「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-戻る
--[[仮想アカウント]]
--[[Azure]] > [[RBAC>Role Based Access Control (RBAC)]]
---[[Azure サービス プリンシパル]]
---Azure Managed ID

* 目次 [#v9977657]
#contents

*概要 [#q7be0a44]
-[[Azure サービス プリンシパル]]をラップする。
--[[Role Based Access Control (RBAC)]]のアクセス権を付与するために使用される。
--マネージド・サービス ID (MSI) の新しい名前 → マネージド ID。

-簡単になると言うが、何が簡単になるのか?
--コードに資格情報を追加しなくても、[[Azure AD>Microsoft Azure Active Directory]]の認証をサポートする~
さまざまなサービス ([[Key Vault]]を含む) に対して認証を行うことができる。

--内部的には、クライアントが[[IMDS>#nd9bc6e9]]に対して、access_tokenを要求する。

-[[仮想アカウント]]的な動きもする(→ [[システム割り当てマネージド ID>#obddc438]])。
--[[Windows認証>認証基盤#m4be745d]]のような感じになる。
--クライアント&サーバでサポートが無い場合、[[Key Vault]]経由で使用する。

*詳細 [#l80fc31d]

**用語 [#ve68fa8c]
紐付け ≒ 関連エンティティのID的な。

***クライアント ID [#g49b9d4c]
[[Azure AD>Microsoft Azure Active Directory]]によって生成されるID

-初期プロビジョニングの間に
--[[Azure]]アプリケーション
--[[Azure サービス プリンシパル]]

>結び付けられる。

***プリンシパル ID [#f052525f]
-マネージド ID に対する[[Azure サービス プリンシパル]]オブジェクトのオブジェクト ID
-[[Role Based Access Control (RBAC)]]のアクセス権を付与するために使用される。

***Azure Instance Metadata Service (IMDS) [#nd9bc6e9]
-クライアント IDに対する証明書が登録される。

-クライアントに、access_tokenを返す。
--クライアントを識別し、
--[[Azure AD>Microsoft Azure Active Directory]]に問い合わせ、
--access_tokenを返す。

**種類 [#i6793bab]

***システム割り当てマネージド ID [#obddc438]
[[Azure]] サービス インスタンス上で直接有効にされる。

-この ID を有効にすると、[[Azure]] によって、

--そのインスタンスのサブスクリプションの~
[[Azure AD>Microsoft Azure Active Directory]]テナントに対し、対応するインスタンスの~
「システム割り当てマネージド ID」が 作成される。

--「システム割り当てマネージド ID」が作成されると、~
その資格情報がインスタンスにプロビジョニングされる。

-「システム割り当てマネージド ID」のライフ サイクルは、
--「システム割り当てマネージド ID」が有効にされた~
[[Azure]] サービス インスタンスに直接関連付けられる。
--インスタンスが削除された場合、[[Azure]] は
---[[Azure AD>Microsoft Azure Active Directory]] の資格情報
---「システム割り当てマネージド ID」

>を、自動的にクリーンアップする。

***ユーザー割り当てマネージド ID [#b6edd81c]
スタンドアロン [[Azure]] リソースとして作成される。

-作成プロセスで、~
使用されているサブスクリプションの[[Azure AD>Microsoft Azure Active Directory]]テナントに、~
[[Azure]]が「ユーザー割り当てマネージド ID」を作成する。

-作成された「ユーザー割り当てマネージド ID」は、~
1 つまたは複数の Azure サービス インスタンスに割り当てることができる。

-「ユーザー割り当てマネージド ID」のライフ サイクルは、~
Azure サービス インスタンスのライフサイクルとは個別に管理される。

**用例 [#a5bf271d]
[[コチラ>Azure サービス プリンシパル#h6bfa378]]に併記

*参考 [#m089daec]

**Microsoft Docs [#e748f256]
-Azure リソースの Azure AD マネージド ID のドキュメント~
https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/
--Azure リソースのマネージド ID~
https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/overview
--マネージド ID をサポートする Azure サービス - Azure AD~
https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/services-support-managed-identities

----
Tags: , [[:セキュリティ]], [[:アカウント]], [[:クラウド]], [[:Azure]], [[:Active Directory]], [[:認証基盤]]
Tags: [[:セキュリティ]], [[:アカウント]], [[:クラウド]], [[:認証基盤]], [[:Azure]], [[:Active Directory]]

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS