2009年11月28日土曜日

FIM2010のパフォーマンス その1

ILM"2"RC0からFIM2010RC1でのエンハンスされた点の一つに「パフォーマンス」があげられていたことを覚えておいででしょうか?
https://idmlab.eidentity.jp/2009/09/fim2010rc1.html

FIM2010の製品チームのDarryl RussiさんがblogでFIM2010のパフォーマンステストについて書いているので、実際どうなのかblogをみていくことにします。

イントロダクションをみると、以下の視点で解説がされることになっています。

1.トポロジ
  FIM2010をどのようなトポロジで配備することができるのか?(SQL ServerはFIMServiceと同一筺体に配置するべきなのか?ネットワークロードバランサは使うのか?など)に関して

2.ハードウェア
  トポロジ内の各要素をどのようなハードウェアの上で動かすのか?(CPU、メモリ、ディスク、ネットワークは?またドライブ構成やSQL Serverの物理設計は?など)に関して

3.ポリシーオブジェクト
  SETやMPR、スキーマ、ワークフロー、同期ルールなどのFIM2010の中のキーとなるコンポーネント(ポリシーオブジェクト)をどのように構成するのかに関して

4.スケール
  通常ユーザ数に関連して検討されるスケール(アウト)ですがFIMにおいてはオブジェクトタイプ(グループの数とタイプは?動的グループはあるかなど)についても重視する必要がある。

5.ロード
  グループの作成の頻度やパスワードリセット時の負荷、ポータルアクセスかOutlookのアドインか?による負荷(ロード)に関して



次回からこれらの各要素について紐解いていくことにします。

2009年11月20日金曜日

[PDC09]S+S IdentityそしてWIF1.0

USではPDC09が盛り上がっているようですね。
現場の様子は砂金さんがtwitterとblogで実況していただいていたり、オンデマンドの動画配信があるので国内にいても色々と情報を入手できます。

さて、そんな中Kim Cameronのセッションの中でRC1からまだ2週間も経っていないのにWindows Identity Foundation 1.0が発表されてしまいました。
















PDC09のKim Cameronによるセッション「Software + Services Identity Roadmap Update」の資料および動画はこちらからダウンロードできます。

Windows Identity Foundation(WIF)関係では下記のものがリリースされました。
Windows Identity Foundation
Windows Identity Foundation SDK
Identity Developer Training Kit (PDC 2009)

他にもMicrosoft .NET Services SDK (Nov 2009 CTP)などもリリースされています。

さすが開発者向けのビッグイベントですね。

今さっそく色々と試していますので、またレポートしようと思います。

2009年11月16日月曜日

FIM2010のライセンスモデル

まだリリース前の製品なので完全に確定しているのかどうかは不明確ですが、Technetフォーラムでマイクロソフトのモデレータの方が下記のように発言しています。

FIM 2010 is licensed on a Server + User CAL basis:

・User CALs are required for each person who accesses FIM 2010
 ・Users for whom the software issues or manages identity information (including digital certificates)
 ・Admins accessing the FIM 2010 management capabilities
・As in ILM 2007, user access to certificate and smart card management (subset of credential management) requires user CALs
・Exception: CALs are not required to synchronize identity information using ILM
2007 server or MIIS 2003 server technology.
 This is use of only FIM Synchronization Server and not FIM Service, FIM Portal or FIM Certificate Management.
・Server license is required for each server that the software is installed on
・There are no Device CALs

簡単にポイントを意訳すると、
・サーバライセンスとユーザCALで構成される
・ユーザCALはFIM2010(ポータル)にアクセスするユーザ、管理者に対して必要となる
・ILM2007/MIISの同期の仕組み(FIM Synchronization Serivce)を使う分にはユーザCALは不要である
・サーバライセンスはソフトウェアがインストールされる各サーバに必要
・デバイスCALはない
ということです。

基本的にILM2007と同様にID情報の同期だけを行うだけならサーバライセンスのみで済みそうですが、(ILM2007でもCLMの機能を使うとCALが必要だったように)デジタル証明書を管理したり、セルフサービスや管理者アクセスを含むポータルアクセスについてはCALが必要になります。
FIMのメリットであるcodeless provisioningやワークフローなどを使うためにはやはり追加で投資が必要になりそうです。
この辺りはこれまで通りの同期の仕組みを続けるのか、追加投資をして新機能を使うのかについて慎重に比較していくことになると思いますが、このライセンスの話だけではなく既存システムからの移行の手間を考えてもしばらくはILM2007/MIISの仕組みが引き続き使われることになるかもしれません。

2009年11月11日水曜日

続[ILM2007→FIM2010]データベースごと移行してみる

時間が経ってしまいましたが、先日の続きです。

先日はILM2007とFIM2010RC1ではSynchronization Serviceの使うデータベースの名前が異なるのでインストーラが引継ぎ対象として認識をしてくれない、というところで終わっていました。

その後、試験的に移行元のデータベース名を新しいもの(FIMSynchronizationService)に変更して移行検証をしたところ、問題なく動いてしまいました。
ただ、感覚的にデータベース名を変更する、というのは無理やりな気がしていたので「マイクロソフトがサポートする正式な方法は何なのか?」という観点で情報を集めてみました。
その中でTechnetフォーラムで質問してみたらマイクロソフトの方から返信がありました。
http://social.technet.microsoft.com/Forums/ja-JP/ilm2/thread/780de881-b223-4ad7-9f9e-8617615a90c8

「データベースのリネームという方法でインストーラは移行元として認識をするのか?マイクロソフトとしてこの方法はサポートされるのか?」という質問に対し、

Yes,

Renaming an ILM2007 FP1 Sync Service database and use it with FIM 2010 is supported. That is the only supported upgrade scenario from ILM 2007 to FIM 2010.

という回答をいただきました。
結局この方法しかなく、かつサポートされるということなのでこれが正式な方法だった、ということです。
※当然RCの話なので製品版でどうなるかはわかりませんが・・・


ということで、間単に手順を紹介しておきます。
※前提としてILM2007のデータベースをSQL Server 2008 CU2以降にアップグレードした状態になっていることとします。

1.データベースをシングルユーザモードにする

  メンテナンスを行うので当然シングルユーザモードにする必要があります。ということは当然このデータベースを使っているILM2007はとめておく必要があります。


















2.データベースの名前を変更する

  SQL Server Management Studioからデータベース名を変更します。(データベースを選択して右クリック→名前の変更でOKです)




















3.FIM2010RC1のSynchronization Serviceをインストールする

  先のデータベースを使うようにインストールを行います。するとRC0の時と同じように既存のデータベースを使うかどうか?というダイアログが表示されるので、「Yes」を選択しインストールを実行します。

















4.Synchronization Service(旧Identity Manager)の動作を確認する

  普通に起動し、動作できるか確認します。前回お話したようにDLLのリコンパイルは不要でしたが、MADATA以下のMA用フォルダの再作成およびデータのコピーは必要です。

2009年11月9日月曜日

FIM2010RC1 update1リリース

先日リリースされたばかりのFIM2010RC1ですが、早くもupdate 1がconnectサイトで公開されています。(要登録)

間もなく一般にはMicrosoft Update経由で公開される予定ですが、現状はこのサイトから個別にダウンロードする必要があります。

対象コンポーネントとダウンロードできるファイル名は下記の通りです。

ComponentFilename
FIM 2010 RC1 Synchronization Service (Evaluation edition--this is the version in the public download)FIMSyncService_EVAL_KB976465.exe
FIM 2010 RC1 Service and PortalFIMService_KB976465.exe
FIM 2010 RC1 Service and Portal Language PacksFIMServiceLP_KB976465.cab
FIM 2010 RC1 Add-ins and ExtensionsFIMAddinsExtensions_KB976465.cab
(Note: versions included for x86 and x64)
FIM 2010 RC1 Add-ins and Extensions Language PackFIMAddinsExtensionsLP_KB976465.cab
(Note: versions included for x86 and x64)



さて、update内容ですがリリースノートによると下記の通りです。
■QueryとSet
・動的Setのメンバシップ情報が間違っていることに起因した問題の解決
・マルチバリューの属性へのXPathクエリにおける!=オペレータの削除
 →今後はnot()関数を使う必要があります
■Synchronization Engine
・マルチマスタ環境(複数の同期元がある状態)においてmember属性を削除してもADとFIMのFull同期時に属性が書き戻されてしまう問題を解決
■ワークフロー
・ワークフローは作成された際のFIM Serviceの外部ホスト名と同じサーバでのみ動作するようになった。このことにより機能毎にFIM Serviceホストを分割することが可能になった。
・要求がタイムアウトした場合にRequestStatus属性がValidatingのまま残る問題を解決
・EnumerateResourcesActivityを使用した際に選択した属性だけでなくすべての属性が返却されてしまう問題を解決
■下記に関連するその他問題の解決と改良
・MPR(Managed Policy Rules)
・ポータルユーザインターフェイス
・セルフサービスパスワードリセット
・スキーマ


来年1月(予定)の正式ローンチに向けて大詰めといった感じでしょうか。

2009年11月6日金曜日

[終了]カンターラ・イニシアティブ・シンポジウム2009

以前ご紹介したカンターラ・イニシアティブ・シンポジウム2009が終わりました。

想像以上の動員で130~150人くらいは来場していたのではないでしょうか?

