Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Microsoft Entra ID 認証 / サービスプリンシパル / シークレット / 証...

Masahiko Ebisuda
January 03, 2025
Technology
0
27

Microsoft Entra ID 認証 / サービスプリンシパル / シークレット / 証明書 / マネージドID / Azure外でもマネージドID

Youtubeでの解説はこちら。
https://www.youtube.com/live/-M_MgOC9fmA

Masahiko Ebisuda

January 03, 2025
Tweet

More Decks by Masahiko Ebisuda

See All by Masahiko Ebisuda
WSUSが非推奨に!? Windowsの更新管理を改めて勉強する!
ebibibi
0
1.3k
認証にシークレットも証明書も不要?! オンプレミスのサーバーでマネージドIDを利用!
ebibibi
0
170
Arc Jumpstart HCIBox Azure Stack HCI 23H2対応バージョン 展開してみた。
ebibibi
0
400
Azureならファイルサーバー そのままPaaS化OK!
ebibibi
0
270
2025年10月1日 Azure VMからインターネットアクセスができなくなる!?
ebibibi
0
240
クラウド&エッジ 次世代スーパーマーケットの アーキテクチャ解説&デモ
ebibibi
0
210
企業IT向け:Azure OpenAIでChatGPTを閉域で安全に展開
ebibibi
0
450
企業IT向け Azure OpenAIでChatGPTを 閉域で安全に展開
ebibibi
0
1.3k
Azure Policyでハイブリッドな構成管理
ebibibi
0
240

Other Decks in Technology

See All in Technology
RevOpsへ至る道 データ活用による事業革新への挑戦 / path-to-revops
pei0804
3
800
日本語プログラミングとSpring Bootアプリケーション開発 #kanjava
yusuke
2
340
Power BI は、レポート テーマにこだわろう!テーマのティア表付き
ohata_ds
0
120
Agentic AI時代のプロダクトマネジメントことはじめ〜仮説検証編〜
masakazu178
3
380
Makuake*UPSIDER_LightningTalk
upsider_tech
0
200
20250129 Findy_テスト高活用化
dshirae
0
220
GraphRAG: What I Thought I Knew (But Didn’t)
sashimimochi
1
230
エンジニアとしてプロダクトマネジメントに向き合った1年半
sansantech
PRO
0
100
Amazon Aurora バージョンアップについて、改めて理解する ~バージョンアップ手法と文字コードへの影響~
smt7174
1
240
extensionとschema
yahonda
1
100
プロダクト価値を引き上げる、「課題の再定義」という習慣
moeka__c
0
210
企業テックブログにおける執筆ネタの考え方・見つけ方・広げ方 / How to Think of, Find, and Expand Writing Topics for Corporate Tech Blogs
honyanya
0
810

Featured

See All Featured
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
3
380
Typedesign – Prime Four
hannesfritz
40
2.5k
Art, The Web, and Tiny UX
lynnandtonic
298
20k
StorybookのUI Testing Handbookを読んだ
zakiyama
28
5.4k
Optimizing for Happiness
mojombo
376
70k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.3k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
6
220
Building Applications with DynamoDB
mza
93
6.2k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Statistics for Hackers
jakevdp
797
220k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
20
2.4k
Making the Leap to Tech Lead
cromwellryan
133
9.1k

Transcript

  1. Microsoft Entra ID認証 サービスプリンシパル シークレット / 証明書 マネージドID Azure外でもマネージドID @ebi

    Masahiko Ebisuda

  2. 日本ビジネスシステムズ株式会社 胡田 昌彦(えびすだ まさひこ) Youtube https://youtube.com/@ebibibi 自己紹介 こんな方にオススメ!  企業の情報システム部で働く方

     一般ユーザーだけど、コンピューターに興味 があって、もっと詳しくなりたい方  Windows, Azure, M365等のMicrosoft 関連技術に興味がある方 チャンネル登録よろしくお願いします!
  3. None
  4. None
  5. None
  6. None
  7. None
  8. None
  9. None

  10. 最終的にやりたいことは 「トークン」を取得したうえで 「API」を叩くことです ※ポータルからの操作でもコマンド操作でもアプリケーションでの操作でも 最後の最後はトークン付きでAPIがたたかれています

  11. 何を言っているのかわからない? まずは実際にやってみましょう! Resource Groups - Create Or Update - REST

    API (Azure Resource Management) | Microsoft Docs https://docs.microsoft.com/ja- jp/rest/api/resources/resource-groups/create-or-update
  12. None

  13. トークンを https://jwt.io/ でデコードしてみましょう

  14. トークンさえ入手できればよい それをAPIに投げればよい

  15. 誰がどうやって トークンを取得するのか?

