2010年5月26日水曜日

クレイムベースのアイデンティティ&アクセスコントール本が届きました

先日「早わかり!クレイムベースのアイデンティティ&アクセス管理」というポストで紹介したA Guide to Claims-Based Identity and Access Controlですが、内容的に非常に興味深かったので、著者のEugenio Pace氏に連絡をしてみました。
中々興味深い分野なので今後も継続的にやり取りができると良いなぁ、、と思っています。

やり取りの中で先の文書のハードコピーを頂いたので(しかもサイン入り!)紹介します。

ハードコピー











サイン!












彼のblogエントリには他にもAzure関連のガイダンスなど参考になるものが多くあるので、今後も要ウォッチです。

ついでに、昨日のInfoQにEugenio氏へのADFS2.0とWIFに関するインタビューが載っていましたのでこちらも紹介。



2010年5月24日月曜日

ツアー終了

先週から始まったエクスジェン・ネットワークス東名阪ツアーが本日終了しました。

様々な方々に来て頂き、「ブログ見てます!」というお言葉を頂き、非常に勇気づけられた1週間でした。皆さまにはとても感謝しております。

内容ですが、メインテーマは「IdM製品の傾向」でしたが、アイデンティティ管理自体に関するトレンドの推移やアイデンティティ情報の管理および利用モデルの移り変わりについて簡単ではありますが紹介させていただきました。

簡単に概要ですが、アイデンティティ管理を行う目的として、
  • 運用の効率化
  • セキュリティの強化
  • 利便性の向上
  • 法令対応/内部統制
といったキーワードが絡み合ってプロジェクトが複雑化しがちですが、それらのキーワードがここ10年程度を振り返ってどのような経緯で持ち上がってきたか、各製品ベンダはどのような機能でそれらのキーワードに追従してきたか、を紹介しました。
















また、クラウド(主にSaaS)をイメージした際に、アイデンティティ情報を提供する側、サービスを提供する側それぞれの間を結ぶのは「信頼」であること、USガバメント(ICAM、OIX)やIAFの例をベースに保証のフレームワークを簡単に紹介しました。
















全体に少々企業内のプロビジョニングとは離れた世界の話になりましたが、今後考えなければいけない事柄ばかりだと思うので、非常にざっくりですが紹介出来て良かったと思います。

いづれにしても、上記のような複雑な要件が絡み合うが故にややこしいプロジェクトになってしまいがちなアイデンティティ管理ですが、今後もしばらくはややこしさが付いて回りそうです。。。。

2010年5月17日月曜日

[FIM]勝手に翻訳:Active Directory Domain Servicesへのユーザプロビジョニング その2

以前の続きで、今回もTechnetフォーラムの記事を勝手に翻訳していきます。

前回はFIM Synchronization Serviceの設定を行ったところまでやりましたので、今回はFIM Serviceの設定から始めます。

FIM Serviceを構成する
本ガイドのシナリオではプロビジョニングポリシーを構成する必要があります。

















このプロビジョニングポリシーの目的は契約社員をADユーザの発信同期規則のスコープに入れることです。
リソースを同期規則のスコープに入れると設定に従い同期エンジンはAD DSにリソースをプロビジョニングします。

FIM Serviceを構成するには、Internet Exploreでhttp://localhost/identitymanagementに移動します。
プロビジョニングポリシーを作成するためには、FIMポータルページの[管理]セクションから関連するページへ移動します。
構成を確認するには、同期構成を出力するPowerShellスクリプトを実行します。

同期ルールを作成する
次の表はFabrikamプロビジョニング同期ルールに必要な構成を示しています。

同期規則の構成
表示名AD User Outbound Synchronization Rule
説明
優先順位1
データフローの方向送信
依存関係
スコープ
メタバースリソースの種類person
外部システムFabrikam ADMA
外部システムリソースの種類user
リレーションシップ
外部システム内にリソースを作成するTrue
デプロビジョニングを有効にするFalse
リレーションシップ条件
MetaverseObject:person(属性)ConnectedSystemObject:user(属性)
accountNamaesAMAccountName
初回の送信属性フロー
NULLを許可宛先ソース
Falsedn+("CN=",displayName,",OU=FIMObjects,DC=fabrikam,DC=com")
FalseuserAccountControl数値: 512
FalseunicodePwd文字列: Pa$$W0rd
永続的な送信属性フロー
NULLを許可宛先ソース
FalsesAMAccountNameaccountName
FalsedisplayNamedisplayName
FalsegivenNamefirstName
FalsesnlastName


