Azureプラグイン

Azure ADアカウントのパスワードのローテーション

Keeper Secrets Managerの新しいパスワードローテーション機能がリリースされました。パスワードローテーションのどのような事例でもこの新機能の使用を推奨します。詳細については以下をご参照ください。

Keeper Secrets Managerを使用したパスワードローテーション

このプラグインは、任意のユーザーのAzure ADパスワードを生成/ローテーションします。

前提条件

Python用MSAL (Microsoft Authentication Library) のインストール

pip install msal

Azureアプリケーションがユーザー管理権限を持つように設定

Azureアプリケーションのローテーション設定

Azureローテーションの1度限りの設定として以下の手順に従ってください

新しいアプリケーションの登録手順

新しいアプリの登録ページに移動します。
Azureポータル（Azure portal） -> Azure Active Directory -> App Registrations -> New Registration
アプリケーションに名前を付け、サポートされるアカウントの種類を「この組織ディレクトリのアカウントのみ（既定のディレクトリのみ - シングルテナント）」のままにします
「登録（Register）」をクリックします

アプリケーションにロールを追加する手順

「ロールと管理者（Roles and Administrators）」ページに移動します。
Azureポータル（Azure portal） -> Azure Active Directory -> Roles and administrators
Helpdesk Administratorロールを検索して、クリックします
+ Add assignmentsをクリックします
上記で作成したアプリケーションを検索して選択し、「追加（Add）」をクリックします

アプリシークレットを作成

「証明書とシークレット（Certificates & Secrets）」に移動します。
Azureポータル（Azure portal） -> Azure Active Directory -> App Registrations -> 上記で作成したアプリを選択 -> Certificates & secrets
「クライアントのシークレット（Client secrets）」の下の+ New client secretをクリックします
シークレットに説明を入力し、「追加（Add）」をクリックします
シークレットの「値（Value）」を必ずコピーしてください。

ローテーション用の記録を準備

ローテーション用の記録を作成

ローテーションは、従来の記録にもタイプ指定された記録にも対応しています。タイプ指定された記録を使用する場合は、「ログイン」タイプのフィールドが必要です。ローテーションの種類に応じて、その他のフィールドを追加することもできます。以下の手順をご参照ください。

従来の記録とタイプ指定のある記録の詳細については、トラブルシューティングをご参照ください。

Azureのログイン名を設定

Keeperの記録の「ログイン」フィールドにAzureのログイン名を入力します

必須フィールドを追加

Azure ADローテーションには、以下のフィールドが必要です。ラベルを指定して各フィールドを作成し、必要な情報を入力します。

ラベル説明

ラベル	説明
cmdr:azure_secret	新しいアプリケーションの登録時に表示されます。Azureポータル -> `Azure Active Directory` -> `App Registrations` -> `New Registration`。
cmdr:azure_client_id	Azureポータル -> `Azure Active Directory` -> `App Registrations` -> [App name] (アプリ名) -> `Application (client) ID`
cmdr:azure_tenant_id	Azureポータル -> `Azure Active Directory` -> `App Registrations` -> [App name] (アプリ名) -> `Directory (tenant) ID`
cmdr:azure_cloud	オプション。Azureクラウド。Azureクラウドの物理的な場所は4か所あります。 1.`Global` 既定の場所。このプロパティは省略します。 2.`China` `3.German` `4.USGov`

cmdr:azure_secret

新しいアプリケーションの登録時に表示されます。Azureポータル -> Azure Active Directory -> App Registrations -> New Registration。

cmdr:azure_client_id

Azureポータル -> Azure Active Directory -> App Registrations -> [App name] (アプリ名) -> Application (client) ID

cmdr:azure_tenant_id

Azureポータル -> Azure Active Directory -> App Registrations -> [App name] (アプリ名) -> Directory (tenant) ID

cmdr:azure_cloud

オプション。Azureクラウド。Azureクラウドの物理的な場所は4か所あります。 1.Global 既定の場所。このプロパティは省略します。 2.China 3.German 4.USGov

新しいAzureローテーション記録を簡単に作成するには、これらのテキストタイプフィールドを定義してカスタムの記録タイプを作成します。

その他のローテーション設定

ローテーションパラメータをカスタマイズできる値は以下のとおりです。これらのオプションをテキストフィールドとして記録に追加し、表に示すように、パラメータに相当するラベルを設定します。

ラベル	値	説明
cmdr:plugin	azureadpwd	(任意) Azure ADキーローテーションを使用するようにCommanderに指示します。これは、記録に設定するか、またはローテーションコマンドに指定する必要があります
cmdr:rules		(任意) パスワードの複雑度ルール

ラベル

値

説明

cmdr:plugin

azureadpwd

(任意) Azure ADキーローテーションを使用するようにCommanderに指示します。これは、記録に設定するか、またはローテーションコマンドに指定する必要があります

cmdr:rules

(任意) パスワードの複雑度ルール

ローテーション

Azureのパスワードをローテーションするには、Commanderでrotateコマンドを使用します。コマンドに記録タイトルもしくはUIDを渡します（複数の記録を1度にローテーションさせるには、正規表現で--matchを使用します）

rotate "My Azure Credentials" --plugin azureadpwd

プラグインは、こちらに示すようにコマンドに指定することも、記録のフィールドに追加することもできます (上記のオプションを参照)。記録にプラグインタイプを追加すると、プラグインの異なる複数の記録を1度にローテーションできます。

出力

ローテーションが完了すると、新しいパスワードが記録のパスワードフィールドに格納されます

前へAWSプラグイン次へMicrosoft SQL Serverのプラグイン

最終更新 2 か月前