2012年6月20日水曜日

[Office365]アイデンティティ管理製品の導入契機の変化?


Office365 のブーム?に乗ってアイデンティティ管理(プロビジョニング/ディレクトリ同期やフェデレーション)にもフォーカスが当たるようになってきた今日この頃です。

例えば、この blog でもたびたび紹介してきている、Forefront Identity Manager 2010 (FIM)Active Directory Federation Services 2.0 (AD FS2.0) は製品自体の機能をフルに活用した導入というよりも Office365 との連携のためのツールとして活用される場面が大半を占めているように感じます。

・Forefront Identity Manager 2010
 Office365 の標準のディレクトリ同期ツール(中身は FIM Sync)では対応できないマルチフォレスト構成の Active Directory との同期を行う場合に利用されています。

・Active Directory Federation Services 2.0
 Office365 へのシングルサインオンは現状これを使うしかありません(サードパーティも今後増えてくるとは思いますが)


そのような動きに合わせてこれまでなかなかリリースされることのなかった管理者向けの書籍などもリリースされてきています。

ひと目でわかるAD FS 2.0&Office 365連携(もうすぐ発売)

Active Directory ID管理ガイド Microsoft Forefront Identity Manager 2010で実装するID統合管理ソリューション(ちょっと前にリリース)


この動きをきっかけにとりあえず導入が進めば本格的に使う企業も出てくるでしょうし、単なる便利ツールとしての活用だけではなくガバナンス面などを含めた使い方をすることにもなってくると思います。
と、言うことで次に来るのはずばり「Office365 の利用を統制する」というテーマかも知れません。そうなると FIM 2010 R2 / BHOLD Suite のアテステーションやレポーティング機能の使いこなし方、、、みたいな本がでてくるかも知れませんね。#超ニッチですが。

2012年6月15日金曜日

[FIM 2010] R2 正式リリース

先日から Technet / MSDN でダウンロードが開始されていた Forefront Identity Manager 2010 R2 がついに正式にリリースされました。



製品ページ
http://www.microsoft.com/en-us/server-cloud/forefront/identity-manager.aspx
※試用版のダウンロードも可能です。

Server & Cloud blog
- Forefront Identity Manager 2010 R2 Now Available
http://blogs.technet.com/b/server-cloud/archive/2012/06/14/forefront-identity-manager-2010-r2-now-available.aspx


また、合わせて Technet ドキュメント上にはリンクが書かれているもののダウンロード出来なかったランゲージパックもダウンロード可能になっています。
http://go.microsoft.com/fwlink/?LinkID=215308


お試しあれ!

2012年6月14日木曜日

[FIM 2010] R2 関連のドキュメント群

Forefront Identity Manager 2010 R2 のリリースに合わせてドキュメント類がリリースされています。

残念ながら全部英語ですが、内容的には結構充実しています。


Forefront Identity Manager 2010 R2 Deployment Guide
http://www.microsoft.com/en-us/download/details.aspx?id=29957

Forefront Identity Manager 2010 R2 Deployment Guide - Reporting
http://www.microsoft.com/en-us/download/details.aspx?id=29960

Forefront Identity Manager 2010 R2 Deployment Guide - Self-Service Password Reset
http://www.microsoft.com/en-us/download/details.aspx?id=29959

FIM 2010 R2 Export Performance Guide
http://www.microsoft.com/en-us/download/details.aspx?id=29958

Test Lab Guide: Installing Forefront Identity Manager 2010 R2
http://www.microsoft.com/en-us/download/details.aspx?id=29947

Test Lab Guide: Demonstrating FIM 2010 R2 Password Registration and Reset Portal Customization
http://www.microsoft.com/en-us/download/details.aspx?id=29951

Test Lab Guide: Upgrading to Forefront Identity Manager 2010 R2
http://www.microsoft.com/en-us/download/details.aspx?id=29952

Test Lab Guide: Forefront Identity Manager 2010 R2 Common User and Group Configuration
http://www.microsoft.com/en-us/download/details.aspx?id=29948

Test Lab Guide: Demonstrating the FIM 2010 R2 Self-Service Password Reset with the OTP Email Gate
http://www.microsoft.com/en-us/download/details.aspx?id=29961

Test Lab Guide: Demonstrating the FIM 2010 R2 SSPR SMSProvider with the OTP SMS Gate
http://www.microsoft.com/en-us/download/details.aspx?id=29954

Test Lab Guide: Demonstrating Forefront Identity Manager 2010 R2 Reporting
http://www.microsoft.com/en-us/download/details.aspx?id=29950

