Permettre à Microsoft Entra ID d’accéder aux outils d’analyse locaux

Azure Private 5G Core fournit des outils de suivi distribué et de tableaux de bord principaux de paquets pour analyser votre déploiement en périphérie. Vous pouvez accéder à ces outils à l’aide de Microsoft Entra ID ou d’un nom d’utilisateur et mot de passe locaux. Nous recommandons de configurer l’authentification Microsoft Entra pour améliorer la sécurité dans votre déploiement.

Dans ce guide pratique, vous allez effectuer les étapes à suivre après le déploiement ou la configuration d’un site qui utilise Microsoft Entra ID pour authentifier un accès à vos outils d’analyse locaux. Vous n’avez pas besoin de suivre cette procédure si vous avez décidé d’utiliser des noms d’utilisateurs et mots de passe locaux pour accéder au suivi distribué et aux tableaux de bord principaux de paquets.

Attention

Microsoft Entra ID pour les outils d’analyse locaux n’est pas pris en charge lorsqu’un proxy web est activé sur l’appareil Azure Stack Edge sur lequel Azure Private 5G Core est en cours d’exécution. Si vous avez configuré un pare-feu qui bloque le trafic non transmis via le proxy web, l’activation de Microsoft Entra ID entraînera l’échec de l’installation d’Azure Private 5G Core.

Prérequis

Configurer le système de nom de domaine (DNS) pour l’adresse IP d’analyse locale

Lors de l’inscription de votre application et de la configuration des URI de redirection, vous aurez besoin que vos URI de redirection contiennent un nom de domaine plutôt qu’une adresse IP pour accéder aux outils d’analyse locaux.

Dans le serveur DNS faisant autorité pour la zone DNS dans laquelle vous souhaitez créer l’enregistrement DNS, configurez un enregistrement DNS pour résoudre le nom de domaine et obtenir l’adresse IP utilisée pour accéder aux outils d’analyse locaux, que vous configurez dans Gestion de réseau.

Enregistrer l’application

Vous allez maintenant inscrire une nouvelle application d’analyse locale dans Microsoft Entra ID pour établir une relation de confiance avec la plateforme d’identités Microsoft.

Si votre déploiement contient plusieurs sites, vous pouvez utiliser les deux mêmes URI de redirection pour tous les sites, ou créer différentes paires d’URI pour chaque site. Vous pouvez configurer un maximum de deux URI de redirection par site. Si vous avez déjà inscrit une application pour votre déploiement et que vous souhaitez utiliser les mêmes URI sur vos sites, vous pouvez ignorer cette étape.

Remarque

Ces instructions supposent que vous utilisez une application unique pour le suivi distribué et les tableaux de bord Packet Core. Si vous souhaitez accorder l’accès à différents groupes d’utilisateurs pour ces deux outils, vous pouvez configurer une application pour les rôles de tableaux de bord Packet Core et une pour le rôle de trace distribué.

  1. Suivez Démarrage rapide : Inscrire une application dans la plateforme d’identités Microsoft pour inscrire une nouvelle application pour vos outils d’analyse locaux dans la plateforme d’identités Microsoft.

    1. Dans Ajouter un URI de redirection, sélectionnez la plateforme Web et ajoutez les deux URI de redirection suivants, où <domaine d’analyse local> est le nom de domaine que vous avez configuré pour vos outils d’analyse locaux dans Configurer un système de nom de domaine (DNS) pour l'IP d’analyse locale :

      • https://<domaine d’analyse local>/sas/auth/aad/callback
      • https://<domaine d’analyse local>/grafana/login/azuread
    2. Dans Ajouter des informations d’identification, suivez les étapes pour ajouter une clé secrète client. Enregistrez le secret sous la colonne Valeur, car ce champ est disponible uniquement immédiatement après la création du secret. Il s’agit de la valeur de la Clé secrète client dont vous aurez besoin plus loin dans cette procédure.

  2. Suivez Interface utilisateur des rôles d’application pour créer les rôles pour votre application avec la configuration suivante :

    • Dans Types de membres autorisés, sélectionnez Utilisateurs/groupes.
    • Dans valeur, entrez l’un des rôles Administrateur, Vieweret Editeur pour chaque rôle que vous créez. Pour le suivi distribué, vous avez également besoin d’un rôle sas.user.
    • Dans Voulez-vous activer ce rôle d’application ?, vérifiez que la case est cochée.

    Vous pourrez utiliser ces rôles lors de la gestion de l’accès aux tableaux de bord Packet Core et à l’outil de suivi distribué.

  3. Suivez Attribuer des utilisateurs et des groupes à des rôles pour attribuer des utilisateurs et des groupes aux rôles que vous avez créés.

Collecter les informations des objets secrets Kubernetes

  1. Collectez les valeurs reprises dans le tableau suivant.

    Valeur Comment collecter Nom du paramètre secret Kubernetes
    Tenant ID Dans le portail Azure, recherchez Microsoft Entra ID. Vous trouverez le champ ID de locataire dans la page Vue d’ensemble. tenant_id
    ID d’application (client) Accédez à l’inscription de la nouvelle application d’analyse locale que vous venez de créer. Vous trouverez le champ ID d’application (client) dans la page Vue d’ensemble, sous le titre Essentials. client_id
    URL d’autorisation Dans la page Vue d’ensemble de l’inscription de l’application d’analyse locale, sélectionnez Points de terminaison. Copiez le contenu du champ Point de terminaison d’autorisation OAuth 2.0 (v2).

    Remarque :
    Si la chaîne contient organizations, remplacez organizations par la valeur de l’ID de locataire. Par exemple,
    https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize
    devient
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/authorize.
    auth_url
    URL du jeton Dans la page Vue d’ensemble de l’inscription de l’application d’analyse locale, sélectionnez Points de terminaison. Copiez le contenu du champ Point de terminaison de jeton OAuth 2.0 (v2).

    Remarque :
    Si la chaîne contient organizations, remplacez organizations par la valeur de l’ID de locataire. Par exemple,
    https://login.microsoftonline.com/organizations/oauth2/v2.0/token
    devient
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/token.
    token_url
    Clè secrète client Vous l’avez collecté lors de la création de la clé secrète client à l’étape précédente. client_secret
    Racine de l’URI de redirection du suivi distribué Notez la partie suivante de l’URI de redirection : https://<domaine d’analyse local>. redirect_uri_root
    Racine de l’URI de redirection des tableaux de bord principaux de paquets Notez la partie suivante de l’URI de redirection des tableaux de bord principaux de paquets : https://<domaine d’analyse local>/grafana. root_url

Modifier l’accès local

Accédez au portail Azure, puis à la ressource Plan de contrôle des paquets principaux de votre site. Sélectionnez l’onglet Modifier l’accès local du panneau.

  1. Si le Type d’authentification est défini sur Microsoft Entra ID, passez à Créer des objets secrets Kubernetes.
  2. Sinon :
    1. Sélectionnez Microsoft Entra IDdans le menu déroulant Type d’authentification.
    2. Sélectionnez Révision.
    3. Sélectionnez Soumettre.

Créer des objets secrets Kubernetes

Pour prendre en charge Microsoft Entra ID sur des applications Azure Private 5G Core, vous aurez besoin d’un fichier YAML contenant des secrets Kubernetes.

  1. Convertissez chacune des valeurs collectées dans Collecter les informations des objets secrets Kubernetes au format Base64. Par exemple, vous pouvez exécuter la commande suivante dans une fenêtre Azure Cloud Shell Bash :

    echo -n <Value> | base64
    
  2. Créez un fichier secret-azure-ad-local-monitoring.yaml contenant les valeurs codées en Base64 pour configurer le suivi distribué et les tableaux de bord principaux de paquets. Le secret du suivi distribué doit être nommé sas-auth-secrets et le secret des tableaux de bord principaux de paquets grafana-auth-secrets.

    apiVersion: v1
    kind: Secret
    metadata:
        name: sas-auth-secrets
        namespace: core
    type: Opaque
    data:
        client_id: <Base64-encoded client ID>
        client_secret: <Base64-encoded client secret>
        redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
        tenant_id: <Base64-encoded tenant ID>
    
    ---
    
    apiVersion: v1
    kind: Secret
    metadata:
        name: grafana-auth-secrets
        namespace: core
    type: Opaque
    data:
        GF_AUTH_AZUREAD_CLIENT_ID: <Base64-encoded client ID>
        GF_AUTH_AZUREAD_CLIENT_SECRET: <Base64-encoded client secret>
        GF_AUTH_AZUREAD_AUTH_URL: <Base64-encoded authorization URL>
        GF_AUTH_AZUREAD_TOKEN_URL: <Base64-encoded token URL>
        GF_SERVER_ROOT_URL: <Base64-encoded packet core dashboards redirect URI root>
    

Appliquer des objets secrets Kubernetes

Vous devrez appliquer vos objets secrets Kubernetes si vous activez Microsoft Entra ID pour un site, après une panne de paquet principal ou après la mise à jour du fichier YAML de l’objet secret Kubernetes.

  1. Connectez-vous à Azure Cloud Shell et sélectionnez PowerShell. S’il s’agit de votre premier accès à votre cluster via Azure Cloud Shell, suivez Accéder à votre cluster pour configurer l’accès kubectl.

  2. Appliquez l’objet secret au suivi distribué et aux tableaux de bord principaux de paquets, en spécifiant le nom de fichier principal kubeconfig.

    kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>

  3. Utilisez les commandes suivantes pour vérifier si les objets secrets ont été appliqués correctement, en spécifiant le nom de fichier principal kubeconfig. Vous devez voir les valeurs correctes des Nom, Espace de noms et Type, ainsi que la taille des valeurs codées.

    kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>

    kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>

  4. Redémarrez le suivi distribué et les pods des tableaux de bord principaux des paquets.

    1. Obtenez le nom du pod de vos tableaux de bord principaux de paquets :

      kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"

    2. Copiez la sortie de l’étape précédente et remplacez-la dans la commande suivante pour redémarrer vos pods.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

Vérifier l’accès

Suivez Accéder à l’interface graphique utilisateur web de suivi distribué et Accéder aux tableaux de bord principaux de paquets pour vérifier si vous pouvez accéder à vos outils d’analyse locaux à l’aide de Microsoft Entra ID.

Mettre à jour des objets secrets Kubernetes

Suivez cette étape si vous devez mettre à jour vos objets secrets Kubernetes existants ; par exemple, après la mise à jour de vos URI de redirection ou le renouvellement d’une clé secrète client expirée.

  1. Apportez les modifications nécessaires au fichier YAML de l’objet secret Kubernetes que vous avez créé dans Créer des objets secrets Kubernetes.
  2. Appliquer des objets secrets Kubernetes.
  3. Vérifier l'accès.

Étapes suivantes

Si vous ne l’avez pas déjà fait, vous devez maintenant concevoir la configuration du contrôle de stratégie pour votre réseau mobile privé. Cela vous permet de personnaliser la façon dont vos instances Packet Core appliquent les caractéristiques de qualité de service (QoS) au trafic. Vous pouvez également bloquer ou limiter certains flux.