Azure ADユーザー
Keeperを使用したAzure AD管理者パスワードとユーザーパスワードのローテーション
概要
このガイドでは、Azure ADユーザーのパスワードをローテーションする方法について説明します。KeeperのPAM設定には、パスワードのローテーションに必要な情報がすべて含まれています。ローテーションするAzure ADユーザーアカウントを含む記録は、PAMユーザー記録に格納されます。
Azureネットワークでのローテーションプロセスの大まかな概要は、こちらのページをご参照ください。
前提条件
このガイドでは、以下の作業がすでに実行されていることを前提としています。
Keeper Rotationがご利用のロールに対して有効になっていること
Keeper Secrets Managerアプリケーションが作成済みであること
Azure環境がKeeperのドキュメントに従って設定されていること
Keeper GatewayはAzure APIを使用して、PAMユーザー記録で定義されたクレデンシャルをローテーションします。
1. PAMの設定を指定
注意:AzureのPAM設定がすでに指定されている場合は、この手順を省略できます。
PAM設定を指定する前に、以下の項目を確認します。
Keeper Secrets Managerアプリケーションが作成済みであること
Keeper Rotationゲートウェイがすでにインストールされて動作しており、作成したKeeper Secrets Managerアプリケーションでプロビジョニングされていること。
他の種類のターゲットをローテーションするために、Azure環境内のマシンにKeeper Gatewayサービスをインストールすることをお勧めします。
ボルトの左側のメニューから[Secrets Manager]、[PAM設定]タブの順に選択して、[新規設定]をクリックします。 以下は、PAM設定の必須フィールドとなります。
フィールド | 説明 |
---|---|
タイトル | 設定名、例: |
環境 | 選択: |
ゲートウェイ | Keeper Secrets Managerアプリケーションで設定され、前提条件のActive Directoryサーバーにネットワークでアクセスできるゲートウェイを選択します |
アプリケーションフォルダ | PAMユーザー記録を格納する共有フォルダを選択します |
管理者クレデンシャル記録 | 任意 |
Azure ID | このAzureインスタンスの一意のID。これは参考用のため、何を指定してもよいですが、短くすることをお勧めします
例: |
クライアントID | アプリケーションの登録時にAzure ADによってアプリに割り当てられた一意のアプリケーション (クライアント) ID |
クライアントシークレット | Azureアプリケーションのクライアントのクレデンシャルシークレット。見た目はランダムなテキストです |
サブスクリプションID | Azureサービスを使用するためのサブスクリプション (従量課金制) を識別するUUID |
テナントID | Azure Active DirectoryのUUID |
PAMネットワーク設定記録の設定可能なすべてのフィールドの詳細については、こちらのページをご参照ください。
2. 1つまたは複数のPAMユーザー記録を設定
Keeper Rotationは、Azure Graph APIを使用してAzure環境のPAMユーザー記録をローテーションします。PAMユーザー記録は、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。
以下は、PAMユーザー記録の必須フィールドとなります。
フィールド | 説明 |
---|---|
タイトル | Keeperの記録タイトル( |
ログイン | ローテーションするアカウントの大文字と小文字の区別があるユーザー名。ユーザー名は、次のいずれかの形式にする必要があります。
|
パスワード | パスワードの設定は任意です。このフィールドが空白のままの場合、ローテーションを実行するとパスワードが設定されます。 |
各Azure ADユーザーに必要なPAMユーザー記録は1つだけです。ユーザー/ログインが同じPAMユーザー記録が複数あると、競合が発生します。
3.PAMユーザー記録のローテーションを設定
手順3で設定したPAMユーザーの記録を選択し、その記録を編集して[パスワードローテーション設定]を開きます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM設定を選択する必要があります。
[リソースクレデンシャル]フィールドは空にするか、選択しないようにします。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
PAMユーザーの記録に対する[編集可]権限を持つユーザーならだれでも、その記録のローテーションを設定できます。
最終更新