Microsoft Entra IDでAzure Key Vaultアプリを登録する
Azure Key VaultをWorkatoに接続する前に、Microsoft Entra管理センターでアプリケーションを登録する必要があります。
このアプリケーションを登録し、適切な権限を付与すると、Workatoがユーザーに代わってキーコンテナーからシークレットを取得できるようになります。
アプリケーションを登録するには、次の手順を実行します。
既存のSAMLベースのアプリケーションがある場合
ユーザーがSAML SSOでWorkatoにサインインできるようにするSAMLベースのアプリケーションをすでに登録している場合は、そのアプリケーションを使用してWorkatoのAzure Key Vaultコネクションを設定できます。 コネクターを設定するときに、既存のアプリのクライアントIDを入力し、新しいシークレットを生成するだけです。 アプリケーションに必要な権限も付与されていることを確認します。
アプリの登録を作成する
Azure portalにサインインし、アプリの登録に移動します。
+ 新規登録を選択します。
アプリケーションに名前を付けます。 これは、このアプリケーションのユーザー向けの表示名です。例:workato-akv。 Microsoftでは、この名前を後で変更できます。
サポートされているアカウントの種類で、この組織ディレクトリ内のアカウントのみ(Default Directory のみ - シングル テナント) を選択します。
リダイレクトURIフィールドを空白のままにし、登録ボタンを選択します。
次のページに、新しく作成されたアプリの概要が表示されます。 アプリケーション (クライアント) IDとディレクトリ (テナント) IDをコピーして保存します。 後でWorkatoで認証する際に、これらの値が必要になります。
アプリの登録の概要
クライアントシークレットを作成する
アプリの登録の概要で、左側のナビゲーションサイドバーから証明書とシークレットを選択します。
クライアントシークレットタブで、+ 新しいクライアントシークレットを選択します。
説明フィールドに、クライアントシークレットの説明を入力します。例:workatoAzureKeyVault。
有効期限フィールドで、シークレットの有効期限を選択します。 デフォルトは180日後です。
Addを選択します。
Azure portalに新しいシークレット値とIDが表示されます。 値をコピーします。
警告
シークレット値は一度だけ表示されます。 ページを離れる前に必ずコピーしてください。
シークレット値をコピー
アプリに権限を付与する
次に、登録済みアプリに、Workatoに代わってキーコンテナーからシークレットを取得する権限を付与する必要があります。
Azureでは、キーコンテナーへのアクセス権限を付与する方法として、次の2つが提供されています。
キーコンテナーで使用されているモデルを確認するには、キーコンテナー>{key vault name}>アクセス構成に移動します。
RBAC
キーコンテナーでRBAC権限モデルを使用している場合は、登録済みアプリケーションにKey Vault Secrets Userロールを割り当てる必要があります。
キー コンテナー > {key vault name} > アクセス制御(IAM) に移動します。
追加>ロールの割り当ての追加を選択します。
Key Vault Secrets Userロールを選択し、次へを選択します。
アクセスの割り当て先フィールドで、ユーザー、グループ、またはサービスプリンシパルを選択します。
メンバーフィールドで、メンバーの選択を選択し、登録済みアプリケーションの名前を検索します。 アプリケーションがリストに表示されたら、アプリケーション名をクリックして選択を選択します。
次へを選択します。
確認と割り当てタブで、確認と割り当てを選択します。
アクセスポリシー
キーコンテナーでアクセスポリシー権限モデルを使用している場合は、登録済みアプリケーションに取得シークレット権限を割り当てる必要があります。
キーコンテナー>{key vault name}>アクセスポリシーに移動します。
作成を選択します。
アクセス許可タブのシークレットのアクセス許可列で取得を選択し、次へを選択します。
プリンシパルタブで、登録済みアプリの名前を検索します。 アプリケーションがリストに表示されたら、アプリケーション名を選択し、次へを選択します。
アプリケーション(任意) タブで、次へを選択します。
確認および作成タブで、作成を選択します。
Last updated: