kubeconfig-kern wordt opgegeven.

    kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>

  3. Gebruik de volgende opdrachten om te controleren of de geheime objecten correct zijn toegepast en geef de bestandsnaam van de kubeconfig-kern op. U ziet nu de juiste waarden voor de naam, naamruimte en type , samen met de grootte van de gecodeerde waarden.

    kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>

    kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>

  4. Start de pods voor gedistribueerde tracering en pakketkernen opnieuw op.

    1. Haal de naam op van uw pod voor pakketkerndashboards:

      kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"

    2. Kopieer de uitvoer van de vorige stap en vervang deze in de volgende opdracht om uw pods opnieuw op te starten.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

Toegang verifiëren

Volg access met de web-GUI voor gedistribueerde tracering en open de pakketkerndashboards om te controleren of u toegang hebt tot uw lokale bewakingshulpprogramma's met behulp van Microsoft Entra ID.

Kubernetes-geheime objecten bijwerken

Volg deze stap als u uw bestaande Kubernetes Secret Objects wilt bijwerken; Bijvoorbeeld na het bijwerken van uw omleidings-URI's of het vernieuwen van een verlopen clientgeheim.

  1. Breng de vereiste wijzigingen aan in het YAML-bestand van het Kubernetes-geheimobject dat u hebt gemaakt in Kubernetes Secret Objects maken.
  2. Kubernetes-geheime objecten toepassen.
  3. Controleer de toegang.

Volgende stappen

Als u dit nog niet hebt gedaan, moet u nu de configuratie van beleidsbeheer ontwerpen voor uw mobiele privénetwerk. Hiermee kunt u aanpassen hoe uw pakketkerninstanties QoS-kenmerken (Quality of Service) toepassen op verkeer. U kunt bepaalde stromen ook blokkeren of beperken.