過去に何回かAzure環境(私の用途だとAzureADだけど)をTerraform管理するため、構築してきたけど 毎回やり方を忘れて数時間無駄にするのでメモ。

概要

1. TerraformでAzure環境をゴニョゴニョするために「Azure サービスプリンシパル」なるものを作る。
2. AWSで言う「プログラムによるアクセス」のIAMユーザーを作るのと同義な気がする。しらんけど。
3. stateファイルを管理するために「Azure Storage」も用意する。
4. 1で作った「Azureサービスプリンシパル」に権限を与える。
5. tfファイルの作成
6. tfファイルでリソース作成してみる

1. Azureサービスプリンシパルを作る

1. Azureポータルにログイン。
2. Cloud Shellを開く
   • 
3. Bashを選択して、下記コマンドを実行。(サブスクリプションIDの確認)
   • az account list --query "[].{name:name, subscriptionId:id, tenantId:tenantId}"
   • 複数表示されたら、下記で使用するサブスクリプションIDを指定する。
     • az account set --subscription="<<上記のsubscriptionIdの値>>"
4. 確認したサブスクリプションIDを変数に入れとく。
   • SUBSCRIPTION_ID=<<上記のsubscriptionIdの値>>
5. サービスプリンシパル名の定義。(任意の値です。わかりやすくTerraformとかにするといいかも)
   • 例： SUBSCRIPTION_NAME="Terraform"
6. 下記コマンドで、サービスプリンシパルを作成。
   • az ad sp create-for-rbac --role="Contributor" --scopes="/subscriptions/${SUBSCRIPTION_ID}" --name "${SUBSCRIPTION_NAME}"
     • 表示される値はすべてあとで使うのでメモしておく。 ※特にpasswordはあとで確認不可なので必ずメモする。

2. stateファイル管理用のAzure Storage」も用意

1. ストレージアカウントの構成 のスクリプトをそのまま実行する。
   • ※ storage_account_name, container_name, access_key はあとで必要になるので必ずメモしておく。

(念の為、上記URLのスクリプト内容を転記)

#!/bin/bash

RESOURCE_GROUP_NAME=tstate
STORAGE_ACCOUNT_NAME=tstate$RANDOM
CONTAINER_NAME=tstate

# Create resource group
az group create --name $RESOURCE_GROUP_NAME --location eastus

# Create storage account
az storage account create --resource-group $RESOURCE_GROUP_NAME --name $STORAGE_ACCOUNT_NAME --sku Standard_LRS --encryption-services blob

# Get storage account key
ACCOUNT_KEY=$(az storage account keys list --resource-group $RESOURCE_GROUP_NAME --account-name $STORAGE_ACCOUNT_NAME --query [0].value -o tsv)

# Create blob container
az storage container create --name $CONTAINER_NAME --account-name $STORAGE_ACCOUNT_NAME --account-key $ACCOUNT_KEY

echo "storage_account_name: $STORAGE_ACCOUNT_NAME"
echo "container_name: $CONTAINER_NAME"
echo "access_key: $ACCOUNT_KEY"

3. 「Azureサービスプリンシパル」に権限を与える

1. Azureポータルの「Azure Active Directory」 - 「アプリの登録」から作成したサービスプリンシパル名のアプリを探して開く。
2. 「APIのアクセス許可」から必要な権限を付与する。
   • ご参考までに：当方は、AzureADユーザー、グループ管理、エンタープライズアプリケーション(SSO用アプリ)しか用が無かったので下記権限にしてます。
     • 
3. 「管理者の同意」を与える。
   • 同画面の真ん中らへんに下記ボタンがあるはずなので忘れずに実行。※わかりづらいUIなのでよくさがしてください。
     • 
4. 「Azure Active Directory」 - 「ロールと管理者」から、必要なロールを与える。
   • グローバル管理者が一番手っ取り早いですが、ユースケースで判断してください。(たとえば、ユーザー管理、グループ管理したいだけなら「ユーザー管理者」ロールで十分)

4. tfファイルの作成

上記までで、TerraformによるAzure環境の管理ができるようになったので下記のようなtfファイルを作って管理する。

main.tf(azureadプロバイダを使う宣言と、stateファイルの保管場所の指定)

provider "azuread" {
  version = "0.7"
}

terraform {
  backend "azurerm" {
    resource_group_name  = "tstate(手順2でリソースグループ名を変えてた場合はその名前にする)"
    storage_account_name = "<<手順2のstorage_account_name>>"
    container_name       = "<<手順2のcontainer_name>>"
  }
}

