2010年7月20日火曜日

3rdパーティ製のFIM管理エージェント

FIM(特にILM)はやはり開発をある程度意識した製品なので、3rdパーティのISVから色々な管理エージェント(MA)がリリースされてきました。
有名なのでOmadaですが、他にも色々な会社がFIMの機能を拡張すべく各種製品やアドインをリリースしています。

そんな3rdパーティ製のMAの一覧がtechnet blogで紹介されています。

Identity Forge

メインフレーム関連との接続MAをリリースしています。

・ACF2, Top Secret, RACF, i5 Management Agent for FIM

 IBM RACFやCICSなどのメインフレームとの連携用のMA

・Unix MA

 SolarisやHP-UX等のUNIXユーザやグループアカウントの連携用のMA

・SAP

 ERP、HW、Web Servicesとの連携用のMA

・Directory Service MA

 Active DirectoryやLDAPv3などある程度ビルトインで持っているものではありますが、恐らくそれらの拡張


Omada

 この会社の最大の特徴はOmaca Connectivity FrameworkというFIM/ILMを拡張するベースフレームワークを持っている点です。このフレームワークを使って各種MAをリリースしている様です。

・SAP

 ERPやHR、Web Servicesに加えてGRC連携も出来るようです。

・System Center Configuration Manager MA

 コンピュータアカウントの管理をSCCMと連携して実施する様なもののようです。

・Exchange Objects MA

 これもある程度はビルトインで持っているものはありますが、拡張しているようです。

・File Share MA

 ファイル共有を追加~変更~削除するためのMAです。

・Home Folder MA

 ホームフォルダの作成や変更、アクセス権の付加などを行うMA

・PowerShell MA

 PowerShellを実行するためのMA

・Initial Load MA

・SharePoint MA


Oxford Computer Group

・SharePoint MA

・SAP MA

・Delta Generator MA

 差分同期をサポートしていないシステムで差分同期をサポートでセル

・BlackBerry

 Black Berry Enterprise Serviceとの連携


■Unify

・様々な連携先を束ねるIdentity Brokerを持っており、MOSSやIBM TIMなど様々なマネジメンなエージェントをサポートする様です。


Schadkra

・Home Directory Management MA


■コミュニティ
sourceforgeやcodeplex上でも各種MAが展開されています。

・Dynamics AX MA
・Sharepoinit List Management Agent
・OpenLDAP MA



と言うようにUSを見ると色々な会社がFIMのエージェント等でソリューションビジネスを実行しているようです。残念ながら日本ではFIMのインテグレーションサービスはある程度立ち上がったものの、先のUSの例の様に独自にパッケージ化している様な事例は見受けられません。
今後日本でもある程度パッケージ化出来るような形が出てくれば良いのだろうとは思いますが、業務的にも例外が多すぎてパッケージ化のメリットが出にくい環境なのかも知れません。

FIM Tips FIMポータルをSSL対応する際の注意点

FIMポータルのアンインストールウィザードはhttp://localhostというWebアプリケーション上にソリューションパッケージがデプロイされていることを前提に動作するので、SSL化やURLの変更を行ってしまいhttp://localhostでアクセス出来ない状態にしてしまうとアンインストール作業が出来なくなってしまいます。







↑http://localhostにアクセスできない状態でアンインストールするとエラーが出る

ただ、FIMポータルへのアクセスはSSLで行うのがセオリーであるため、実際の運用環境においてはhttpでのアクセスは許可していないケースが多いと思います。
そのような環境化でFIMポータルをアンインストールする場合は以下の手順を踏む必要があります。

1.WSS(Windows Sharepoint Services)で代替アクセスマッピングの設定
2.IISでhttpバインド設定














WSSの代替URLの設定方法は下記が参考になります。
http://archive.sharepoint.orivers.jp/blogs/orivers/archive/2006/12/12/sharepoint-2007-ssl.aspx

こうするとアンインストールが成功します。



上記を踏まえFIMポータルをSSL対応させようとすると2つの方法が考えられます。
①最初からSSL対応サイトとしてWebアプリケーションを作成する
②最初は非SSLサイトとしてWebアプリケーションを作成し、後からSSL化する


①のケースだと後からやっぱりSSLは使わない、という形に根本的にWebアプリケーションを設定しなおすことが出来ないので、出来れば②のケースを使う方が柔軟性と言う意味で良いのかも知れません。
ただ、実際にはセキュリティ的な優先順位の方が上でしょうから①のケースでインストールをすることが多いのかも知れません。

①のケースの手順は以下のとおりです。

1.SSL対応でWebアプリケーションの作成

  WSSをインストール後、WebアプリケーションをSSL対応として作成します。












  ※IIS管理コンソールで該当サイトのバインド設定で証明書を設定する必要があります。

2.FIMポータルのインストール

  FIMポータルのインストール時、WebアプリケーションのURLとしてhttps://localhostを指定します。

















逆に②のケースの場合は以下の手順でインストールします。

1.SSL非対応でWebアプリケーションの作成

2.FIMポータルのインストール

  この場合、デフォルトのhttp;//localhostへインストールします。

3.WSSで代替URLの設定

  先ほどのアンインストール手順とは逆でhttpsのURLをマッピングします。
  ※必ずしも代替URLをマッピングしなくても下記のバインド設定だけでも動作はしますが、証明書のCNとURLをあわせるという意味で代替URLを使ったほうが柔軟です。