ステップ6
上記の表のとおりに同期規則を作成します
重要)dnをターゲットとした属性フローは初回のみを選択したことを確認してください


ワークフローを作成する
AD プロビジョニング ワークフローの目的は、Fabrikamのプロビジョニング同期規則にリソースを追加することです。
次の表は、構成を示しています。

ワークフロー構成
表示名AD User Provisioning Workflow
説明
ワークフロータイプAction
ポリシー更新時に実行False
同期規則
名前AD User Outbound Synchronization Rule
動作追加


ステップ7
上記の表のとおりにワークフローを作成します


管理ポリシールールを作成する
必要な管理ポリシールール(MPR)はSet Transisionタイプであり、リソースがすべての契約社員というセットのメンバとなったことを契機に動作します
次の表は、構成を示しています。

管理ポリシー規則構成
表示名AD User Provisioning Management Policy Rule
説明
セット移行
権限の付与False
無効化False
移行の定義
移行の種類セットへの移行
移行セットAll Contractors
ポリシーワークフロー
タイプ表示名
ActionAD User Provisioning Workflow


ステップ8
上記の表のとおりに管理ポリシールールを作成します


環境を初期化する
初期化フェーズの目的は
・同期規則をメタバースに格納する
・Active Directoryの構成をActive Directoryコネクタスペースに格納する
ことです。
次の表は初期化フェーズの実行プロファイルを示します。

順序管理エージェント実行プロファイル
1Fabrikam FIMMAフルインポート
2
3エクスポート
4差分インポート
5Fabrikam ADMAフルインポート
6


ステップ9
上記の表のとおりに実行プロファイルを実行します
注)発信同期規則が正常にメタバースに投影されていることを確認してください。


構成をテストする
このセクションの目的は、実際の構成をテストすることです。 構成をテストするには、
・サンプルユーザをFIMポータルで作成
・サンプルユーザのプロビジョニング要件を確認
・サンプルユーザをAD DSへプロビジョニング
・ユーザがAD DSに存在することを確認
を行います。

・サンプルユーザをFIMポータルで作成
次の表は、サンプルのユーザのプロパティの一覧です。

属性
Britta
名前 (姓)Simon
表示名
AccountNameBSimon
ドメインFabrikam
契約者


ステップ10
上記の表のとおりにサンプルユーザを作成します


サンプルユーザのプロビジョニング要件を確認
サンプルユーザをAD DSへプロビジョニングするには、2つの前提条件が満たされている必要があります。
1.All ContractorsのSETのメンバであること
2.発信同期規則のスコープ内であること

ユーザがAll Contractorsのメンバかどうかを確認するには、SETを開き[メンバを表示]をクリックします。








ステップ11
ユーザがAll Contractorsのメンバであることを確認します。


ユーザが同期規則のスコープ内にあるかどうかを確認するには、ユーザのプロパティページを開き、プロビジョニングタブ内にあるExpected Rules List属性を見ます。
Expected Rules List属性の値ははAD User Outbound Synchronization Ruleになっているはずです。

次の図で確認方法の例を示します。









この時点では同期規則のステータスはペンディングです。
つまり、同期規則はまだユーザに適用されていません。

ステップ12
ユーザがADユーザ発信同期規則のスコープ内であることを確認します。


サンプルのユーザの同期
テストオブジェクトの初回の同期サイクルを開始する前に、テスト計画の中で各実行プロファイルを実行後のあるべき姿をトラッキングしておく必要があります。
テスト計画はオブジェクトのあるべき次の状態(作成、更新、削除)と属性値を含んでいるべきです。
テスト計画を使用して、期待されるテスト結果を確認します。
もしステップが期待通りの結果を返さない場合は、あるべき結果と実際の結果の不一致を解決するまでは次のステップへ進まないでください。