※MSのサイトではbackendにkeyも指定しているが、それは危険なのでterraform initするときに指定するようにする。(後述)

enterpriseApp.tf(エンタープライズアプリケーションの管理)

resource "azuread_application" "appName" {
  name     = "appName"
  homepage = "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=customappsso|ISV9.1|primary|z"

  app_role {
    allowed_member_types = [
      "User"
    ]
    description  = "User"
    display_name = "User"
    is_enabled   = true
  }

  app_role {
    allowed_member_types = [
      "User",
    ]
    description  = "msiam_access"
    display_name = "msiam_access"
    is_enabled   = true
  }
}

resource "azuread_service_principal" "appName" {
  depends_on                   = ["azuread_application.appName"]
  app_role_assignment_required = "true"
  application_id               = "${azuread_application.appName.application_id}"
  tags = [
    "8adf8e6e-67b2-4cf2-a259-e3dc5476c621",
    "WindowsAzureActiveDirectoryCustomSingleSignOnApplication",
    "WindowsAzureActiveDirectoryGalleryApplicationNonPrimaryV1",
    "WindowsAzureActiveDirectoryIntegratedApp",
  ]
}

※1 azuread_service_principalについて補足1
エンタープライズアプリケーションの種類はtags欄で決まる模様。上記は「ギャラリー以外のアプリケーション」を作成する例。
※2 azuread_service_principalについて補足2
depends_onを設定しないとazuread_applicationとの整合性がとれなくなってつむ。

azureuser.tf(ユーザーやグループを管理するtf)

# AzureADからObject IDを取得
data "azuread_user" "user1" {
  user_principal_name = "user1@hogehoge.com"
}

# グループ作成
resource "azuread_group" "group1" {
  name = "group1"

# AzureADのグループにメンバー追加
resource "azuread_group_member" "group1" {
  group_object_id  = azuread_group.group1.id
  member_object_id = data.azuread_user.user1.id
}

5. TerraformでAzureリソースを作成してみる

手順4のtfファイルが存在するディレクトリで下記を実行。

export ARM_SUBSCRIPTION_ID="<<手順1のsubscriptionId>>"
export ARM_CLIENT_ID="<<手順1のappId>>"
export ARM_CLIENT_SECRET="<<手順1のpassword>>"
export ARM_TENANT_ID="<<手順1のtennant>>"

terraform init -backend-config="key=<<手順2のaccess_key>>"

無事、successとなったら

terraform plan で作成されるリソースの確認。 terraform applyでリソース作成して終了！

GitHub ActionsやCircle CI等でCIしたいときは上記値を環境変数とかに埋め込めばできます。

参考にさせていただいたURL

docs.microsoft.com

docs.microsoft.com

qiita.com

いつも忘れて調査に時間がかかるのでメモ。 ※情報が正しくない恐れありです。いつか清書します。

参考にさせていただいたサイト

www.bitbodyguard.com

qiita.com

事前準備1

Global Protect用のドメインを取得 ＆ TXTレコードが書き換えられる環境を用意しておく。

事前手順2

下記を事前にインストールしておく。

• certbot
  • brew install certbot
• openssl
  • brew install openssl
• pan-python
  • pip install pan-python

証明書の用意

下記コマンドを実行。変数の箇所は各自の環境に合わせて書き換えてください。

DOMAIN=hogehoge.com #Global Protect用のドメイン
MAIL=admin@hogehoge.com #証明書失効について通知したりするメールアドレス

certbot certonly --manual \
-d ${DOMAIN} -m ${MAIL} --agree-tos --manual-public-ip-logging-ok \
--preferred-challenges dns-01 \
--server https://acme-v02.api.letsencrypt.org/directory

下記のような感じで登録するテキストレコードが表示するので、それを登録し、ちょっと時間を置いてからEnterする。

Please deploy a DNS TXT record under the name
_acme-challenge.hogehoge.com with the following value:

xxxxxxxxxxxxxxxxxxxxxxx

Before continuing, verify the record is deployed.

