【Azure】AADパスワードベース認証設定手順

Azure
スポンサーリンク

今回は、Azure Active Directoryを使用してオンプレにあるZabbixに対して、パスワードベース認証を設定して、外部から安全にアクセスできるようにしてみたいと思います。

期待する目標

本手順で期待する目標は以下の通りです。

  • Azure ADを使用してパスワードベース認証の設定ができる
  • Azure AD アプリケーションプロキシを使用してオンプレアプリに外部からアクセスする

前提条件

本手順で使用する環境は以下の通りです。

  • Microsoft Azureのアカウントを所有していること
  • Azure Active Directoryを使用していること
  • Azure Active Directory Premium P2のライセンスを所有していること
  • Azure AD アプリケーションプロキシを構築済み
  • オンプレのWebアプリケーションが稼働していること

Azure ADアプリケーションプロキシの構築については、以下の記事に手順を記載しています。

【Azure】Azure AD Proxy インストール手順
Microsoft Azureのサービスの一つであるAzure AD Proxyを設定する手順を記事にしています。
tech.willserver.asia
2023.06.09
【Azure】Azure AD Proxy インストール手順

また、パスワードベース認証を行うオンプレのWebアプリとして、今回はZabbixを使用します。

Chrome拡張機能のインストール

Azure ADによるオンプレアプリを使用する場合は、ChromeにMy Apps Secure Sign-in Extensionという拡張機能をインストールしておきます。
My Apps Secure Sign-in Extension – Chrome ウェブストア (google.com)

My Apps Secure Sign-in Extensionの追加
My Apps Secure Sign-in Extensionの追加

当環境では、デフォルトのブラウザとしてChromeを使用していますが、Microsoft Edgeでも同様の拡張機能が存在するので、Microsoft Edgeを標準ブラウザとして使用している環境の場合は、Edgeに拡張機能を入れます。

Azure AD アプリケーションプロキシの確認

Chromeに拡張機能を入れたら、Azureにログインします。

Azure Active Directoryの選択
Azure Active Directoryの選択

[Azureポータル]より、[Azure Active Directory]を選択します。

アプリケーションプロキシの確認
アプリケーションプロキシの確認

[Azure Active Directory]より、[アプリケーションプロキシ]を選択します。
[アプリケーションプロキシ]より、コネクタの状態が[アクティブ]となっていることを確認します。

新しいアプリケーションの作成

Azure AD アプリケーションプロキシのコネクタが正常に動作していることを確認したら、パスワードベース認証を行うアプリケーションの設定を行っていきます。

新しいアプリケーションの作成
新しいアプリケーションの作成

[Azure Active Directory]より、[エンタープライズアプリケーション]を選択します。
[すべてのアプリケーション]より、[新しいアプリケーション]を押下します。

オンプレミスのアプリケーションの追加
オンプレミスのアプリケーションの追加

[Azure AD ギャラリーの参照]より、[オンプレミスのアプリケーションの追加]を押下します。

独自のオンプレミスのアプリケーションの追加設定
独自のオンプレミスのアプリケーションの追加設定

[独自のオンプレミスのアプリケーションの追加]より、以下の設定を行います。

  • メンテナンスモード : □
  • 名前 : 任意のアプリケーション名を入力
  • 内部URL : オンプレアプリのURLを入力
  • 外部URL : 外部からアクセスするためのURLを入力
  • 事前認証 : Azure Active Directory
  • コネクタグループ : 作成したコネクタグループを選択

内部URLについては、オンプレ側のWebアプリケーションを入力しますが、外部からアクセスされる用のURLに関しては[アプリケーション名]+[Azure ADのドメイン]の構成になっています。

作成したアプリケーションの選択
作成したアプリケーションの選択

アプリケーションの追加が完了したら、追加したアプリケーションを選択します。

ユーザの割り当て
ユーザの割り当て

[作成したアプリケーション]より、[管理]-[ユーザとグループ]を押下し、パスワードベース認証を利用可能なユーザを選択していきます。

ユーザまたはグループの追加
ユーザまたはグループの追加

[ユーザとグループ]より、[ユーザまたはグループ追加]を押下します。

ユーザとグループの割り当て追加
ユーザとグループの割り当て追加

[割り当ての追加]より、[ユーザとグループ]下にある[選択されていません]のリンクを押下します。

ユーザの追加
ユーザの追加

[ユーザとグループ]より、作成したアプリケーションを使用するユーザまたはグループを選択し、[選択]を押下します。

資格情報の割り当て
資格情報の割り当て

[資格情報の割り当て]を押下し、以下の設定を行います。

  • ユーザの代わりに資格情報を割り当てますか : いいえ (任意)

ユーザの代わりに資格情報の割り当てを行う場合、この画面からユーザに使わせたい資格情報を入力することができます。
ここで、資格情報を割り当てない場合、アプリケーションへログインする際に、ユーザが任意のIDとパスワードを入力させることで資格の割り当てが完了します。

ユーザの追加確認
ユーザの追加確認

[ユーザとグループ]より、追加したユーザが存在することを確認します。

シングルサインオンURLの設定
シングルサインオンURLの設定

作成したアプリケーションの[管理]-[シングルサインオン]を選択し、以下の設定を行います。

  • サインオンURL : WebアプリケーションにサインインするURLを入力

サインオンURLは、独自に展開するWebサービスのログインする際に使用しているURLを入力します。
設定が完了したら、[xxxxパスワードシングルサインオン設定の構成]を押下します。