さて、内容です。

14:05~15:05 基調講演 "Why Kantara matters to ISOC and the Internet" (同時通訳)
Lucy Lynch
Trustee, Kantara Initiative
Director of Trust and Identity Initiatives, Internet Society

まずはLucyさんの基調講演ですが、こちらは非常にジェネラルというかインターネットとセキュリティや標準化の歴史的な話が中心だったのですが、おさらいの意味でとても役に立ちました。


15:10~15:30 一般講演 「アイデンティティ管理の『現在・過去・未来』」
金子以澄
日本CA株式会社 マーケティング部 マーケティングマネージャー

次にCA金子さんのセッションです。こちらは特にエンタープライズにおける課題とアイデンティティ管理関連技術の移り変わりがとてもきれいにまとめられていて、ある意味これまで技術仕様の解説中心だったLiberty/Kantaraの中ではかつてないほどわかりやすいセッションだったと思います。


15:30~16:00 一般講演 「カンターラ・イニシアティブにおける分科会の取組み事例」
伊藤宏樹
日本電信電話株式会社 NTT情報流通プラットフォーム研究所

伊藤さんのセッションでは各分科会の活動内容概要が紹介されました。IAFやUMAなど今後のID連携システムが普及する上でキーとなりそうなものについて簡単にまとめられていました。
ちなみにIAF(Identity Assurance Framework)では
・認証行為の保証レベルの規定
・各保障レベルに応じて必要となる実装/管理運用体制に関する規定
が定められます。
これにより、扱うID情報の種類のレベル付けや管理体制の定義、およびそれらを外部から監査するという枠組みが規定され信頼性を担保します。(ISMSなどと同じイメージ)
監査を通過すれば対象となるプロバイダにKantaraがお墨付きを与える、というようなことも検討しているようです。

また、UMA(User Management Access)ですが、こちらはユーザセントリックな環境においてユーザが複数のサービス(IdP、SP)を使う際に個別にID情報の伝搬の可否を判断することになり、利便性/確実性が低下することを防ぐための取り組みです。具体的には個々で行っていたアクセスコントロールをAuthorization Managerというコンポーネントを介在させることで用語やインターフェイスを統一させて混乱を防ぐことを考えているようです。


16:15~17:00 特別講演 「健康情報活用基盤 (日本版EHR) の全体構想について」
山本隆一
東京大学情報学環・学際情報学府 准教授 医学博士

山本先生の話は話し方、内容ともに非常に刺激的な内容で非常に面白かったです。
つかみは医療におけるITの活用の歴史から始まり、「保健医療情報は本来個人に帰属すべきである」という考え方に基づく基盤構想の紹介(ユーザセントリックですね)、浦添市における実証実験の内容の紹介、と生活に密着しているが故に興味深い内容でした。
この構想ではキーとして社会保障カードを使い、ID登録/カード発行は行政サービスとして自治体が行い、ID情報の取り扱いにはSAML2.0/ID-WSF2.0が使われていました。また、ポイントは扱う情報の中に「関係」という属性を持たせており、例えばフィットネスクラブで計測した体重などの情報についても主治医として関係付けがされた機関(SP)からは情報の参照が出来たり、という属性ベースのアクセスコントロール的なことが行われていました。


17:00~17:30 事例研究 「事例でみるID管理技術の使い分け(仮) 」
澤井 真二
日本オラクル株式会社 Fusion Middleware事業統括本部 Security SC部

こちらはオラクルさんによる事例紹介です。
澤井さんの組織の名前を見てもわかるようにオラクルではIdM製品群をセキュリティ製品の中心に置いているのでIdM導入のゴールはセキュリティ・コントロールというところに置いているのが印象的でした。


17:30~18:00 事例研究 「J-SaaS における SAML2.0 の適用」
永野 一郎
NTTソフトウェア株式会社 モバイル&セキュリティ・ソリューション
事業グループ セキュリティソリューションチーフエキスパート


こちらも事例ベースの話です。
特に印象深かったのはSSOした後に別のIDへの切り替えをしなければならない、という要件への対応です。これは企業で兼務対応などをする際には実際にあり得る話だなぁと思います。(例えばログインはA部の部長としてするが、特定のシステムにおいては出向先の本部長としてのアクセスが必要、、とか)
この事例ではSAML2.0のForceAuthnを使っていました。



と、ざっと感想めいたことを書いてみましたが、おいおい資料なども公開されるようですので、本日参加できなかった方も是非参考にしていただければ、と思います。