証明書作成に成功したらpfx形式の証明書を生成する。

TEMP_PWD=$(openssl rand -hex 15)
sudo openssl pkcs12 -export -out letsencrypt_pkcs12.pfx -inkey /etc/letsencrypt/live/${DOMAIN}/privkey.pem -in /etc/letsencrypt/live/${DOMAIN}/cert.pem -certfile /etc/letsencrypt/live/${DOMAIN}/chain.pem -passout pass:$TEMP_PWD

Palo AltoのAPIキーを得る

Palo AltoのAPIキーを得る。下記変数の箇所は各環境に合わせてください。

#変数
PAN_MGMT=192.168.xx.xx #Palo AltoのIP
USERNAME=admin
PASSWORD=hogehoge
#APIキー発行
panxapi.py -h ${PAN_MGMT} -l ${USERNAME}:${PASSWORD} -k

成功するとこんな感じで表示

keygen: success
API key:  "xxxxx"

証明書をアップロード

下記のような感じでアップロードする。

# 変数
CERT_NAME=LetsEncryptWildcard #任意の証明書名
API_KEY="xxxxx" #上記で生成されたAPIキー

# アップロード
curl -k --form file=@letsencrypt_pkcs12.pfx "https://$PAN_MGMT/api/?type=import&category=certificate&certificate-name=$CERT_NAME&format=pkcs12&passphrase=$TEMP_PWD&key=$API_KEY" && echo " "

curl -k --form file=@letsencrypt_pkcs12.pfx "https://$PAN_MGMT/api/?type=import&category=private-key&certificate-name=$CERT_NAME&format=pkcs12&passphrase=$TEMP_PWD&key=$API_KEY" && echo " "

成功すると下記のような結果が表示される。

<response status="success"><result>Successfully imported LetsEncryptWildcard into candidate configuration</result></response>

あとはPalo AltoのGUIコンソールで「デバイス」-「証明書の管理」-「証明書」でアップロードした証明書が現れているので、Global Protectポータル等でアップロードした証明書を使えばOK。

この記事について

Apple社デバイス管理者にとって悲願(?)のApple IDがIdP(今のところAzureADだけ？)によるログインが可能になったので検証してみました。
結論から言うと、 「まだ社内展開は早いかな...。」 という所感を持ったのでそこについて触れていきます。

ちなみに、現状、フェデレーションログインによるメリットが享受できる企業としては下記になると考えています。(詳細は後述)

1. 「会社設立したてでこれからApple IDを管理する」といった企業。
2. 「Apple ID用のサブドメインを用意する」といった企業。

フェデレーションログインによる「メリット」

1. ユーザー(社員)はAzureADによるID/PASSでログインできる。MFAもAzureADのものが使える。
2. AppleIDを新規作成したときに「レビュー」と呼ばれる入力が不要になる。(ID毎にクレジットカード情報入力したり、住所入力したりとしないといけないので新入社員にとっては苦痛でしかない)

なんといってもメリットは1につきると思います。
2についても、新入社員はiPhone/iPadを支給されたらAzureADでログインする"だけ"で良くなるのでとても簡単になります。
...とここまではメリットしかなくて「最高だぜ！！！ﾋｬｯﾊｰ！」なんですが、デメリットもあります。大きすぎるデメリットが。

フェデレーションログインによる「デメリット」

1. 既存のApple IDはフェデレーションログインに移行できない。
2. AppStoreでアプリ購入するときに、TouchID/FaceIDが使えなくなる。
3. ユーザプロビジョニングが自動ではない

最大のデメリットは1ですね。
おそらく、会社展開の場合は、「会社使用のメールアドレス」にApple IDを紐付けていると思います。
そして、大多数の方はフェデレーションログインする際にメールアドレスのドメイン部でフェデレーション設定をしたいと思うはずです。
ところが...今回のフェデレーション設定をすると今回のケースのような場合、既存ユーザは別Apple ID作成を強制されます。しかも別ドメインに！

例： 会社のメールアドレスがtaro@hoge-apple.comであり、AppleIDもそのメールアドレスで作成した場合。

1. 管理者がhoge-apple.comドメインをAzureADによるフェデレーション管理下に置く。(今回のリリース内容をやる)
2. taro@hoge-apple.comはAppleから「60日以内にApple IDを別のものに変えなさい」とメールが届く。
3. 別メールアドレスとして、例えばtaro+old@hoge-apple.comとして登録しようとする。
4. 上記アドレスのドメイン部がフェデレーション管理下に置かれるので、エラーになってしまう。
5. 泣く泣くicloud.comのIDなどにApple IDを変更せざるを得ない。
   • 課金済みのAppや、電話帳、iCloudストレージなども新Apple IDに移行されてしまう！
6. taroは新たにtaro@hoge-apple.comとしてAzureADにログインして、"データも何もないまっさらな"Apple IDを使用する。

こんな事態になります。
つまり...

