ILM ブログ凍結・・・

一つの時代が終わったというか、、、Active Directory を含む Microsoft の ID 管理に少しでもかかわった人なら一度は見たことがあるはずの ADSI / IdM サポートチームの blog が凍結されました。

　管理者は見た！ ～ AD と ILM 一家の秘密 ～
　http://blogs.technet.com/b/jpilmblg/

初めてのエントリが 2008 年 8 月 20 日と、この blog の開始直前（ちなみにこの blog は 2008 年 10 月開始）にオープンした blog ということで若干かぶり気味に、互いによりコアな？ネタを追い求めつつこれまでやってきたので非常に残念です。


ILM blog 第1回
　はじめまして。ADSI/ILM サポートチームです！
　http://blogs.technet.com/b/jpilmblg/archive/2008/08/20/adsi-ilm.aspx

　　※しっかりリンクを張っていただいておりました。


ちなみにこの blog の第1回
　早速始めてみます
　http://idmlab.eidentity.jp/2008/10/blog-post.html

何はともあれ、約4年半もの長い間お疲れ様でした！

時代は認証から認可へ？ - XACML3.0 が OASIS 標準として承認

なんだか色々なところで混同されたり誤用されている、「認証」と「認可」というキーワードですが、ちょっと整理をしておきましょう。

• 認証（Authentication）
• 要するに本人確認
• @IT/セキュリティ用語辞典より
• ネットワークやサーバへ接続する際に本人性をチェックし、正規の利用者であることを確認する方法。一般には利用者IDとパスワードの組み合わせにより本人を特定する。認証がなされると、本人が持つ権限でデータへのアクセスやアプリケーションの利用が可能となる。不正利用を防ぐため、パスワードの漏えいなどには十分な注意が必要である。
• 認可（Authorization）
• 認証済みのユーザに対してサービスやリソースへのアクセスを許可すること
• @IT/セキュリティ用語辞典より
• 認証（Authentication）によって確認された利用者を識別して、アクセス権限の制御を行い、利用者ごとに固有のサービスを提供すること。
• 具体的には、利用可能なアプリケーションの制御、ファイルに対する“読み／書き／実行”の権限など、利用者の資格に応じて許可する。認可のための属性情報には、利用者ID／所属グループ／役職／部署／アクセス制御リスト（ACL）などがある。
• 運用管理の面から、認可はACL（Access Control List）で与えることがセキュリティ上でも望ましく、SSO（Single Sign On）でもACLと組み合わせることが多い。

OAuth や 本日のタイトルにある XACML は「認可」のための仕組みです。

よく OAuth 認証なんていうキーワードを見かけますが、認可サーバへのアクセス時に通常実行される認証プロセスを都合よく使ってしまっているだけであり、OAuth の本質は scope に指定したリソースへのアクセスするためのアクセストークンを認可サーバから受け取って、そのトークンを元に保護されたリソースへアクセスをする、ということです。

脱線しましたが、XACML 3.0 が OASIS 標準として承認されました。

XACML とは何なのか？について、わかりやすく説明するほど詳しくはないので、少し古いですが以下の記事が参考になると思います。（現状他に日本語で解説されているサイトを見たことありません）

　@IT / PKIとPMIを融合させる次世代言語XACML

　- http://www.atmarkit.co.jp/fsecurity/rensai/webserv05/webserv01.html

引用すると以下のように解説されています。

柔軟で拡張性のあるアクセス制御を実現するためのポリシー記述言語XACML（eXtensible Access Control Markup Language）について述べる。SAMLやXACMLはPKIと権限管理のインフラストラクチャであるPMI（Privilege Management Infrastructure）を融合させる次世代のフレームワークである。

で、XACML の歴史ですが、OASIS 標準の Web ページによると、

 - 2003年2月　：　1.0 承認

 - 2005年2月　：　2.0 承認

ということで、今回の 3.0 の承認までにかなり間が空いていたことがわかります。

※個人的にはまだ続いてたんだ、、、という感想だったり。。

いずれにしてもなかなか概念の理解および実装が難しい仕組みなのでなかなか浸透していないイメージがありますが、今回の新版の承認で少しは前進するのかも知れません。

スペックは下記 URL で公開されていますので、興味のある人は参照してみてください。

（まだ Candidate と記載されています）

　eXtensible Access Control Markup Language (XACML) Version 3.0

　- http://docs.oasis-open.org/xacml/3.0/xacml-3.0-core-spec-cos01-en.html

ちなみに、製品として実装されている例としては、Oracle Entitlements Server (OES) があります。

　製品ページ

　- http://www.oracle.com/technetwork/middleware/oes/overview/index.html

ページ内には Sharepoint との連携に関するホワイトペーパーなんかも置いてあるので機会があれば実装してみたいなぁ、、と思ったりします。

　Securing Microsoft Office SharePoint Server (MOSS) with Oracle Entitlements Server 11gr2

