Habilitar o Microsoft Entra ID para ferramentas de monitoramento local

O Azure Private 5G Core fornece ferramentas de rastreamento distribuído e painéis do núcleo de pacotes para monitorar sua implantação na borda. Você pode acessar essas ferramentas usando o Microsoft Entra ID ou um nome de usuário e senha locais. Recomendamos configurar a autenticação do Microsoft Entra para melhorar a segurança da sua implantação.

Neste guia de instruções, você executará as etapas necessárias para concluir depois de implantar ou configurar um site que usa o Microsoft Entra ID para autenticar o acesso às ferramentas de monitoramento local. Você não precisará seguir isso se decidir usar nomes de usuário e senhas locais para acessar os painéis do núcleo de pacotes e o rastreamento distribuído.

Cuidado

O Microsoft Entra ID para ferramentas de monitoramento local não é suportado quando um proxy Web está habilitado no dispositivo Azure Stack Edge no qual o Azure Private 5G Core está em execução. Se você configurou um firewall que bloqueia o tráfego não transmitido por meio do proxy Web, a habilitação do Microsoft Entra ID fará com que a instalação do Azure Private 5G Core falhe.

Pré-requisitos

• Você deve ter concluído as etapas em Concluir as tarefas de pré-requisito para implantar uma rede móvel privada e Coletar as informações necessárias de um site.
• Você deve ter implantado um site com o Microsoft Entra ID definido como o tipo de autenticação.
• Identifique o endereço IP para acessar as ferramentas de monitoramento local configuradas em Rede de gerenciamento.
• Verifique se você pode entrar no portal do Azure usando uma conta com acesso à assinatura ativa usada para criar sua rede móvel privada. Essa conta deve ter permissão para gerenciar aplicativos no Microsoft Entra ID. As Funções internas do Microsoft Entra que têm as permissões necessárias incluem, por exemplo, Administrador de aplicativos, Desenvolvedor de aplicativos e Administrador de aplicativos de nuvem. Se você não tiver esse acesso, entre em contato com o administrador do Microsoft Entra do locatário para que ele possa confirmar se o usuário recebeu a função correta seguindo Atribuir funções de usuário com o Microsoft Entra ID.
• Verifique se o computador local tem acesso kubectl principal ao cluster do Kubernetes habilitado para Azure Arc. Isso requer um arquivo kubeconfig principal, que você pode obter seguindo o Acesso ao namespace principal.

Configurar o DNS (nome do sistema de domínio) para o IP de monitoramento local

Ao registrar seu aplicativo e configurar URIs de redirecionamento, você precisará que seus URIs de redirecionamento contenham um nome de domínio em vez de um endereço IP para acessar as ferramentas de monitoramento local.

No servidor DNS autoritativo da zona DNS na qual você deseja criar o registro DNS, configure um registro DNS para resolver o nome de domínio do endereço IP usado para acessar ferramentas de monitoramento local, que você configurou em Rede de gerenciamento.

Registrar aplicativo

Agora você registrará um novo aplicativo de monitoramento local com o Microsoft Entra ID para estabelecer uma relação de confiança com a plataforma de identidade da Microsoft.

Se a sua implantação contiver vários sites, você poderá usar os mesmos dois URIs de redirecionamento para todos os sites ou criar pares de URI diferentes para cada site. Você pode configurar no máximo dois URIs de redirecionamento por site. Se você já registrou um aplicativo para sua implantação e deseja usar os mesmos URIs em seus sites, ignore esta etapa.

Observação

Essas instruções pressupõem que você esteja usando um único aplicativo para o rastreamento distribuído e os painéis principais do pacote. Se você quiser conceder acesso a diferentes grupos de usuários para essas duas ferramentas, poderá configurar um aplicativo para as funções de painéis principais de pacotes e um para a função de rastreamento distribuído.

1. Siga o Início rápido: Registrar um aplicativo no plataforma de identidade da Microsoft para registrar um novo aplicativo para suas ferramentas de monitoramento local no plataforma de identidade da Microsoft.

