第111回雲勉【オンライン】Azure AD と Static Web Apps でWebサイトに認証機能を導入する

第111回雲勉【オンライン】
Azure AD と Static Web Apps で
Web サイトに認証機能を導入する
平田健士郎

View Slide

アジェンダ
● ⾃⼰紹介
● 注意点
● 話すこと/話さないこと
● Azure AD と Static Web Apps で Web サイトに認証を導⼊するケース
● デモ
● デモ環境の作成⽅法ご説明
● まとめ

View Slide

⾃⼰紹介

View Slide

⾃⼰紹介
平⽥健⼠郎 (ひらたけんじろう)
■ クラウドインテグレーション事業部構築第⼋セクション
■ 業務内容はクラウドインフラの設計/構築/運⽤
■ アイレット⼊社約1年半
■ 前職で MSP を 2 年を経験してそこで初めてクラウドに触れる
■ 業務では AWS 中⼼だが Azure 案件の経験もあり
←奥さんに描いてもらった似顔絵

View Slide

注意点

View Slide

注意点①
Azure AD (Azure Active Directory) は Microsoft Entra ID に
名称が変更される予定ですが、この登壇時点ではまだ名称変更されて
いないため、この登壇では「Azure AD」と名称を統⼀します。
https://www.microsoft.com/ja-jp/security/business/identity-access/azure-active-directory

View Slide

注意点②
当資料内の動画、画像で実際の Azure のリソースが表⽰されます
が、動画公開時は全て削除しております。
ご了承ください。

View Slide

話すこと/話さないこと

View Slide

話すこと
●Static Web Apps と Azure AD の簡単な説明
●Static Web Apps での静的 Web サイトの作成⽅法
●Azure AD の認証を Static Web Apps に組み込む⽅法
●特定の Azure AD テナントのみ認証を許可する⽅法
話さないこと
●Azure の基礎的な操作⽅法
●OpenID Connect 等の認証プロトコルの深掘りした話

View Slide

Azure AD と Static Web Apps で
Web サイトに認証を導⼊するケース

View Slide

こんなケースがあったとします
社内向けに簡単な Web サイトを作るん
だけど、
社内のユーザーだけが認証されるよう
にして外部から見えないようにしたい
なー

View Slide

Web サイトを稼働させている
サーバー内で専用の認証機能を導入し
てユーザーを作る？
[面倒くさい]
Web サイト専用にユーザーを作成すること
になるため管理が増えて煩雑化
👎

View Slide

社内で利用している Azure AD の認証
を使い回す形で Web サイトに組み込
めたら楽なのでは！？
[楽！]
既存の Azure AD で SSO ができるのでユー
ザー管理の手間が増えないため楽
👍

View Slide

Static Web Apps で作成した
静的 Web サイトに
AzureAD で認証を導入します！

View Slide

Static Web Apps とは
静的 Web サイトのホスティングサービス
● 手軽に静的 Web サイトを作成できる (無料プランもある)
● サーバーレス
● GitHub Actions 等の CI/CD ワークフロー

View Slide

Azure AD とは
クラウドベースの ID およびアクセス管理サービス
クラウドサービスやオンプレミスに認証・認可を提供
認証 : 身元を確認すること
認可 : 権限を与えること
シングルサインオン (SSO) や多要素認証の導入などができる

View Slide

デモ

View Slide

イメージ

View Slide

イメージ
Static Web Apps の URL に対して
ブラウザからアクセスする

View Slide

イメージ
認証が要求されるため
サインインする

View Slide

イメージ
サインインできれば Static Web
Apps
のコンテンツが表示される

View Slide

実際の様子を動画でお見せします！

View Slide

動画については YouTube をご覧ください
上記の QR コードで登壇動画の該当の時間にジャンプできます

View Slide

こんな感じです！

View Slide

さらに発展した使い方の
例を紹介します

View Slide

発展系の例 (今回はこれは作りません)
(例)
今話題の ChatGPT を
Azure 内で利用できる
「Azure OpenAI Service」を
利用するサービスを社内の人
のみに公開する

View Slide

というわけで
先ほど動画でお見せした
環境の作り方をご説明します

View Slide

デモ環境の作成⽅法ご説明

View Slide

説明する環境の構成図

View Slide

ソースコードの作成
clphirata-kumoben-azuread-staticapp/
├ index.html
├ README.md
└ styles.css

