# Azure App Services
## 概要 本ページでは、Azure App Services内でKeeperオートメーターをウェブアプリとしてインスタンス化する手順を解説します。GCC HighやDoDなどの環境では、オートメーターをホストするのにこのサービスを利用いただけます。 ### 1. オートメーターConfigキーを作成 コマンドラインを開き、オペレーティングシステムに応じて次のいずれかの方法を使用してURLエンコード形式で256ビットAESキーを生成します。 #### キーの作成 {% tabs %} {% tab title="Mac/Linux" %} ``` openssl rand -base64 32 ``` {% endtab %} {% tab title="Windows (PowerShell)" %} ```powershell [Byte[]]$key = New-Object Byte[] 32; [System.Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($key); [System.Convert]::ToBase64String($key) ``` {% endtab %} {% endtabs %} このコマンドによって生成される値を**手順 6**のために保存します。

Mac/Linuxで生成されたキー値の例

PowerShellで生成されたキー値の例

### 2. App Servicesウェブアプリを作成 Azureポータルから、検索バーで **\[App Services]** を選択し、**\[+ 作成]** から **\[+ Web アプリ]** を選択して新しいウェブアプリを作成します。
* 新しいリソース グループを作成します。 * **\[インスタンスの詳細]** の **\[名前]** に名前を入力します。 * **\[公開]** に **\[コンテナー]** を選択します。 * **\[オペレーティング システム]** に **\[Linux]** を選択します。 * サービスをホストする地域を選択します。 * Linuxプランを選択するか、新しいプランを作成します。料金プランは最低でも「**Premium V3 P0V3」**が必要ですが、最終的なプラン内容はエンドユーザーの利用環境によって異なります。 * **\[コンテナー]** タブへ進みます。
### 3. コンテナの詳細をセットアップ **\[コンテナー]** タブでは以下のように設定します。 * イメージ ソース: **その他のコンテナー レジストリ** * アクセスの種類: **パブリック** * レジストリ サーバー URL: **** (入力済) * イメージとタグ: **`keeper/automator:latest`** * **\[監視 + セキュリティ]** のタブへ進みます。
### 4. WebAppモニタリングをセットアップ * **\[Application Insights を有効にする]** に対して **\[はい]** を選択します。 * **\[Application Insights]** を選択するか、新規で作成します。 * **\[確認および作成]** のタブへ進みます。
### 5. WebAppを作成 **\[作成]** をクリックします。 数分後、WebAppが作成され、自動的に起動します。 **\[リソースに移動]** をクリックしてコンテナ環境へ移動します。
デフォルトのドメイン値をメモしておきます。これはオートメーターサービスのセットアップと初期化の際に必要になります。
### 6. WebAppを構成 **\[構成]** へ移動し、**\[新しいアプリケーション設定]** を選択します。
環境変数の設定は、以下のように左側メニューの **\[環境変数]** で行う場合があります。
以下のアプリケーション設定を追加します。 * 以下の環境変数を作成し、それぞれの値に設定します。 * **AUTOMATOR\_CONFIG\_KEY:** 手順1からの値 * **AUTOMATOR\_PORT: 8089** * **SSL\_MODE: none** * **WEBSITES\_PORT: 8089**
* **\[適用]** をクリックします。
### **7. Diagnosticsをセットアップ** **\[診断設定]** を選択し、**\[+ 診断設定を追加する]** をクリックします。
* 診断設定に名前を付けます。 * **\[App Service コンソール ログ]** を選択します。 * **\[App Service アプリケーション ログ]** を選択します。 * **\[Log Analytics ワークスペースへの送信]** を選択します。 * Log Analyticsを選択するか、新規で作成します。
### 8. ログをセットアップ メイン メニューから **\[ログ]** を選択します。\[X] をクリックしてクエリウィンドウを閉じます。
シンプルモードからKQLモードに切り替えて新しいクエリを追加します。
以下はDockerのデプロイおよび起動ログを確認するためのKQLクエリです。 ```powershell AppServicePlatformLogs project TimeGen=substring(TimeGenerated, 0, 19), Message sort by TimeGen desc ``` 以下はアプリケーションのエラーログを確認するためのKQLクエリです。 ```powershell AppServiceConsoleLogs project TimeGen=substring(TimeGenerated, 0, 19), ResultDescription sort by TimeGen desc ``` ### 9. App Serviceログのセットアップ メインメニューの **\[監視]** から **\[App Service ログ]** を選択します。次に、**\[アプリケーション ログ]** の **\[ファイル システム]** を選択し、任意の保持期間を設定します。 **\[保存]** をクリックします。
### 10. Log Streamを見る メインメニューの **\[概要]** から **\[ログ ストリーム]** を選択し、オートメーターサービスが接続され、正しくログが記録されていることを確認します。
### 11. Health Checkの構成 メイン メニューの **\[監視]** から**\[正常性チェック]** を選択します。次に、ヘルス チェック機能を有効にし、パスの値を**「/health」**に設定します。**\[保存]** をクリックして設定を保存し、もう一度 **\[保存]** をクリックして変更を確定します。
### 12. アクセス制限を構成 **\[ネットワーク]** で簡単なアクセスルールを設定したり、Azure Front Doorを構成したりできます。 メインメニューか **\[ネットワーク]** を選択し、**\[アクセス制限なしで有効]** をクリックします。
**\[アクセス制限]** で、**\[選択した仮想ネットワークと IP アドレスから有効]** を選択し、**\[不一致のルール アクション]** を **\[拒否]** にします。**\[+ 追加]** をクリックして、受信アクセスルールを追加します。
**\[ルールの追加]** で、受信ファイアウォールルールを追加します。トラフィックは、以下のページをご参照の上、各地域向けの **\[ネットワーク ファイアウォールの設定]** として公開されているKeeper公開IPアドレスに制限します。 {% content-ref url="inguresu" %} [inguresu](https://docs.keeper.io/jp/sso-connect-cloud/device-approvals/automator/inguresu) {% endcontent-ref %} **\[ルールの追加]** をクリックします。
**\[保存]** をクリックして構成を保存します。
### 13. Keeperコマンダーへログイン オートメーター構成の最終ステップを実行するには、Keeperコマンダーが必要です。これはどこからでも実行できます。サーバーにインストールする必要はありません。 ワークステーションまたはサーバーに、KeeperコマンダーCLI をインストールします。バイナリインストーラーを含むインストール手順については、[こちらのページ](https://app.gitbook.com/s/PL6k1aGsLiFiiJ3Y7zCl/commander-cli/commander-installation-setup)をご参照ください。 インストール後、Keeperコマンダーを起動するか、既存のターミナルから `keeper shell` と入力してセッションを開き、`login`コマンドを使用してログインします。オートメーターを設定するには、Keeper管理者またはSSOノードを管理できる管理者としてログインする必要があります。 ``` $ keeper shell My Vault> login admin@company.com _ __ | |/ /___ ___ _ __ ___ _ _ | ' ``` ### 14. オートメーターを作成 `automator create` から始まる一連のコマンドを使用してオートメーターを作成します。 ``` My Vault> automator create --name "My Automator" --node "Azure Cloud" ``` ノード名 (この場合は「Azure Cloud」) は、以下のように管理コンソールUIから取得します。