　- http://www.oracle.com/technetwork/middleware/id-mgmt/downloads/oes11gr2-sharepoint-integration-1864721.pdf

OpenID Foundation の会員登録方法

そう言えば会員登録していなかったので、登録してみました。
※ちなみに OpenID Foundation Japan への登録ではなく、OpenID Foundation への登録方法です。OpenID Foundation Japan への登録はホームページから問い合わせてください。

個人会員だと $25/Year です。

個人会員だと、以下のような特典があります。

• Vote on OpenID workgroups, specifications, and community board members of the OpenID Foundation
• Use the OpenID Foundation Member logo and signature on your blog, email, website, apps
• Show your support for OpenID as a community-driven, user-centric identity for the Internet
• Way to leverage financial support for an important grassroots community
• Become part of the momentum of OpenID adoption and visibility

まずは、登録 URL へアクセスします。
　登録 URL
　https://openid.net/foundation/members/registration

サイトが表示されたら、まず最初に好きな OpenID でサインインします。

私は Google OP を使いました。

次に、Membership Type を選択します。個人登録をする場合は Indivisual - $25 を選択して、[Next Step] をクリックします。

Contact Information として OpenID Provider から取得した情報が表示されるので、必要に応じて修正して [Next Step] をクリックします。

次は規約への同意です。規約を熟読して問題なければチェックボックスにチェックを入れて [Next Step] をクリックします。

次は会費の支払いです。私が登録したときは何か調子が悪かったのかなかなか支払いがうまくいきませんでした。
支払い方法はクレジットカードか PayPal から選択できますので、私は PayPal を選択しました。

登録内容の確認画面が表示されるので、進むと PayPal にリダイレクトされ、決済を行います。

うまくいけばメンバシップ登録が完了し、メンバシップページへアクセスできるようになります。

皆さんもアイデンティティ界を盛り上げるため、是非登録してみてください。

RFC化された OAuth 2.0 の翻訳完了

※1/24 追記：6749 core に加えて 6750 bearer についても翻訳が完了してます。

以前 OpenID Foundation Japan のワーキンググループで draft 22 の翻訳をした OAuth 2.0 ですが、先日お伝えした通り無事 RFC 6749 / 6750 となりました。

と、言うことで同じく OpenID Foundation Japan のワーキンググループで RFC 版の翻訳を行いました。

以下のページで公開されています。
　OpenID Foundation Japan ホームページ
　http://openid-foundation-japan.github.com/


draft 22 のベースがあるとは言え、たった数人で始めてから2週間弱で公開できたのは、素晴らしい参加メンバのみなさんのおかげと言えると思います。是非活用していただければと思います。

翻訳メンバ：

• Boku Kihara (Lepidum)
• Kazuki Shimizu (Lepidum)
• Masaru Kurahayashi (Yahoo! Japan)
• Naohiro Fujie (Itochu Techno Solutions)
• Noboru Kurumai (Fujitsu)
• Nov Matake
• Ryo Ito (mixi, Inc.)
• Tatsuya Katsuhara (NRI)
• Yusuke Kondo (Yahoo! Japan)

[Office365]サブスクリプションが切れたときの対応

※直接はアイデンティティに関係ないのですが、Office 365 の検証サブスクリプションを次から次へと使うと起きがちなことなので、メモしておきます。

Office 365 の検証を行う際、PC に Office Professional Plus をインストールして Office 365 との連携を行っていると思います。
しかし、この状態で Office 365 のサブスクリプションの有効期限（体験版の有効期限）が切れると PC を起動する度にこんな画面が出てきて怒られます。

そんな時は、コマンドプロンプトより以下のコマンドを実行して Office Professional Plus のサブスクリプション構成を更新する必要があります。

C:\Program Files\Common Files\microsoft shared\OFFICE14\osaui.exe /F

コマンドを実行するとサブスクリプションの構成が始まります。

構成が終わって[閉じる]をクリックするとサブスクリプション ID の入力画面が出てくるので新しい Office 365 のサブスクリプションへサインインします。

構成が終わったら PC をリブートすれば OK です。

[FIM2010]廃止される機能と将来に向けた計画

Forefront Identity Manager 2010 R2 向けの Service Pack 1 がリリースされたところですが、今後の Synchronization Service 機能のサポートに関する情報が Technet に掲載されています。

　Deprecated Features And Planning For The Future
　http://technet.microsoft.com/en-us/library/jj879229(v=ws.10).aspx