Test Lab Guide: Demonstrating Forefront Identity Manager 2010 R2 Reporting Extensibility 2
http://www.microsoft.com/en-us/download/details.aspx?id=29946

Test Lab Guide: Demonstrating Forefront Identity Manager 2010 R2 Reporting Extensibility Support Files
http://www.microsoft.com/en-us/download/details.aspx?id=29956

Test Lab Guide: Demonstrating FIM 2010 R2 Outlook Add-in
http://www.microsoft.com/en-us/download/details.aspx?id=29955

Forefront Identity Manager Connector for WebServices
http://www.microsoft.com/en-us/download/details.aspx?id=29944

FIM2010 Connector for WebServices Technet Documentation
http://www.microsoft.com/en-us/download/details.aspx?id=29943


まだ BHOLD 絡みの情報はあまり出てきていませんが、上記だけでもかなりのボリュームなので新機能を色々と堪能できそうです。

2012年6月7日木曜日

[IDaaS] マイクロソフトの方向性に関する記事の紹介


EIC(European Identity Conference)以降のマイクロソフトのアイデンティティ戦略について良い記事があったのでざっと訳して転載します。
※適当訳なので間違いやわかりにくいところがあればコメントください。

元ネタ
http://blogs.kuppingercole.com/burton/2012/06/05/microsoft-is-finally-being-relevant/

Surprise surprise. For the last few years it looked as if the battling business units and power struggles within Microsoft had all but rendered the company incapable of doing anything innovative or relevant. But clearly something has happened to change this lack of leadership and apparent stumbling in the dark. Microsoft is not only doing something innovative --- but profoundly innovative.

驚きである。過去数年の間、マイクロソフト内のビジネスユニット間の争いや権力闘争により革新的でまともなことは何もできなくなっている様に見えた。しかし、このリーダーシップの欠如と暗闇での躓きを変える何かが起きたことは明白である。マイクロソフトは単に何かを革新的に行っているだけではなく、、、大いに革新的に行っているのである。


In a dual post by Microsoft's John Shewchuk and Kim Cameron, the announcement was made about what Kim Cameron alluded to at the KuppingerCole EIC in April -- Identity Management as a Service (IDMaaS). This is not trivial, and does not suck. It ROCKS.


マイクロソフトの John Shewchuk および Kim Cameron の2つの投稿の中で、Kim Cameron が4月の KuppingerCole EIC の中で言及した様に、Identity Management as a Service (IDMaaS) がアナウンスされた。これは些細なことでもつまらない物でもなく、すごいことである!


Why is Identity Management as a Service a Big Deal

何故、Identity Management as a Service は重大なのか

From a technical perspective, the place where innovation really makes a difference is the place where the rubber meets the road -- infrastructure. Infrastructure is not only fundamental -- as it provides the technical framework and underpinning to support big change -- but infrastructure is hard.

技術的な観点からすると、革新が実際に違いを産むところは物事の真価が問われる場面であるインフラストラクチャーである。インフラストラクチャーとは単なる基盤ではなくハードである。なぜなら、インフラストラクチャーは大きな変化を支えるための技術的フレームワークと土台を提供するからである。

It's also hard to get funded and hard to sell both outside and inside of companies that make infrastructure.

インフラストラクチャー作るために資金が用意されたり、企業の外部および内部に販売するのは難しい。

This is because there is little possibility of showing a direct ROI in core infrastructure investment. It takes vision and guts to invest in infrastructure.

何故ならコアインフラへの投資で直接の投資対効果が出る可能性がほとんどないためである。インフラストラクチャーに投資するためにはビジョンと勇気が必要である。

Nobody wants to buy identity infrastructure. In fact no one should have to pay for identity infrastructure. It should be ubiquitous, work, and be free to everyone and controlled by no one. Infrastructure at this level is as fundamental as air. You don’t think about it, you don’t buy it; you just breathe it in and out and get on with the details.

誰もアイデンティティ・インフラストラクチャーを買いたくないのである。実際、誰もアイデンティティ・インフラストラクチャーにコストを払う必要はない。それはユビキタスで、動作し、誰にでも無料であるべきであり、誰かによりコントロールされるべきではない。このレベルのインフラストラクチャーは空気と同じくらい基礎的なものである。誰も考える必要はなく、誰も買う必要はなく、ただ息を吸ったり吐いたりすればうまく行くのである。

Metaphorically, when it comes to the maturity of identity infrastructure today -- we are all sucking on thin air from teeny tubes of infrastructure veneer connected to identity silos (Facebook Connect, Twitter, Federated Identity and so on.)

今日のアイデンティティ・インフラストラクチャーの成熟度合は例えて言鵜ならば、アイデンティティ・サイロ(Facebook Connect、Twitter、フェデレーテッド・アイデンティティなど)に接続されたインフラストラクチャーの薄板の小さなチューブから薄い空気を吸っているようなものである。

It's much like the other core suite of protocols of the Internet -- like TCP/IP. TCP/IP is free as far as a piece of software goes. No one ever pays for the transport anymore.

それは、インターネットのプロトコルの別のコア・スイートである TCP/IP に非常に似ている。TCP/IP はソフトウェアの部品である限り無料であり、誰も転送の対価を支払わない。

So should be the protocols and infrastructure for doing Identity Management.  With this announcement Microsoft is showing that it understands Identity Infrastructure is fundamental to everything in the hybrid world of social-mobile-cloud networking that we are stumbling towards.

したがって、それはアイデンティティ管理を行うためのプロトコルとインフラストラクチャーであるべきである。この発表でマイクロソフトは、アイデンティティ・インフラストラクチャーが我々が躓いているソーシャル・モバイル・クラウド・ネットワークのハイブリッドな世界におけるすべての基礎であることを理解していることを示している。

Further, Microsoft is making it clear it understands that the current identity provider-centric world we live in now is broken and simply will not work for the future. Significant movement forward from this wretched state requires massive change -- which is what Microsoft is proposing.

更に、マイクロソフトは現在のわれわれが住んでいるアイデンティティ・プロバイダ中心の世界は壊れており、将来は動かなくなるということを明らかにしている。この悲惨な状況からの重要な移行を行うには大きな変化が必要となる。それがマイクロソフトが提案しているものである。

From a political and business perspective, Kim Cameron's vision of a ubiquitous Identity Metasystem has somehow prevailed inside Microsoft and is starting to emerge. This is a big deal. Finally a company with lots of talent that has been wallowing from lack of leadership has stepped up and put a stake in the ground about Identity. Bravo!

政治的かつビジネスの観点からは Kim Cameron のユビキタス・アイデンティティ・メタシステムに関するビジョンはマイクロソフト内部で何とか普及してきており、明らかになってきている。これは重要な事項である。ついにリーダーシップの欠如に悶えていた多くの才能を持つ会社はステップを上りアイデンティティのグラウンドに杭を立てたのだ。万歳!

Everybody else of significance that could be doing something significant with identity infrastructure -- Google, Facebook, and Amazon for starters -- are trapped in their current business models of trafficking your identity for short term profit. For each of them, the little piece they hold captive of your identity is the product by which they are making money. This is both short sighted and unsustainable.

アイデンティティ・インフラストラクチャーで重要なことをすることが出来る他の重要なプレイヤー(Google、Facebook、Amazon)は短期的な利益のために彼らの現在のビジネスモデルである利用者のアイデンティティをトラッキングすることにとらわれている。彼ら各々については、利用者のアイデンティティを縛っている小さな部品が利益を産んでいる製品である。これは短期的かつ永続性がないものである。

Microsoft's plan is much grander. Invest in the hard stuff, solve the really tough identity infrastructure problems across the board -- simple, private, and scalable. By taking this high road, Microsoft is betting it can take the leadership role by increasing the size of the pie for other SaaS services and apps that organizations and individuals want and are willing to pay for. Much more visionary that continuing to fight over whatever crumb you can get based on the current broken model.

マイクロソフトの計画はとても雄大である。投資を行い本当に困難なアイデンティティ・インフラストラクチャーの課題を横断的(シンプル、個別、スケーラブル)に解決する。この確実な道をとることによりマイクロソフトは、組織や個人が望み対価を支払いたいと思うような SaaS サービスやアプリケーションのパイのサイズを広げることでリーダーシップをとることに賭けている。現在の壊れたモデルの上で得られるかけらを巡って戦い続けるのに比べてはるかにビジョンがあると言うことが出来る。

If Microsoft is allowed to pull this off, it is a good thing.

マイクロソフトがこれをやってのけることが出来るとすればとても良いことである。


Stop Gushing and Lay it Out for Me


感傷的にならずに段取りをする

To understand the significance of IDMaaS, it's useful to take a quick look at how identity management systems have evolved.

IDMaaSの重要性を理解するために、アイデンティティ管理システムがどのように発展したかをさっと見ることは有用である。

Figure 1 shows how identities started out being managed within the boundaries of a domain. Domain-based identity managed need hardly be mentioned here as it can't possibly meet any of the requirements for identity management in today's organizational environments. For its day, it worked and it was a good place to start.

図 1 はどのようにアイデンティティがドメイン境界の中で管理され始められたのかを示している。今日の組織環境の中でアイデンティティ管理に対する要求に対してどうしても適合しない場合があるため、ドメインに基づくアイデンティティにはほとんど言及する必要はありません。在りし日にそれは動作し、それは始めるには良い場所であった。


[図 1. ドメイン内のアイデンティティ]


Figure 2 illustrates the first generation of federated identity management systems. This is a powerful model and was a big step forward from the domain model. In this model there is a service provider that accepts claims from an identity provider. A person can then prove who they are to the identity provider and present claims to the service provider to assure proper access to services and resources. This model works when these a relatively small number of parties involved. But as soon as there a diverse number of parties, it quickly breaks down.

図2は、フェデレーテッド・アイデンティティ管理システムの第一世代を示している。これは強力なモデルで、ドメインモデルから大きな前進であった。このモデルでは、アイデンティティ・プロバイダからクレームを受け取るするサービス・プロバイダが存在する。個人はアイデンティティ・プロバイダに対して自身がだれであるかを証明したのち、サービスとリソースへ適切なアクセスを行うためサービス・プロバイダへクレームを提示する。このモデルは比較的少数のパーティだけが含まれる時には動作する。しかし多様なパーティが存在するとこのモデルは崩れ落ちる。


[図 2. アイデンティティ・フェデレーション・モデル]


Figure 3 shows the scenario with diverse people with diverse relationships with different IPs. When you add diverse and numerous types of devices -- cell phones, tablets, laptops and so on -- it even makes the case stronger as to why the current federated identity model is reaching its limits.

図 3 は異なるアイデンティティ・プロバイダとの種々の関係を持つ種々の人々の存在する場合のシナリオを示す。種々・多数のタイプのデバイス(携帯電話、タブレット、ラップトップなど)が存在する場合、何故現在のフェデレーテッド・アイデンティティ・モデルが限界に達しているかについてより理解することが出来る。


[図 3. 多様な人々とデバイス]


So if the Federated Identity model doesn't work, what will? Figure 4 shows one school of thought were a single IP can somehow grow big enough and inclusive enough, it can manage all of the identity claims of all entities. This architecture is both frightening and poorly thought out. People and organizations need to have the freedom of choice of how their identities are managed and not be locked into an identity management silo of a single provider.

フェデレーテッド・アイデンティティー・モデルが使えない場合はどうなるのだろうか?図 4 では単一のアイデンティティ・プロバイダが何とかして十分に大きく、十分に包括的になったとしたら、すべてのエンティティのすべてのアイデンティティ・クレームを管理することが出来る、という考え方を示している。このアーキテクチャは恐ろしく貧弱な案である。人々と組織は、彼らのアイデンティティがどのように管理されるかを選択する自由を持つ必要があり、単一のプロバイダのアイデンティティ管理サイロへロックされる必要はない。


[図 4. 全てのアイデンティティのプロバイダ]


Figure 5 is another -- simpler -- graphic showing how a single organization could have federated relationships with multiple constituents. Again, this approach works to a point, but as soon as you consider the impact of the identity explosion brought on by -- cloud computing, social computing, mobile computing, and the API economy -- this approach simply won't do the job.

図 5 は、単一の組織がどのように多数の構成要素とのフェデレーション関係を持つことができるか示す別の(より単純な)図である。このアプローチもあるポイントについてはうまく行くが、クラウド・コンピューティング、ソーシャル・コンピューティング、モバイル・コンピューティング、そして API エコノミーによってもたらされるアイデンティティの爆発的増大のことを考えるとこのアプローチは単純には動作しない。


[図 5. 多くの構成要素と連携する組織]


Figure 6 then, shows the simplified notion of the IDMaaS architecture. Any number of organizations, constituents or entities can generate and consume claims through the service in the cloud.

図 6 では IDMaaS アーキテクチャーの単純化された概念を示している。どんな数の組織や構成要素やエンティティであってもクラウド上のサービスを経由してクレームを生成し利用することが出来る。


[図 6. 様々な種類と数のエンティティ]


Of course Figure 6 doesn't very effectively illustrate what the three black dots really mean. With the identity explosion we are talking about, the number of entities that are inevitable are several orders of magnitude bigger than anything we have even thought about up to this point.

もちろん、図 6 は、黒い 3 つの点が実際に何を意味するか十分に示していない。アイデンティティの爆発的増加において、エンティティの数はこれまで考えてきたよりも数倍の規模となることは避けられない。

We are in new territory, it is very unclear what is going to happen as a result all of this.

