Microsoft Azureについての個人的備忘録メモ
やりたいこと
- 社内ADとAzure ADを連携させてアカウントの一元管理をしたい
- 社内ADユーザーとパスワードを使って、各種SaaSにログイン(サインイン)したい
- 退社時とかに一箇所でアクセス制限を行いたい
Azureに決めたわけ
- 社内AD + ADFS(Active Directory Federation Service)だとサーバーを用意しないといけない
- 冗長構成とか保守とかの面倒が発生する
- SaaS連携時にいろいろ設定しないといけない(Azure対応を謳ってるサービスなら簡単に連携できるっぽい)
- Azure ADが提供している機能を使いたい
- MFA(Multi Factor Authentication)とか
- デバイス認証とか
- 監査ログとか
- LDAP, Kerberos, RADIUS とも連携したい
- Windows PCとかのログオン(Hello?)と連携してPCにログオンするだけで各種SaaSにパスワードレスで使えるようになるらしい
- 要は面倒は嫌
用語
テナント
- Azureを使うときの管理スペース
- Azure ADと1対1で対応
- 基本1企業 = 1テナントで管理するのが良さそう(AWSだとシステム(請求)単位でアカウントわけるのが定石)
ディレクトリ
- テナント内のユーザーやグループを管理するための認証基盤
- 「ディレクトリロール」はディレクトリに対する管理権限のこと
- ユーザー/全体管理者/制限付き管理者から選べる
- ユーザーの追加ができるとか、パスワード変更ができるとか
- Azureサービスの利用権限とは別なので注意
- 参考: Azure Active Directory での管理者ロールの割り当て
ユーザー = アカウント
- 大きく「個人用Microsoftアカウント」と「組織アカウント(職場または学校アカウント)」の2種類がある
- 自分でAzureにサインアップした時には「個人用Microsoftアカウント」になる
- Microsoftが管理しているディレクトリに作成されているユーザーという見方もある
- どこかのテナントのディレクトリで管理されている場合は「組織アカウント」になる
- AWSでいうアカウントとは意味合いが異なる
- AWSでいうアカウントはAzureでは「サブスクリプション」に近い
サブスクリプション
- Azureでの請求単位
- 1テナントで複数のサブスクリプションを持つことができる
- そのサブスクリプションを利用可能なユーザーや、利用可能なサービスを設定できる
IAM
- そのサブスクリプションでユーザーがどんなサービス(Azureリソース)を利用できるかを設定する仕組み
組織でのAzureの始め方はこんな感じがいいんじゃないか
- Azure管理用のメールアドレス(メーリングリスト)を作成する
- 管理用アドレスでAzureにサインアップしテナントを作成する(このユーザーは個人用Microsoftアカウントになる)
- なおOffice365を利用している組織ならすでにテナントがあるのでそこを使うのが良い
- サブスクリプションとかは、この管理者ユーザーで追加する
- ディレクトリに実際作業するユーザーを追加する(必要なら社内ADとAzure AD Connectを使って同期する)
- ユーザーにサブスクリプションのIAMを割り当てる(Virtual Machineの作成権限とか)
ちょっと触ってみたAzureのツラミ
- 公式ドキュメントの日本語訳がおかしい
- 日本語文章として意味が通じない
- 結局英語文章をあたることになる
- 略語が多い
- 二文字・三文字の略語が多用されてる
- UPN = User Principal Name (ユーザー識別名 user@domain 形式)
- gMSA = group Management Service Account (グループ管理サービスアカウント)
- Windows (Server) 経験者ならすんなり理解できるのか
- 二文字・三文字の略語が多用されてる
- ドキュメントの通りにやる → できない → 原因がわからない
- エラーメッセージだけで原因ログがどこにもでてこない
- ポータルが多すぎて迷子になる
- Azureポータル http://portal.azure.com
- Azureクラシックポータル https://manage.windowsazure.com/
- Azureアカウントポータル https://account.azure.com/
Azureのいいところ
- 最初から「エンタープライズ」を意識して使ってる感ある
- 特に請求まわりとか、リソースグループの考え方とか
- (故に背景となる前提知識が求められることもあり取っ付きづらい感もあるが)
- サポートのレベル高い
- 電話で1時間くらいかけて懇切丁寧に対応してくれた