サインインフィールドの検出
サインインフィールドの検出

[サインオンの構成]より、ユーザ名とパスワードを入力するフィールドの検出を行います。
これは、Webサービスによって自動的に検出が可能な場合もありますが、自動的に検出が不可能なサービスもあります。
Zabbixの場合は、自動的に検出が不可能だったので、[サインインフィールドの手動検出]を選択し、[サインインフィールドの取り込み]を押下します。
[サインインフィールドの取り込み]を押下すると、サインインフィールドの検出するステータス画面とWebサービスの画面の2つのタブが自動的に開かれます。

サインインの実行
サインインの実行

パスワードベース認証を行うアプリケーション側のタブより、ユーザ名やパスワードを入力して実際にサインインします。

サインインフィールドの検出成功
サインインフィールドの検出成功

サインインフィールドの検出が成功すると、ポップアップで[Save captured login details?]と表示されるため、[OK]を押下します。

メタデータの更新確認
メタデータの更新確認

同時に開かれたタブを確認し、[メタデータはアプリケーション用に更新されました。]と表示されていることを確認します。

サインオンの構成完了
サインオンの構成完了

メタデータのキャプチャが完了したら、Azureポータル側に戻り、[正常にアプリにサインインできました]にチェックを入れ、[OK]を押下します。

シングルサインオンの構成確認
シングルサインオンの構成確認

シングルサインオンのタブより、エラーが出ていないことを確認します。
以上で、新しいアプリケーションの追加は完了です。

ユーザの資格情報の更新

ちょっと脇道にそれますが、前項でオンプレアプリにSSOができるユーザを選択しました。
通常であれば、構成後にユーザ自身が自分でIDとパスワードを入力することで、ログイン情報が記録されます。
しかし、ユーザが資格情報の入力を誤ったり、事前に資格情報だけ設定しておきたい場合があると思います。
今回は、そのようなことを想定し、Azureポータル上でユーザが使用する資格情報を更新していきたいと思います。

資格情報の更新
資格情報の更新

[ユーザとグループ]より、資格情報を更新したいユーザを選択し、[資格情報の更新]を押下します。

資格情報の設定
資格情報の設定

[資格情報の更新]より、以下の設定を行います。

  • name : ログインするユーザ名
  • パスワード : ログインする際に使用するパスワード

nameの部分ですが、アプリケーションによってキャプチャされるフィールドは異なるので、場合によってはemailとなっている場合もあります。
ユーザに対する資格情報を変更することでAzure側から資格情報を矯正することが可能です。
設定が完了したら、[保存]を押下します。
以上で資格情報の更新は完了です。

WebアプリケーションへSSO確認

アプリケーションの設定が完了したら、実際にSSOを行ってみます。
SSOを行う場合、Chromeの拡張機能を入れていれば、拡張機能からSSOを実行できますが、今回は王道でMicrosoftのマイアプリからアクセスしてみたいと思います。

マイアプリの選択
マイアプリの選択

以下のURLより、Microsoftのマイアプリへアクセスします。
URL : https://myapplications.microsoft.com/

アプリダッシュボードより、今回作成したアプリケーションのアイコンを選択します。

サインインの実行
サインインの実行

アプリケーションを実行するとMicrosoftアカウントのユーザ選択画面が表示されます。
ログインに使用するユーザを選択します。

Zabbixへのログイン完了
Zabbixへのログイン完了

パスワードベース認証とはいえ、SSOのためブラウザでAzure ADへのログインが完了していればパスワードを入力せずにZabbixへログインができました。

ログイン時のURL
ログイン時のURL

ここで使用されるURLは内部で使用するZabbixのアドレスではなく、Azure ADで作成したアプリケーションに設定されたURLになります。
これは、Azure AD アプリケーションプロキシのコネクタ経由でアクセスしているため、このようなURLに変更されます。
また、このURLは外部からもアクセスが可能で、Zabbix自体は外部公開していないため、外部からはアクセスできないのですが、Azure AD Proxyのおかげで内部だけに公開しているアプリケーションでも安全に外部からアクセスが可能になっています。

まとめ

前回構築したAzure AD アプリケーションプロキシを使用して独自のアプリケーションにパスワードベース認証を行ってみました。
パスワードベース認証とはいえ一度資格情報を登録してしまえば、SSOができるため非常に便利なサービスとなります。
また、補助的にAzure AD Proxy経由でオンプレにあるアプリケーションに外部からアクセスができるようになるため、リモートワークが進んだ今、かなり便利な機能なのではないでしょうか。

おまけ

本ブログではVMwareやWindows、Linuxのインストール手順等も公開しております。
インフラエンジニアとして有益な記事や無益なコンテンツも作成しておりますので、通勤時間や休憩時間、休日のスキマ時間等に合わせて読んでいただけると幸いです。
また、Youtubeで解説動画も鋭意作成中です。本ブログで記事にしているものも動画にしようと思っておりますので、よろしくお願いいたします。
willserverのnoteも開設したのでフォローお願いします。

スポンサーリンク

コメント

タイトルとURLをコピーしました