<目次>
(1) Azure Active Directoryの始め方をご紹介(テナント作成~ユーザー作成~ロール付与)
(1-1) Azure ADとは?
(1-2) Azure ADの始め方:アイデンティティ・プロバイダ機能(SSO)
(1-3) Azure ADの始め方:アクセス管理機能(ロールベース)
(1) Azure Active Directoryの始め方をご紹介(テナント作成~ユーザー作成~ロール付与)
(1-1) Azure ADとは?
→Azure ADとは?概念と基本についてご紹介(→★)
(1-2) Azure ADの始め方:アイデンティティ・プロバイダ機能(SSO)
●STEP1:テナントの作成
・①Azure Portalから「Azure Active Directory」を検索。
(図111①)
↓
・②「概要」ブレードの「テナントの管理」を押下
(図111②)
↓
・③「作成」を押下
(図111③)
↓
・④テナントの種類を選択し「次:構成」を押下
(図111④)
(参考)Azure AD B2Cとは?
Azure ADと同じ技術に基づく別のサービスで、外部アプリケーションに対してE-mailのID認証 or ソーシャルアカウント(FacebookやTwitterやGoogleなど)のアクセスを提供するサービスです。
(図112①)↓よく見る、こんな感じの画面です。
↓
・⑤「構成」タブで下記項目を入力して「確認及び作成」を押下。
・組織名
・初期ドメイン名
・国/地域
(図113①)
↓
(図113②)作成押下
↓
・⑥作成完了
(図113③)
↓
・⑦試しにディレクトリの切替えてみる
・右上のアイコンをクリックして「ディレクトリの切り替え」を押下
(図114)
↓
・切り替えボタンを押下
(図114②)
↓
・右上のディレクトリ(≒テナント)が切り替わった事を確認できました
(図114③)
↓
・切り替わった後は、Azure ADテナント配下に何も作っていないため、まっさらの状態です。
(図114④)
●STEP2:ユーザーの作成
ここからは、テナントに対してユーザーを追加していきますが、今回は先ほど作ったテナントではなく、元々デフォルトであったテナントを使います。
(図120)
理由は、ここで追加したユーザーをグループに加えるなり、ロールを付与するなりしてアクセス制御していく訳ですが、その検証をするためには多少Azureリソース(仮想マシンとか、SQL Serverとか)があるテナントでないと試せないためです(※もしお時間あれば、先程作ったテナントにサブスクリプションやリソース追加すれば尚良し)
(手順)
・①「Azure Active Directory」→「ユーザー」ブレード選択→「ユーザー追加」押下
(図121①)
↓
(図121②)
↓
・②ユーザー情報を入力して「作成」を押下
(図122①~②)
↓
・③ユーザーが追加された事を確認
(図122③)
↓
(任意)同じ要領でもう1ユーザー追加
(図122④)
(参考)ユーザー作成時の権限について
・Azure ADの作成者と管理者:「Global Administrator」権限
→Azure ADの全ての操作が出来る
(図123①)
・新規作成されたユーザー:「ユーザー」権限
→Azure ADの設定変更は不可能
(図123②)
●STEP3:作成したユーザーでのログイン確認
ここからは作成したユーザーでログインできるか、確認します。
・①「test a」ユーザーを選択
(図131①)
↓
・②「test a」ユーザーのサインインIDを確認
(図131②)
↓
・③右上のアイコンをクリック→「別アカウントでサインインする」を選択
(図131③)
↓
・④サインイン
(図131④)
↓
(図131⑤)一旦は多要素認証をスキップ(14日のみ可能)
↓
・⑤ログイン成功(ロール等が付与されていないため何も表示されない)
(図132)
(1-3) Azure ADの始め方:アクセス管理機能(ロールベース)
Azure ADの2大機能のもう一つである「アクセス管理(ロールベース)」で、いわゆる「RBAC」と呼ばれるものです。
(図141)
(ポイント)
・AzureのRBACは複数のレイヤーで権限付与が可能(サブスクリプション、リソースグループ、リソース)
・ロールも、ビルドイン(標準)からカスタムまで自由に設定可能
・付与対象も、個人(ユーザー)やグループなど範囲を自由に指定可能
●STEP1:ロールの作成
→今回は割愛。
(※Azureでは既に標準で設定されているロールがあり、今回はそれを使用)
(ご参考)Azureのビルドイン(標準)のロール
(図142)
●STEP2:ロールの割当て
前述の通り、サブスクリプション、リソースグループ、リソースの3レイヤーで割当てが可能。今回の例では「リソースグループ」のレイヤーで、先ほど作った「testa」ユーザーに「閲覧者(Read権限)」権限を付与してみます。
・①付与対象のリソースグループを開いて、「アクセス制御(IAM)」ブレードを選択
(図143①)
↓
・②「ロール割当ての追加」を押下
(図143②)
↓
・③「ロール」タブで対象の権限を選択して「次へ」(※今回は「閲覧者」)
(図143③)
↓
・④先ほど作成した「testa」ユーザーを選択して「選択」押下→「次へ」押下
(図143④)
↓
・⑤「レビューと割り当て」押下
(図143⑤)
↓
・⑥正常に追加された
(図143⑥)
●STEP3:疎通テスト
最後に「testa」ユーザーでログインして「rainbow-comtool-dev」サブスクリプションが見れるかチェックします。
(図144)