概要をピックアップしておきます。

カテゴリ		廃止される機能と対応方針
Web Service 設定インターフェイス		次バージョンで廃止され、PowerShell コマンドレットが提供されることになる
管理エージェント	ビルトイン管理エージェント	FIM CM、Lotus Notes、SAP R/3 用の管理エージェントが次バージョンで廃止される Lotus Notes、SAP R/3 用の管理エージェントは新バージョンのもので置き換えられる
	ECMA 1/XMA で開発された管理エージェント	ECMA 2.0 で置き換えられる
	FIM Sync Service プロセス外での管理エージェント実行	廃止され、管理エージェントは Sync Service と同一プロセスで実行される
	パーティションの表示名の設定	機能自体はなくならないが、WMI インターフェイスに代替名を提供するためだけに利用される
実行プロファイル		複合プロファイル（Delta Import / Sync、Full Import / Delta Sync、Full Import / Sync）は廃止されるので、プロファイルの中で複数ステップを定義する必要がある。
属性の優先順位		同一優先順位（Equal Precedence）の廃止。例外として FIM Service MA を使う場合は Manual Precedence が提供されないので Equal Precedence を利用する必要がある
Join ルール		任意のオブジェクトへの Join は不可へ。Join ルールを定義するときは明示的にメタバース上のオブジェクトタイプを指定する必要あり
属性フロー		エクスポートされる値に対する Allow Nulls のチェックボックスを外せない様に。現在の環境でチェックがされていることの確認が必要 Do not recall attributes の廃止。属性は必ず再確認される
ルール拡張	プロセス外実行	廃止され、FIM Sync Service と同一のプロセスで実行される
	トランザクションプロパティー	インバウンド、プロビジョニング、アウトバウンド同期の各プロセスの間でデータの受け渡しをしない形で構成する必要がある
	ExchangeUtils:Create55* メソッドの廃止	Exchange Server 5.5 へのオブジェクト作成機能の廃止
インターフェイス（Mms_Metaverse）		次バージョンで ClmUtils クラスメンバはすべて廃止される

既存の FIM のデプロイにも影響があるので、現在 FIM2010 を利用している方は一読し、以後の対応について検討を開始しておくことをお勧めします。

[FIM2010]R2 用の Service Pack 1 がリリース

US 時間の 1/7～1/9 に Oxford Computer Group 主催、レドモンドのマイクロソフト本社で開催されていた Redmond Identity, Access & Directory Summit 2013 で Forefront Identity Manager の Program Manager である Andreas Kjellman のセッションで FIM2010R2 向けの Service Pack 1 が発表され、 MSDN / Technet のサブスクライバーダウンロードで入手できるようになっています。

今日時点でまだドキュメントがTechnet/MSDN上には出てきていないので詳細な機能面の話は書けませんが、Windwows Server 2012 / SQL Server 2012 / SharePoint 2013 などの新しいプラットフォームに対応したのと、開発環境として Visual Studio 2012 に対応したりしています。他にも BHOLD Suite との連携用のコネクタの強化など色々とエンハンスされています。

ドキュメントがリリースされた段階でもう少し詳しく書いていきたいと思います。


なお、上述した Redmond Identity, Access & Directory Summit 2013 ですが、かなり濃い内容だったみたいです。Windows Azure Active Directory の ESE データベースの構成とか、中でのレプリケーションの話とか、、、
登壇者も Kim Cameron に Mark Wahl など有名人がいっぱい。。
http://www.oxfordcomputergroup.com/news/general-news/announcing-the-first-annual-redmond-identity-321.php

ようやく日本でも某アイデンティティクラスタのみなさんの努力で JICS（Japan Identity & Cloud Summit）とか開催されるようになりましたけど、こういう製品系の Geek な集まりってなかなかないんですよねぇ。。

4th MVP Renewal !!

皆様あけましておめでとうございます。
無事に今年も更新させていただくことができ、ついに4年目に突入しました。

昨年の受賞時にはこんな事を書いていました。

昨年は FIM よりも AD FS2.0 をはじめとしたフェデレーションの話の方が当 Blog のネタとしても多かった気がしますが、今年は SCIM 元年？になる感触もあるので、ちゃんとプロビジョニングの話もしていきたいと思います。（手始めは FIM の SCIM アダプタの作成？）

また、外部向けに話をする際も、これまでは分野の性質上、企業のIT管理者向けにID管理システムの企画～プロジェクトの進め方みたいな話をすることが多かったのですが、今年は技術者向けの勉強会などで話する機会を増やしてもよいのかな？とも思っています。（ニーズがあれば、、ですが）

振り返ってみると、

• プロビジョニング（SCIM）の話
• SCIM の話は全然できてない。ただ、Windows Azure Active Directory の Graph API が出てきたので、そちらの話はそれなりに。
• FIM のアダプタの実装については ECMA2.0 が正式にリリースされたので、 Google Apps 用アダプタはリリース。他のアダプタは結局時間切れ。今年こそは（汗
• 勉強会での話
• FIM / AD FS の話とハンズオンを実施できた。時間不足などの問題はあったので、リベンジ予定。。。

といった感じでした。

ということで、今年は、

• FIM 用アダプタの拡充（SCIM / Windows Azure Active Directory）
• FIM / AD FS ハンズオンのリベンジ

ですね。

後は、トラストフレームワークに関してようやく企業への適用も見えてき始めたので、そのあたりも少しずつ書いていければ、と思っています。

何はともあれ今年もよろしくお願いいたします！