4.IISで該当のサイトのバインド設定でhttps設定を追加し、証明書を設定










5.IISで該当のサイトのバインド設定でhttpを削除する


この場合、アンインストールする際はhttpのバインド設定を追加するだけで対応が出来ます。


※ちなみにFIM Serviceのデータベース自体はアンインストールしても削除されないので手動で削除が必要です。

2010年7月13日火曜日

FIM2010 Metaverse Router on Codeplex

MIIS/ILM/FIMでのプロビジョニング(コードレスではない方)を効率的に行うためのアーキテクチャとして以前紹介したMetaverseRouterがcodeplexでバイナリで公開されています。

作者のblog:http://kdmitry.spaces.live.com/blog/cns!2CED76B86679A4C9!751.entry
codeplexのページ:http://metaverserouter.codeplex.com/

MSIファイルとして提供のでインストールを行うのですが、MIISやILMでも使えることを想定してか32bit環境でビルドされているようです。おかげでProgram Files (x86)\Microsoft Forefront Identity Manager\2010\Synchronization Serviceの下に実際のDLL(Extensions以下)と設定用のXML(MaData以下)が配置されてしまいます。

Forefront Identity Manager 2010で使う場合は64bit環境になりますので、手動でDLLとXMLを実際のインストール先(デフォルトはC:\Program Files\Microsoft Forefront Identity Manager\2010\Synchronization Service以下)にコピーもしくは移動する必要があります。

後は、Synchronization Service ManagerのオプションからMetaverse Rules Extensionを有効にしてコピーしたMetaverseRouter.dllを指定して、実際の接続先毎のDLLを設定ファイルに以下の形で記載すれば完了です。(もちろん各DLLはあらかじめ作成しておく必要がありますが)

<?xml version="1.0" encoding="utf-8" ?>
<modules enabled="true" xmlns:xsi='http://www.w3.org/2001/XMLSchema-instance' xsi:noNamespaceSchemaLocation="MetaverseRouter.xsd">
<module name="C:\Program Files\Microsoft Identity Integration Server\Extensions\MV.File01.dll" index ="0" enabled ="true"/>
<module name="C:\Program Files\Microsoft Identity Integration Server\Extensions\MV.File02.dll" index ="1" enabled ="true"/>
<module name="C:\Program Files\Microsoft Identity Integration Server\Extensions\MV.File03.dll" index ="2" enabled ="false" />
</modules>



実際のコードは(おそらく)以下のものと同じもしくは同等のものだと思いますので仕組みはソースを見ればわかるかと思います。

MSDNに公開されているコード
http://blogs.msdn.com/b/therabournidentity/archive/2007/12/11/miis-ilm-code-experiment-xml-based-miis-ilm-metaverse-router-part-1.aspx?wa=wsignin1.0

FIM2010 関数リファレンス

まだFIMがILM"2"と言われていた時代にコードレスプロビジョニングで使える関数の一覧を紹介したことがありますが、ようやくオフィシャルに関数のリファレンスが出てきました。(まだ英語ですが)


ネタ的にTechnetなのか?という疑問はありますが実際に同期規則を作成する際は必ず使うものなので要ブックマークです。

2010年7月12日月曜日

ADFS2.0の相互運用性 [7/26更新]

以前ADFS2.0がSAML2.0の相互運用性テストにパスした、という話題がありましたがSAMLに対応した他のSSO製品やサービスとの連携の情報が少しずつ出てきました。


◆他のフェデレーション/SSO製品との相互運用性
Sun OpenSSO

IBM Tivoli Federated Identity Manager

CA SiteMinder

7/26更新
Oracle Identity Federation

また、SAMLに対応しているサービスとの連携については某所で記事を近々公開する予定なので、乞うご期待!
ちなみに、GoogleApps、Salesforce.com、Windows LiveID、Windows Azureとの連携のHow Toを公開予定です。

↓調査・実験の過程の各所の私の足跡(というか残骸)です。待ちきれない方はご参考までに(笑)
GoogleApps

Salesforce.com

2010年7月1日木曜日

KBQ983444を適用するとFIMポータルへアクセス不可

FIM2010のポータルはWSS3.0上にデプロイされるので基盤となるWSS3.0へのパッチ適用は慎重にしないといけません、という例です。

6月頭にリリースされたWSS3.0へのセキュリティパッチ(KBQ983444)を適用するとFIMポータルへのアクセスが出来なくなる、という事象が発生するようです。(URL Not Foundになるらしい)
イベントログをみるとMSSQL(Windows Internal Database)がイベントID 33002を出しているので、判別できると思います。

治し方ですが、管理者でコマンドプロンプトを開いて、
C:\Program Files\Microsoft Shared\web server extensions\12\binへ移動して
「psconfig -cmd upgrade -inplace b2b -wait -force」
を実行します。

セキュリティパッチはこのように複数の製品群が絡み合って出来ているソリューションにおいては十分に検証してから適用する運用が大切ですね。

ネタ元)Jorge's Quest for Knowledge
http://blogs.dirteam.com/blogs/jorge/archive/2010/06/29/windows-sharepoint-services-3-0-breaks-after-installing-update-ms-kbq983444.aspx