   1. Em Adicionar um URI de redirecionamento, selecione a plataforma Web e adicione os dois URIs de redirecionamento a seguir, em que o <domínio de monitoramento local> é o nome de domínio das ferramentas de monitoramento local que você configurou em Configurar nome do sistema de domínio (DNS) do IP de monitoramento local:

      • https://<domínio de monitoramento local>/sas/auth/aad/callback
      • https://<domínio de monitoramento local>/grafana/login/azuread

   2. Em Adicionar credenciais, siga as etapas para adicionar um segredo do cliente. Registre o segredo na coluna Valor, pois esse campo só estará disponível imediatamente após a criação do segredo. Esse é o valor Secreto do cliente que você precisará posteriormente neste procedimento.

2. Siga a Interface do usuário das funções de aplicativo para criar as funções para seu aplicativo com a seguinte configuração:

   • Em Tipos de membro permitidos, selecione Usuários/Grupos.
   • Em Valor, insira Administrador, Visualizador e Editor para cada função que você está criando. Para rastreamento distribuído, você também precisa de uma função sas.user.
   • Em Deseja habilitar essa função de aplicativo?, verifique se a caixa de seleção está selecionada.

   Você poderá usar essas funções ao gerenciar o acesso aos painéis principais de pacotes e à ferramenta de rastreamento distribuído.

3. Siga Atribuir usuários e grupos a funções para atribuir usuários e grupos às funções que você criou.

Coletar as informações dos Objetos do Segredo do Kubernetes

1. Colete os valores na tabela a seguir.

   Valor	Como coletar	Nome do parâmetro do segredo do Kubernetes
   ID do Locatário	No portal do Azure, pesquise Microsoft Entra ID. Você pode encontrar o campo ID do locatário na Página de visão geral.	tenant_id
   ID do Aplicativo (cliente)	Navegue até o novo registro do aplicativo de monitoramento local que você acabou de criar. Você pode encontrar o campo ID do aplicativo (cliente) na Página de visão geral, sob o título Essentials.	client_id
   URL de Autorização	Na Página de visão geral do registro do aplicativo de monitoramento local, selecione Pontos de extremidade. Copie o conteúdo do campo Ponto de extremidade da autorização OAuth 2.0 (v2). Observação: Se a cadeia de caracteres contiver organizations, substitua organizations pelo valor da ID do Locatário. Por exemplo, https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize torna-se https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/authorize.	auth_url
   URL do Token	Na Página de visão geral do registro do aplicativo de monitoramento local, selecione Pontos de extremidade. Copie o conteúdo do campo Ponto de extremidade do token OAuth 2.0 (v2). Observação: Se a cadeia de caracteres contiver organizations, substitua organizations pelo valor da ID do Locatário. Por exemplo, https://login.microsoftonline.com/organizations/oauth2/v2.0/token torna-se https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/token.	token_url
   Segredo do cliente	Você coletou isso ao criar o segredo do cliente na etapa anterior.	client_secret
   Raiz do URI de redirecionamento de rastreamento distribuído	Anote a seguinte parte do URI de redirecionamento: https://<domínio de monitoramento local>.	redirect_uri_root
   Os painéis do núcleo de pacotes redirecionam a raiz do URI	Anote a seguinte parte do URI de redirecionamento dos painéis do núcleo de pacotes: https://<domínio de monitoramento local>/grafana.	root_url

Modificar o acesso local

Acesse o portal do Azure e navegue até o recurso Painel de Controle do Núcleo de Pacotes do seu site. Selecione a guia Modificar acesso local da folha.

1. Se o Tipo de autenticação estiver definido como Microsoft Entra ID, continue a Criar Objetos do Segredo do Kubernetes.
2. Caso contrário:
   1. Selecione Microsoft Entra ID no menu suspenso Tipo de autenticação.
   2. Selecione Examinar.
   3. Selecione Enviar.

Criar Objetos do Segredo do Kubernetes

Para dar suporte ao Microsoft Entra ID em aplicativos do Azure Private 5G Core, você precisará de um arquivo YAML contendo os segredos do Kubernetes.

