Azure AD Privileged Identity Management (PIM) を使って、権限管理のガバナンスを強化する

こんにちは、クラウド推進部 の島田です。

新体系となった Azure MCP 試験(AZ-300、AZ-301)に合格し、先日 Azure Solutions Architect Expert となりました!
(新体系の Azure MCP 試験について ⇒「Azure関連のMCP試験と認定資格 ~2019年版~」)

試験では、可用性、性能、コストなどの要件に応じて Azure のサービスを適切にデザインできるかどうかを問う問題が多く、

日頃の業務にぴったりの内容でした。


今回は、その試験にも登場する Azure Active Directory Privileged Identity Management (PIM) をご紹介いたします。

Read More

サービスプリンシパル(Service Principal)が作れない!

こんにちは、上坂(@takashiuesaka)です。

先日、Azureでサービスプリンシパルが作れないんだけど!という問い合わせをいただきました。
原因はわかってしまえば簡単だったのですが意外と知られていない気がするので公開します。
原因追及を頑張ってくれた弊社AzureチームのKさんありがとう!

さて、そもそもサービスプリンシパルとはなんでしょうか。別名実行アカウントです。
どちらかというと実行アカウントの方がまだわかりやすいと思います。
要するに、アカウントのことですから。
このサービスプリンシパル、RBAC(Role-based Access Control)の全面導入に伴った重要な存在となっています。
わかりやすい説明を探したのですが見当たりませんでした。私なりに説明すると、登場人物は3つです。

Read More

Azure Active Directoryの「既定のディレクトリ」とは

こんにちは、上坂です。

今日は久しぶりにAzureADの話です。
最近のAzureネタはデータ周りが多くネタがない、というのもありますけど。

まずAzureを最初に使い始めたときによくわからないのがAzureADの「既定のディレクトリ」ではないでしょうか。
1つしかサブスクリプションを使用していない人にはなんのことだかわからないと思います。
2つ以上のサブスクリプションを使用している方にとって、「既定のディレクトリ」とは謎の存在だと思うのです。というか私には謎の存在でした。
今日はこちらを簡単に解説したいと思います。

Read More

RBACによるAzureリソースへのアクセス制限

こんにちは、上坂(@takashiuesaka)です。

AzureはASM(Azure Service Management)というXMLベースの管理からARM(Azure Resource Management)というJSONベースの管理に移行しつつあります。
Azure PowerShellを使っている方はよくご存じだと思いますが、Switch-AzureModeを使ってASMとARMを使うと次のような警告がでますよね。

PowerShell警告画面

このSwitch-AzureModeコマンドが削除される、というアナウンスも出たわけですが、今日はその話ではなく、Role(役割)を利用したアクセス制限の話です。

Read More

Azure Active Directoryで簡単認証~自前でユーザー管理しよう Nativeアプリ 後編~

こんにちは、上坂です。
この記事はAzure Active Directoryについての連載記事になります。

前回の記事からずいぶん時間があいてしまいました、ごめんなさい・・・。前回、AccessTokenを取得したところまでやってみました。今回はいよいよGraphAPIを叩いてAzureAD内のユーザー情報を見てみることにしましょう。

Read More

Azure Active Directoryで簡単認証~自前でユーザー管理しよう Nativeアプリ 前編~

こんにちは、上坂です。
この記事はAzure Active Directoryについての連載記事になります。

ここまでのご紹介で気になることが1つ・・・いや、沢山あるとは思うのですがその中でも私なら最も気になるのが、ユーザー管理って結局Azure管理ポータル使う以外方法がないの?ということです。

自分たちが作ったアプリケーションなら別に気にしませんが、SIのようにお客様がユーザーを管理する場合は特に困ります。

ユーザーの新規登録やパスワードのリセットなど、管理ポータルでしか操作できないとなると、お客様は少なくともMSアカウントを作成して共同管理者として設定しなければなりません(組織アカウントを持っていない場合)。
そして管理ポータルには皆様御存知の通り沢山のAzureサービスが表示されている訳ですが、その中からAzureADのメニューを探し、何回もクリックしてようやくユーザー一覧にたどり着くわけです。

管理ポータルはユーザー管理専用な訳ではないのでこうなってしまうのは当たり前なんですが、こんな煩雑なやり方ではお客様の日々の運用に使っていただくわけにはいきません。やはり専用のユーザー管理画面を用意しなければ、という場合が多そうです。

そんな場合にはAzure Active Directory Graph APIを使いましょう。Azureではお馴染みのREST APIでユーザーの管理が可能です!
というわけで、今回はGraphAPIを使ったユーザー情報へのアクセスをやってみましょう。簡単です!

GraphAPIにアクセスする時、Webアプリかそうでないか(モバイルアプリやWinForm、WPFなどのNativeアプリ)、どちらからアクセスするかで少し異なります。今回はNativeアプリによるユーザー管理をやってみましょう。

Read More

Azure Active Directoryで簡単認証~多要素認証編(既存ユーザー設定時)~

こんにちは、上坂です。
この記事はAzure Active Directoryについての連載記事になります。

第3回では新規ユーザー作成時にどうやって多要素認証を設定するかをご紹介しました。今回は既に作成済みのユーザーに対して多要素認証を設定する方法をご紹介します。

第2回の記事を参照してディレクトリとユーザーを作成しておいてください。

Read More

Azure Active Directoryで簡単認証~多要素認証編(新規ユーザー作成時)~

こんにちは、上坂です。

この記事はAzure Active Directoryについての連載記事になります。

多要素認証とは、Id/PWによる認証にもう一つ認証を加えることでより強固なセキュリティを担保しましょう、ということなんですが、AzureADではこれが簡単に実現できます。それでは早速試してみましょう。

今回は第2回 Azure Active Directoryで簡単認証~OpenIdConnect編~ の続きになります。前回の記事を参照してディレクトリを作成しておいてください。

・新規ユーザー作成時に多要素認証を指定する

まずは新規にユーザーを作成するときに多要素認証を有効にする方法を見ていきましょう。

Read More

<<前のエントリー

ネクストスケープ企業サイトへ

NEXTSCAPE

検索する

タグ

メタデータ

投稿のRSS