Azure의 Grafana – AzureaD 인증

Azure에서 Grafana를 안전하고 저렴하게 배치하고 호스팅하는 방법, Azure Monitor/App Insights를 통해 좋은 가시성을 얻는 방법에 관한 다부분 시리즈의 일부다.그중의 일부가 유용하길 바란다.

Part 1 – Hosting/Configuration

Part 2 – Azure MySQL storage

Part 3 – SSL with LetsEncrypt

제4부분 - Azure 광고 로그인(본문)

섹션 5 - Azure Monitor 데이터 소스(출시 예정)

예비 지식

만약 앞의 세 단계를 따랐다면 모든 내용을 정확하게 설정할 수 있습니다.그렇지 않으면 다음이 필요합니다.

그라파나의 예(분명)

인스턴스

의 grafana.ini 파일에 액세스

SSL을 사용하는Grafana(AzureaD의 응답/리셋 URL에 대한 요구사항)

AzureaD 인스턴스

두 경우 모두 다음이 필요합니다.

Azure 포털에서 응용 등록 권한을 만듭니다.

개술

이 문서에서는 Grafana 인스턴스에 Azure Active Directory(Azure AD) 지원을 추가하는 것을 검토합니다.Azure에서 위탁 관리를 한다면, Active Directory에 잠재적인Grafana 사용자가 모두 설치되어 있을 수도 있고, 이것은 Azure AD 본체일 수도 있고, 표준 Active Directory 실례와 동기화된 비밀번호가 있을 수도 있으니, 이렇게 하는 것을 권장합니다.
여전히 로컬 사용자와 AzureaD를 보유할 수 있습니다. 저는 admin 사용자를 위해 강력한 비밀번호를 보존하여 유지보수를 하는 것을 권장합니다.
AzureaD를 Grafana의 신분 검증 시스템으로 사용하고 AzureaD에서 이 기능을 활성화함으로써 Grafana에 이중 요소 신분 검증(2FA)을 제공할 수 있다.

AzureaD란?

이것은 Azure 포털에 액세스하기 위한 클라우드 기반 인증 시스템입니다.만약 당신이 Azure를 사용하고 있다면, 당신은 이미 하나를 가지고 있을 것입니다.Microsoft의 중앙 집중식 IAM 시스템인 차세대 Active Directory입니다.
이것은 일반적인 인증 프로토콜 (예를 들어 OIDC (OpenIdConnect) 과SAML2) 에 인터페이스를 제공합니다.이것이 바로 Grafana가 사용자의 신분을 검증하는 방법입니다.

첫 번째 단계-Azure 애플리케이션 생성

첫 번째 단계는 Grafana 통신에 사용되고 Azure 접근 권한을 얻는 Azure 광고'앱'을 만드는 것이다.이 단계에서 응용 프로그램은 사용자 정보를 식별하는 데 사용될 것이다.프로그램 생성을 두 단계로 나눌 것입니다. 첫 번째 단계는 사용자가 이 프로그램을 사용할 수 있도록 하고, 두 번째 단계는 Azure 광고팀을Grafana 역할에 비추도록 합니다.
이 이름은 우호적인 이름입니다. 사용자가 처음 로그인을 시도할 때 이 이름을 볼 수 있습니다.사용자 그룹이 식별할 수 있는 것을 사용할 수도 있고, 사용자의 신뢰를 확보하기 위해 묘사적인 것을 사용할 수도 있다.
이 Grafana 통합은 URI 리디렉션이 필요합니다.여기에 도메인을 입력해야 합니다. 이 값은 다음과 같습니다.

https://<domain>/login/azuread

HTTPS를 사용하고 유효한 인증서를 가져야 하기 때문에 이것은 IP가 아닌 도메인입니다.
응용 프로그램을 만든 후 두 개의 상세한 정보를 기록해야 합니다.임차인 및 고객 ID:

다음 단계에서grafana 설정에 이런 것들이 필요합니다.
다음에 '클라이언트 기밀' 을 만들어야 합니다. 이것은 Azure가 다른 사람의 실례가 아니라Grafana의 실례를 어떻게 알았는지 알 수 있는 것입니다.

클라이언트가 '새 클라이언트 비밀번호' 링크를 열고 이 비밀번호에 설명 이름을 붙입니다.최장 유효기간은 2년이지만, 6개월을 사용하고, 알림을 보내서 업데이트하는 것을 권장합니다.
이 비밀을 추가하면 복사해야 한다. 다음 단계가 필요하기 때문이다.너는 이 단계에서만 이 비밀을 복제할 수 있기 때문에 그것을 복제하는 것이 매우 중요하다.페이지를 떠나기 전에
2단계 – Grafana 구성
그런 다음 grafana Azure 광고 애플리케이션의 구성을 알려야 합니다.grafana.ini 파일에는 이 점을 겨냥한 부분이 있는데 이름은 [auth.azuread]입니다. 여기서 중요한 내용은 다음과 같습니다.
Name= Name은 아무 곳에서도 사용되지 않는 친근한 이름입니다.
Enabled = true로 설정
client id= Azure 광고 애플리케이션 메인 화면에서 복사한
client secret=Azure 광고 응용 프로그램 메인 화면에서 복사한
범위 = openid email profileauth url=https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize Azure 광고 애플리케이션 메인 화면의 임차인 ID로 {tenant} 교체
auth url=https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token Azure 광고 애플리케이션 메인 화면의 임차인 ID로 {tenant} 교체

[auth.azuread]
name = Azure AD
enabled = true
;allow_sign_up = true
client_id = 
client_secret = 
scopes = openid email profile
auth_url = https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize
token_url = https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token
;allowed_domains =
;allowed_groups =

서비스를 다시 시작합니다. 이제 Azure 광고 자격 증명을 사용하여 로그인할 수 있습니다.

sudo systemctl restart grafana.server.service

결론

이 글은 Azuread 인증을 사용하는 것이 얼마나 쉬운지 보여 줍니다.사용자를 위해 그룹을 활성화하고 로컬 로그인 폼을 삭제할 수도 있습니다.이것들은 모두 다른 댓글을 위한 것이다.
다음 글에서는 Azure Monitor 및 Azure 로그 분석에 대한 액세스를 활성화하기 위해 이 Azure 광고 애플리케이션을 사용하는 방법을 연구합니다.