Microsoft Entra ID 認証 / サービスプリンシパル / シークレット / 証明書 / マネージドID / Azure外でもマネージドID

Transcript

1. Microsoft Entra ID認証 サービスプリンシパル シークレット / 証明書 マネージドID Azure外でもマネージドID @ebi

   Masahiko Ebisuda

2. 日本ビジネスシステムズ株式会社 胡田 昌彦(えびすだ まさひこ) Youtube https://youtube.com/@ebibibi 自己紹介 こんな方にオススメ！  企業の情報システム部で働く方

    一般ユーザーだけど、コンピューターに興味 があって、もっと詳しくなりたい方  Windows, Azure, M365等のMicrosoft 関連技術に興味がある方 チャンネル登録よろしくお願いします！
3. None
4. None
5. None
6. None
7. None
8. None
9. None

10. 最終的にやりたいことは 「トークン」を取得したうえで 「API」を叩くことです ※ポータルからの操作でもコマンド操作でもアプリケーションでの操作でも 最後の最後はトークン付きでAPIがたたかれています

11. 何を言っているのかわからない？ まずは実際にやってみましょう！ Resource Groups - Create Or Update - REST

    API (Azure Resource Management) | Microsoft Docs https://docs.microsoft.com/ja- jp/rest/api/resources/resource-groups/create-or-update
12. None

13. トークンを https://jwt.io/ でデコードしてみましょう

14. トークンさえ入手できればよい それをAPIに投げればよい

15. 誰がどうやって トークンを取得するのか？

16. 誰がどうやってトークンを取得するのか？ 様々なバリエーションがある Microsoft ID プラットフォームの認証フローとアプリのシナ リオ - Microsoft Entra |

    Microsoft Docs https://docs.microsoft.com/ja-jp/azure/active- directory/develop/authentication-flows-app- scenarios#scenarios-and-supported-authentication- flows ※日本語版は誤植が過去あったので注意)

17. 誰が  ユーザープリンシパル  サービスプリンシパル  マネージドID どうやって  対話操作

     資格情報 他にも色々あるけどまずはこれだけわかれば 「自動化」程度なら困らない(と思う)

18. 基本の基本 ユーザーが対話的に認証する

19. 誰が  ユーザープリンシパル  サービスプリンシパル  マネージドID どうやって  対話操作

     資格情報

20. サービス ユーザープリンシパルが対話操作でトー クンを取得するパターン

21. 対話操作 サービス ユーザープリンシパルが対話操作でトー クンを取得するパターン

22. 対話操作 トークン取得 サービス ユーザープリンシパルが対話操作でトー クンを取得するパターン

23. 対話操作 トークン取得 サービス ユーザープリンシパルが対話操作でトー クンを取得するパターン

24. PowerShell # 認証する Connect-AzAccount # 現在のコンテキストを確認する(認証したID,AADテナント,対象のサブスクリプション等) Get-AzContext # 対象サブスクリプションが適切でない場合には切り替える #Get-AzSubscription

    #Select-AzSubscription -Subscription <SubscriptionIDを入力> # トークンが取得できることを確認する Get-AzAccessToken $token = (Get-AzAccessToken).token # リソースグループを作成する $subscriptionId = (Get-AzContext).Subscription.Id $resourceGroupName = "testrg1" $url = "https://management.azure.com/subscriptions/${subscriptionId}/resourcegroups/${resourceGroupName}?api- version=2021-04-01" $headers = @{ "Authorization" = "Bearer $token" "Content-type" = "application/json" } $body = '{location:"JapanEast"}' Invoke-RestMethod -Method PUT -Uri $url -Headers $headers -Body $body
25. None

26. 専用のコマンドレットが存在 ※認証済みなら裏でトークンを取得して APIに投げてくれる

27. PowerShell # 認証する Connect-AzAccount # トークンを取得する $token = (Get-AzAccessToken).token #

    リソースグループを作成する $subscriptionId = (Get-AzContext).Subscription.Id $resourceGroupName = "testrg1" $url = "https://management.azure.com/subscriptions/${subscriptionId}/resourcegroups/$ {resourceGroupName}?api-version=2021-04-01" $headers = @{ "Authorization" = "Bearer $token" "Content-type" = "application/json" } $body = '{location:"JapanEast"}' Invoke-RestMethod -Method PUT -Uri $url -Headers $headers -Body $body

28. PowerShell # 認証する Connect-AzAccount # リソースグループを作成する New-AzResourceGroup -Name testrg2 -Location

    JapanEast

29. PowerShell # 認証する Connect-AzAccount # リソースグループを作成する New-AzResourceGroup -Name testrg2 -Location

    JapanEast 対話的な認証では自動化できない！

30. サービスプリンシパルを使う

31. 誰が  ユーザープリンシパル  サービスプリンシパル  マネージドID どうやって  対話操作

     資格情報

32. サービスプリンシパルが資格情報でトー クンを取得するパターン サービス

33. サービスプリンシパルが資格情報でトー クンを取得するパターン 資格情報 サービス

34. サービスプリンシパルが資格情報でトー クンを取得するパターン 資格情報 トークン取得 サービス

35. サービスプリンシパルが資格情報でトー クンを取得するパターン 資格情報 トークン取得 サービス

36.  

37. サービスプリンシパル / パスワードベースの認証 1. AADにアプリケーションを登録しサービスプリンシパルを作成する - アプリケーション - サービスプリンシパル 2.

