Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Microsoft Entra ID 認証 / サービスプリンシパル / シークレット / 証...

Masahiko Ebisuda
January 03, 2025
Technology
0
22

Microsoft Entra ID 認証 / サービスプリンシパル / シークレット / 証明書 / マネージドID / Azure外でもマネージドID

Youtubeでの解説はこちら。
https://www.youtube.com/live/-M_MgOC9fmA

Masahiko Ebisuda

January 03, 2025
Tweet

More Decks by Masahiko Ebisuda

See All by Masahiko Ebisuda
WSUSが非推奨に!? Windowsの更新管理を改めて勉強する!
ebibibi
0
1.2k
認証にシークレットも証明書も不要?! オンプレミスのサーバーでマネージドIDを利用!
ebibibi
0
160
Arc Jumpstart HCIBox Azure Stack HCI 23H2対応バージョン 展開してみた。
ebibibi
0
400
Azureならファイルサーバー そのままPaaS化OK!
ebibibi
0
270
2025年10月1日 Azure VMからインターネットアクセスができなくなる!?
ebibibi
0
240
クラウド&エッジ 次世代スーパーマーケットの アーキテクチャ解説&デモ
ebibibi
0
210
企業IT向け:Azure OpenAIでChatGPTを閉域で安全に展開
ebibibi
0
440
企業IT向け Azure OpenAIでChatGPTを 閉域で安全に展開
ebibibi
0
1.3k
Azure Policyでハイブリッドな構成管理
ebibibi
0
230

Other Decks in Technology

See All in Technology
.NET AspireでAzure Functionsやクラウドリソースを統合する
tsubakimoto_s
0
190
JuliaTokaiとJuliaLangJaの紹介 for NGK2025S
antimon2
1
110
Azureの開発で辛いところ
re3turn
0
240
駆け出しリーダーとしての第一歩〜開発チームとの新しい関わり方〜 / Beginning Journey as Team Leader
kaonavi
0
120
月間60万ユーザーを抱える 個人開発サービス「Walica」の 技術スタック変遷
miyachin
1
140
Cloudflareで実現する AIエージェント ワークフロー基盤
kmd09
0
290
信頼されるためにやったこと、 やらなかったこと。/What we did to be trusted, What we did not do.
bitkey
PRO
0
2.2k
CDKのコードレビューを楽にするパッケージcdk-mentorを作ってみた/cdk-mentor
tomoki10
0
210
My small contributions - Fujiwara Tech Conference 2025
ijin
0
1.4k
AWSの生成AIサービス Amazon Bedrock入門!(2025年1月版)
minorun365
PRO
7
470
Oracle Base Database Service:サービス概要のご紹介
oracle4engineer
PRO
1
16k
あなたの人生も変わるかも?AWS認定2つで始まったウソみたいな話
iwamot
3
850

Featured

See All Featured
Embracing the Ebb and Flow
colly
84
4.5k
The Power of CSS Pseudo Elements
geoffreycrofte
74
5.4k
KATA
mclloyd
29
14k
GraphQLとの向き合い方2022年版
quramy
44
13k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
3
240
Practical Orchestrator
shlominoach
186
10k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
192
16k
Typedesign – Prime Four
hannesfritz
40
2.5k
What's in a price? How to price your products and services
michaelherold
244
12k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
7k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
160
15k

Transcript

  1. Microsoft Entra ID認証 サービスプリンシパル シークレット / 証明書 マネージドID Azure外でもマネージドID @ebi

    Masahiko Ebisuda

  2. 日本ビジネスシステムズ株式会社 胡田 昌彦(えびすだ まさひこ) Youtube https://youtube.com/@ebibibi 自己紹介 こんな方にオススメ!  企業の情報システム部で働く方

     一般ユーザーだけど、コンピューターに興味 があって、もっと詳しくなりたい方  Windows, Azure, M365等のMicrosoft 関連技術に興味がある方 チャンネル登録よろしくお願いします!
  3. None
  4. None
  5. None
  6. None
  7. None
  8. None
  9. None

  10. 最終的にやりたいことは 「トークン」を取得したうえで 「API」を叩くことです ※ポータルからの操作でもコマンド操作でもアプリケーションでの操作でも 最後の最後はトークン付きでAPIがたたかれています

  11. 何を言っているのかわからない? まずは実際にやってみましょう! Resource Groups - Create Or Update - REST

    API (Azure Resource Management) | Microsoft Docs https://docs.microsoft.com/ja- jp/rest/api/resources/resource-groups/create-or-update
  12. None

  13. トークンを https://jwt.io/ でデコードしてみましょう

  14. トークンさえ入手できればよい それをAPIに投げればよい

  15. 誰がどうやって トークンを取得するのか?