View Slide

GitHub リポジトリ作成
リポジトリ名 :
clphirata-kumoben-azuread-staticapp

View Slide

GitHub リポジトリにコードを push
clphirata-kumoben-azuread-staticapp/
├ index.html
├ README.md
└ styles.css

View Slide

Static Web Apps の作成
● Static Web Apps 名に「clphirata-kumoben-staticapp」を指定
● Standard プランを選択 (後で説明)
● ソースとなる GitHub リポジトリを指定
● Static Web Apps 作成

View Slide

自動デプロイされてコンテンツが表示できるようになる
● Static Web Apps を作成したら GitHub リポジトリからソースを取得してデプロイ
● コンテンツ表示を確認

View Slide

動画で様子をお見せします！
自動デプロイされてコンテンツが表示できるようになる
● Static Web Apps を作成したら GitHub リポジトリからソースを取得してデプロイ
● コンテンツ表示を確認

View Slide


View Slide

GitHub Actions による自動デプロイ
Static Web Apps を作成して
ソースに GitHub リポジトリを指定
することで GitHub Actions という
機能を使って自動デプロイを実現
できる

View Slide

同時に GitHub のソースコードに
GitHub Actions 設定用の
yuml ファイルが作成される

View Slide

同時に GitHub のソースコードに
yuml ファイルが作成される
中身はこんな感じ →
(今回はこの部分はメインではない
ため詳細は割愛します)

View Slide

GitHub のソースコードに
yuml ファイルが作成されたので、
ローカルをリモートに合わせるため
git pull を行います。

View Slide

ここまで作れました

View Slide

ここから Web サイトの認証に
既存の Azure AD テナントを使うため
の設定を行います。

View Slide

ここから Web サイトの認証に
既存の Azure AD テナントを使うため
の設定を行います。
が、その前に

View Slide

Static Web Apps では
既存の認証プロバイダーを使うための
機能が
デフォルトで備わっています

View Slide

Static Web Apps で既存の認証を使う機
能
Static Web Apps には作成段階で何もしなくても
デフォルトで既存の認証プロバイダーを使う機能が備わってい
ます。

View Slide

作成時点で 3 つの認証プロバイダーが設定されています
認証プロバイダー
Azure AD
GitHub
Twitter
能

View Slide

それぞれ専用のログイン URL が用意されています
認証プロバイダーログイン URL
Azure AD https://**********.azurestaticapps.net/.auth/login/aad
GitHub https://**********.azurestaticapps.net/.auth/login/github
Twitter https://**********.azurestaticapps.net/.auth/login/twitter
能

View Slide

能

View Slide

え、じゃあこれで
やりたいことは実現できたの？

View Slide

実はそうではありません

View Slide

Static Web Apps の認証機能
↓ 先ほどの動画でサインインしたアカウント

View Slide

←この Azure アカウントの
Azure AD テナントのユーザーではない
↓ 先ほどの動画でサインインしたアカウント

View Slide

Static Web Apps の
デフォルトの認証機能だけでは
この世のどこかの Azure AD のユーザー
であれば誰でも認証できてしまう状態

View Slide

最初にお見せした要望の話
だけど、
なー

View Slide

だけど、
なー
最初にお見せした要望の話
特定の Azure AD テナントのみ
認証を許可したい

View Slide

ここからは
特定の Azure AD テナントのみ
認証を許可するための設定をします

View Slide

Azure AD でアプリの登録 (新規登録)
「アプリの登録」
Azure AD と他のリソースを連携するための設定箇所
ここで特定の Azure AD テナントに
今回作成した Static Web Apps を登録することで
特定の Azure AD テナントのみ認証を許可する設定をします。

View Slide


View Slide

指定した Azure AD テナントで
Static Web Apps が認証できるように登録する

View Slide


View Slide

Azure AD でアプリの登録 (認証)
「アプリの登録」で登録したアプリにて認証の設定を行います。
ここで設定する項目は以下です
・リダイレクト URI
・ログアウト URL
・承認エンドポイントによって発行してほしいトークン->ID トークン