1. Converta cada um dos valores coletados em Coletar as informações dos Objetos do Segredo do Kubernetes no formato Base64. Por exemplo, você pode executar o seguinte comando em uma janela de Bash do Azure Cloud Shell:

   echo -n <Value> | base64
   

2. Crie um arquivo secret-azure-ad-local-monitoring.yaml contendo os valores codificados em Base64 para configurar o rastreamento distribuído e os painéis do núcleo de pacotes. O segredo do rastreamento distribuído deve ser nomeado sas-auth-secrets, e o segredo dos painéis do núcleo de pacotes deve ser nomeado grafana-auth-secrets.

   apiVersion: v1
   kind: Secret
   metadata:
       name: sas-auth-secrets
       namespace: core
   type: Opaque
   data:
       client_id: <Base64-encoded client ID>
       client_secret: <Base64-encoded client secret>
       redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
       tenant_id: <Base64-encoded tenant ID>
   
   ---
   
   apiVersion: v1
   kind: Secret
   metadata:
       name: grafana-auth-secrets
       namespace: core
   type: Opaque
   data:
       GF_AUTH_AZUREAD_CLIENT_ID: <Base64-encoded client ID>
       GF_AUTH_AZUREAD_CLIENT_SECRET: <Base64-encoded client secret>
       GF_AUTH_AZUREAD_AUTH_URL: <Base64-encoded authorization URL>
       GF_AUTH_AZUREAD_TOKEN_URL: <Base64-encoded token URL>
       GF_SERVER_ROOT_URL: <Base64-encoded packet core dashboards redirect URI root>
   

Aplicar Objetos do Segredo do Kubernetes

Você precisará aplicar seus Objetos do Segredo do Kubernetes se estiver habilitando o Microsoft Entra ID para um site, após uma interrupção do núcleo de pacotes ou após atualizar o arquivo YAML do Objeto do Segredo do Kubernetes.

1. Entre no Azure Cloud Shell e selecione PowerShell. Se esta for a primeira vez que você acessa seu cluster por meio do Azure Cloud Shell, siga Acessar seu cluster para configurar o acesso kubectl.

2. Aplique o Objeto do Segredo para o rastreamento distribuído e os painéis do núcleo de pacotes, especificando o nome do arquivo kubeconfig principal.

   kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>

3. Use os comandos a seguir para verificar se os Objetos do Segredo foram aplicados corretamente, especificando o nome do arquivo kubeconfig principal. Você deverá ver os valores corretos Name, Namespace e Type, juntamente com o tamanho dos valores codificados.

   kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>

   kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>

4. Reinicie os pods dos painéis do núcleo de pacotes e do rastreamento distribuído.

   1. Obtenha o nome do pod dos painéis do núcleo de pacotes:

      kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"

   2. Copie a saída da etapa anterior e substitua-a no comando a seguir para reiniciar seus pods.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

Verificar o acesso

Siga Acessar a GUI da Web de rastreamento distribuído e Acessar os painéis do núcleo de pacotes para verificar se você pode acessar suas ferramentas de monitoramento local usando o Microsoft Entra ID.

Atualizar Objetos do Segredo do Kubernetes

Siga esta etapa se você precisar atualizar seus Objetos do Segredo do Kubernetes existentes; por exemplo, depois de atualizar suas URIs de redirecionamento ou renovar um segredo do cliente expirado.

1. Faça as alterações necessárias no arquivo YAML do Objeto do Segredo do Kubernetes criado em Criar Objetos do Segredo do Kubernetes.
2. Aplicar Objetos do Segredo do Kubernetes.
3. Verificar acesso.

Próximas etapas

Se você ainda não tiver criado a configuração de controle de política da sua rede móvel privada, faça-o agora. Isso permite personalizar a forma como a instância de núcleo do pacote aplica as características de QoS (qualidade de serviço) ao tráfego. Além disso, pode bloquear ou limitar determinados fluxos.

• Saiba mais sobre como criar a configuração de controle de política para sua rede móvel privada