2013年6月7日金曜日

[Office365]新ディレクトリ同期ツールはFIM2010R2ベース

6月頭にリリースされた新しいディレクトリ同期ツールを触ってみています。

一番大きな変更点はオンプレミスの Active Directory から Windows Azure Active Directory へのパスワード同期が可能になった点ですが、少し細かい部分を掘っていこうと思います。

尚、全体的な動作やセットアップ方法などは Office 365 MVP の渡辺元気さんが書いているのでそちらが参考になります。

 日々徒然 ディレクトリ同期ツールでパスワード同期
  http://blog.o365mvp.com/2013/06/05/dirsync_with_password_sync/

また、パスワード同期については Technet にドキュメントが公開されているので、こちらも参考になります。

 Implement Password Synchronization
  http://technet.microsoft.com/en-us/library/dn246918.aspx



ディレクトリ同期ツール(FIM)がどうやって Active Directory からクラウドへパスワードを持っていっているのか?についてはもう少し深堀をしている最中なので、いずれ紹介していければと思います。
少なくとも現段階でわかっているのは、
 ・PCNSを使っているわけではない(ドメインコントローラにモジュールを入れる必要はない
 ・Active Directory Connectorを使ってパスワード属性をMetaverseにマッピングしているわけではない(Metaverse、Connector Spaceにパスワード属性は入らない)
ということから、おそらく Windows Azure Active Directory Connector(ECMA2ベース/Microsoft.Azure.ActiveDirectory.Connector.dll)のExtensionの中、もしくは Metaverse の Extension(MSONLINE.MVExt.dll)の中で定期的にパスワード変更を監視して、Active Directory のデータベース(ESE)から直接ハッシュ化された状態のパスワードを抽出しているのだと思われます。(もしくは Active Directory Connector がやっているみたいに Directory の Replication で変更を抽出しているかも。こっちの方が有力です)


と、パスワードに関してはこのくらいですが、もう一つ大きな更新ポイントは内蔵されている FIM のバージョンが変わった点です。
これまでは無印 FIM 2010 ベースでしたが、今回から FIM 2010 R2 ベースにかわっています。

以前のディレクトリ同期ツール




新しいディレクトリ同期ツール


ビルド番号を見ると 4.1.3451.0 となっており、現状の最新の FIM 2010 R2 SP1(4.1.3441.0)のビルドラインに乗っているように見えます。以前は 5.x 台となっており本家の FIM 2010 とは別のソースツリーになっているように見えましたが、ここにきて同じラインになった(様にみえる)、ということは本家 FIM 2010 でも Windows Azure Active Directory Connector がリリースされる日も近いのかも知れませんね。
と、思ったらTechEd North Americaで発表されてました。6月からパブリックプレビューだそうです。

0 件のコメント:

コメントを投稿