Azure Automation: Azure Active Directory を使用した Azure の認証方法
このポストは、8 月 27 日に投稿した Azure Automation: Authenticating to Azure using Azure Active Directory の翻訳です。
Cloud services の稼動状態を維持させるためのタスクの中には、手動での操作が必要な作業、実行時間が長い作業、繰り返し実行する必要がある作業、ミスが発生しやすい作業などがあります。Azure Automation をご利用のお客様は、こうした作業を自動化することが非常に便利であることを既にご存知かと思います。また、証明書ベースの認証を使用して Azure に接続できるように Azure Automation をセットアップする (英語) には、多くの手順を踏む必要があることもご存知のはずです。Azure Automation チームと Azure PowerShell チームはこのたび、Azure への Azure Automation の認証に、Azure Active Directory を使用した組織 ID ベースの認証を使用できるようにしました。この機能により、Azure Automation をこれまで以上に手軽にご利用いただけるようになりました。
Azure Active Directory による認証を使用して管理できるように Azure を構成する
現在、Azure Automation には Azure PowerShell モジュールのバージョン 0.8.6 が同梱されています。このバージョンでは、手動での操作を行わなくても組織 ID (Azure Active Directory ユーザー) の証明書ベースの認証を使用して Azure への認証を行うことができます。この認証タイプを使用して Azure に接続するように Azure Automation をセットアップするには、下記の手順を実行します。
Azure Active Directory ユーザーを作成する
既に Azure Active Directory ユーザーを作成済みで、この組織 ID を Azure の管理に使用する予定である場合は、この手順は省略できます。
1. Azure Automation を使用して管理したい Azure サブスクリプションのサービス管理者として Azure ポータルにログインします。
2. Azure ポータルで、[ACTIVE DIRECTORY] をクリックします。
3. 事前に作成したディレクトリの名前をクリックします。ディレクトリをまだ作成していない場合は、ここで作成します。
4. [USERS] タブに移動して [ADD USER] ボタンをクリックします。
5. [TYPE OF USER] で「New user in your organization」を選択し、作成するユーザーの名前を入力します。
6. ユーザーのプロファイルを入力します。[ROLE] には「User」を選択します。[MULTI-FACTOR AUTHENTICATION] のチェックはオフにします。
7. [create] をクリックします。
8. 完全なユーザー名 (@ 記号以降の部分も含む) と一時パスワードをメモします。
指定した Azure Active Directory ユーザーにこの Azure サブスクリプションの管理を許可する
1. [Azure] タブの一番下の [STORSIMPLE] の下にある [SETTINGS] をクリックします。
2. [ADMINISTRATORS] をクリックします。
3. [ADD] ボタンをクリックします。Azure の管理用にセットアップする Azure Active Directory のユーザー名を完全な形 (@ 記号以降の部分を含む) で入力します。サブスクリプションの場合は、このユーザーに管理させたい Azure サブスクリプションのチェック マークをオンにします。
Azure Active Directory ユーザーのパスワードを一時パスワードから変更する
1. Azure からログアウトします。
2. 完全なユーザー名 (@ 記号以降の部分も含む) と一時パスワードを使用して、上記の手順で作成した Azure Active Directory ユーザーとして Azure にログインします。
3. すると、パスワードの変更を促すメッセージが表示されるので、パスワードを変更します。
指定した Azure Active Directory ユーザーがこの Azure サブスクリプションの管理を行うようにAzure Automation を構成する
1. 上記の手順で作成した Azure Active Directory ユーザーのユーザー名とパスワードを含む Azure Automation 資格情報を作成します。
Azure Automation の Runbook で Azure を管理する
Azure と Azure Automation で Azure Active Directory の認証情報のセットアップが完了したら、その後はこの認証情報を使用して Azure Automation の Runbook から Azure を管理できるようになります。次のサンプルの Runbook は、Azure Active Directory の認証情報を前述の Automation 資格情報から取得し、Azure サブスクリプション内のすべての Virtual Machines で表示できるようにするものです。
この Runbook を使用する場合は、Select-AzureSubscription の SubscriptionName パラメーターに管理する Azure サブスクリプションの名前を入力します。このとき、Azure Active Directory ユーザーがこのサブスクリプションへの管理者アクセスを付与されていることを確認します (この手順は前述のとおりです)。
これで、Azure ポータルの [SETTINGS] タブで Azure サブスクリプションの名前が表示されます。
上記のサンプルの Runbook は、こちらのスクリプト センターのページ (英語) からダウンロードできます。
Azure Automation から Azure への認証に管理証明書 (英語) を使用する従来の方法は、Connect-Azure (英語) Runbook で引き続きご利用いただけます。ただし、この Runbook はサポートの終了が予定されているため、代わりに Azure Active Directory を使用した組織 ID の証明書ベースの認証方法をご利用ください。
まとめ
ここでは、Azure Active Directory の組織 ID ユーザーと Azure Automation を使用して Azure サービスを管理するための設定についてご説明しました。これを利用すると、作成した Runbook をセットアップして実行し、クラウド サービスの管理をさらに簡単に自動化できるようになります。今回の更新の一環として、この認証に使用する Azure Automation のサンプル Runbook とユーティリティ Runbook をすべて更新しました。セットアップの際に役立つだけでなく、既存の Runbook ギャラリーのコンテンツを活用する際にもご活用いただけます。
この記事を参考に、Azure Active Directory を使用して自動化を進めていただけますと幸いです。次回の記事にもご期待ください。
Azure Automation をまだご利用でないお客様は、プレビューにサインアップ (英語) しお試しください。また入門ガイドもご覧ください。