View Slide

「アプリの登録」で登録したアプリにて認証の設定を行います。
ここで設定する項目は以下です。
これらについて説明します

View Slide

これらは OpenID Connect という
認証プロトコルで使われる要素です

View Slide

これらは OpenID Connect という
認証プロトコルで使われる要素です
Static Web Apps で特定の Azure AD テナントでの認証を許可
するには「カスタム認証」という設定が必要なのですが、
このカスタム認証で OpenID Connect という認証プロトコルに
関する設定箇所があります。

View Slide

OpenID Connect の認証
https://learn.microsoft.com/ja-jp/azure/active-directory/architecture/auth-oidc
Azure Active Directory を使用した OpenID Connect 認証

View Slide

https://learn.microsoft.com/ja-jp/azure/active-directory/develop/reply-url
リダイレクト URI、すなわち応答 URL は、アプリが正しく承認され、
認証コードまたはアクセストークンが付与されると、承認サーバーが
ユーザーを送り出す場所です。承認サーバーは、リダイレクト URI に
このコードまたはトークンを送信するため、アプリ登録プロセスの一環
として正しい場所を登録することが重要です。

View Slide

https://learn.microsoft.com/ja-jp/azure/active-directory/develop/scenario-web-app-sign-user-
sign-in?tabs=aspnetcore#sign-out
サインアウトするには、Web アプリによってユーザーが Microsoft ID
プラットフォーム logout エンドポイントにリダイレクトされる必要も
あります。
Web アプリによってユーザーが logout エンドポイントにリダイレクト
されると、このエンドポイントでは、ユーザーのセッションがブラウザ
ーから消去されます。

View Slide

Static Web Apps では上記がデフォルトで用意されています
※ Azure AD の場合
リダイレクト URI https://***********.azurestaticapps.net/.auth/login/aad/callback
ログアウト URL https://***********.azurestaticapps.net/.auth/logout/aad/callback

View Slide

https://learn.microsoft.com/ja-jp/azure/active-directory/develop/id-tokens
ID トークンは承認サーバーによって発行され、ユーザーについての情報
を伝えるクレームを含んでいます。これらは、アクセストークンの代
わりに、またはアクセストークンと共に送信できます。 ID トークンに
含まれる情報により、ユーザーが主張するとおりの人物であることをク
ライアントで確認できます。

View Slide

https://learn.microsoft.com/ja-jp/azure/active-directory/develop/id-tokens
ID トークンは承認サーバーによって発行され、ユーザーについての情報
を伝えるクレームを含んでいます。これらは、アクセストークンの代
わりに、またはアクセストークンと共に送信できます。 ID トークンに
含まれる情報により、ユーザーが主張するとおりの人物であることをク
ライアントで確認できます。
ID トークンが必要だから
発行してね、
という設定が必要

View Slide

というわけで以下の設定が必要です

View Slide


View Slide

Azure AD でアプリの登録 (シークレッ
ト)
アプリ (本件では Static Web Apps) が Azure AD と接続するための資格情報とし
てクライアントシークレットを発行します。
①
②

View Slide

Azure AD でアプリの登録 (シークレッ
ト)
アプリ (本件では Static Web Apps) が Azure AD と接続するための資格情報とし
てクライアントシークレットを発行します。

View Slide

Azure AD でアプリの登録 (その他の情
報)
Static Web Apps に設定が必要な以下の値を取得します。
・アプリケーション (クライアント) ID
・ディレクトリ (テナント) ID
①

View Slide

Azure AD 側の設定は済んだため
Static Web Apps の設定に戻ります！

View Slide

Static Web Apps で変数の保存
Static Web Apps でクライアントID とシークレットの値を変数として保存をしま
す
値は暗号化して保存されます
https://learn.microsoft.com/ja-jp/azure/static-web-apps/application-settings

View Slide

設定箇所

View Slide

クライアント ID 変数設定

View Slide

シークレット値変数設定

View Slide

Save で保存

View Slide

Static Web Apps のアプリ構成ファイルを作成
Static Web Apps のアプリ構成ファイル
staticwebapp.config.json
https://learn.microsoft.com/ja-jp/azure/static-web-apps/configuration

