Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Azureの認証サービスについてまとめてみた\saison-technology-cloudL...
Search
TaijuYamashita
April 25, 2024
0
120
Azureの認証サービスについてまとめてみた\saison-technology-cloudLTvol8-AzureCertificationService
TaijuYamashita
April 25, 2024
Tweet
Share
More Decks by TaijuYamashita
See All by TaijuYamashita
20240627LT大会vol9_AzureFunctionsのFlexConsumptionについて語る.pdf\saison-technology-cloudLTvol9-AzureFunctionsFlexConsumption
taijuyamashita
0
100
Oracle Database@Azure について調べて考察してみた/sisco-cloudLTvol6-OracleDatabase@Azure
taijuyamashita
0
640
Azure Functionsのローカル開発を簡単にするためのツールとテクニック/sisco-cloudLTvol5-AzureFunctions
taijuyamashita
0
290
Featured
See All Featured
Primal Persuasion: How to Engage the Brain for Learning That Lasts
tmiket
0
190
Discover your Explorer Soul
emna__ayadi
2
1k
What Being in a Rock Band Can Teach Us About Real World SEO
427marketing
0
150
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
Exploring the relationship between traditional SERPs and Gen AI search
raygrieselhuber
PRO
2
3.5k
Practical Orchestrator
shlominoach
190
11k
It's Worth the Effort
3n
187
29k
Site-Speed That Sticks
csswizardry
13
1k
More Than Pixels: Becoming A User Experience Designer
marktimemedia
2
260
Balancing Empowerment & Direction
lara
5
820
From π to Pie charts
rasagy
0
92
A brief & incomplete history of UX Design for the World Wide Web: 1989–2019
jct
1
270
Transcript
Azureの認証サービスについてまとめてみた クラウドLT大会vol.8
自己紹介 山下 大樹(やました たいじゅ) 経歴 2022年3月 経営学部卒 2022年4月~ セゾンテクノロジー新卒入社、 小売業のお客様向けシステムの開発、保守
資格 基本情報技術者 AZ-900、DP-900 、DP-300 、AI-900 AZ-104勉強中 2
このサービス理解していますか?? • Microsoft Entra ID(旧:Azure Active Directory) • サービスプリンシパル •
マネージドID 3
Microsoft Entra ID 図にするとこんな感じ… 4 マネージドID テナントA VM・WebApp など サービスプリンシパルオブジェクト
アプリケーション オブジェクト① アプリケーション オブジェクト② アプリケーション (サービスプリンシパル) ロール サブスクリプションA リソース クライアント 外部インスタンス VM・WebApp など サービスプリンシパル マネージドID
Microsoft Entra ID • Microsoft が提供する、クラウドベースのID・アクセス管理サービス • 認証:シングルサインオン(SSO)、多要素認証(MFA) • アクセス制御:ロールベースのアクセス制御(RBAC)、条件付きアクセス、
特権ID管理(PIM) • アプリケーション管理:サービスプリンシパル、マネージドID 5
Microsoft Entra ID サービスプリンシパル • 平たく言えば、アプリケーション用のアカウント • セキュリティ情報を埋め込むことなく、ソースコード開発、リソース間連携が実現できる • 外部アプリケーションの認証に利用することができる
• ユーザアカウント同様に、RBACによりアクセス管理ができる 6 サービスプリンシパル 外部インスタンス VM・WebApp など ユーザ リソース
マネージドID • ざっくり言うと、Azureリソースでのみ利用可能で、マネージドなサービスプリンシパル • システム割り当てとユーザー割り当ての2種類がある • システム割り当て:特定のAzureリソースに1対1で紐づく形で作成される 紐づけたリソースを削除した場合、マネージドIDも削除される • ユーザー割り当て:独立した形で作成され、任意のAzureリソースに紐づけが可能
7 マネージドID マネージドID VM1 VM2 VM3 システム割り当て ユーザー割り当て
何が「マネージド」なのか? - その1 8 VM1(アプリ) GitHub Secret 環境変数など Microsoft Entra
ID VM2(アプリ) マネージドID 資格情報 更新必要 資格情報 更新不要 • 資格情報の管理 • サービスプリンシパル:クライアントID、シークレットの更新が必要 • マネージドID:クライアントID、シークレットの更新が不要(自動更新) サービスプリンシパル
何が「マネージド」なのか? - その2 • マネージドIDの中身の話 • マネージドIDの資格情報はどこで管理されているのか? ⇒ VMの場合は「Azure Instance
Metadata Service」なるもの 9 Microsoft Entra ID サービスプリンシパル VM2(アプリ) Azure Host Azure Instance Metadata Service (IMDS) クライアントID 証明書 紐づけ
何が「マネージド」なのか? - その2 • マネージドIDの中身の話 • マネージドIDの資格情報はどこで管理されているのか? ⇒ 「Azure Instance
Metadata Service」なるもの 10 Microsoft Entra ID サービスプリンシパル VM2(アプリ) Azure Host Azure Instance Metadata Service (IMDS) クライアントID 証明書 紐づけ マネージドID
まとめ • 「Microsoft Entra ID」はクラウドベースのID・アクセス管理サービス。 • 「サービスプリンシパル」を利用して、アプリの認証ができる。 • そのうち、Azure内部でのみ利用可能で、マネージドなものが「マネージドID」。 11
END
Appendix 参考記事 • https://learn.microsoft.com/ja-jp/entra/identity-platform/app-objects-and-service-principals?tabs=browser • https://learn.microsoft.com/ja-jp/entra/identity/managed-identities-azure-resources/overview#how-can-i-use- managed-identities-for-azure-resources • https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-managed-identities-work- vm
• https://tech-lab.sios.jp/archives/23371 • https://tech-lab.sios.jp/archives/27461 13
taijuyamashita
tmiket
emna__ayadi
427marketing
tanoku
raygrieselhuber
shlominoach
3n
csswizardry
marktimemedia
lara
rasagy
jct
