Runbook, run!

-

 


Dit blog heeft als doel het automatiseren van het verlenen van toegang tot een Enterprise Application omgeving, voor awareness trainingen en phishing tests.

De Enterprise Application is een online applicatie/website. In de settings daar is de optie geconfigureerd voor “Single sign on” op basis van SAML (Security Assertion Markup Language) met de Azure omgeving.

Hiertoe is er in de Azure een zgn. “Enterprise Application” geconfigureerd. Je kan je eigen applicatie registreren via “app registration” of uit een voorgekookte lijst uit de “Enterprice applications”. Een applicatie wordt dan geregistreerd in Azure AD en krijgt een “application object” voor de configuratie van toegang tot de applicatie. Daarnaast wordt er een unieke “Service Principal Object” geregistreerd onder “Enterprise applications”, met een subset van de configuratie opties.


Aan deze Enterprise Application kunnen “Users and groups” worden toegekend. Echter, dat is afhankelijk van het “Active Directory plan level”. Er zijn 4 “plans” voor Azure Active Directory, te weten Free, Office365 apps, Premium P1 en P2. Je krijgt onderstaande melding bij een Free plan, wat betekend dat je alleen users kunt toevoegen.

Dat is onhandig. Groups maken het mogelijk om nieuwe accounts automatisch toegang te geven tot de applicatie op basis van groepslidmaatschap. Daar heb je geen omkijken naar. In de situatie met een Azure Active Directory Free echter, zou je periodiek nieuwe gebruikers met de hand moeten toevoegen aan de “Users and groups” van de Enterprise Application. Een vervelende, bewerkelijke taak die foutgevoelig is. Er is gelukkig een oplossing.

Azure Runbooks

Dit zijn scripts opgeslagen in de Azure cloud en uitgevoerd door een Azure Automation account voorzien van de benodigde rollen en modules (in het geval van Powershell, Python wordt ook ondersteund). Eenmaal geconfigureerd en geplanned wordt dit op de achtergrond op een Hybrid Worker computer uitgevoerd tegen resources in de Azure tenant.

Benodigdheden

Benodigd zijn een Azure subscription, een Azure Automation Account, een eigen resource group (voor opslaan script en verbruiksminuten) en een script dat je wilt uitvoeren. De eerste 500 minuten/maand zijn inclusief in je abbonement.

Doe het volgende:

1.      Login op https://portal.azure.com

2.      Zoek “Automation accounts” op.

3.      Maak een Automation Account aan.

a.      Geef een passende naam op.

b.      Kies je abbonement.

c.      Maak een resource group aan.

d.      Wacht even tot hij is aangemaakt.

4.                                                 - Open het Azure Automation Account.
                         - Selecteer “Modules” om de nodige Powershell modules toe te voegen. Klik “Browse gallery”.
                                            - Installeer de “AzureAD” module.

Het Azure Automation Account is nu klaar voor gebruik.

Objection

Hoe authentiseer je de akties van het script in een Azure Runbook? Dit kan met het “Azure Run As” account. Dit is automatisch aangemaakt tijdens het maken van het Azure Automation account. Eerst moet het Run As account de juiste rechten krijgen, daarvoor is het unieke “Service Principal Object ID” nodig, te vinden onderaan het Run As account. Dit ObjectID gaan we gebruiken om de rollen aan het Run As account toe te wijzen.

Let’s role

Met onderstaande Powershell script ken ik de rol “User Administrator”, benodigd om users aan groups toe te kunnen voegen, toe aan het Run As Account van mijn eerder aangemaakte Automation Account.

# Verbind met AzureAD

Connect-AzureAD

# Stop het ObjectID van het Run As account in een variabele

$servicePrincipalObjectId = "f1d4a7b7-1111-4cf6-xxxx-xxxxxxxxxxxx"

#Ken de service principal de rol toe

Add-AzureADDirectoryRoleMember -ObjectId (Get-AzureADDirectoryRole | where-object {$_.DisplayName -eq "User Administrator"}).Objectid -RefObjectId $servicePrincipalObjectId

Users toekennen aan de Azure AD application met Powershell

We beginnen hier ook met het het ophalen van de Service Principal, maar dan van de Enterprise Application waar we users aan willen toekennen.