Apple IDを多量に展開済であればあるほど、フェデレーションログインへの移行は難しくなるわけです。。

じゃあ、どうしたらいいの？

現実解としては下記のようになるかなと考えます。
(ぜんぜん、現実的ではないがこれくらいしか打開策が思いつかない)

1. 既存社員→今まで通り、ID/PASSによるApple IDを継続してもらう。
2. 新入社員→Apple ID用の 別ドメイン を取得し、そのドメインを使用してフェデレーションログインをする。
   • 例： 上記例の場合、 taro@appleid.hoge-apple.com といったサブドメインを切るなどが現実的じゃないかと。

設定方法

さて、ここからが本題。
デメリットがとても大きいリリースですが、メリットもゼロじゃないのでいざ設定をしてみようと思います。

手順は公式サイトの下記を参考にやります。
support.apple.com

前提として下記が必要なので準備しておいてください。

1. ABM(Apple Business Manager)の登録。(詳細は割愛します)
2. Azure ADのグローバル管理者ユーザ
3. Azure ADのグローバル管理者ユーザに「姓」「名」を登録しておく。

support.apple.com

前提：

1. 事前にフェデレーション先Azure Portalにログインしておきます。
   • ※グローバル管理者権限のユーザでのログインが無難です。
2. ABMにログインします。
3. 「設定」を選択します。
   • 
4. 「アカウント」を選択します。
   • 
5. 「Federated Authentication」から「編集」を選択し、「接続」ボタンを押します。
   • 
   • 
6. ポータルにサインインしろと言われ、許可設定を求められるので「承諾」します。(SAMLではなく、Directory APIを叩くんですね)
   • 
   • 
7. ABMの画面に戻り、管理対象のドメイン名を入力して「続ける」を選択します。
   • 
8. また、Azureへのサインインが求められるので対応します。
   • 
   • ちなみにこの段階でAzureAD側のグローバル管理者ロールのユーザに姓名が登録されていないとエラーになります。
   • 
9. 登録が成功すると、下記のようにユーザ名の競合のチェックが走ります。競合って？と思ったのですが「既に登録ドメインを使ったApple IDが作成されてないか」チェックするみたいです。
   • 
   • ちなみに下記にも自動的に追加される模様
   • 
10. 「アクティビティ」に登録ドメインとバッティングしているApple IDの数が出るので対処します...と言いたいとこですが どのApple IDがバッティングしているかは教えてくれません (つらい...)
11. というわけで、「設定」-「アカウント」-「Federated Authentication」 でフェデレーションを有効化します。
    • 
    • 
    • 
12. すると、フェデレーション登録済のユーザが居た場合、下記のようなメール(脅迫メール)が届くようになるので60日以内にユーザ側で移行作業をしてもらいます。
    • 
    • ちなみにログインするとこうなります。
    • 
13. 以上

無理やり既存Apple IDをフェデレーションIDにマイグレーションできないかあがいてみた。

1. ここで、「もともと使っていたApple IDを入力したらフェデレーションユーザにマイグレーションされるんじゃ...?」と淡い期待を込めてやってみますが、 できませんでした AzureAD認証に成功しても下記ウィンドウが再び表示されループします。
   • 
2. ABM側から社員によるID移行前に、既存のApple IDを指定して無理やりマイグレーションできないか試みましたが、これも失敗...。
   • 
3. いっそのことマイグレーションしないで放置してみる(フェデレーションログインとの混在を目指す)とも考えたのですがこれもNG...。
   • Apple ID移行しないとApple側が強制的にApple IDをテンポラリのものへと置き換えるそうです。
   • support.apple.com
     • Apple から最初の通知が届いてから 60 日以内に Apple ID を更新しなかった場合、Apple ID は @temporary.appleid.com を含む仮のユーザ名に変更されます。たとえば、john@example.edu changes は john-example.edu@temporary.appleid.com に変わります。

追記

このフェデレーションは 一度設定するとそのドメインは削除できません (2019.12.2時点) のでご注意ください。
ドメインの追加自体はできるのでまあいいのかもしれませんが、気にされる方はお気をつけを。
(指摘頂いた khakさんありがとうございます！！)