Azureプラグイン

Azure ADアカウントのパスワードのローテーション

Keeperシークレットマネージャーの新しいパスワードローテーション機能がリリースされました。パスワードローテーションのどのような事例でもこの新機能の使用を推奨します。詳細については以下をご参照ください。

このプラグインは、任意のユーザーのAzure ADパスワードを生成/ローテーションします。

前提条件

pip install msal

Azureアプリケーションがユーザー管理権限を持つように設定

Azureアプリケーションのローテーション設定

Azureローテーションの1度限りの設定として以下の手順に従ってください

新しいアプリケーションの登録手順

  1. 新しいアプリの登録ページに移動します。

    Azureポータル(Azure portal) -> Azure Active Directory -> App Registrations -> New Registration

  2. アプリケーションに名前を付け、サポートされるアカウントの種類を「この組織ディレクトリのアカウントのみ(既定のディレクトリのみ - シングルテナント)」のままにします

  3. 「登録(Register)」をクリックします

アプリケーションにロールを追加する手順

  1. 「ロールと管理者(Roles and Administrators)」ページに移動します。

    Azureポータル(Azure portal) -> Azure Active Directory -> Roles and administrators

  2. Helpdesk Administratorロールを検索して、クリックします

  3. + Add assignmentsをクリックします

  4. 上記で作成したアプリケーションを検索して選択し、「追加(Add)」をクリックします

アプリシークレットを作成

  1. 「証明書とシークレット(Certificates & Secrets)」に移動します。

    Azureポータル(Azure portal) -> Azure Active Directory -> App Registrations -> 上記で作成したアプリを選択 -> Certificates & secrets

  2. 「クライアントのシークレット(Client secrets)」の下の+ New client secretをクリックします

  3. シークレットに説明を入力し、「追加(Add)」をクリックします

  4. シークレットの「値(Value)」を必ずコピーしてください。

ローテーション用のレコードを準備

ローテーション用のレコードを作成

ローテーションは、従来のレコードにもタイプ指定されたレコードにも対応しています。 タイプ指定されたレコードを使用する場合は、「ログイン」タイプのフィールドが必要です。 ローテーションの種類に応じて、その他のフィールドを追加することもできます。 以下の手順をご参照ください。

従来のレコードとタイプ指定のあるレコードの詳細については、トラブルシューティングをご参照ください。

Azureのログイン名を設定

Keeperのレコードの「ログイン」フィールドにAzureのログイン名を入力します

必須フィールドを追加

Azure ADローテーションには、以下のフィールドが必要です。ラベルを指定して各フィールドを作成し、必要な情報を入力します。

ラベル
説明

cmdr:azure_secret

新しいアプリケーションの登録時に表示されます。Azureポータル -> Azure Active Directory -> App Registrations -> New Registration

cmdr:azure_client_id

Azureポータル -> Azure Active Directory -> App Registrations -> [App name] (アプリ名) -> Application (client) ID

cmdr:azure_tenant_id

Azureポータル -> Azure Active Directory -> App Registrations -> [App name] (アプリ名) -> Directory (tenant) ID

cmdr:azure_cloud

オプション。Azureクラウド。Azureクラウドの物理的な場所は4か所あります。 1.Global 既定の場所。このプロパティは省略します。 2.China 3.German 4.USGov

新しいAzureローテーションレコードを簡単に作成するには、これらのテキストタイプフィールドを定義してカスタムのレコードタイプを作成します。

その他のローテーション設定

ローテーションパラメータをカスタマイズできる値は以下のとおりです。 これらのオプションをテキストフィールドとしてレコードに追加し、表に示すように、パラメータに相当するラベルを設定します。

ラベル
説明

cmdr:plugin

azureadpwd

(任意) Azure ADキーローテーションを使用するようにコマンダーに指示します。 これは、レコードに設定するか、またはローテーションコマンドに指定する必要があります

ローテーション

Azureのパスワードをローテーションするには、コマンダーでrotateコマンドを使用します。 コマンドにレコードタイトルもしくはUIDを渡します (複数のレコードを1度にローテーションさせるには、正規表現で--matchを使用します)

rotate "My Azure Credentials" --plugin azureadpwd

プラグインは、こちらに示すようにコマンドに指定することも、レコードのフィールドに追加することもできます (上記のオプションを参照)。 レコードにプラグインタイプを追加すると、プラグインの異なる複数のレコードを1度にローテーションできます。

出力

ローテーションが完了すると、新しいパスワードがレコードのパスワードフィールドに格納されます

最終更新