Azure のコンソール上から連携に必要な情報を作成いただけます。
こちらの手順を進めていただくことで、安全な方法で Securify ASM によるリソースへのアクセスが可能になり、外部へ公開されているリソースを Securify 上で一覧として確認できるようになります。
前提
- 対象AzureアカウントIDがあること
本連携で作成されるリソース
- アプリケーション
実行ユーザーに必要な権限
- 実施するユーザーが、対象となるサブスクリプションの IAM の編集権限を持っていること
- 実施するユーザーが、アプリケーションの作成権限/アプリケーションのフェデレーション追加権限を持っていること
作成リソースに付与する必要のある権限
- APIアクセス許可
- Microsoft Graph
- Application.Read.All
- 管理者の同意
- ロールの割り当て
- 閲覧者
- クライアントの資格情報
- 証明書またはシークレットの追加
リソース作成手順
1.アプリケーションの登録
Azure Portalにログインして「アプリの登録」を開き「新規登録」を開きます。
任意の名前を入力して「登録」ボタンをクリックします。
作成したアプリケーションの「APIのアクセス許可」から「アクセス許可の追加」をクリックして「Microsoft Graph」を選択します。
「アプリケーションの許可」を選択して「Application.Read.All」をアタッチします。
テナントに対して「管理者の同意」を付与して保存すればアプリケーションの作成は完了です。
2.アプリケーション連携情報の入力
Securify上でアプリケーションID、テナントIDをそれぞれ入力します。
入力値は以下のコピー箇所になります。
3.アプリケーションにフェデレーション資格情報を追加する
連携の際に必要なアプリケーションのフェデレーション資格情報をAzure側に追加します。
Azure側で作成したアプリケーションを開き、「クライアントの資格情報」の「証明書またはシークレットの追加」をクリックします。
「クライアントの資格情報」の「証明書またはシークレットの追加」をクリックします。
「その他の発行者」シナリオを選択して、以下の画面を参考にSecurifyで表示された値をペーストして資格情報を追加してください。
4.連携したい管理単位をアプリケーションに割り当てる
連携した管理単位
- ルート管理グループ
- サブスクリプション
のどちらかをアプリケーションに割り当てます。
管理グループ単位で連携する方法
「管理グループ」画面を開き、連携したい管理グループをクリックします。※ 操作には管理グループの管理権限が必要です。
アクセス制御をクリックして、ロールの割り当ての追加を行います。
「メンバーを選択する」をクリックして「閲覧者」ロールを選択して、「メンバーを選択する」からSTEP1で登録したアプリケーションを割り当てます。
サブスクリプション単位で連携する方法
「サブスクリプション」画面を開き、連携したいサブスクリプションをクリックします。※ 操作にはサブスクリプションの管理権限が必要です。
アクセス制御をクリックして、ロールの割り当ての追加を行います。
「メンバーを選択する」をクリックして「閲覧者」ロールを選択して、「メンバーを選択する」から手順1で登録したアプリケーションを割り当てます。