私たちは新しい領域におり、全ての事の結果として起こることは非常に不明瞭である。

The fact that Microsoft seems to be acknowledging this fact and is working with vision to address the matter is highly encouraging.

マイクロソフトがこの事実を認めているように見え、問題に取り組むためのビジョンを持って仕事をしている事実はとても励みになる。

We are not seeing this kind of vision -- or anything close to it -- from any other major vendor to date.

私たちは、他の主なベンダーからこの種のビジョン(あるいはそれに近い何でも)が示されているのを今のところ見ていない。



Caveats

注意

The biggest problem I see here is Microsoft itself. It isn't like Microsoft has the reputation of always taking the high road to enhance technology to the benefit of all. To the contrary, Microsoft has the reputation of pretending to take the high road with an "embrace and extend-like" position while executing an exacting and calculating "embrace and execute" practice. Microsoft has become the arrogant elephant to dance with that IBM once was. Microsoft's past is going to be difficult to shed and it will be a significant effort to convince others that the elephant won't trample on everyone when it gets the chance.

ここでの最も大きな問題はマイクロソフト自体である。マイクロソフトは万人の利益のための技術を拡張するために常に確実な道を通る、という評判を得ているようには見えない。反対にマイクロソフトは、「包含して実行する」ということを実行し強要し計算しつつ「包含して拡張しているようにして」確実な道を通るふりをするという評判を得ている。マイクロソフトは IBM が一度はそうであったように傲慢な踊る象になった。マイクロソフトの過去は拭い去ることは困難となってきており、その像が機会があっても他者を踏みつけないということを確信さえるための努力は多大なものとなるであろう。


[図 7. 新しいマイクロソフト?]


So the tough questions are:
  • Can Microsoft really execute on such a brave direction?
  • Will Microsoft follow up on allowing true "Freedom of Choice" for the customer? (Think interoperability. i.e. IDMaaS from any vendor, not just MSFT)
  • Will the RESTful implementation be usable?
  • Can the technology transcend the limitations of Kerberos and LDAP as it moves Active Directory to the cloud?


ここで難しい疑問点を挙げてみる。

  • マイクロソフトは本当にそのような勇敢な方向性に進むことが出来るのか?
  • マイクロソフトは顧客の「選択の自由」を許可するのか?(相互運用性。つまりマイクロソフトだけでなく任意のベンダの IDMaaS)
  • RESTful インプリメンテーションは利用可能なのか?
  • クラウド上の Active Directory へ移行するときに Kerberos や LDAP の制限を超えられるのか?




Summary

まとめ

My explanation is a simplified one, but if you study it a bit, you will start to see where Microsoft is going.

私の説明は単純なものだがあなたが少し研究すればマイクロソフトがどこに行くのかを理解し始めることが出来るであろう。

In short, the vision of an Identity Metasystem based on Identity Management as a Service is brilliant thinking.

要約すると Identity Management as a Service に基づくアイデンティティ・メタシステムのビジョンは見事な考え方である。

The proof will be found in how Microsoft executes.

その証明はマイクロソフトがどのように実行するかを見ていけば見つけることが出来るであろう。

There is a lot to work out here to show if this can really work. But I believe it can happen. Microsoft is in a good position to garner the expertise to give us this first implementation so organizations and people can start to vet the idea and see if this can really fly.

これが実際に動くためにはしなければならないことが多数ある。しかし私はそれが起こると信じている。マイクロソフトは専門知識を集めるために良いポジションにおり、組織や人がそのアイデアを調べて実際に使えるのかどうかを見ることが出来るような最初のインプリメンテーションを示すことが出来る。

I will be anxious to watch carefully at the progress of this direction.

私はこの取組の進行を注意深く見守っていこうと思う。




2012年6月3日日曜日

[FIM 2010] R2 と BHOLD Suite が MSDN / Technet でダウンロード可能に

Forefront Identity Manager 2010 R2 と 先日マイクロソフトが買収した BHOLD の製品が MSDN と Technet でダウンロード可能になっています。
※まだ製品として統合はされずに別々にリリースされています。

あわせて Technet 上に各製品のドキュメントもアップされています。

Forefront Identity Manager 2010 R2
http://technet.microsoft.com/en-us/library/hh322910(v=ws.10)

Microsoft BHOLD Suite
http://technet.microsoft.com/en-us/library/jj134096(v=ws.10)

現在、BHOLD Suite のセットアップをしている途中ですが、毎度のことでややこしいインストールプロセスになりそうなので、手順のまとめが必要そうです。。