Azureの認証サービスについてまとめてみた\saison-technology-cloudLTvol8-AzureCertificationService

Azureの認証サービスについてまとめてみたクラウドLT大会vol.8

自己紹介山下大樹（やましたたいじゅ）経歴 2022年3月経営学部卒 2022年4月~ セゾンテクノロジー新卒入社、小売業のお客様向けシステムの開発、保守
資格基本情報技術者 AZ-900、DP-900 、DP-300 、AI-900 AZ-104勉強中 2

このサービス理解していますか？？ • Microsoft Entra ID（旧：Azure Active Directory） • サービスプリンシパル •
マネージドID 3

Microsoft Entra ID 図にするとこんな感じ… 4 マネージドID テナントA VM・WebApp などサービスプリンシパルオブジェクト
アプリケーションオブジェクト① アプリケーションオブジェクト② アプリケーション（サービスプリンシパル）ロールサブスクリプションA リソースクライアント外部インスタンス VM・WebApp などサービスプリンシパルマネージドID

Microsoft Entra ID • Microsoft が提供する、クラウドベースのID・アクセス管理サービス • 認証：シングルサインオン（SSO）、多要素認証（MFA） • アクセス制御：ロールベースのアクセス制御（RBAC）、条件付きアクセス、
特権ID管理（PIM） • アプリケーション管理：サービスプリンシパル、マネージドID 5

Microsoft Entra ID サービスプリンシパル • 平たく言えば、アプリケーション用のアカウント • セキュリティ情報を埋め込むことなく、ソースコード開発、リソース間連携が実現できる • 外部アプリケーションの認証に利用することができる
• ユーザアカウント同様に、RBACによりアクセス管理ができる 6 サービスプリンシパル外部インスタンス VM・WebApp などユーザリソース

マネージドID • ざっくり言うと、Azureリソースでのみ利用可能で、マネージドなサービスプリンシパル • システム割り当てとユーザー割り当ての2種類がある • システム割り当て：特定のAzureリソースに１対１で紐づく形で作成される紐づけたリソースを削除した場合、マネージドIDも削除される • ユーザー割り当て：独立した形で作成され、任意のAzureリソースに紐づけが可能
7 マネージドID マネージドID VM1 VM2 VM3 システム割り当てユーザー割り当て

何が「マネージド」なのか？ - その1 8 VM1（アプリ） GitHub Secret 環境変数など Microsoft Entra
ID VM2（アプリ）マネージドID 資格情報更新必要資格情報更新不要 • 資格情報の管理 • サービスプリンシパル：クライアントID、シークレットの更新が必要 • マネージドID：クライアントID、シークレットの更新が不要（自動更新）サービスプリンシパル

何が「マネージド」なのか？ - その2 • マネージドIDの中身の話 • マネージドIDの資格情報はどこで管理されているのか？ ⇒ VMの場合は「Azure Instance
Metadata Service」なるもの 9 Microsoft Entra ID サービスプリンシパル VM2（アプリ） Azure Host Azure Instance Metadata Service (IMDS) クライアントID 証明書紐づけ

何が「マネージド」なのか？ - その2 • マネージドIDの中身の話 • マネージドIDの資格情報はどこで管理されているのか？ ⇒ 「Azure Instance
Metadata Service」なるもの 10 Microsoft Entra ID サービスプリンシパル VM2（アプリ） Azure Host Azure Instance Metadata Service (IMDS) クライアントID 証明書紐づけマネージドID

まとめ • 「Microsoft Entra ID」はクラウドベースのID・アクセス管理サービス。 • 「サービスプリンシパル」を利用して、アプリの認証ができる。 • そのうち、Azure内部でのみ利用可能で、マネージドなものが「マネージドID」。 11

Appendix 参考記事 • https://learn.microsoft.com/ja-jp/entra/identity-platform/app-objects-and-service-principals?tabs=browser • https://learn.microsoft.com/ja-jp/entra/identity/managed-identities-azure-resources/overview#how-can-i-use- managed-identities-for-azure-resources • https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-managed-identities-work- vm
• https://tech-lab.sios.jp/archives/23371 • https://tech-lab.sios.jp/archives/27461 13

Azureの認証サービスについてまとめてみた\saison-technology-cloudL...

Azureの認証サービスについてまとめてみた\saison-technology-cloudLTvol8-AzureCertificationService

TaijuYamashita

More Decks by TaijuYamashita

Featured

Transcript

Azureの認証サービスについてまとめてみたクラウドLT大会vol.8

自己紹介山下大樹（やましたたいじゅ）経歴 2022年3月経営学部卒 2022年4月~ セゾンテクノロジー新卒入社、小売業のお客様向けシステムの開発、保守

このサービス理解していますか？？ • Microsoft Entra ID（旧：Azure Active Directory） • サービスプリンシパル •

Microsoft Entra ID 図にするとこんな感じ… 4 マネージドID テナントA VM・WebApp などサービスプリンシパルオブジェクト

Microsoft Entra ID • Microsoft が提供する、クラウドベースのID・アクセス管理サービス • 認証：シングルサインオン（SSO）、多要素認証（MFA） • アクセス制御：ロールベースのアクセス制御（RBAC）、条件付きアクセス、

何が「マネージド」なのか？ - その1 8 VM1（アプリ） GitHub Secret 環境変数など Microsoft Entra

何が「マネージド」なのか？ - その2 • マネージドIDの中身の話 • マネージドIDの資格情報はどこで管理されているのか？ ⇒ VMの場合は「Azure Instance

何が「マネージド」なのか？ - その2 • マネージドIDの中身の話 • マネージドIDの資格情報はどこで管理されているのか？ ⇒ 「Azure Instance

END