    サービスプリンシパルにRBACで権限を付与する 3. シークレットを作成する 4. PowerShellでサービスプリンシパルとして認証する PowerShell $applicationId = "" $clientSecret = "" $tenantId = "" $securedSecret = ConvertTo-SecureString $clientSecret -AsPlainText -Force $creds = New-Object System.Management.Automation.PSCredential($applicationId, $securedSecret) Connect-AzAccount -ServicePrincipal -Tenant $tenantId -Credential $creds Get-AzContext Get-AzAccessToken New-AzResourceGroup -Name testrg3 -Location JapanEast

38. サービスプリンシパル / パスワードベースの認証 1. AADにアプリケーションを登録しサービスプリンシパルを作成する - アプリケーション - サービスプリンシパル 2.

    サービスプリンシパルにRBACで権限を付与する 3. シークレットを作成する 4. PowerShellでサービスプリンシパルとして認証する PowerShell $applicationId = "" $clientSecret = "" $tenantId = "" $securedSecret = ConvertTo-SecureString $clientSecret -AsPlainText -Force $creds = New-Object System.Management.Automation.PSCredential($applicationId, $securedSecret) Connect-AzAccount -ServicePrincipal -Tenant $tenantId -Credential $creds Get-AzContext Get-AzAccessToken New-AzResourceGroup -Name testrg3 -Location JapanEast シークレットを生で書くのはダメ！

39. サービスプリンシパル / 証明書ベースの認証 1. AADにアプリケーションを登録しサービスプリンシパルを作成する - アプリケーション - サービスプリンシパル 2.

    サービスプリンシパルにRBACで権限を付与する 3. (どこで作成してもいいが、今回はローカルのWindows上で)証明書を生成する 4. サービスプリンシパルに証明書をアップロードする 5. PowerShellでサービスプリンシパルとして認証する PowerShell $applicationId = "" $tenantId = "" # 証明書作成 New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" ` -Subject "CN=CertforSP" -KeySpec KeyExchange $Thumbprint = (Get-ChildItem cert:\CurrentUser\My\ | Where-Object {$_.Subject -eq "CN=CertforSP" })[0].Thumbprint # 認証 Connect-AzAccount -ServicePrincipal -CertificateThumbprint $Thumbprint ` -ApplicationId $applicationId -TenantId $tenantId Get-AzContext Get-AzAccessToken New-AzResourceGroup -Name testrg4 -Location JapanEast

40. サービスプリンシパル / 証明書ベースの認証 1. AADにアプリケーションを登録しサービスプリンシパルを作成する - アプリケーション - サービスプリンシパル 2.

    サービスプリンシパルにRBACで権限を付与する 3. (どこで作成してもいいが、今回はローカルのWindows上で)証明書を生成する 4. サービスプリンシパルに証明書をアップロードする 5. PowerShellでサービスプリンシパルとして認証する PowerShell $applicationId = "" $tenantId = "" # 証明書作成 New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" ` -Subject "CN=CertforSP" -KeySpec KeyExchange $Thumbprint = (Get-ChildItem cert:\CurrentUser\My\ | Where-Object {$_.Subject -eq "CN=CertforSP" })[0].Thumbprint # 認証 Connect-AzAccount -ServicePrincipal -CertificateThumbprint $Thumbprint ` -ApplicationId $applicationId -TenantId $tenantId Get-AzContext Get-AzAccessToken New-AzResourceGroup -Name testrg4 -Location JapanEast 証明書の管理がめんどくさい！
41. None
42. None

43. 誰が  ユーザープリンシパル  サービスプリンシパル  マネージドID どうやって  対話操作

     資格情報

44. Azure上のリソースに を用意してくれる

45. Azure VM上でマネージドIDのアクセストー クンを取得する Invoke-WebRequest -Uri 'http://169.254.169.254/metadata/identity/oaut h2/token?api-version=2018-02- 01&resource=https%3A%2F%2Fmanagement.azure.com %2F’ `

    -Headers @{Metadata=“true”} 169.254.169.254 というIPアドレスからトークンが取得できる！ マネージドIDがONであれば何もしなくてもいきなりトークンが取れる！
46. None
47. None

48. How managed identities for Azure resources work with Azure virtual

    machines - Managed identities for Azure resources | Microsoft Learn https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-managed-identities-work-vm

49.  Microsoft Entra IDにサー ビスプリンシパルを作成  証明書作成、登録、更新  トークン取得のProxy

50. PowerShell # 認証する Connect-AzAccount # リソースグループを作成する New-AzResourceGroup -Name testrg2 -Location

    JapanEast 対話的な認証では自動化できない！

51. PowerShell # 認証する Connect-AzAccount -Identity # リソースグループを作成する New-AzResourceGroup -Name testrg2

    -Location JapanEast パスワードも証明書も必要ない！ 超簡単！
52. None
53. None
54. None
55. None
56. None
57. None
58. None
59. None
60. None
61. None
62. None
63. None

64. IMDS_ENDPOINT= http://localhost:40342 IDENTITY_ENDPOINT= http://localhost:40342/metadata/identity/oauth2/token

65. None

66. PowerShell # 認証する Connect-AzAccount -Identity # リソースグループを作成する New-AzResourceGroup -Name testrg2

    -Location JapanEast パスワードも証明書も必要ない！ 超簡単！

67. ファイルにアクセス出来ない ケースがあるので注意 ※原因知ってる人いたら教えてください。バグ？

68. None
69. None
70. None
71. None
72. None
73. None
74. None