FIM(特にILM)はやはり開発をある程度意識した製品なので、3rdパーティのISVから色々な管理エージェント(MA)がリリースされてきました。
有名なのでOmadaですが、他にも色々な会社がFIMの機能を拡張すべく各種製品やアドインをリリースしています。
そんな3rdパーティ製のMAの一覧がtechnet blogで紹介されています。
■Identity Forge
メインフレーム関連との接続MAをリリースしています。
・ACF2, Top Secret, RACF, i5 Management Agent for FIM
IBM RACFやCICSなどのメインフレームとの連携用のMA
・Unix MA
SolarisやHP-UX等のUNIXユーザやグループアカウントの連携用のMA
・SAP
ERP、HW、Web Servicesとの連携用のMA
・Directory Service MA
Active DirectoryやLDAPv3などある程度ビルトインで持っているものではありますが、恐らくそれらの拡張
■Omada
この会社の最大の特徴はOmaca Connectivity FrameworkというFIM/ILMを拡張するベースフレームワークを持っている点です。このフレームワークを使って各種MAをリリースしている様です。
・SAP
ERPやHR、Web Servicesに加えてGRC連携も出来るようです。
・System Center Configuration Manager MA
コンピュータアカウントの管理をSCCMと連携して実施する様なもののようです。
・Exchange Objects MA
これもある程度はビルトインで持っているものはありますが、拡張しているようです。
・File Share MA
ファイル共有を追加~変更~削除するためのMAです。
・Home Folder MA
ホームフォルダの作成や変更、アクセス権の付加などを行うMA
・PowerShell MA
PowerShellを実行するためのMA
・Initial Load MA
・SharePoint MA
■Oxford Computer Group
・SharePoint MA
・SAP MA
・Delta Generator MA
差分同期をサポートしていないシステムで差分同期をサポートでセル
・BlackBerry
Black Berry Enterprise Serviceとの連携
■Unify
・様々な連携先を束ねるIdentity Brokerを持っており、MOSSやIBM TIMなど様々なマネジメンなエージェントをサポートする様です。
■Schadkra
・Home Directory Management MA
■コミュニティ
sourceforgeやcodeplex上でも各種MAが展開されています。
・Dynamics AX MA
・Sharepoinit List Management Agent
・OpenLDAP MA
と言うようにUSを見ると色々な会社がFIMのエージェント等でソリューションビジネスを実行しているようです。残念ながら日本ではFIMのインテグレーションサービスはある程度立ち上がったものの、先のUSの例の様に独自にパッケージ化している様な事例は見受けられません。
今後日本でもある程度パッケージ化出来るような形が出てくれば良いのだろうとは思いますが、業務的にも例外が多すぎてパッケージ化のメリットが出にくい環境なのかも知れません。
2010年7月20日火曜日
FIM Tips FIMポータルをSSL対応する際の注意点
FIMポータルのアンインストールウィザードはhttp://localhostというWebアプリケーション上にソリューションパッケージがデプロイされていることを前提に動作するので、SSL化やURLの変更を行ってしまいhttp://localhostでアクセス出来ない状態にしてしまうとアンインストール作業が出来なくなってしまいます。
①のケースだと後からやっぱりSSLは使わない、という形に根本的にWebアプリケーションを設定しなおすことが出来ないので、出来れば②のケースを使う方が柔軟性と言う意味で良いのかも知れません。
1.SSL対応でWebアプリケーションの作成
WSSをインストール後、WebアプリケーションをSSL対応として作成します。
↑http://localhostにアクセスできない状態でアンインストールするとエラーが出る
ただ、FIMポータルへのアクセスはSSLで行うのがセオリーであるため、実際の運用環境においてはhttpでのアクセスは許可していないケースが多いと思います。
そのような環境化でFIMポータルをアンインストールする場合は以下の手順を踏む必要があります。
1.WSS(Windows Sharepoint Services)で代替アクセスマッピングの設定
2.IISでhttpバインド設定
そのような環境化でFIMポータルをアンインストールする場合は以下の手順を踏む必要があります。
1.WSS(Windows Sharepoint Services)で代替アクセスマッピングの設定
2.IISでhttpバインド設定
WSSの代替URLの設定方法は下記が参考になります。
http://archive.sharepoint.orivers.jp/blogs/orivers/archive/2006/12/12/sharepoint-2007-ssl.aspx
こうするとアンインストールが成功します。
上記を踏まえFIMポータルをSSL対応させようとすると2つの方法が考えられます。
①最初からSSL対応サイトとしてWebアプリケーションを作成する
②最初は非SSLサイトとしてWebアプリケーションを作成し、後からSSL化する
http://archive.sharepoint.orivers.jp/blogs/orivers/archive/2006/12/12/sharepoint-2007-ssl.aspx
こうするとアンインストールが成功します。
上記を踏まえFIMポータルをSSL対応させようとすると2つの方法が考えられます。
①最初からSSL対応サイトとしてWebアプリケーションを作成する
②最初は非SSLサイトとしてWebアプリケーションを作成し、後からSSL化する
