Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Azureの認証サービスについてまとめてみた\saison-technology-cloudL...
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
TaijuYamashita
April 25, 2024
130
0
Share
Azureの認証サービスについてまとめてみた\saison-technology-cloudLTvol8-AzureCertificationService
TaijuYamashita
April 25, 2024
More Decks by TaijuYamashita
See All by TaijuYamashita
20240627LT大会vol9_AzureFunctionsのFlexConsumptionについて語る.pdf\saison-technology-cloudLTvol9-AzureFunctionsFlexConsumption
taijuyamashita
0
110
Oracle Database@Azure について調べて考察してみた/sisco-cloudLTvol6-OracleDatabase@Azure
taijuyamashita
0
680
Azure Functionsのローカル開発を簡単にするためのツールとテクニック/sisco-cloudLTvol5-AzureFunctions
taijuyamashita
0
310
Featured
See All Featured
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.6k
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
inesmontani
PRO
3
2.1k
Believing is Seeing
oripsolob
1
110
Technical Leadership for Architectural Decision Making
baasie
3
330
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
260
Leo the Paperboy
mayatellez
7
1.7k
Highjacked: Video Game Concept Design
rkendrick25
PRO
1
340
svc-hook: hooking system calls on ARM64 by binary rewriting
retrage
2
210
Learning to Love Humans: Emotional Interface Design
aarron
275
41k
Evolving SEO for Evolving Search Engines
ryanjones
0
180
Are puppies a ranking factor?
jonoalderson
1
3.3k
The Illustrated Guide to Node.js - THAT Conference 2024
reverentgeek
1
340
Transcript
Azureの認証サービスについてまとめてみた クラウドLT大会vol.8
自己紹介 山下 大樹(やました たいじゅ) 経歴 2022年3月 経営学部卒 2022年4月~ セゾンテクノロジー新卒入社、 小売業のお客様向けシステムの開発、保守
資格 基本情報技術者 AZ-900、DP-900 、DP-300 、AI-900 AZ-104勉強中 2
このサービス理解していますか?? • Microsoft Entra ID(旧:Azure Active Directory) • サービスプリンシパル •
マネージドID 3
Microsoft Entra ID 図にするとこんな感じ… 4 マネージドID テナントA VM・WebApp など サービスプリンシパルオブジェクト
アプリケーション オブジェクト① アプリケーション オブジェクト② アプリケーション (サービスプリンシパル) ロール サブスクリプションA リソース クライアント 外部インスタンス VM・WebApp など サービスプリンシパル マネージドID
Microsoft Entra ID • Microsoft が提供する、クラウドベースのID・アクセス管理サービス • 認証:シングルサインオン(SSO)、多要素認証(MFA) • アクセス制御:ロールベースのアクセス制御(RBAC)、条件付きアクセス、
特権ID管理(PIM) • アプリケーション管理:サービスプリンシパル、マネージドID 5
Microsoft Entra ID サービスプリンシパル • 平たく言えば、アプリケーション用のアカウント • セキュリティ情報を埋め込むことなく、ソースコード開発、リソース間連携が実現できる • 外部アプリケーションの認証に利用することができる
• ユーザアカウント同様に、RBACによりアクセス管理ができる 6 サービスプリンシパル 外部インスタンス VM・WebApp など ユーザ リソース
マネージドID • ざっくり言うと、Azureリソースでのみ利用可能で、マネージドなサービスプリンシパル • システム割り当てとユーザー割り当ての2種類がある • システム割り当て:特定のAzureリソースに1対1で紐づく形で作成される 紐づけたリソースを削除した場合、マネージドIDも削除される • ユーザー割り当て:独立した形で作成され、任意のAzureリソースに紐づけが可能
7 マネージドID マネージドID VM1 VM2 VM3 システム割り当て ユーザー割り当て
何が「マネージド」なのか? - その1 8 VM1(アプリ) GitHub Secret 環境変数など Microsoft Entra
ID VM2(アプリ) マネージドID 資格情報 更新必要 資格情報 更新不要 • 資格情報の管理 • サービスプリンシパル:クライアントID、シークレットの更新が必要 • マネージドID:クライアントID、シークレットの更新が不要(自動更新) サービスプリンシパル
何が「マネージド」なのか? - その2 • マネージドIDの中身の話 • マネージドIDの資格情報はどこで管理されているのか? ⇒ VMの場合は「Azure Instance
Metadata Service」なるもの 9 Microsoft Entra ID サービスプリンシパル VM2(アプリ) Azure Host Azure Instance Metadata Service (IMDS) クライアントID 証明書 紐づけ
何が「マネージド」なのか? - その2 • マネージドIDの中身の話 • マネージドIDの資格情報はどこで管理されているのか? ⇒ 「Azure Instance
Metadata Service」なるもの 10 Microsoft Entra ID サービスプリンシパル VM2(アプリ) Azure Host Azure Instance Metadata Service (IMDS) クライアントID 証明書 紐づけ マネージドID
まとめ • 「Microsoft Entra ID」はクラウドベースのID・アクセス管理サービス。 • 「サービスプリンシパル」を利用して、アプリの認証ができる。 • そのうち、Azure内部でのみ利用可能で、マネージドなものが「マネージドID」。 11
END
Appendix 参考記事 • https://learn.microsoft.com/ja-jp/entra/identity-platform/app-objects-and-service-principals?tabs=browser • https://learn.microsoft.com/ja-jp/entra/identity/managed-identities-azure-resources/overview#how-can-i-use- managed-identities-for-azure-resources • https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-managed-identities-work- vm
• https://tech-lab.sios.jp/archives/23371 • https://tech-lab.sios.jp/archives/27461 13
taijuyamashita
philnash
inesmontani
oripsolob
baasie
reverentgeek
mayatellez
rkendrick25
retrage
aarron
ryanjones
jonoalderson
