こんにちは、上坂(@takashiuesaka)です。
先日、Azureでサービスプリンシパルが作れないんだけど!という問い合わせをいただきました。
原因はわかってしまえば簡単だったのですが意外と知られていない気がするので公開します。
原因追及を頑張ってくれた弊社AzureチームのKさんありがとう!
さて、そもそもサービスプリンシパルとはなんでしょうか。別名実行アカウントです。
どちらかというと実行アカウントの方がまだわかりやすいと思います。
要するに、アカウントのことですから。
このサービスプリンシパル、RBAC(Role-based Access Control)の全面導入に伴った重要な存在となっています。
わかりやすい説明を探したのですが見当たりませんでした。私なりに説明すると、登場人物は3つです。
Read More
こんにちは、上坂です。
今日は久しぶりにAzureADの話です。
最近のAzureネタはデータ周りが多くネタがない、というのもありますけど。
まずAzureを最初に使い始めたときによくわからないのがAzureADの「既定のディレクトリ」ではないでしょうか。
1つしかサブスクリプションを使用していない人にはなんのことだかわからないと思います。
2つ以上のサブスクリプションを使用している方にとって、「既定のディレクトリ」とは謎の存在だと思うのです。というか私には謎の存在でした。
今日はこちらを簡単に解説したいと思います。
Read More
こんにちは、上坂(@takashiuesaka)です。
AzureはASM(Azure Service Management)というXMLベースの管理からARM(Azure Resource Management)というJSONベースの管理に移行しつつあります。
Azure PowerShellを使っている方はよくご存じだと思いますが、Switch-AzureModeを使ってASMとARMを使うと次のような警告がでますよね。
このSwitch-AzureModeコマンドが削除される、というアナウンスも出たわけですが、今日はその話ではなく、Role(役割)を利用したアクセス制限の話です。
Read More
こんにちは、上坂です。
この記事はAzure Active Directoryについての連載記事になります。
前回の記事からずいぶん時間があいてしまいました、ごめんなさい・・・。前回、AccessTokenを取得したところまでやってみました。今回はいよいよGraphAPIを叩いてAzureAD内のユーザー情報を見てみることにしましょう。
Read More
こんにちは、上坂です。
この記事はAzure Active Directoryについての連載記事になります。
ここまでのご紹介で気になることが1つ・・・いや、沢山あるとは思うのですがその中でも私なら最も気になるのが、ユーザー管理って結局Azure管理ポータル使う以外方法がないの?ということです。
自分たちが作ったアプリケーションなら別に気にしませんが、SIのようにお客様がユーザーを管理する場合は特に困ります。
ユーザーの新規登録やパスワードのリセットなど、管理ポータルでしか操作できないとなると、お客様は少なくともMSアカウントを作成して共同管理者として設定しなければなりません(組織アカウントを持っていない場合)。
そして管理ポータルには皆様御存知の通り沢山のAzureサービスが表示されている訳ですが、その中からAzureADのメニューを探し、何回もクリックしてようやくユーザー一覧にたどり着くわけです。
管理ポータルはユーザー管理専用な訳ではないのでこうなってしまうのは当たり前なんですが、こんな煩雑なやり方ではお客様の日々の運用に使っていただくわけにはいきません。やはり専用のユーザー管理画面を用意しなければ、という場合が多そうです。
そんな場合にはAzure Active Directory Graph APIを使いましょう。Azureではお馴染みのREST APIでユーザーの管理が可能です!
というわけで、今回はGraphAPIを使ったユーザー情報へのアクセスをやってみましょう。簡単です!
GraphAPIにアクセスする時、Webアプリかそうでないか(モバイルアプリやWinForm、WPFなどのNativeアプリ)、どちらからアクセスするかで少し異なります。今回はNativeアプリによるユーザー管理をやってみましょう。
Read More
こんにちは、上坂です。
この記事はAzure Active Directoryについての連載記事になります。
第3回では新規ユーザー作成時にどうやって多要素認証を設定するかをご紹介しました。今回は既に作成済みのユーザーに対して多要素認証を設定する方法をご紹介します。
第2回の記事を参照してディレクトリとユーザーを作成しておいてください。
Read More
こんにちは、上坂です。
この記事はAzure Active Directoryについての連載記事になります。
多要素認証とは、Id/PWによる認証にもう一つ認証を加えることでより強固なセキュリティを担保しましょう、ということなんですが、AzureADではこれが簡単に実現できます。それでは早速試してみましょう。
今回は第2回 Azure Active Directoryで簡単認証~OpenIdConnect編~ の続きになります。前回の記事を参照してディレクトリを作成しておいてください。
・新規ユーザー作成時に多要素認証を指定する
まずは新規にユーザーを作成するときに多要素認証を有効にする方法を見ていきましょう。
Read More
こんにちは、上坂です。
今回はAzure Active Directory で簡単ユーザー認証の続きになります。OpenIdConnectによる認証はこれからの主流になる可能性が高いともっぱらの噂?な訳ですが、AzureADはOpenIdConnectによる認証をサポートしています。そこで今回はAzureADによるOpenIdConnect認証をやってみましょう。
ディレクトリの作成
新しいディレクトリを作成します。前回の記事を参照しながら作業していただいた場合はスキップしていただいて構いません。前回作成時のディレクトリを使用しましょう。
Azure管理ポータルにログインし、左側のメニューからActiveDirecotryを選択の上、左下の「新規」ボタンをクリックします。どんな新規サービスを作るのか選択するペインが下からせり上がってきますので、「ディレクトリ→カスタム作成」をクリックします。
ダイアログが上がってきます。好きなように入力すれば良いです。私は次のように入力しました。
- ディレクトリ:新しいディレクトリの作成
- 名前:OpenIdConnectDirectory
- ドメイン名:uesaka02
- 国/地域:日本
レ点をクリックするとディレクトリが作成されます。
ユーザーの登録
ログインユーザーの新規登録です。こちらも前回の記事を参照しながら作業していただいた場合はスキップしていただいて構いません。
作成済みのディレクトリを選択し、メニューから「ユーザー」をクリックします。
ダイアログが立ち上がります。ウィザード形式でユーザーの情報を入力しますが、こちらも好きに入力していただいて構いません。重要なのは「ユーザーの種類」を「組織内の新しいユーザー」にすることです。デフォルトで「組織内の新しいユーザー」が選択されているはずですので、これだけ変更しなければ大丈夫です。私は次のように入力しました。
- ユーザーの種類:組織内の新しいユーザー
- ユーザー名:OIDTestUser
- 名:たかし
- 性:うえさか
- 表示名:うえさかたかしです
- ロール:ユーザー
ウィザードの3ページ目まで来ると、「一時パスワードの取得」と書かれており、「作成」ボタンが表示されているかと思います。「作成」ボタンをクリックしてください。新しいパスワードが作成されますのでメモっておきましょう。後でログインのテストをする時に使います。
さて、それではいよいよOpenIdConnectによる認証をしていきましょう。
Read More
<<前のエントリー