①のケースだと後からやっぱりSSLは使わない、という形に根本的にWebアプリケーションを設定しなおすことが出来ないので、出来れば②のケースを使う方が柔軟性と言う意味で良いのかも知れません。
ただ、実際にはセキュリティ的な優先順位の方が上でしょうから①のケースでインストールをすることが多いのかも知れません。
①のケースの手順は以下のとおりです。
1.SSL対応でWebアプリケーションの作成
WSSをインストール後、WebアプリケーションをSSL対応として作成します。
※IIS管理コンソールで該当サイトのバインド設定で証明書を設定する必要があります。
2.FIMポータルのインストール
FIMポータルのインストール時、WebアプリケーションのURLとしてhttps://localhostを指定します。
2.FIMポータルのインストール
FIMポータルのインストール時、WebアプリケーションのURLとしてhttps://localhostを指定します。
逆に②のケースの場合は以下の手順でインストールします。
1.SSL非対応でWebアプリケーションの作成
2.FIMポータルのインストール
1.SSL非対応でWebアプリケーションの作成
2.FIMポータルのインストール
この場合、デフォルトのhttp;//localhostへインストールします。
3.WSSで代替URLの設定
先ほどのアンインストール手順とは逆でhttpsのURLをマッピングします。
3.WSSで代替URLの設定
先ほどのアンインストール手順とは逆でhttpsのURLをマッピングします。
※必ずしも代替URLをマッピングしなくても下記のバインド設定だけでも動作はしますが、証明書のCNとURLをあわせるという意味で代替URLを使ったほうが柔軟です。
4.IISで該当のサイトのバインド設定でhttps設定を追加し、証明書を設定
5.IISで該当のサイトのバインド設定でhttpを削除する
この場合、アンインストールする際はhttpのバインド設定を追加するだけで対応が出来ます。
※ちなみにFIM Serviceのデータベース自体はアンインストールしても削除されないので手動で削除が必要です。
この場合、アンインストールする際はhttpのバインド設定を追加するだけで対応が出来ます。
※ちなみにFIM Serviceのデータベース自体はアンインストールしても削除されないので手動で削除が必要です。
2010年7月13日火曜日
FIM2010 Metaverse Router on Codeplex
MIIS/ILM/FIMでのプロビジョニング(コードレスではない方)を効率的に行うためのアーキテクチャとして以前紹介したMetaverseRouterがcodeplexでバイナリで公開されています。
作者のblog:http://kdmitry.spaces.live.com/blog/cns!2CED76B86679A4C9!751.entry
codeplexのページ:http://metaverserouter.codeplex.com/
MSIファイルとして提供のでインストールを行うのですが、MIISやILMでも使えることを想定してか32bit環境でビルドされているようです。おかげでProgram Files (x86)\Microsoft Forefront Identity Manager\2010\Synchronization Serviceの下に実際のDLL(Extensions以下)と設定用のXML(MaData以下)が配置されてしまいます。
Forefront Identity Manager 2010で使う場合は64bit環境になりますので、手動でDLLとXMLを実際のインストール先(デフォルトはC:\Program Files\Microsoft Forefront Identity Manager\2010\Synchronization Service以下)にコピーもしくは移動する必要があります。
後は、Synchronization Service ManagerのオプションからMetaverse Rules Extensionを有効にしてコピーしたMetaverseRouter.dllを指定して、実際の接続先毎のDLLを設定ファイルに以下の形で記載すれば完了です。(もちろん各DLLはあらかじめ作成しておく必要がありますが)
実際のコードは(おそらく)以下のものと同じもしくは同等のものだと思いますので仕組みはソースを見ればわかるかと思います。
MSDNに公開されているコード
http://blogs.msdn.com/b/therabournidentity/archive/2007/12/11/miis-ilm-code-experiment-xml-based-miis-ilm-metaverse-router-part-1.aspx?wa=wsignin1.0
作者のblog:http://kdmitry.spaces.live.com/blog/cns!2CED76B86679A4C9!751.entry
codeplexのページ:http://metaverserouter.codeplex.com/
MSIファイルとして提供のでインストールを行うのですが、MIISやILMでも使えることを想定してか32bit環境でビルドされているようです。おかげでProgram Files (x86)\Microsoft Forefront Identity Manager\2010\Synchronization Serviceの下に実際のDLL(Extensions以下)と設定用のXML(MaData以下)が配置されてしまいます。
Forefront Identity Manager 2010で使う場合は64bit環境になりますので、手動でDLLとXMLを実際のインストール先(デフォルトはC:\Program Files\Microsoft Forefront Identity Manager\2010\Synchronization Service以下)にコピーもしくは移動する必要があります。
後は、Synchronization Service ManagerのオプションからMetaverse Rules Extensionを有効にしてコピーしたMetaverseRouter.dllを指定して、実際の接続先毎のDLLを設定ファイルに以下の形で記載すれば完了です。(もちろん各DLLはあらかじめ作成しておく必要がありますが)
