Azure App Services

概要

本ページでは、Azure App Services内でKeeperオートメーターをウェブアプリとしてインスタンス化する手順を解説します。GCC HighやDoDなどの環境では、オートメーターをホストするのにこのサービスを利用いただけます。

1. オートメーターConfigキーを作成

コマンドラインを開き、オペレーティングシステムに応じて次のいずれかの方法を使用してURLエンコード形式で256ビットAESキーを生成します。

キーの作成

このコマンドによって生成される値を手順 6のために保存します。

2. App Servicesウェブアプリを作成

Azureポータルから、検索バーで [App Services] を選択し、[+ 作成] から [+ Web アプリ] を選択して新しいウェブアプリを作成します。

• 新しいリソース グループを作成します。

• [インスタンスの詳細] の [名前] に名前を入力します。

• [公開] に [コンテナー] を選択します。

• [オペレーティング システム] に [Linux] を選択します。

• サービスをホストする地域を選択します。

• Linuxプランを選択するか、新しいプランを作成します。料金プランは最低でも「Premium V3 P0V3」が必要ですが、最終的なプラン内容はエンドユーザーの利用環境によって異なります。

• [コンテナー] タブへ進みます。

3. コンテナの詳細をセットアップ

[コンテナー] タブでは以下のように設定します。

• イメージ ソース: その他のコンテナー レジストリ

• アクセスの種類: パブリック

• レジストリ サーバー URL: https://index.docker.io (入力済)

• イメージとタグ: keeper/automator:latest

• [監視 + セキュリティ] のタブへ進みます。

4. WebAppモニタリングをセットアップ

• [Application Insights を有効にする] に対して [はい] を選択します。

• [Application Insights] を選択するか、新規で作成します。

• [確認および作成] のタブへ進みます。

5. WebAppを作成

[作成] をクリックします。

数分後、WebAppが作成され、自動的に起動します。

[リソースに移動] をクリックしてコンテナ環境へ移動します。

デフォルトのドメイン値をメモしておきます。これはオートメーターサービスのセットアップと初期化の際に必要になります。

6. WebAppを構成

[構成] へ移動し、[新しいアプリケーション設定] を選択します。

環境変数の設定は、以下のように左側メニューの [環境変数] で行う場合があります。

以下のアプリケーション設定を追加します。

• 以下の環境変数を作成し、それぞれの値に設定します。

  • AUTOMATOR_CONFIG_KEY: 手順1からの値

  • AUTOMATOR_PORT: 8089

  • SSL_MODE: none

  • WEBSITES_PORT: 8089

• [適用] をクリックします。

7. Diagnosticsをセットアップ

[診断設定] を選択し、[+ 診断設定を追加する] をクリックします。

• 診断設定に名前を付けます。

• [App Service コンソール ログ] を選択します。

• [App Service アプリケーション ログ] を選択します。

• [Log Analytics ワークスペースへの送信] を選択します。

  • Log Analyticsを選択するか、新規で作成します。

8. ログをセットアップ

メイン メニューから [ログ] を選択します。[X] をクリックしてクエリウィンドウを閉じます。

シンプルモードからKQLモードに切り替えて新しいクエリを追加します。

以下はDockerのデプロイおよび起動ログを確認するためのKQLクエリです。

以下はアプリケーションのエラーログを確認するためのKQLクエリです。

9. App Serviceログのセットアップ

メインメニューの [監視] から [App Service ログ] を選択します。次に、[アプリケーション ログ] の [ファイル システム] を選択し、任意の保持期間を設定します。

[保存] をクリックします。

10. Log Streamを見る

メインメニューの [概要] から [ログ ストリーム] を選択し、オートメーターサービスが接続され、正しくログが記録されていることを確認します。

11. Health Checkの構成

メイン メニューの [監視] から[正常性チェック] を選択します。次に、ヘルス チェック機能を有効にし、パスの値を「/health」に設定します。[保存] をクリックして設定を保存し、もう一度 [保存] をクリックして変更を確定します。

12. アクセス制限を構成

[ネットワーク] で簡単なアクセスルールを設定したり、Azure Front Doorを構成したりできます。 メインメニューか [ネットワーク] を選択し、[アクセス制限なしで有効] をクリックします。

[アクセス制限] で、[選択した仮想ネットワークと IP アドレスから有効] を選択し、[不一致のルール アクション] を [拒否] にします。[+ 追加] をクリックして、受信アクセスルールを追加します。

[ルールの追加] で、受信ファイアウォールルールを追加します。トラフィックは、以下のページをご参照の上、各地域向けの [ネットワーク ファイアウォールの設定] として公開されているKeeper公開IPアドレスに制限します。

[ルールの追加] をクリックします。

[保存] をクリックして構成を保存します。

13. Keeperコマンダーへログイン

オートメーター構成の最終ステップを実行するには、Keeperコマンダーが必要です。これはどこからでも実行できます。サーバーにインストールする必要はありません。 ワークステーションまたはサーバーに、KeeperコマンダーCLI をインストールします。バイナリインストーラーを含むインストール手順については、こちらのページをご参照ください。

インストール後、Keeperコマンダーを起動するか、既存のターミナルから keeper shell と入力してセッションを開き、loginコマンドを使用してログインします。オートメーターを設定するには、Keeper管理者またはSSOノードを管理できる管理者としてログインする必要があります。

14. オートメーターを作成

automator create から始まる一連のコマンドを使用してオートメーターを作成します。

ノード名 (この場合は「Azure Cloud」) は、以下のように管理コンソールUIから取得します。

コマンドを実行すると、IDプロバイダからのメタデータを含むオートメーター設定が表示されます。

「URL」はまだ入力されていないことにご留意ください。これは、手順5のDefault Domainの値です。

以下のように、「automator edit」コマンドを実行します。これにより、URL が設定され、スキル (team、team_for_user、device) も設定されます。

次に、キーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーが オートメーターに提供されます。

新しい構成でオートメーターを初期化します。

サービスを有効にします。

この時点で構成は完了となります。

外部のヘルスチェックについては以下のURLをご使用ください。

https://<server>/health

以下は curl コマンドの例となります。

ユーザー体験のテスト

Keeperオートメーターがデプロイされましたので、ユーザー体験をテストできます。ユーザーが SSO IDプロバイダで認証した後は、承認を求めるプロンプトが表示されなくなります。

最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されません。