# Connect to Azure AD

Connect-AzureAD

# Get the service principal for the app you want to assign the user to

$servicePrincipal = Get-AzureADServicePrincipal -Filter "Displayname eq ' KnowBe4 Security Awareness Training"

Nu gaan we uit de Enterprise Application, de bestaande users opvragen:

# Get all users that are already assigned to the application

$existingUsers = Get-AzureADServiceAppRoleAssignment -all $true -ObjectId $servicePrincipal.Objectid | select -ExpandProperty PrincipalId

Nu vragen we ter vergelijk alle Azure AD users op met een licentie voor Office365 (want die hebben een mailbox en kunnen dus phishing tests ontvangen).

# Get all licensedUsers

$licensedUsers = Get-AzureADUser -all $true | Where-Object {$_.AssignedLicenses} | Select displayname,objectid

Nu kunnen we beiden variabelen met elkaar vergelijken.

# Compare lists

$newUsers = $licensedUsers | Where-Object { $_.ObjectId -notin $existingUsers }

In de variabele $newUsers zitten nu de lijst nieuwe gebruikers die nog niet zijn toegekend aan de Enterprise Application. Ik heb echter nog wat Service en Admin accounts die ik eruit wil filteren, die hoef ik namelijk niet te mailen. Ik geef een array van onwenselijke accounts op en voorzie die van het predicaat ObjectID.

# Users that should not be added, like service accounts, admin accounts etc.

[System.Collections.ArrayList]$ExcludedUsers = @()

$ExcludedObjectIDs = @( " xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx", " xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx", " xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx", " xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx", " xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx", " xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx", " xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx")

foreach ($obj in $ExcludedObjectIDs)

{

     $val = [pscustomobject]@{'ObjectId'=$obj}

     $ExcludedUsers.add($val) | Out-Null

     $val=$null

}

Nu ga ik de users in de variable $newUsers ontdoen van die in de variabele $ExcludedUsers.

# Filter out excludedusers

$RestUsers = $newUsers | Where-Object { $_.ObjectId -notin $ExcludedUsers.ObjectId }

In de variable $RestUsers zitten de nieuwe users die ik wil toevoegen aan de Enterprise Application. Dat doe ik met onderstaande

# Add residual users to the enterprise application.

ForEach ($user in $RestUsers) {

  Try {

    New-AzureADUserAppRoleAssignment -ObjectId $user.ObjectId -PrincipalId $user.ObjectId -ResourceId $servicePrincipal.ObjectId -Id $servicePrincipal.Approles[0].id -ErrorAction Stop

    [PSCustomObject]@{

        UserPrincipalName = $user.displayname

        AppliciationAssigned = $true

    }

  }

  catch {

    [PSCustomObject]@{

        UserPrincipalName = $user.displayname

        AppliciationAssigned = $false

    }

  }

} 

De losse stappen voegen we samen tot 1 script en dit kunnen we in het runbook plaatsen.

Runbook, run!

Ga naar het Automation Account en klik op “Runbooks”

 


1.      Klik “Create Runbook”

2.      Geef hem een betekenis volle naam

3.      Selecteer “Powershell” als het Runbook type

4.      Selecteer 5.1 als versie, de overigen worden (nu) nog als experimenteel weer gegeven.

5.      Klik “Create”.

 


Je krijgt nu een hele basic Powershell editor te zien. Je hebt onder CMDLETS de beschikbare Powershell cmdlets. Onder Runbooks een archiefje bestaande runbooks. Onder Assets zijn eerder geconfigureerde variabelen, connections, credentials en certificates, die je bijvoorbeeld vaker gebruikt. Je kan volstaan met het hierboven gemaakte script in plakken.

Teften

Je kan door op het “Test pane” te klikken een test run doen van het script. Het kan zijn dat je de volgorde verkeerd hebt, of een onbekende cmdlet gebruikt, dit komt er dan uit.

Saven

Als het script goed doorkomt, kan je hem saven. Daarmee overschrijf je geen bestaande versie.

Publishen

Om het script te kunnen gebruiken in een schedule, moet je het nu publishen.