オートメーターの作成

コマンドを実行すると、IDプロバイダからのメタデータを含むオートメーター設定が表示されます。 ``` Automator ID: 1477468749950 Name: My Automator URL: Enabled: No Initialized: No Skills: Device Approval ``` 「URL」はまだ入力されていないことにご留意ください。これは、[手順5](#id-5-webappwo)の**Default Domain**の値です。 以下のように、「automator edit」コマンドを実行します。これにより、URL が設定され、スキル (`team`、`team_for_user`、`device`) も設定されます。 {% code overflow="wrap" %} ``` automator edit --url https:// --skill=team --skill=team_for_user --skill=device "My Automator" ``` {% endcode %} 次に、キーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーが オートメーターに提供されます。 ``` automator setup "My Automator" ``` 新しい構成でオートメーターを初期化します。 ``` automator init "My Automator" ``` サービスを有効にします。 ``` automator enable "My Automator" ``` この時点で構成は完了となります。 外部のヘルスチェックについては以下のURLをご使用ください。 https\://\/health 以下は `curl` コマンドの例となります。 ``` $ [rainer@iradar keeper]$ curl -vk https://keeperapprovalautomator.azurewebsites.net/health * About to connect() to keeperapprovalautomator.azurewebsites.net port 443 (#0) * Trying 40.112.243.106... * Connected to keeperapprovalautomator.azurewebsites.net (40.112.243.106) port 443 (#0) * Initializing NSS with certpath: sql:/etc/pki/nssdb * skipping SSL peer certificate verification * SSL connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * Server certificate: * subject: CN=*.azurewebsites.net,O=Microsoft Corporation,L=Redmond,ST=WA,C=US * start date: Oct 31 23:08:36 2023 GMT * expire date: Jun 27 23:59:59 2024 GMT * common name: *.azurewebsites.net * issuer: CN=Microsoft Azure TLS Issuing CA 01,O=Microsoft Corporation,C=US > GET /health HTTP/1.1 > User-Agent: curl/7.29.0 > Host: keeperapprovalautomator.azurewebsites.net > Accept: */* > < HTTP/1.1 200 OK < Content-Length: 2 < Content-Type: text/plain < Date: Sat, 23 Mar 2024 05:08:13 GMT < Server: Jetty(11.0.20) < Strict-Transport-Security: max-age=31622400; includeSubDomains < * Connection #0 to host keeperapprovalautomator.azurewebsites.net left intact ``` ### ユーザー体験のテスト Keeperオートメーターがデプロイされましたので、ユーザー体験をテストできます。ユーザーが SSO IDプロバイダで認証した後は、承認を求めるプロンプトが表示されなくなります。 最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されません。 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/jp/sso-connect-cloud/device-approvals/automator/azure-app-services.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.