  16. 誰がどうやってトークンを取得するのか? 様々なバリエーションがある Microsoft ID プラットフォームの認証フローとアプリのシナ リオ - Microsoft Entra |

    Microsoft Docs https://docs.microsoft.com/ja-jp/azure/active- directory/develop/authentication-flows-app- scenarios#scenarios-and-supported-authentication- flows ※日本語版は誤植が過去あったので注意)

  17. 誰が  ユーザープリンシパル  サービスプリンシパル  マネージドID どうやって  対話操作

     資格情報 他にも色々あるけどまずはこれだけわかれば 「自動化」程度なら困らない(と思う)

  18. 基本の基本 ユーザーが対話的に認証する

  19. 誰が  ユーザープリンシパル  サービスプリンシパル  マネージドID どうやって  対話操作

     資格情報

  20. サービス ユーザープリンシパルが対話操作でトー クンを取得するパターン

  21. 対話操作 サービス ユーザープリンシパルが対話操作でトー クンを取得するパターン

  22. 対話操作 トークン取得 サービス ユーザープリンシパルが対話操作でトー クンを取得するパターン

  23. 対話操作 トークン取得 サービス ユーザープリンシパルが対話操作でトー クンを取得するパターン

  24. PowerShell # 認証する Connect-AzAccount # 現在のコンテキストを確認する(認証したID,AADテナント,対象のサブスクリプション等) Get-AzContext # 対象サブスクリプションが適切でない場合には切り替える #Get-AzSubscription

    #Select-AzSubscription -Subscription <SubscriptionIDを入力> # トークンが取得できることを確認する Get-AzAccessToken $token = (Get-AzAccessToken).token # リソースグループを作成する $subscriptionId = (Get-AzContext).Subscription.Id $resourceGroupName = "testrg1" $url = "https://management.azure.com/subscriptions/${subscriptionId}/resourcegroups/${resourceGroupName}?api- version=2021-04-01" $headers = @{ "Authorization" = "Bearer $token" "Content-type" = "application/json" } $body = '{location:"JapanEast"}' Invoke-RestMethod -Method PUT -Uri $url -Headers $headers -Body $body
  25. None

  26. 専用のコマンドレットが存在 ※認証済みなら裏でトークンを取得して APIに投げてくれる

  27. PowerShell # 認証する Connect-AzAccount # トークンを取得する $token = (Get-AzAccessToken).token #

    リソースグループを作成する $subscriptionId = (Get-AzContext).Subscription.Id $resourceGroupName = "testrg1" $url = "https://management.azure.com/subscriptions/${subscriptionId}/resourcegroups/$ {resourceGroupName}?api-version=2021-04-01" $headers = @{ "Authorization" = "Bearer $token" "Content-type" = "application/json" } $body = '{location:"JapanEast"}' Invoke-RestMethod -Method PUT -Uri $url -Headers $headers -Body $body

  28. PowerShell # 認証する Connect-AzAccount # リソースグループを作成する New-AzResourceGroup -Name testrg2 -Location

    JapanEast

  29. PowerShell # 認証する Connect-AzAccount # リソースグループを作成する New-AzResourceGroup -Name testrg2 -Location

    JapanEast 対話的な認証では自動化できない!

  30. サービスプリンシパルを使う

  31. 誰が  ユーザープリンシパル  サービスプリンシパル  マネージドID どうやって  対話操作

     資格情報

  32. サービスプリンシパルが資格情報でトー クンを取得するパターン サービス

  33. サービスプリンシパルが資格情報でトー クンを取得するパターン 資格情報 サービス

  34. サービスプリンシパルが資格情報でトー クンを取得するパターン 資格情報 トークン取得 サービス

  35. サービスプリンシパルが資格情報でトー クンを取得するパターン 資格情報 トークン取得 サービス

  36.  

  37. サービスプリンシパル / パスワードベースの認証 1. AADにアプリケーションを登録しサービスプリンシパルを作成する - アプリケーション - サービスプリンシパル 2.

    サービスプリンシパルにRBACで権限を付与する 3. シークレットを作成する 4. PowerShellでサービスプリンシパルとして認証する PowerShell $applicationId = "" $clientSecret = "" $tenantId = "" $securedSecret = ConvertTo-SecureString $clientSecret -AsPlainText -Force $creds = New-Object System.Management.Automation.PSCredential($applicationId, $securedSecret) Connect-AzAccount -ServicePrincipal -Tenant $tenantId -Credential $creds Get-AzContext Get-AzAccessToken New-AzResourceGroup -Name testrg3 -Location JapanEast

  38. サービスプリンシパル / パスワードベースの認証 1. AADにアプリケーションを登録しサービスプリンシパルを作成する - アプリケーション - サービスプリンシパル 2.