  16. 誰がどうやってトークンを取得するのか? 様々なバリエーションがある Microsoft ID プラットフォームの認証フローとアプリのシナ リオ - Microsoft Entra |

    Microsoft Docs https://docs.microsoft.com/ja-jp/azure/active- directory/develop/authentication-flows-app- scenarios#scenarios-and-supported-authentication- flows ※日本語版は誤植が過去あったので注意)

  17. 誰が  ユーザープリンシパル  サービスプリンシパル  マネージドID どうやって  対話操作

     資格情報 他にも色々あるけどまずはこれだけわかれば 「自動化」程度なら困らない(と思う)

  18. 基本の基本 ユーザーが対話的に認証する

  19. 誰が  ユーザープリンシパル  サービスプリンシパル  マネージドID どうやって  対話操作

     資格情報

  20. サービス ユーザープリンシパルが対話操作でトー クンを取得するパターン

  21. 対話操作 サービス ユーザープリンシパルが対話操作でトー クンを取得するパターン

  22. 対話操作 トークン取得 サービス ユーザープリンシパルが対話操作でトー クンを取得するパターン

  23. 対話操作 トークン取得 サービス ユーザープリンシパルが対話操作でトー クンを取得するパターン

  24. PowerShell # 認証する Connect-AzAccount # 現在のコンテキストを確認する(認証したID,AADテナント,対象のサブスクリプション等) Get-AzContext # 対象サブスクリプションが適切でない場合には切り替える #Get-AzSubscription

    #Select-AzSubscription -Subscription <SubscriptionIDを入力> # トークンが取得できることを確認する Get-AzAccessToken $token = (Get-AzAccessToken).token # リソースグループを作成する $subscriptionId = (Get-AzContext).Subscription.Id $resourceGroupName = "testrg1" $url = "https://management.azure.com/subscriptions/${subscriptionId}/resourcegroups/${resourceGroupName}?api- version=2021-04-01" $headers = @{ "Authorization" = "Bearer $token" "Content-type" = "application/json" } $body = '{location:"JapanEast"}' Invoke-RestMethod -Method PUT -Uri $url -Headers $headers -Body $body
  25. None

  26. 専用のコマンドレットが存在 ※認証済みなら裏でトークンを取得して APIに投げてくれる

  27. PowerShell # 認証する Connect-AzAccount # トークンを取得する $token = (Get-AzAccessToken).token #

    リソースグループを作成する $subscriptionId = (Get-AzContext).Subscription.Id $resourceGroupName = "testrg1" $url = "https://management.azure.com/subscriptions/${subscriptionId}/resourcegroups/$ {resourceGroupName}?api-version=2021-04-01" $headers = @{ "Authorization" = "Bearer $token" "Content-type" = "application/json" } $body = '{location:"JapanEast"}' Invoke-RestMethod -Method PUT -Uri $url -Headers $headers -Body $body

  28. PowerShell # 認証する Connect-AzAccount # リソースグループを作成する New-AzResourceGroup -Name testrg2 -Location

    JapanEast

  29. PowerShell # 認証する Connect-AzAccount # リソースグループを作成する New-AzResourceGroup -Name testrg2 -Location

    JapanEast 対話的な認証では自動化できない!

  30. サービスプリンシパルを使う

  31. 誰が  ユーザープリンシパル  サービスプリンシパル  マネージドID どうやって  対話操作

     資格情報

  32. サービスプリンシパルが資格情報でトー クンを取得するパターン サービス

  33. サービスプリンシパルが資格情報でトー クンを取得するパターン 資格情報 サービス

  34. サービスプリンシパルが資格情報でトー クンを取得するパターン 資格情報 トークン取得 サービス

  35. サービスプリンシパルが資格情報でトー クンを取得するパターン 資格情報 トークン取得 サービス

  36.  

  37. サービスプリンシパル / パスワードベースの認証 1. AADにアプリケーションを登録しサービスプリンシパルを作成する - アプリケーション - サービスプリンシパル 2.

    サービスプリンシパルにRBACで権限を付与する 3. シークレットを作成する 4. PowerShellでサービスプリンシパルとして認証する PowerShell $applicationId = "" $clientSecret = "" $tenantId = "" $securedSecret = ConvertTo-SecureString $clientSecret -AsPlainText -Force $creds = New-Object System.Management.Automation.PSCredential($applicationId, $securedSecret) Connect-AzAccount -ServicePrincipal -Tenant $tenantId -Credential $creds Get-AzContext Get-AzAccessToken New-AzResourceGroup -Name testrg3 -Location JapanEast

  38. サービスプリンシパル / パスワードベースの認証 1. AADにアプリケーションを登録しサービスプリンシパルを作成する - アプリケーション - サービスプリンシパル 2.

