はじめに
こんにちは!ACS事業部の谷合です。
Azure App ServiceへのCDを行う場合、皆さんはどのようにやってますでしょうか?
以下の2つが候補に挙げられるのではないでしょうか?
- デプロイセンターで自動でPipeline定義生成
- 自前でPipelineを書く
デプロイセンターを使う場合は基本認証という、デフォルトの認証情報を使い、CDでAzure App Serviceに接続し、デプロイを行います。
基本認証は発行プロファイルを使用して認証を行いますが、発行プロファイルはAzure Portalからファイルとしてダウンロード可能であり、認証情報を抜こうと思えば、簡単に抜くことできます。
また、セキュリティの要件により、発行プロファイルでなくOIDCを使用した、よりセキュアな認証を行う必要がある場合もあるかと思います。
そこで、今回は発行プロファイルを無効にし、OIDCやサービスプリンシパルの使用を強制する方法を紹介します。
基本認証無効化手順
結論からいうと、以下の"構成"→"General settings"にある、Basic Auth Publishing Credentials をOffにするだけです。
また、以下のドキュメントにある手順でも可能です。
learn.microsoft.com
基本認証の無効化をすると以下のようにデプロイセンターでGitHub Actionsを選択するとエラーが発生し、Workflowの作成ができなくなります。
ここまで来たら、通常通り、Azure ADのフェデレーション資格情報を使ってOIDCを構成して、Workflowを書いていきましょう。 learn.microsoft.com
さいごに
意外と基本認証を無効化する方法は簡単には見つけることができません。
皆さんもAzure App Serviceを使う場合は、基本認証を無効化して、よりセキュアな認証でCI/CDを行ってみてはいかがでしょうか?
ACS事業部のご紹介
私達ACS事業部はAzure・AKSなどのクラウドネイティブ技術を活用した内製化のご支援をしております。
www.ap-com.co.jp
また、一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。
www.ap-com.co.jp
