Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Azureの認証サービスについてまとめてみた\saison-technology-cloudL...
Search
TaijuYamashita
April 25, 2024
0
120
Azureの認証サービスについてまとめてみた\saison-technology-cloudLTvol8-AzureCertificationService
TaijuYamashita
April 25, 2024
Tweet
Share
More Decks by TaijuYamashita
See All by TaijuYamashita
20240627LT大会vol9_AzureFunctionsのFlexConsumptionについて語る.pdf\saison-technology-cloudLTvol9-AzureFunctionsFlexConsumption
taijuyamashita
0
99
Oracle Database@Azure について調べて考察してみた/sisco-cloudLTvol6-OracleDatabase@Azure
taijuyamashita
0
610
Azure Functionsのローカル開発を簡単にするためのツールとテクニック/sisco-cloudLTvol5-AzureFunctions
taijuyamashita
0
280
Featured
See All Featured
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
GraphQLとの向き合い方2022年版
quramy
49
14k
Scaling GitHub
holman
463
140k
Java REST API Framework Comparison - PWX 2021
mraible
34
8.9k
Music & Morning Musume
bryan
46
6.9k
A better future with KSS
kneath
239
18k
The Illustrated Children's Guide to Kubernetes
chrisshort
51
51k
Optimising Largest Contentful Paint
csswizardry
37
3.5k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
55
3k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
2
170
Docker and Python
trallard
46
3.6k
A designer walks into a library…
pauljervisheath
209
24k
Transcript
Azureの認証サービスについてまとめてみた クラウドLT大会vol.8
自己紹介 山下 大樹(やました たいじゅ) 経歴 2022年3月 経営学部卒 2022年4月~ セゾンテクノロジー新卒入社、 小売業のお客様向けシステムの開発、保守
資格 基本情報技術者 AZ-900、DP-900 、DP-300 、AI-900 AZ-104勉強中 2
このサービス理解していますか?? • Microsoft Entra ID(旧:Azure Active Directory) • サービスプリンシパル •
マネージドID 3
Microsoft Entra ID 図にするとこんな感じ… 4 マネージドID テナントA VM・WebApp など サービスプリンシパルオブジェクト
アプリケーション オブジェクト① アプリケーション オブジェクト② アプリケーション (サービスプリンシパル) ロール サブスクリプションA リソース クライアント 外部インスタンス VM・WebApp など サービスプリンシパル マネージドID
Microsoft Entra ID • Microsoft が提供する、クラウドベースのID・アクセス管理サービス • 認証:シングルサインオン(SSO)、多要素認証(MFA) • アクセス制御:ロールベースのアクセス制御(RBAC)、条件付きアクセス、
特権ID管理(PIM) • アプリケーション管理:サービスプリンシパル、マネージドID 5
Microsoft Entra ID サービスプリンシパル • 平たく言えば、アプリケーション用のアカウント • セキュリティ情報を埋め込むことなく、ソースコード開発、リソース間連携が実現できる • 外部アプリケーションの認証に利用することができる
• ユーザアカウント同様に、RBACによりアクセス管理ができる 6 サービスプリンシパル 外部インスタンス VM・WebApp など ユーザ リソース
マネージドID • ざっくり言うと、Azureリソースでのみ利用可能で、マネージドなサービスプリンシパル • システム割り当てとユーザー割り当ての2種類がある • システム割り当て:特定のAzureリソースに1対1で紐づく形で作成される 紐づけたリソースを削除した場合、マネージドIDも削除される • ユーザー割り当て:独立した形で作成され、任意のAzureリソースに紐づけが可能
7 マネージドID マネージドID VM1 VM2 VM3 システム割り当て ユーザー割り当て
何が「マネージド」なのか? - その1 8 VM1(アプリ) GitHub Secret 環境変数など Microsoft Entra
ID VM2(アプリ) マネージドID 資格情報 更新必要 資格情報 更新不要 • 資格情報の管理 • サービスプリンシパル:クライアントID、シークレットの更新が必要 • マネージドID:クライアントID、シークレットの更新が不要(自動更新) サービスプリンシパル
何が「マネージド」なのか? - その2 • マネージドIDの中身の話 • マネージドIDの資格情報はどこで管理されているのか? ⇒ VMの場合は「Azure Instance
Metadata Service」なるもの 9 Microsoft Entra ID サービスプリンシパル VM2(アプリ) Azure Host Azure Instance Metadata Service (IMDS) クライアントID 証明書 紐づけ
何が「マネージド」なのか? - その2 • マネージドIDの中身の話 • マネージドIDの資格情報はどこで管理されているのか? ⇒ 「Azure Instance
Metadata Service」なるもの 10 Microsoft Entra ID サービスプリンシパル VM2(アプリ) Azure Host Azure Instance Metadata Service (IMDS) クライアントID 証明書 紐づけ マネージドID
まとめ • 「Microsoft Entra ID」はクラウドベースのID・アクセス管理サービス。 • 「サービスプリンシパル」を利用して、アプリの認証ができる。 • そのうち、Azure内部でのみ利用可能で、マネージドなものが「マネージドID」。 11
END
Appendix 参考記事 • https://learn.microsoft.com/ja-jp/entra/identity-platform/app-objects-and-service-principals?tabs=browser • https://learn.microsoft.com/ja-jp/entra/identity/managed-identities-azure-resources/overview#how-can-i-use- managed-identities-for-azure-resources • https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-managed-identities-work- vm
• https://tech-lab.sios.jp/archives/23371 • https://tech-lab.sios.jp/archives/27461 13
taijuyamashita
destraynor
quramy
holman
mraible
bryan
kneath
chrisshort
csswizardry
tammyeverts
trallard
pauljervisheath