期待通りに動いているかを確認するには、最初の指標として同期の統計情報を利用することができます。
例えば、新しいオブジェクトがコネクタスペースにステージングされることを期待していたのに、インポートの統計の中の[Add]が0件だった場合、明らかに何か期待通りに動いていないものがあるということになります。












同期の統計情報でシナリオが期待どおりに機能しているかについての初期情報を確認することができますが、Synchronization Service Managerのコネクタスペースの検索とメタバースの検索機能を使って属性の値が予測された通りになっているかどうかを確認してください。

AD DSユーザを同期するには、以下の手順を実行します。
1.ユーザをFIM MAコネクタスペースにインポートします。
2.ユーザをメタバースへ投影します。
3.ユーザをActive Directoryコネクタスペースへプロビジョニングします。
4.FIMにステータス情報をエクスポートします。
5.ユーザをAD DSにエクスポートします。
6.ユーザの作成状況を確認します。

これらのタスクを完遂するためには、次の実行プロファイルを実行します。

管理エージェント実行プロファイル
Fabrikam FIMMA1.デルタ インポート
2.デルタ同期
3.エクスポート
4.デルタ インポート
Fabrikam ADMA1.エクスポート
2.デルタ インポート


FIMサービスのデータベースからのインポート後、Britta Simonと、BrittaをAD User Outbound Synchronization RuleにリンクするExpectedRulesEntryオブジェクトがFabrikam FIMMAのコネクタスペースにステージングされます。
コネクタスペースのBrittaのプロパティをみると、FIMポータルで設定した属性値とともにEREオブジェクトへの参照が設定されているのがわかります。

次のスクリーンショットがこの例です。















Fabrikam FIMMAでのデルタ同期の目的は、下記のいくつかの操作を実行することです。

・投影 - 新しいユーザオブジェクトおよび関連するExpected Rule Entryオブジェクトをメタバースに投影
・プロビジョニング - 新しく投影されたBiritta SimonのオブジェクトをFabrikam ADMDのコネクタスペースにプロビジョニング
・属性フローのエクスポート - 両方の管理エージェントで発生する属性フローをエクスポート。Fabrikam ADMAでは新しくプロビジョニングされたBritta Simonオブジェクトは新しい属性値で設定され、Fabrikam FIMMAでは既存のBritta Simmonオブジェクトおよび関連付けられたExpectedRuleEntryオブジェクトは投影結果により属性値が更新されます。

















既に同期統計情報により示されたように、プロビジョニングのアクティビティはFabrikam ADMAのコネクタスペースで行われます。
メタバースの中のBritta Simonのプロパティをみると、それらのアクティビティがExpectedRulesList属性値に正しく参照が割り当てらていることによりわかります。











続くFabrikam FIMMAでのエクスポートにおいて、Britta Simonの同期規則の状態はペンディングから適用へ更新されます。それは発信同期規則がメタバース中のオブジェクトに対してアクティブになったことを示しています。








新しいオブジェクトがADMAコネクタスペースにプロビジョニングされたため、この管理エージェントではペンディングエクスポートが追加されます。
Windows PowerShellを使って管理エージェントのエクスポート状態を表示する」というスクリプトを使うことによりFabrikam ADMAへ追加されるペンディングエクスポートを表示することができます。







FIMでは、エクスポート操作を完了するには、各エクスポートの実行毎に次のデルタインポートの実行の必要があります。
エクスポートの後に実行されるデルタインポートは確認のためのインポートと呼ばれます。
確認のためのインポートはFIM Synchronizationサービスが同期を成功させるために必要な適切な更新を行うために必要です。

ステップ13
上記の表のとおりに実行プロファイルを実行します。
注)各実行プロファイルがエラー無く完了する必要があります。


AD DSにユーザがプロビジョニングされていることを確認する
サンプルユーザがAD DSにプロビジョニングされていることを確認するには、FIMObjects OUを開きます。
Britta Simonが存在するはずです。