View Slide

Static Web Apps のアプリ構成ファイル
staticwebapp.config.json
https://learn.microsoft.com/ja-jp/azure/static-web-apps/configuration
今回使う構成ファイルを元に
必要な箇所だけご説明します

View Slide

{
"auth": {
"identityProviders": {
"azureActiveDirectory": {
"registration": {
"openIdIssuer": "https://login.microsoftonline.com/[テナント ID]/v2.0",
"clientIdSettingName": "AZURE_CLIENT_ID",
"clientSecretSettingName": "AZURE_CLIENT_SECRET"
}
}
}
},
"routes": [
{
"route": "/*",
"allowedRoles": [
"authenticated"
]
}
],
"responseOverrides": {
"401": {
"statusCode": 302,
"redirect": "/.auth/login/aad"
}
}
}
認証系の設定

View Slide

{
"auth": {
"registration": {
}
}
}
},
"routes": [
{
"route": "/*",
"allowedRoles": [
"authenticated"
]
}
],
"401": {
"statusCode": 302,
}
}
}
認証系の設定
ID プロバイダーとして AzureAD を指定

View Slide

{
"auth": {
"registration": {
}
}
}
},
"routes": [
{
"route": "/*",
"allowedRoles": [
"authenticated"
]
}
],
"401": {
"statusCode": 302,
}
}
}
認証系の設定
認証の設定
openIdIssuer : OpenID Connect 発行者 URI

View Slide

{
"auth": {
"registration": {
}
}
}
},
"routes": [
{
"route": "/*",
"allowedRoles": [
"authenticated"
]
}
],
"401": {
"statusCode": 302,
}
}
}
認証系の設定
認証の設定
clientIdSettingName : 認証情報
clientSecretSettingName : 認証情報

View Slide

{
"auth": {
"registration": {
}
}
}
},
"routes": [
{
"route": "/*",
"allowedRoles": [
"authenticated"
]
}
],
"401": {
"statusCode": 302,
}
}
}
ルーティングの設定
/* に対して適用する
authenticated (認証済み) の場合のみ allowedRoles (ルートへのアク
セスを許可する

View Slide

{
"auth": {
"registration": {
}
}
}
},
"routes": [
{
"route": "/*",
"allowedRoles": [
"authenticated"
]
}
],
"401": {
"statusCode": 302,
}
}
}
サーバーからエラーコードが返される場合のカスタム応答を設定
401：Unauthorized コードの時に
302 : Temporary Redirect コードにオーバーライドして
"/.auth/login/aad" にリダイレクトする

View Slide

作成した構成ファイルを GitHub に push したら
GitHub Actions により Static Web Apps にデプロイされることにより
意図した設定 (特定の Azure AD のみ認証可能な状態) が反映されます
動画で様子をお見せします！(これが最後)

View Slide


View Slide

説明した環境の構成図
この構成の作り方についてご説明させていただきました

View Slide

まとめ

View Slide

まとめ
● AzureAD でアプリケーションへの認証と認可を提供できます

View Slide

まとめ
● Static Web Apps は既存の認証を利用する機能がデフォルトで
が実装されています

View Slide

まとめ
● 特定の AzureAD テナントで認証を許可する設定が可能です

View Slide

まとめ
● 特定の AzureAD テナントで認証を許可する設定が可能です
● これらによって簡単に社内向け Web サイトを作成して認証を組
み込むことが可能です

View Slide

ご清聴ありがとうございました

View Slide

第111回雲勉【オンライン】Azure AD と Static Web Apps でWebサイトに認証機能を導入する

第111回雲勉【オンライン】Azure AD と Static Web Apps でWebサイトに認証機能を導入する

iret.kumoben

More Decks by iret.kumoben

Other Decks in Technology

Featured

Transcript

第111回 雲勉【オンライン】Azure AD と Static Web Apps でWebサイトに認証機能を導入する

第111回 雲勉【オンライン】Azure AD と Static Web Apps でWebサイトに認証機能を導入する

iret.kumoben

More Decks by iret.kumoben

Other Decks in Technology

Featured

Transcript

第111回雲勉【オンライン】Azure AD と Static Web Apps でWebサイトに認証機能を導入する

第111回雲勉【オンライン】Azure AD と Static Web Apps でWebサイトに認証機能を導入する