Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Azureの認証サービスについてまとめてみた\saison-technology-cloudL...
Search
TaijuYamashita
April 25, 2024
130
0
Share
Azureの認証サービスについてまとめてみた\saison-technology-cloudLTvol8-AzureCertificationService
TaijuYamashita
April 25, 2024
More Decks by TaijuYamashita
See All by TaijuYamashita
20240627LT大会vol9_AzureFunctionsのFlexConsumptionについて語る.pdf\saison-technology-cloudLTvol9-AzureFunctionsFlexConsumption
taijuyamashita
0
110
Oracle Database@Azure について調べて考察してみた/sisco-cloudLTvol6-OracleDatabase@Azure
taijuyamashita
0
680
Azure Functionsのローカル開発を簡単にするためのツールとテクニック/sisco-cloudLTvol5-AzureFunctions
taijuyamashita
0
310
Featured
See All Featured
ラッコキーワード サービス紹介資料
rakko
1
3M
Highjacked: Video Game Concept Design
rkendrick25
PRO
1
340
Digital Ethics as a Driver of Design Innovation
axbom
PRO
1
260
Discover your Explorer Soul
emna__ayadi
2
1.1k
Building Adaptive Systems
keathley
44
3k
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
260
Docker and Python
trallard
47
3.8k
So, you think you're a good person
axbom
PRO
2
2k
Avoiding the “Bad Training, Faster” Trap in the Age of AI
tmiket
0
130
WENDY [Excerpt]
tessaabrams
10
37k
Game over? The fight for quality and originality in the time of robots
wayneb77
1
160
The Invisible Side of Design
smashingmag
302
51k
Transcript
Azureの認証サービスについてまとめてみた クラウドLT大会vol.8
自己紹介 山下 大樹(やました たいじゅ) 経歴 2022年3月 経営学部卒 2022年4月~ セゾンテクノロジー新卒入社、 小売業のお客様向けシステムの開発、保守
資格 基本情報技術者 AZ-900、DP-900 、DP-300 、AI-900 AZ-104勉強中 2
このサービス理解していますか?? • Microsoft Entra ID(旧:Azure Active Directory) • サービスプリンシパル •
マネージドID 3
Microsoft Entra ID 図にするとこんな感じ… 4 マネージドID テナントA VM・WebApp など サービスプリンシパルオブジェクト
アプリケーション オブジェクト① アプリケーション オブジェクト② アプリケーション (サービスプリンシパル) ロール サブスクリプションA リソース クライアント 外部インスタンス VM・WebApp など サービスプリンシパル マネージドID
Microsoft Entra ID • Microsoft が提供する、クラウドベースのID・アクセス管理サービス • 認証:シングルサインオン(SSO)、多要素認証(MFA) • アクセス制御:ロールベースのアクセス制御(RBAC)、条件付きアクセス、
特権ID管理(PIM) • アプリケーション管理:サービスプリンシパル、マネージドID 5
Microsoft Entra ID サービスプリンシパル • 平たく言えば、アプリケーション用のアカウント • セキュリティ情報を埋め込むことなく、ソースコード開発、リソース間連携が実現できる • 外部アプリケーションの認証に利用することができる
• ユーザアカウント同様に、RBACによりアクセス管理ができる 6 サービスプリンシパル 外部インスタンス VM・WebApp など ユーザ リソース
マネージドID • ざっくり言うと、Azureリソースでのみ利用可能で、マネージドなサービスプリンシパル • システム割り当てとユーザー割り当ての2種類がある • システム割り当て:特定のAzureリソースに1対1で紐づく形で作成される 紐づけたリソースを削除した場合、マネージドIDも削除される • ユーザー割り当て:独立した形で作成され、任意のAzureリソースに紐づけが可能
7 マネージドID マネージドID VM1 VM2 VM3 システム割り当て ユーザー割り当て
何が「マネージド」なのか? - その1 8 VM1(アプリ) GitHub Secret 環境変数など Microsoft Entra
ID VM2(アプリ) マネージドID 資格情報 更新必要 資格情報 更新不要 • 資格情報の管理 • サービスプリンシパル:クライアントID、シークレットの更新が必要 • マネージドID:クライアントID、シークレットの更新が不要(自動更新) サービスプリンシパル
何が「マネージド」なのか? - その2 • マネージドIDの中身の話 • マネージドIDの資格情報はどこで管理されているのか? ⇒ VMの場合は「Azure Instance
Metadata Service」なるもの 9 Microsoft Entra ID サービスプリンシパル VM2(アプリ) Azure Host Azure Instance Metadata Service (IMDS) クライアントID 証明書 紐づけ
何が「マネージド」なのか? - その2 • マネージドIDの中身の話 • マネージドIDの資格情報はどこで管理されているのか? ⇒ 「Azure Instance
Metadata Service」なるもの 10 Microsoft Entra ID サービスプリンシパル VM2(アプリ) Azure Host Azure Instance Metadata Service (IMDS) クライアントID 証明書 紐づけ マネージドID
まとめ • 「Microsoft Entra ID」はクラウドベースのID・アクセス管理サービス。 • 「サービスプリンシパル」を利用して、アプリの認証ができる。 • そのうち、Azure内部でのみ利用可能で、マネージドなものが「マネージドID」。 11
END
Appendix 参考記事 • https://learn.microsoft.com/ja-jp/entra/identity-platform/app-objects-and-service-principals?tabs=browser • https://learn.microsoft.com/ja-jp/entra/identity/managed-identities-azure-resources/overview#how-can-i-use- managed-identities-for-azure-resources • https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-managed-identities-work- vm
• https://tech-lab.sios.jp/archives/23371 • https://tech-lab.sios.jp/archives/27461 13
taijuyamashita
rakko
rkendrick25
axbom
emna__ayadi
keathley
reverentgeek
trallard
tmiket
tessaabrams
wayneb77
smashingmag