ステップ14
サンプルユーザがFIMObjects OUに存在することを確認します。


まとめ
このドキュメントの目的は、AD DSとFIMのユーザを同期するためのメインのビルドブロックに紹介することです。
初期のテストでは、タスクを完了するのに必要な最小数の属性で開始し、一般的な手順が正常に機能したら複数の属性をシナリオに追加してください。
複雑さを最小限に維持することがトラブルシューティングプロセスを簡素化します。

構成をテストする際、新しいテストオブジェクトを削除して再作成することがしばしば発生します。
ExpectedRulesList属性が設定されたオブジェクトにとってこれらの操作はExpectedRuleEntryの孤立を発生させます。
「孤立したExpectedRuleEntryオブジェクトを削除する方法」という記事はそれらのオブジェクトをテスト環境から削除する方法を説明しています。

同期先としてAD DSを含む典型的なシナリオにおいて、FIMはオブジェクトのすべての属性について権威を持っていません。例えば、AD DS内のユーザオブジェクトをFIMを使って管理する際、最低でもドメインとobjectSID属性はAD DS管理エージェントによって作成されます。アカウント名、ドメイン、ibjectSID属性はFIMポータルへログインを有効にする際に必要となります。AD DSからそれらの属性を設定するには、AD DSコネクタスペースに追加の着信同期規則を設定する必要があります。また、属性値に複数のソースを持つオブジェクトを管理するためには、属性フローの優先順位を正しく構成する必要があります。もし属性フローの優先順位が正しく構成されていない場合、同期エンジンが設定されたソースからの属性値をブロックしてしまいます。属性フローの優先順位の詳細については属性フローの優先順位についての記事を参照してください。

読むことを推奨する文書
設計コンセプト:FIMを使ってActive Directoryのアカウントを有効化もしくは無効化する
設計コンセプト:参照属性について
FIM MAアカウントをどのように管理すればよいですか?
権威のないアカウントを発見する - パート1:予測
設計コンセプト:コネクタ検出のメカニズム
設計コンセプト:ADMAアカウントを設定する
孤立したExpectedRuleEntryオブジェクトを削除する方法
属性フローの優先順位について
エクスポートについて

2010年5月16日日曜日

イベントで少々登壇します

クローズドなイベントですが、明日から東名阪ツアーです(笑)

国産IdM製品ベンダであるExgen Networksのパートナー向けイベントでID管理の動向、各種製品のすみ分けなどについて話をする予定です。

前段では運用効率化、セキュリティ、法令対応・統制、利便性など様々な目的が混じり合う中、アクセス管理を含むIdM製品群がどのような技術要素で対応・進化してきたのか、という大枠の話と、クラウドを含むサービス連携(Claimベースの話などを含む)がフォーカスされる中でプロビジョニングの役割はどうなっていくのか、について話をするつもりです。

後半は具体的な製品がそれぞれどのような特徴を持っているのか、という話をします。こちらは少々角が立つ話になるかも・・・

全部終わってひと段落したら公開出来そうなネタについては公開していこうと思います。

2010年5月6日木曜日

Active Directory Federation Services 2.0のRTWリリース

Ping Identityのblogで4月の終わりにリークされていましたが、AD FS2.0RTWが5月5日にリリースされました。
これで、Identity Metasystemを構成する3つの要素のうち、2つまでが正式にリリースされたことになります。
・Windows Identity Foundation [リリース済み]
・Active Directory Federation Services 2.0 [リリース済み]
・Windows Card Space 2.0 [ちょっと延期中]

Windows Card Space 2.0についてはU-ProveやOpenID対応の関連でちょっと延期されて、2010年Q2にCTPが出てくるようです。


さて、今回のRTW版ですがこれまでのユーザインターフェイスが英語のみだったのがインストーラ、管理コンソールやヘルプも日本語化されています。
ただ、相変わらずWindows Server 2008 without Hyper-Vにはインストール出来ないようです。特にHyper-Vを使うわけではないので、単にバージョンチェックではねているだけだと思いますが・・・

インストーラの画面。日本語になってます。
















管理コンソール。











構成ウィザード。