Azure での OpenID Connect の構成

概要

OpenID Connect (OIDC) を使用すると、GitHub Actions ワークフローでは、有効期間の長い GitHub シークレットとして Azure 資格情報を格納しなくても、Azure 内のリソースにアクセスできます。

このガイドでは、GitHub の OIDC をフェデレーション ID として信頼するように Azure を構成する方法の概要と、トークンを使用して Azure に対する認証とリソースへのアクセスを行う azure/login アクションのワークフロー例を示します。

前提条件

GitHub が OpenID Connect (OIDC) を使用する方法の基本的な概念とそのアーキテクチャと利点については、「OpenID Connect」を参照してください。
先に進む前に、アクセストークンが予測可能な方法でのみ割り当てられるようにセキュリティ戦略を計画する必要があります。クラウドプロバイダーがアクセストークンを発行する方法を制御するには、少なくとも 1 つの条件を定義し、信頼できないリポジトリがクラウドリソースにアクセストークンを要求できないようにする必要があります。詳しくは、「OpenID Connect」をご覧ください。

フェデレーション認証情報を Azure に追加する

GitHubの OIDC プロバイダーは、Azure のワークロード ID フェデレーションと連携します。概要については、「ワークロード ID フェデレーション」の Microsoft のドキュメントを参照してください。

Azure で OIDC ID プロバイダーを構成するには、次の構成を実行する必要があります。これらの変更を行う手順については、Azure のドキュメントを参照してください。

次の手順では、Microsoft Entra ID (旧称 Azure AD) 用のアプリケーションを作成します。

Entra ID アプリケーションとサービスプリンシパルを作成します。
Entra ID アプリケーションのフェデレーション認証情報を追加します。
Azure 構成を格納するための GitHub シークレットを作成します。

ID プロバイダーを構成するための追加のガイダンス:

セキュリティ強化については、必ず「OpenID Connect」をご確認ください。例については、「OpenID Connect」を参照してください。
audience 設定の場合、api://AzureADTokenExchange が推奨値ですが、ここには他の値を指定することもできます。

GitHub Actions ワークフローを更新する

OIDC のワークフローを更新するには、YAML に 2 つの変更を行う必要があります。

トークンのアクセス許可設定を追加します。
この azure/login アクションを使って、OIDC トークン (JWT) をクラウドアクセストークンと交換します。

独自のカスタム保護規則を有効にして、サードパーティサービスを使ったデプロイを制御できます。たとえば、Datadog、Honeycomb、ServiceNow などのサービスを使用し、GitHub への展開に対して自動承認を提供できます。

アクセス許可設定の追加

GitHub の OIDC プロバイダーが実行ごとに JSON Web Token を作成できるよう、ジョブまたはワークフローの実行には id-token: write を含む permissions の設定が必要です。

メモ

ワークフローのアクセス許可で id-token: write を設定しても、リソースへの変更または書き込みを行うアクセス許可はワークフローに付与されません。そうではなく、ワークフローは、アクションまたはステップのための OIDC トークンを要求 (フェッチ) して使用 (設定) することのみが許可されます。その後、このトークンは、有効期間の短いアクセストークンを使って外部サービスで認証を行うために使われます。

必要なアクセス許可、構成例、高度なシナリオについて詳しくは、「OpenID Connect リファレンス」をご覧ください。

アクセストークンの要求

この azure/login アクションでは、GitHub OIDC プロバイダーから JWT を受け取り、Azure からアクセストークンを要求します。詳細については、azure/login のドキュメントを参照してください。

次の例では、OIDC ID トークンを Azure と交換し��アクセストークンを受け取ります。これを使用すると、クラウドリソースにアクセスできます。

YAML

name: Run Azure Login with OIDC
on: [push]

permissions:
  id-token: write
  contents: read
jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
      - name: 'Az CLI login'
        uses: azure/login@8c334a195cbb38e46038007b304988d888bf676a
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

      - name: 'Run az commands'
        run: |
          az account show
          az group list

name: Run Azure Login with OIDC
on: [push]

permissions:
  id-token: write
  contents: read
jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
      - name: 'Az CLI login'
        uses: azure/login@8c334a195cbb38e46038007b304988d888bf676a
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

      - name: 'Run az commands'
        run: |
          az account show
          az group list