Azure ADユーザー
Keeperを使用したAzure AD管理者パスワードとユーザーパスワードのローテーション
概要
本ページでは、Azure ADユーザーのパスワードをローテーションする方法について取り扱います。KeeperのPAM構成には、パスワードのローテーションに必要な情報がすべて含まれています。ローテーションするAzure ADユーザーアカウントを含むレコードは、PAMユーザーレコードに格納されます。
Azureネットワークでのローテーションプロセスについては、こちらのページをご参照ください。
要件
以下の作業がすでに実行されていることを前提としています。
Keeperローテーションがご利用のロールに対して有効になっていること。
Keeperシークレットマネージャーアプリケーションが作成済みであること。
Azure環境がKeeperのドキュメントに従って設定されていること。
KeeperゲートウェイはAzure APIを使用して、PAMユーザーレコードで定義されたクレデンシャルをローテーションします。
1. PAM設定を指定
注: AzureのPAM設定がすでに指定されている場合は、この手順を省略してください。
PAM設定を指定する前に、以下の項目を確認します。
Keeperシークレットマネージャーアプリケーションが作成済みであること
Keeperローテーションゲートウェイがすでにインストールされて動作しており、作成したKeeperシークレットマネージャーアプリケーションでプロビジョニングされていること。
他の対象をローテーションするために、Azure環境内のマシンにKeeperゲートウェイサービスをインストールすることをお勧めします。
ボルトの左側のメニューから[Secrets Manager]、[PAM設定]タブの順に選択して、[新規設定]をクリックします。 以下は、PAM設定の必須フィールドとなります。
タイトル
設定名 (例:Azure AD Configuration)
環境
選択: Azure
ゲートウェイ
Keeperシークレットマネージャーアプリケーションで設定され、前提条件のActive Directoryサーバーにネットワークでアクセスできるゲートウェイを選択します
アプリケーションフォルダ
PAMユーザーレコードを格納する共有フォルダを選択します
管理者クレデンシャルレコード
任意
Azure ID
このAzureインスタンスの固有のID。参考用のため任意のIDを指定できますが、短くすることをお勧めします
例:Azure-1
クライアントID
アプリケーションの登録時にAzure ADによってアプリに割り当てられた固有のアプリケーション (クライアント) ID
クライアントシークレット
Azureアプリケーションのクライアントのクレデンシャルシークレット。見た目はランダムなテキストです
サブスクリプションID
Azureサービスを使用するためのサブスクリプション (従量課金制) を識別するUUID
テナントID
Azure Active DirectoryのUUID
2. 1つまたは複数のPAMユーザーレコードを設定
Keeperローテーションは、Azure Graph APIを使用してAzure環境のPAMユーザーレコードをローテーションします。PAMユーザーレコードは、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。
以下は、PAMユーザーレコードの必須フィールドとなります。
タイトル
Keeperのレコードタイトル (Azure User1)
ログイン
ローテーションするアカウントの大文字と小文字の区別があるユーザー名。ユーザー名は、domain\username かusername@domainのいずれかの形式にする必要があります。
パスワード
パスワードの設定は任意です。このフィールドが空白のままの場合、ローテーションを実行するとパスワードが設定されます。
3. PAMユーザーレコードのローテーションを設定
手順3で設定したPAMユーザーのレコードを選択し、そのレコードを編集して[パスワードローテーション設定]を開きます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM設定を選択する必要があります。
[リソースクレデンシャル]フィールドは空にするか、選択しないようにします。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
最終更新