    サービスプリンシパルにRBACで権限を付与する 3. シークレットを作成する 4. PowerShellでサービスプリンシパルとして認証する PowerShell $applicationId = "" $clientSecret = "" $tenantId = "" $securedSecret = ConvertTo-SecureString $clientSecret -AsPlainText -Force $creds = New-Object System.Management.Automation.PSCredential($applicationId, $securedSecret) Connect-AzAccount -ServicePrincipal -Tenant $tenantId -Credential $creds Get-AzContext Get-AzAccessToken New-AzResourceGroup -Name testrg3 -Location JapanEast シークレットを生で書くのはダメ!

  39. サービスプリンシパル / 証明書ベースの認証 1. AADにアプリケーションを登録しサービスプリンシパルを作成する - アプリケーション - サービスプリンシパル 2.

    サービスプリンシパルにRBACで権限を付与する 3. (どこで作成してもいいが、今回はローカルのWindows上で)証明書を生成する 4. サービスプリンシパルに証明書をアップロードする 5. PowerShellでサービスプリンシパルとして認証する PowerShell $applicationId = "" $tenantId = "" # 証明書作成 New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" ` -Subject "CN=CertforSP" -KeySpec KeyExchange $Thumbprint = (Get-ChildItem cert:\CurrentUser\My\ | Where-Object {$_.Subject -eq "CN=CertforSP" })[0].Thumbprint # 認証 Connect-AzAccount -ServicePrincipal -CertificateThumbprint $Thumbprint ` -ApplicationId $applicationId -TenantId $tenantId Get-AzContext Get-AzAccessToken New-AzResourceGroup -Name testrg4 -Location JapanEast

  40. サービスプリンシパル / 証明書ベースの認証 1. AADにアプリケーションを登録しサービスプリンシパルを作成する - アプリケーション - サービスプリンシパル 2.

    サービスプリンシパルにRBACで権限を付与する 3. (どこで作成してもいいが、今回はローカルのWindows上で)証明書を生成する 4. サービスプリンシパルに証明書をアップロードする 5. PowerShellでサービスプリンシパルとして認証する PowerShell $applicationId = "" $tenantId = "" # 証明書作成 New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" ` -Subject "CN=CertforSP" -KeySpec KeyExchange $Thumbprint = (Get-ChildItem cert:\CurrentUser\My\ | Where-Object {$_.Subject -eq "CN=CertforSP" })[0].Thumbprint # 認証 Connect-AzAccount -ServicePrincipal -CertificateThumbprint $Thumbprint ` -ApplicationId $applicationId -TenantId $tenantId Get-AzContext Get-AzAccessToken New-AzResourceGroup -Name testrg4 -Location JapanEast 証明書の管理がめんどくさい!
  41. None
  42. None

  43. 誰が  ユーザープリンシパル  サービスプリンシパル  マネージドID どうやって  対話操作

     資格情報

  44. Azure上のリソースに を用意してくれる

  45. Azure VM上でマネージドIDのアクセストー クンを取得する Invoke-WebRequest -Uri 'http://169.254.169.254/metadata/identity/oaut h2/token?api-version=2018-02- 01&resource=https%3A%2F%2Fmanagement.azure.com %2F’ `

    -Headers @{Metadata=“true”} 169.254.169.254 というIPアドレスからトークンが取得できる! マネージドIDがONであれば何もしなくてもいきなりトークンが取れる!
  46. None
  47. None

  48. How managed identities for Azure resources work with Azure virtual

    machines - Managed identities for Azure resources | Microsoft Learn https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-managed-identities-work-vm

  49.  Microsoft Entra IDにサー ビスプリンシパルを作成  証明書作成、登録、更新  トークン取得のProxy

  50. PowerShell # 認証する Connect-AzAccount # リソースグループを作成する New-AzResourceGroup -Name testrg2 -Location

    JapanEast 対話的な認証では自動化できない!

  51. PowerShell # 認証する Connect-AzAccount -Identity # リソースグループを作成する New-AzResourceGroup -Name testrg2

    -Location JapanEast パスワードも証明書も必要ない! 超簡単!
  52. None
  53. None
  54. None
  55. None
  56. None
  57. None
  58. None
  59. None
  60. None
  61. None
  62. None
  63. None

  64. IMDS_ENDPOINT= http://localhost:40342 IDENTITY_ENDPOINT= http://localhost:40342/metadata/identity/oauth2/token

  65. None

  66. PowerShell # 認証する Connect-AzAccount -Identity # リソースグループを作成する New-AzResourceGroup -Name testrg2

    -Location JapanEast パスワードも証明書も必要ない! 超簡単!

  67. ファイルにアクセス出来ない ケースがあるので注意 ※原因知ってる人いたら教えてください。バグ?

  68. None
  69. None
  70. None
  71. None
  72. None
  73. None
  74. None