Azure環境の設定
Keeperシークレットマネージャーと連携するためのAzure環境の設定
最終更新
Keeperシークレットマネージャーと連携するためのAzure環境の設定
最終更新
Azure環境を設定するには、以下の手順を実行する必要があります。
デフォルトのAzure Active DirectoryにAzureアプリケーションを作成します。
この新しいアプリケーションからKeeper PAM設定の値を取得します。
Azure Active Directoryにアクセスするための権限をアプリケーションに付与します。
アプリケーションが様々なAzureリソースにアクセスしてアクションを実行できるようにするカスタムロールを作成します。
Azureポータル > [Home] (ホーム) に移動し、左側のメニューで[Microsoft Entra ID]をクリックします。[App Registrations] (アプリの登録)、[New Registration] (新規登録) の順に選択します。新しいアプリケーションに名前を付け、[Single tenant] (シングルテナント) を選択します。次に、下部の[Register] (登録) ボタンをクリックします。
アプリケーションの[Overview] (概要) に、[Application (client) ID] (アプリケーション (クライアント) ID) UUIDが表示されます。これは、Keeper PAM構成レコードのClient (クライアント) Idフィールドです。Directory (tenant) (ディレクトリ (テナント)) IDも表示されます。これは、Keeper PAM構成レコードのTenant Id (テナントId) フィールドです。これらの値は後で使用するために保存します。
次に、[Home] (ホーム) > [General] (一般) > [Subscriptions] (サブスクリプション) に進み、サブスクリプションIDを取得します。サブスクリプションIDをKeeper PAM構成の「Subscription ID」フィールドにコピーします。サブスクリプションIDを取得する方法について、詳しくはこちらのページをご参照ください。
次に、[Client credentials] (クライアントクレデンシャル) の[Add a certification or secret (証明書またはシークレットの追加) をクリックします。次のページで、[New client secret] (新しいクライアントシークレット) をクリックし、クライアントシークレットの説明を入力して、適切な期限を選択し、[Add] (追加) をクリックします。
すると、ページが更新されてシークレットの[Value] (値) が表示されます。[Value] (値) (シークレットIDではない) をKeeper PAM構成の「Client Secret」 (クライアントシークレット) フィールドにコピーします。後で使用するために、この値を保存します。
この時点で、PAM設定の必須フィールドをすべて入力する必要があります。また、この時点では、Azureアプリケーションで何も実行できません。
Azureテナントサービスプリンシパル/アプリケーションでAzure Active DirectoryユーザーまたはAzure Active Directory Domain Serviceユーザーをローテーションするには、アプリケーションを管理者ロールに割り当てる必要があります。
Azureポータルから、[Home] (ホーム) > [Azure Active Directory] > [Roles and administrators] (ロールと管理者) に移動し、使用する管理用ロール (Privileged Authentication Administratorなど) をクリックします。正しいロールは、必要な権限によって異なります。カスタムロールを使用できます。
Global Administrator (グローバル管理者) - サービスプリンシパルでグローバル管理者を使用することはお勧めしません。ただし、管理者パスワードとユーザーパスワードの両方をローテーションできます。
Privileged Authentification Administrator (特権認証管理者) - グローバル管理者ユーザーを含むすべてのユーザーのパスワードを変更できます。
Authentification Administrator (認証管理者) - グローバル管理者ユーザーを除くすべてのユーザーのパスワードを変更できます。
アプリケーションを追加するには、[Add assignments] (割り当ての追加) をクリックし、作成されたサービスプリンシパル/アプリケーションを[Search] (検索) してクリックし、[Add] (追加) をクリックします。
ターゲットリソースのパスワードをローテーションするには、Azureアプリケーション (別名、サービスプリンシパル) にロールをアタッチする必要があります。これは、Azureポータルのサブスクリプションセクションで行います。
Azureポータル > [Home] (ホーム) > [Subscriptions] (サブスクリプション) に移動して、サブスクリプションを選択します。[Access control (IAM)] (アクセス制御 (IAM))、[Roles] (ロール) の順にクリックします。
上部メニューの[Add] (追加) をクリックしてから、[Add custom role] (カスタムロールの追加) をクリックします。[JSON]タブに移動します。[Edit] (編集) をクリックし、以下からJSONオブジェクトを貼り付け、ご利用の設定に従って変更します。
これは、Keeperゲートウェイが使用できるすべてのアクセス権限の完全なリストです (該当する場合)。設定に必要なものだけをご使用ください。
保存する前に以下を変更します。
<ROLE NAME>: ロール名。例: 「Keeper Secrets Manager」
<DESCRIPTION>: 説明。例: 「パスワードローテーションのロール」
<SUBSCRIPTION ID>: このAzureサブスクリプションのサブスクリプションID
[Save] (保存) をクリックします。
完了したら、[Review + create] (レビューと作成) をクリックし、[Create] (作成) をクリックします。
ロールを作成したら、アプリケーション (サービスプリンシパル) に割り当てる必要があります。[Details] (詳細) 列の[View] (表示) をクリックします。
画面の右側にパネルが表示されます。[Assignments] (割り当て)、[Add assignment] (割り当ての追加) の順にクリックします。
[Role] (ロール) タブの検索バーに新しいロールの名前を入力し、それをダブルクリックして選択します。[Members] (メンバー ) タブに移動します。[Select members] (メンバーを選択) をクリックします。開いたパネルで、Azureアプリケーションの名前を入力し、現在のアプリケーションを選択して、[Select] (選択) をクリックします。
[Review + assign] (レビューと割り当て) タブに移動し、[Review + assign] (レビューと割り当て) をクリックします。
🎉これで、Azure環境内に必要なロールとアプリケーションが作成されました。