    サービスプリンシパルにRBACで権限を付与する 3. シークレットを作成する 4. PowerShellでサービスプリンシパルとして認証する PowerShell $applicationId = "" $clientSecret = "" $tenantId = "" $securedSecret = ConvertTo-SecureString $clientSecret -AsPlainText -Force $creds = New-Object System.Management.Automation.PSCredential($applicationId, $securedSecret) Connect-AzAccount -ServicePrincipal -Tenant $tenantId -Credential $creds Get-AzContext Get-AzAccessToken New-AzResourceGroup -Name testrg3 -Location JapanEast シークレットを生で書くのはダメ!

  39. サービスプリンシパル / 証明書ベースの認証 1. AADにアプリケーションを登録しサービスプリンシパルを作成する - アプリケーション - サービスプリンシパル 2.

    サービスプリンシパルにRBACで権限を付与する 3. (どこで作成してもいいが、今回はローカルのWindows上で)証明書を生成する 4. サービスプリンシパルに証明書をアップロードする 5. PowerShellでサービスプリンシパルとして認証する PowerShell $applicationId = "" $tenantId = "" # 証明書作成 New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" ` -Subject "CN=CertforSP" -KeySpec KeyExchange $Thumbprint = (Get-ChildItem cert:\CurrentUser\My\ | Where-Object {$_.Subject -eq "CN=CertforSP" })[0].Thumbprint # 認証 Connect-AzAccount -ServicePrincipal -CertificateThumbprint $Thumbprint ` -ApplicationId $applicationId -TenantId $tenantId Get-AzContext Get-AzAccessToken New-AzResourceGroup -Name testrg4 -Location JapanEast

  40. サービスプリンシパル / 証明書ベースの認証 1. AADにアプリケーションを登録しサービスプリンシパルを作成する - アプリケーション - サービスプリンシパル 2.

    サービスプリンシパルにRBACで権限を付与する 3. (どこで作成してもいいが、今回はローカルのWindows上で)証明書を生成する 4. サービスプリンシパルに証明書をアップロードする 5. PowerShellでサービスプリンシパルとして認証する PowerShell $applicationId = "" $tenantId = "" # 証明書作成 New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" ` -Subject "CN=CertforSP" -KeySpec KeyExchange $Thumbprint = (Get-ChildItem cert:\CurrentUser\My\ | Where-Object {$_.Subject -eq "CN=CertforSP" })[0].Thumbprint # 認証 Connect-AzAccount -ServicePrincipal -CertificateThumbprint $Thumbprint ` -ApplicationId $applicationId -TenantId $tenantId Get-AzContext Get-AzAccessToken New-AzResourceGroup -Name testrg4 -Location JapanEast 証明書の管理がめんどくさい!
  41. None
  42. None

  43. 誰が  ユーザープリンシパル  サービスプリンシパル  マネージドID どうやって  対話操作

     資格情報

  44. Azure上のリソースに を用意してくれる

  45. Azure VM上でマネージドIDのアクセストー クンを取得する Invoke-WebRequest -Uri 'http://169.254.169.254/metadata/identity/oaut h2/token?api-version=2018-02- 01&resource=https%3A%2F%2Fmanagement.azure.com %2F’ `

    -Headers @{Metadata=“true”} 169.254.169.254 というIPアドレスからトークンが取得できる! マネージドIDがONであれば何もしなくてもいきなりトークンが取れる!
  46. None
  47. None

  48. How managed identities for Azure resources work with Azure virtual

    machines - Managed identities for Azure resources | Microsoft Learn https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-managed-identities-work-vm

  49.  Microsoft Entra IDにサー ビスプリンシパルを作成  証明書作成、登録、更新  トークン取得のProxy

  50. PowerShell # 認証する Connect-AzAccount # リソースグループを作成する New-AzResourceGroup -Name testrg2 -Location

    JapanEast 対話的な認証では自動化できない!

  51. PowerShell # 認証する Connect-AzAccount -Identity # リソースグループを作成する New-AzResourceGroup -Name testrg2

    -Location JapanEast パスワードも証明書も必要ない! 超簡単!
  52. None
  53. None
  54. None
  55. None
  56. None
  57. None
  58. None
  59. None
  60. None
  61. None
  62. None
  63. None

  64. IMDS_ENDPOINT= http://localhost:40342 IDENTITY_ENDPOINT= http://localhost:40342/metadata/identity/oauth2/token

  65. None

  66. PowerShell # 認証する Connect-AzAccount -Identity # リソースグループを作成する New-AzResourceGroup -Name testrg2

    -Location JapanEast パスワードも証明書も必要ない! 超簡単!

  67. ファイルにアクセス出来ない ケースがあるので注意 ※原因知ってる人いたら教えてください。バグ?

  68. None
  69. None
  70. None
  71. None
  72. None
  73. None
  74. None