Azure ADユーザー
KeeperでAzure AD管理者パスワードとユーザーパスワードのローテーション
概要
本ページでは、Azure ADユーザーのパスワードをローテーションする方法について取り扱います。KeeperのPAM構成には、パスワードのローテーションに必要な情報がすべて含まれています。ローテーションするAzure ADユーザーアカウントを含むレコードは、PAMユーザーレコードに格納されます。
Azureネットワークでのローテーションプロセスについては、こちらのページをご参照ください。
要件
以下がすでに実行されていることを前提としています。
ローテーションのポリシーがご利用のロールに対して有効になっていること
Keeperシークレットマネージャーアプリケーションが作成済みであること
Azure環境がKeeperのドキュメントに従って設定されていること
Keeperゲートウェイがオンラインであること
1. PAM構成を設定
注: AzureのPAM構成がすでに設定されている場合は、この手順を省略できます。
PAM構成を指定する前に、以下の項目を確認します。
Keeperシークレットマネージャーアプリケーションが作成済みであること
Keeperローテーションゲートウェイがすでにインストールされて動作しており、作成したKeeperシークレットマネージャーアプリケーションでプロビジョニングされていること。
他のタイプの対象をローテーションするために、Azure環境内のマシンにKeeperゲートウェイサービスをインストールすることをお勧めします。
ボルトの左側のメニューから[シークレットマネージャー]、[PAM構成]タブの順に選択して、[新規構成]をクリックします。 以下は、PAM構成の必須フィールドとなります。
タイトル
設定名 (例:Azure AD Configuration)
環境
Azureを選択
ゲートウェイ
Keeperシークレットマネージャーアプリケーションで構成され、要件のActive Directoryサーバーにネットワークでアクセスできるゲートウェイを選択します
アプリケーションフォルダ
PAM構成が格納されている共有フォルダを選択します。PAMユーザーが格納されている共有フォルダ内に配置することを推奨します。
Azure ID
このAzureインスタンスの固有のID。参考用のため任意のIDを指定できますが、短くすることをお勧めします
例:Azure-prod
クライアントID
アプリケーションの登録時にAzure ADによってアプリに割り当てられた固有のアプリケーション (クライアント) ID
クライアントシークレット
Azureアプリケーションのクライアントのクレデンシャルシークレット。ランダムなテキストです。
サブスクリプションID
Azureサービスを使用するためのサブスクリプション (従量課金制) を識別するUUID
テナントID
Azure Active DirectoryのUUID
2. 1つまたは複数のPAMユーザーレコードを設定
Keeperローテーションにより、Azure Graph APIを使用してAzure環境のPAMユーザーレコードをローテーションします。PAMユーザーレコードは、要件で作成したKSMアプリケーションに共有されている共有フォルダに格納されている必要があります。
以下は、PAMユーザーレコードの必須フィールドとなります。
タイトル
Keeperのレコードタイトル (Azure User1など)
ログイン
ローテーションするアカウントのユーザー名 (大文字と小文字の区別あり)。ユーザー名は、domain\username かusername@domainのいずれかの形式となります。
パスワード
パスワードの設定は任意です。このフィールドが空白のままの場合、ローテーションを実行するとパスワードが設定されます。
3. PAMユーザーレコードのローテーションを構成
手順3で設定したPAMユーザーレコードを選択し、編集して[パスワードローテーション設定]を開きます。
ローテーション方式にはAzure APIを使用するため[IAMユーザー]を選択します。
[ローテーション設定]では、以前に設定したPAM構成を選択します。
適切なスケジュールとパスワードの複雑さを選択します。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
PAMユーザーのレコードに対するedit権限を持つユーザーならだれでも、そのレコードのローテーションを設定できます。
最終更新