AzureActiveDirectoryの認証の話(Azure周りの自動化編)
•
1 like•299 views
Youtubeの動画シリーズと連動しています。 https://www.youtube.com/playlist?list=PLas-S4LkjlLrLF4LRBztnqH5HPY9cEAgT 連続7回のシリーズ動画です。 ・Azureの処理を自動化したい ・ユーザーによる対話的な認証を省いて自動化したい ・パスワードを生でスクリプトには記載したくない ・複数のAzure ADをまたがる場合にも対応したい そんな方のために送る動画シリーズとなっております。
Recommended
More Related Content
What's hot
What's hot (20)
Similar to AzureActiveDirectoryの認証の話(Azure周りの自動化編)
Similar to AzureActiveDirectoryの認証の話(Azure周りの自動化編) (20)
More from Masahiko Ebisuda
More from Masahiko Ebisuda (20)
Recently uploaded
Recently uploaded (9)
AzureActiveDirectoryの認証の話(Azure周りの自動化編)
- 1. だいたいわかる(といいな) Azure Active Directoryの認証の話 Azure周りの⾃動化編 (※Webアプリ, Web API作成周りは今回は対象外) @ebi ハンズオン
- 5. アジェンダ 1. 結局はトークンを取得してAPIを叩くだけ 2. 誰がどうやってトークンを取得するのか? 3. ユーザープリンシパルが対話操作でトークンを取得するパターン 4. サービスプリンシパルが資格情報でトークンを取得するパターン 5. パスワードや証明書を安全に保管する⽅法 6. KeyVaultの情報を安全に取得する⽅法(マネージドID) 7. マネージドIDでトークンを取得するパターン 8. 全体的にどうなるか? 9. 実は「誰が」「どうやって」に加えてもう1つあります
- 6. ⽇本ビジネスシステムズ株式会社 胡⽥ 昌彦(えびすだ まさひこ) Youtube http://bit.ly/2NTCKmj 企業の情報システム部で働く⽅ ⼀般ユーザーだけど、コンピューターに 興味があって、もっと詳しくなりたい⽅ Windows, M365, Azure等のMicrosoft関 連技術中⼼ チャンネル登録よろしくお願いします!
- 7. ⼀緒に試してみるのに必要なもの アプリケーション登録が可能なAzure Active Directory 上記Azure Active Directoryに紐づくAzureサブスクリプション かつ、「所有者」権限を持っているもの Windows端末 このPPTの最新版(概要欄に貼ってあります!) https://1drv.ms/p/s!AmWJPFs28h6jhOBDWzGr_Hcjn8xP5w?e=ME10lj Windows PCを使っていて、Azureの評価版を作成したならその 環境で⼤丈夫です。
- 10. 何を⾔っているのかわからない? まずは実際にやってみましょう! Resource Groups - Create Or Update - REST API (Azure Resource Management) | Microsoft Docs https://docs.microsoft.com/ja- jp/rest/api/resources/resource-groups/create-or-update
- 15. 誰がどうやってトークンを取得するのか? 様々なバリエーションがある Microsoft ID プラットフォームの認証フローとアプリのシナリ オ - Microsoft Entra | Microsoft Docs https://docs.microsoft.com/ja-jp/azure/active- directory/develop/authentication-flows-app- scenarios#scenarios-and-supported-authentication-flows ※⽇本語版は誤植あるので注意(2022/6)
- 16. 誰が ユーザープリンシパル サービスプリンシパル マネージドID どうやって 対話操作 資格情報 他にも⾊々あるけどまずはこれだけわかれば 「⾃動化」程度なら困らない(と思う)
- 18. Azure PowerShellのインストール if (Get‐Module ‐Name AzureRM ‐ListAvailable) { Write‐Warning ‐Message ('Az module not installed. Having both the AzureRM and ' + 'Az modules installed at the same time is not supported.') } else { Install‐Module ‐Name Az ‐AllowClobber ‐Scope CurrentUser } PowerShellGet を使⽤して Azure PowerShell をインストールする | Microsoft Docs https://docs.microsoft.com/ja-jp/powershell/azure/install-az-ps?view=azps-0.10.0
