6月頭にリリースされた新しいディレクトリ同期ツールを触ってみています。
一番大きな変更点はオンプレミスの Active Directory から Windows Azure Active Directory へのパスワード同期が可能になった点ですが、少し細かい部分を掘っていこうと思います。
尚、全体的な動作やセットアップ方法などは Office 365 MVP の渡辺元気さんが書いているのでそちらが参考になります。
日々徒然 ディレクトリ同期ツールでパスワード同期
http://blog.o365mvp.com/2013/06/05/dirsync_with_password_sync/
また、パスワード同期については Technet にドキュメントが公開されているので、こちらも参考になります。
Implement Password Synchronization
http://technet.microsoft.com/en-us/library/dn246918.aspx
ディレクトリ同期ツール(FIM)がどうやって Active Directory からクラウドへパスワードを持っていっているのか?についてはもう少し深堀をしている最中なので、いずれ紹介していければと思います。
少なくとも現段階でわかっているのは、
・PCNSを使っているわけではない(ドメインコントローラにモジュールを入れる必要はない
・Active Directory Connectorを使ってパスワード属性をMetaverseにマッピングしているわけではない(Metaverse、Connector Spaceにパスワード属性は入らない)
ということから、おそらく Windows Azure Active Directory Connector(ECMA2ベース/Microsoft.Azure.ActiveDirectory.Connector.dll)のExtensionの中、もしくは Metaverse の Extension(MSONLINE.MVExt.dll)の中で定期的にパスワード変更を監視して、Active Directory のデータベース(ESE)から直接ハッシュ化された状態のパスワードを抽出しているのだと思われます。(もしくは Active Directory Connector がやっているみたいに Directory の Replication で変更を抽出しているかも。こっちの方が有力です)
と、パスワードに関してはこのくらいですが、もう一つ大きな更新ポイントは内蔵されている FIM のバージョンが変わった点です。
これまでは無印 FIM 2010 ベースでしたが、今回から FIM 2010 R2 ベースにかわっています。
以前のディレクトリ同期ツール
新しいディレクトリ同期ツール
ビルド番号を見ると 4.1.3451.0 となっており、現状の最新の FIM 2010 R2 SP1(4.1.3441.0)のビルドラインに乗っているように見えます。以前は 5.x 台となっており本家の FIM 2010 とは別のソースツリーになっているように見えましたが、ここにきて同じラインになった(様にみえる)、ということは本家 FIM 2010 でも Windows Azure Active Directory Connector がリリースされる日も近いのかも知れませんね。
と、思ったらTechEd North Americaで発表されてました。6月からパブリックプレビューだそうです。
0 件のコメント:
コメントを投稿