On schedule

Op het runbook kan je nu een schedule plakken, als je het periodiek wilt draaien. Omdat dit om nieuwe users gaat heeft het in het begin van de week nog geen zin. Aan het eind ook niet, daarom heb ik de donderdag gekozen.

Je maakt eerst een algemeen “Schedule” aan onder “Schedule” met een algemene naam, bijv. “Weekly schedule”. Daarin zet je wanneer en hoelaat het schedule moet draaien, bijv. elke donderdag om 5 uur.

Done! Helaas heb ik nog geen mogelijkheid gezien om veilig (dus niet via Sendgrid) mailtjes te sturen welke users er zijn toegevoegd. Hier zal ik een nieuwe post aanwijden.

 

Reacties

Een reactie posten

Populaire posts van deze blog

Breaking: Tailwind Traders acquiers Northwind!

-
Afbeelding
  Ik ben donderdag 21 maart 2019 naar Microsoft Ignite On Tour geweest in de RAI, en ik kan dat iedereen aanraden. Ik heb hieronder wat tips over de voorbereiding en de ervaring zelf(cursief), met verwijzingen naar interessante technologie. Even voor de achtergrond; Ik ben als systeembeheerder veel bezig met SQL. 1.      Tip: Schrijf je op tijd in. 2.      Tip: Verken de site met Ignite sessies. 3.      Tip: Meld op tijd dat je naar deze beurs wilt via de  congress app . 4.      Tip: Motiveer je verzoek. Op het moment dat ik een mailtje over Ignite kreeg heb ik mij ingeschreven. Op de site heb ik vervolgens een “ Learning Path ” genaamd " Migrating applications to the Cloud " gevonden dat mij interessant leek. Het is een set van 5 verwante sessies met als achtergrond de overname van Northwind door TailWind Traders, twee fictieve Microsoft bedrijven. Het scenario van TailWind Traders en Northwind voorziet in een consolidatie van de IT afdelingen van on premise naar d
Meer lezen

Do it your way

-
Afbeelding
  Ik was in de jaren '90 gek van house, vooral de club versie. Mood II Swing was een amerikaans producer duo uit New York, bestaande uit John Ciafone en Lem Springsteen. Ze bestonden van 1992 tot 2021, waren vooral succesvol in de jaren '90 met club hits op hun naam. Naast "Ohh!" vind ik "Do it your way" uit 1996 nog steeds heel goed, instant klassiekers. De beats van John Ciafone, de basloop van Vince Montana en die aparte vrouwelijke stem die de vocals doet, praat op een redelijke, maar hele muzikale toon. Een hele soepele relaxte plaat. De stem is van Barbara Ann Teer (June 18, 1937 – July 21, 2008). In 1968 richtte zij het National Black Theater op in Harlem, New York. De vocals zijn van een spoken word opname genaamd "Barbara Ann Teer – Black Theater" uit 1973 waarin zij uitlegd waarom dat nodig was in ongeveer 20 minuten. De relevante stukken zijn deze: "I want to do it the way I wanna do it, I want to determine my own destiny, I wanna
Meer lezen

Pension tension

-
Afbeelding
“Ik ga eerder stoppen met werken om het nieuwe pensioenstelsel te begrijpen” De nieuwe wet "Toekomst Pensioenen" komt er aan. Wat is de impact hiervan eigenlijk, voor mij als pensioendeelnemer zonder dat ik mij er ooit in verdiept hebt. Een verwarrende reis. Het begin In 1952 legt het kabinet spelregels vast voor pensioenfondsen in de Pensioen- en Spaarfondsenwet. Met die wet in de hand tuigen vakbeweging en werkgevers pensioenregelingen op voor bedrijfstakken. Voor ondernemingen die niet bij zo’n bedrijfstak horen, komen er ondernemingspensioenfondsen. Werkgevers en werknemers betalen ieder pensioenpremie. Dat geldt als uitgesteld loon.  De pensioenen komen boven op het basispensioen van de overheid, de AOW. Die bestaat sinds 1956. In 2006 is de pensioenwet uit 1952 aangescherpt en unaniem aangenomen door de Tweede Kamer en daarna de Eerste Kamer. Een fundamentele aanscherping zit in een detail: de rente. Tot 2006 mocht die zogenoemde rekenrente maximaal 4 procent zijn, sind
Meer lezen