- 20. 誰が ユーザープリンシパル サービスプリンシパル マネージドID どうやって 対話操作 資格情報
- 25. PowerShell # 認証する Connect‐AzAccount # 現在のコンテキストを確認する(認証したID,AADテナント,対象のサブスクリプション等) Get‐AzContext # 対象サブスクリプションが適切でない場合には切り替える #Get‐AzSubscription #Select‐AzSubscription ‐Subscription <SubscriptionIDを⼊⼒> # トークンが取得できることを確認する Get‐AzAccessToken $token = (Get‐AzAccessToken).token # リソースグループを作成する $subscriptionId = (Get‐AzContext).Subscription.Id $resourceGroupName = "testrg1" $url = "https://management.azure.com/subscriptions/${subscriptionId}/resourcegroups/${resourceGroupName}?api‐ version=2021‐04‐01" $headers = @{ "Authorization" = "Bearer $token" "Content‐type" = "application/json" } $body = '{location:"JapanEast"}' Invoke‐RestMethod ‐Method PUT ‐Uri $url ‐Headers $headers ‐Body $body
- 27. 誰が ユーザープリンシパル サービスプリンシパル マネージドID どうやって 対話操作 資格情報 PowerShell # 認証する Connect‐AzAccount # 現在のコンテキストを確認する(認証したID,AADテナント,対象のサブスクリプショ ン等) Get‐AzContext # トークンが取得できることを確認する Get‐AzAccessToken # リソースグループを作成する New‐AzResourceGroup ‐Name testrg2 ‐Location JapanEast
- 28. ⾃動化したい時どうするか?
- 30. 誰が ユーザープリンシパル サービスプリンシパル マネージドID どうやって 対話操作 資格情報
- 35. サービスプリンシパル / パスワードベースの認証 1. AADにアプリケーションを登録しサービスプリンシパルを作成する - アプリケーション - サービスプリンシパル 2. サービスプリンシパルにRBACで権限を付与する 3. シークレットを作成する 4. PowerShellでサービスプリンシパルとして認証する PowerShell $applicationId = "" $clientSecret = "" $tenantId = "" $securedSecret = ConvertTo‐SecureString $clientSecret ‐AsPlainText ‐Force $creds = New‐Object System.Management.Automation.PSCredential($applicationId, $securedSecret) Connect‐AzAccount ‐ServicePrincipal ‐Tenant $tenantId ‐Credential $creds Get‐AzContext Get‐AzAccessToken New‐AzResourceGroup ‐Name testrg3 ‐Location JapanEast
- 36. サービスプリンシパル / 証明書ベースの認証 1. AADにアプリケーションを登録しサービスプリンシパルを作成する - アプリケーション - サービスプリンシパル 2. サービスプリンシパルにRBACで権限を付与する 3. (どこで作成してもいいが、今回はローカルのWindows上で)証明書を⽣成する 4. サービスプリンシパルに証明書をアップロードする 5. PowerShellでサービスプリンシパルとして認証する PowerShell $applicationId = "" $tenantId = "" # 証明書作成 New‐SelfSignedCertificate ‐CertStoreLocation "cert:¥CurrentUser¥My" ` ‐Subject "CN=CertforSP" ‐KeySpec KeyExchange $Thumbprint = (Get‐ChildItem cert:¥CurrentUser¥My¥ | Where‐Object {$_.Subject ‐eq "CN=CertforSP" })[0].Thumbprint # 認証 Connect‐AzAccount ‐ServicePrincipal ‐CertificateThumbprint $Thumbprint ` ‐ApplicationId $applicationId ‐TenantId $tenantId Get‐AzContext Get‐AzAccessToken New‐AzResourceGroup ‐Name testrg4 ‐Location JapanEast
- 39. Q. シークレットや証明書はどこに保管すれば安全 なのか? A. Azure KeyVaultです!
