Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Azureの認証サービスについてまとめてみた\saison-technology-cloudL...
Search
TaijuYamashita
April 25, 2024
0
110
Azureの認証サービスについてまとめてみた\saison-technology-cloudLTvol8-AzureCertificationService
TaijuYamashita
April 25, 2024
Tweet
Share
More Decks by TaijuYamashita
See All by TaijuYamashita
20240627LT大会vol9_AzureFunctionsのFlexConsumptionについて語る.pdf\saison-technology-cloudLTvol9-AzureFunctionsFlexConsumption
taijuyamashita
0
83
Oracle Database@Azure について調べて考察してみた/sisco-cloudLTvol6-OracleDatabase@Azure
taijuyamashita
0
480
Azure Functionsのローカル開発を簡単にするためのツールとテクニック/sisco-cloudLTvol5-AzureFunctions
taijuyamashita
0
230
Featured
See All Featured
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
Git: the NoSQL Database
bkeepers
PRO
430
65k
StorybookのUI Testing Handbookを読んだ
zakiyama
30
5.7k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Building an army of robots
kneath
305
45k
The Invisible Side of Design
smashingmag
299
50k
Documentation Writing (for coders)
carmenintech
71
4.8k
Navigating Team Friction
lara
185
15k
Building Adaptive Systems
keathley
41
2.5k
A Tale of Four Properties
chriscoyier
159
23k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
24
2.7k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Transcript
Azureの認証サービスについてまとめてみた クラウドLT大会vol.8
自己紹介 山下 大樹(やました たいじゅ) 経歴 2022年3月 経営学部卒 2022年4月~ セゾンテクノロジー新卒入社、 小売業のお客様向けシステムの開発、保守
資格 基本情報技術者 AZ-900、DP-900 、DP-300 、AI-900 AZ-104勉強中 2
このサービス理解していますか?? • Microsoft Entra ID(旧:Azure Active Directory) • サービスプリンシパル •
マネージドID 3
Microsoft Entra ID 図にするとこんな感じ… 4 マネージドID テナントA VM・WebApp など サービスプリンシパルオブジェクト
アプリケーション オブジェクト① アプリケーション オブジェクト② アプリケーション (サービスプリンシパル) ロール サブスクリプションA リソース クライアント 外部インスタンス VM・WebApp など サービスプリンシパル マネージドID
Microsoft Entra ID • Microsoft が提供する、クラウドベースのID・アクセス管理サービス • 認証:シングルサインオン(SSO)、多要素認証(MFA) • アクセス制御:ロールベースのアクセス制御(RBAC)、条件付きアクセス、
特権ID管理(PIM) • アプリケーション管理:サービスプリンシパル、マネージドID 5
Microsoft Entra ID サービスプリンシパル • 平たく言えば、アプリケーション用のアカウント • セキュリティ情報を埋め込むことなく、ソースコード開発、リソース間連携が実現できる • 外部アプリケーションの認証に利用することができる
• ユーザアカウント同様に、RBACによりアクセス管理ができる 6 サービスプリンシパル 外部インスタンス VM・WebApp など ユーザ リソース
マネージドID • ざっくり言うと、Azureリソースでのみ利用可能で、マネージドなサービスプリンシパル • システム割り当てとユーザー割り当ての2種類がある • システム割り当て:特定のAzureリソースに1対1で紐づく形で作成される 紐づけたリソースを削除した場合、マネージドIDも削除される • ユーザー割り当て:独立した形で作成され、任意のAzureリソースに紐づけが可能
7 マネージドID マネージドID VM1 VM2 VM3 システム割り当て ユーザー割り当て
何が「マネージド」なのか? - その1 8 VM1(アプリ) GitHub Secret 環境変数など Microsoft Entra
ID VM2(アプリ) マネージドID 資格情報 更新必要 資格情報 更新不要 • 資格情報の管理 • サービスプリンシパル:クライアントID、シークレットの更新が必要 • マネージドID:クライアントID、シークレットの更新が不要(自動更新) サービスプリンシパル
何が「マネージド」なのか? - その2 • マネージドIDの中身の話 • マネージドIDの資格情報はどこで管理されているのか? ⇒ VMの場合は「Azure Instance
Metadata Service」なるもの 9 Microsoft Entra ID サービスプリンシパル VM2(アプリ) Azure Host Azure Instance Metadata Service (IMDS) クライアントID 証明書 紐づけ
何が「マネージド」なのか? - その2 • マネージドIDの中身の話 • マネージドIDの資格情報はどこで管理されているのか? ⇒ 「Azure Instance
Metadata Service」なるもの 10 Microsoft Entra ID サービスプリンシパル VM2(アプリ) Azure Host Azure Instance Metadata Service (IMDS) クライアントID 証明書 紐づけ マネージドID
まとめ • 「Microsoft Entra ID」はクラウドベースのID・アクセス管理サービス。 • 「サービスプリンシパル」を利用して、アプリの認証ができる。 • そのうち、Azure内部でのみ利用可能で、マネージドなものが「マネージドID」。 11
END
Appendix 参考記事 • https://learn.microsoft.com/ja-jp/entra/identity-platform/app-objects-and-service-principals?tabs=browser • https://learn.microsoft.com/ja-jp/entra/identity/managed-identities-azure-resources/overview#how-can-i-use- managed-identities-for-azure-resources • https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-managed-identities-work- vm
• https://tech-lab.sios.jp/archives/23371 • https://tech-lab.sios.jp/archives/27461 13
taijuyamashita
marcelosomers
bkeepers
zakiyama
afnizarnur
kneath
smashingmag
carmenintech
lara
keathley
chriscoyier
eileencodes
sugarenia