| <?xml version="1.0" encoding="utf-8" ?> <modules enabled="true" xmlns:xsi='http://www.w3.org/2001/XMLSchema-instance' xsi:noNamespaceSchemaLocation="MetaverseRouter.xsd"> <module name="C:\Program Files\Microsoft Identity Integration Server\Extensions\MV.File01.dll" index ="0" enabled ="true"/> <module name="C:\Program Files\Microsoft Identity Integration Server\Extensions\MV.File02.dll" index ="1" enabled ="true"/> <module name="C:\Program Files\Microsoft Identity Integration Server\Extensions\MV.File03.dll" index ="2" enabled ="false" /> </modules> |
実際のコードは(おそらく)以下のものと同じもしくは同等のものだと思いますので仕組みはソースを見ればわかるかと思います。
MSDNに公開されているコード
http://blogs.msdn.com/b/therabournidentity/archive/2007/12/11/miis-ilm-code-experiment-xml-based-miis-ilm-metaverse-router-part-1.aspx?wa=wsignin1.0
FIM2010 関数リファレンス
まだFIMがILM"2"と言われていた時代にコードレスプロビジョニングで使える関数の一覧を紹介したことがありますが、ようやくオフィシャルに関数のリファレンスが出てきました。(まだ英語ですが)
ネタ的にTechnetなのか?という疑問はありますが実際に同期規則を作成する際は必ず使うものなので要ブックマークです。
2010年7月12日月曜日
ADFS2.0の相互運用性 [7/26更新]
以前ADFS2.0がSAML2.0の相互運用性テストにパスした、という話題がありましたがSAMLに対応した他のSSO製品やサービスとの連携の情報が少しずつ出てきました。
◆他のフェデレーション/SSO製品との相互運用性
Sun OpenSSO
IBM Tivoli Federated Identity Manager
CA SiteMinder
7/26更新
Oracle Identity Federation
また、SAMLに対応しているサービスとの連携については某所で記事を近々公開する予定なので、乞うご期待!
ちなみに、GoogleApps、Salesforce.com、Windows LiveID、Windows Azureとの連携のHow Toを公開予定です。
↓調査・実験の過程の各所の私の足跡(というか残骸)です。待ちきれない方はご参考までに(笑)
GoogleApps
Salesforce.com
2010年7月1日木曜日
KBQ983444を適用するとFIMポータルへアクセス不可
FIM2010のポータルはWSS3.0上にデプロイされるので基盤となるWSS3.0へのパッチ適用は慎重にしないといけません、という例です。
6月頭にリリースされたWSS3.0へのセキュリティパッチ(KBQ983444)を適用するとFIMポータルへのアクセスが出来なくなる、という事象が発生するようです。(URL Not Foundになるらしい)
イベントログをみるとMSSQL(Windows Internal Database)がイベントID 33002を出しているので、判別できると思います。
治し方ですが、管理者でコマンドプロンプトを開いて、
C:\Program Files\Microsoft Shared\web server extensions\12\binへ移動して
「psconfig -cmd upgrade -inplace b2b -wait -force」
を実行します。
セキュリティパッチはこのように複数の製品群が絡み合って出来ているソリューションにおいては十分に検証してから適用する運用が大切ですね。
ネタ元)Jorge's Quest for Knowledge
http://blogs.dirteam.com/blogs/jorge/archive/2010/06/29/windows-sharepoint-services-3-0-breaks-after-installing-update-ms-kbq983444.aspx
6月頭にリリースされたWSS3.0へのセキュリティパッチ(KBQ983444)を適用するとFIMポータルへのアクセスが出来なくなる、という事象が発生するようです。(URL Not Foundになるらしい)
イベントログをみるとMSSQL(Windows Internal Database)がイベントID 33002を出しているので、判別できると思います。
治し方ですが、管理者でコマンドプロンプトを開いて、
C:\Program Files\Microsoft Shared\web server extensions\12\binへ移動して
「psconfig -cmd upgrade -inplace b2b -wait -force」
を実行します。
セキュリティパッチはこのように複数の製品群が絡み合って出来ているソリューションにおいては十分に検証してから適用する運用が大切ですね。
ネタ元)Jorge's Quest for Knowledge
http://blogs.dirteam.com/blogs/jorge/archive/2010/06/29/windows-sharepoint-services-3-0-breaks-after-installing-update-ms-kbq983444.aspx