- 40. KeyVaultを⾒てみる KeyVault作成 キーコンテナー管理者ロールの割り当て ⾃分⾃⾝ KeyVaultに以前つくったシークレットの値を保存 KeyVaultで証明書の⽣成 CER形式でダウンロード サービスプリンシパルへの証明書のアップロード
- 41. Q. シークレットや証明書はどこに保管すれば安全 なのか? A. Azure KeyVaultです!
- 45. 誰が ユーザープリンシパル サービスプリンシパル マネージドID どうやって 対話操作 資格情報
- 46. 誰が ユーザープリンシパル サービスプリンシパル マネージドID どうやって 対話操作 資格情報 ※正確にはマネージドIDもサービスプリンシパルです…。 ですが、使い勝⼿は全く異なります。
- 48. Azure VM上でマネージドIDのアクセス トークンを取得する Invoke‐WebRequest ‐Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api‐version=2018‐ 02‐01&resource=https%3A%2F%2Fmanagement.azure.com%2F’ ` ‐Headers @{Metadata=“true”} 169.254.169.254 というIPアドレスからトークンが取得できます マネージドIDがONであれば何もしなくてもいきなりトークンが取れ ます
- 61. サービスプリンシパル / KeyVaultから取得したパスワードベースの認証 1. AADにアプリケーションを登録しサービスプリンシパルを作成する - アプリケーション - サービスプリンシパル 2. サービスプリンシパルにRBACで権限を付与する 3. マネージドIDにKeyVaultへのアクセス権を付与する 4. シークレットを作成する 5. シークレットをKeyVaultに登録する 6. PowerShellで(マネージドIDを使ってKeyVaultから取得したシークレットを使⽤して)サービスプリンシパルとして認証する PowerShell $applicationId = "" $tenantId = "" $vaultName = "" $secretName = "" # Managed ID Add‐AzAccount ‐identity $clientSecret = Get‐AzKeyvaultSecret ‐VaultName $vaultName ‐Name $secretName ‐AsPlainText $securedSecret = ConvertTo‐SecureString $clientSecret ‐AsPlainText ‐Force $creds = New‐Object System.Management.Automation.PSCredential($applicationId, $securedSecret) # ServicePrincipal Connect‐AzAccount ‐ServicePrincipal ‐Tenant $tenantId ‐Credential $creds New‐AzResourceGroup ‐Name testrg5 ‐Location JapanEast
- 62. サービスプリンシパル / KeyVaultから取得した証明書ベースの認証 1. AADにアプリケーションを登録しサービスプリンシパルを作成する - アプリケーション - サービスプリンシパル 2. サービスプリンシパルにRBACで権限を付与する 3. マネージドIDにKeyVaultへのアクセス権を付与する 4. KeyVaultで証明書を⽣成する 5. サービスプリンシパルに証明書をアップロードする 6. PowerShellで(KeyVaultから取得した証明書を使⽤して)サービスプリンシパルとして認証する $applicationId = "" $tenantId = "" $VaultName = "" $certName = "" Add‐AzAccount –identity $cert = Get‐AzKeyvaultCertificate ‐VaultName $VaultName ‐Name $certName $Thumbprint = $cert.Thumbprint $secret = Get‐AzKeyVaultSecret ‐VaultName $vaultName ‐Name $cert.Name $secretValueText = ''; $ssPtr = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($secret.SecretValue) try { $secretValueText = [System.Runtime.InteropServices.Marshal]::PtrToStringBSTR($ssPtr) } finally { [System.Runtime.InteropServices.Marshal]::ZeroFreeBSTR($ssPtr) } $secretByte = [Convert]::FromBase64String($secretValueText) $x509Cert = new‐object System.Security.Cryptography.X509Certificates.X509Certificate2($secretByte, "", "Exportable,PersistKeySet") $type = [System.Security.Cryptography.X509Certificates.X509ContentType]::Pfx $pfxFileByte = $x509Cert.Export($type, $password) # Write to a file $certPath = "KeyVault.pfx" [System.IO.File]::WriteAllBytes($certPath, $pfxFileByte) $pfx = New‐Object System.Security.Cryptography.X509Certificates.X509Certificate2([string]$certPath, [string]$password, "Exportable,PersistKeySet") $store = New‐Object System.Security.Cryptography.X509Certificates.X509Store("My", "CurrentUser") #CurrentUser or LocalMachine $store.open("MaxAllowed") $store.add($pfx) $store.close() Connect‐AzAccount ‐ServicePrincipal ‐CertificateThumbprint $Thumbprint ` ‐ApplicationId $applicationId ‐TenantId $tenantId New‐AzResourceGroup ‐Name testrg6 ‐Location JapanEast
- 63. [参考]Azure VMに関して⾔えばKeyVault拡張機能を使っ ておけば⾃動でKeyVaultからの証明書取得〜インストー ルを⾏ってくれます (証明書がインストールされている所から始めればよい) Windows ⽤の Azure Key Vault VM 拡張機能 - Azure Virtual Machines | Microsoft Docs https://docs.microsoft.com/ja-jp/azure/virtual-machines/extensions/key-vault-windows
- 69. マネージドIDとしての認証 1. Azure上のリソース(VM等)にマネージドIDを⽣成する 2. マネージドIDにRBACで権限を付与する 3. PowerShellでマネージドIDとして認証する PowerShell Add‐AzAccount –identity Get‐AzContext Get‐AzAccessToken New‐AzResourceGroup ‐Name testrg7 ‐Location JapanEast ※VMを再起動しないとすぐには権限が割り当たらない動きがありそう
- 70. マネージドIDだけでいいんじゃないか? やりたいことに対してAzure ADが1つだけしか登場せず、 Azureのみが対象ならマネージドIDのみでほぼ全部実現できる はず 極⼒マネージドIDを使うのが良い Azure ADをまたぐ場合にはマネージドIDのみではうまくいか ない AzureではRBACでのロール割り当ては、Azureサブスクリプションが 紐づくAzure AD内のプリンシパルにしか⾏えない
- 72. KeyVaultとマネージドIDに関しては別の 動画もあります 違う切り⼝から解説してますので時間がある時にぜひどうぞ。 #AzureKeyVault 概要と #マネージドID の解説 / #Azure - YouTube https://www.youtube.com/watch?v=tAfwj_HH02E
- 78. 複数のAzure ADが登場する場合 サービスプリンシパルとKeyVaultを使うパターン サービス アクセス元 アクセス先 アクセス先の管理者がサー ビスプリンシパルを作成し、 権限を割り当てる
- 79. 複数のAzure ADが登場する場合 サービスプリンシパルとKeyVaultを使うパターン サービス アクセス元 アクセス先 アクセス元の管理者がKeyVault を作成し、証明書(秘密鍵あり) を作成する
- 80. 複数のAzure ADが登場する場合 サービスプリンシパルとKeyVaultを使うパターン サービス アクセス元 アクセス先 管理者同⼠で連携し、証明書(秘 密鍵無し)をサービスプリンシパ ルに登録する
- 81. 複数のAzure ADが登場する場合 サービスプリンシパルとKeyVaultを使うパターン サービス アクセス元 アクセス先 サービス ⾃動化の仕組みでマネージドID を使ってKeyVaultから証明書を 取得
- 82. 複数のAzure ADが登場する場合 サービスプリンシパルとKeyVaultを使うパターン サービス アクセス元 アクセス先 サービス アクセス先のサービスプリンシ パルとして証明書で認証し、 サービスにアクセス
- 89. Microsoft Graph Explorerにサインインしてアクセストークンを⾒てみると? Graph Explorer | Try Microsoft Graph APIs - Microsoft Graph
- 92. Verify first-party Microsoft applications in sign-in reports - Active Directory | Microsoft Docs https://docs.microsoft.com/en- us/troubleshoot/azure/active-directory/verify-first- party-apps-sign-in
- 94. Microsoft Graph⽤のAPIを叩く PowerShell Connect‐AzAccount $token = (Get‐AzAccessToken ‐Resource 'https://graph.microsoft.com').token $url = 'https://graph.microsoft.com/v1.0/me' $headers = @{Authorization = "Bearer $token"} Invoke‐RestMethod ‐Method Get ‐Uri $url ‐Headers $headers