2014年6月17日火曜日

[告知]登壇予定(Office365、AAD、Identity)

最近はblogの更新もままならないほど忙しい日々なんですが、そんな中2本ほどイベントでお話をさせていただきます。いずれもAzure AD/Office365関係のアイデンティティ管理・フェデレーションの話の予定です。


■6/21(土)@大阪
SQL Worldさん
http://sqlworld.org/event/20140621/

タイムテーブルはこんな感じです。
時間内容スピーカー
13:05 -開場 
13:15 -ご挨拶 
20分 程度O365 概要(仮)SQLWorld 遥佐保
50分 程度O365 SharePointSQLWorld リシュ ジミー
20分 程度PowerBI + O365 の紹介SQLWorld お だ
10分 程度おやつタイム 
50分 程度運用を見据えた失敗しないOffice365導入(仮)Office365 MVP 渡辺元気 さん
50分 程度Office365とアイデンティティ(仮)FIM MVP 富士榮尚寛 さん


Office365、というかAADの話(ID管理、ID連携)をGraphAPIとかフェデレーションの仕組みの話とかをさせていただく予定です。


■6/28(土)@東京
.NETラボさん
http://www.dotnetlab.net/dnn/2014/05/net%E3%83%A9%E3%83%9C-%E5%8B%89%E5%BC%B7%E4%BC%9A-2014%E5%B9%B46%E6%9C%88-2/


こちらのタイムテーブルはこんな感じ。
■タイムテーブル
13:00 開場
13:15-13:30 「.NETラボ紹介」(.NETラボ スタッフ)
13:30-14:00「認証系を勉強する1日を企画したわけ」(Microsoft MVP for Client App Dev 高尾 哲朗)
14:00 – 17:00 「Office365の認証回りの仕様の移り変わりと運用上の苦労話」(Microsoft MVP for Office365 渡辺 元気)
「ADFS+Office365によるセキュリティ強化 デバイス認証、多要素認証編」(Microsoft MVP for Directory Services 国井 傑)
「AADとIdentity管理」(Microsoft MVP for Forefront Identity Manager 富士榮 尚寛)
Microsoft エバンジェリスト 安納さん(調整中)
17:00-17:30 「ライトニングトーク&ディスカッションタイム」
17:30 「グリーティングアワー」
18:00 終了


まぁ、似たような話をします。
ちょっと開発寄りな話になるかも知れません。


資料が全然できていないので、頑張って作ろうと思いますので、お時間のある方は是非・・・

2014年6月14日土曜日

[AAD/Office365]AAD Sync Betaを試す

しばらく時間が経ってしまいましたが、5月末に現在のディレクトリ同期ツール(DirSync)の後継となるAzure Active Directory Sync(AADSync)のベータ版がConnectサイトに公開されました。

 ダウンロードサイト(要登録)
 https://connect.microsoft.com/site433/Downloads/DownloadDetails.aspx?DownloadID=53361

 関連ポスト:
 [AAD/Office365]AAD Sync(次世代ディレクトリ同期)でクラウドのパスワードをオンプレミスへ
 http://idmlab.eidentity.jp/2014/04/aadoffice365aad-dync.html


基本は現在のディレクトリ同期と同様にForefront Identity Manager 2010 R2(FIM)ベースですが、より簡単に同期ルールを設定できるようなツールも付属しています。
これでディレクトリ同期ツールの手軽さとFIMの柔軟さの両方の良いところを活かすことが出来るようになります。
また同時にかねてからの課題であったマルチフォレスト環境への対応や.localドメインなどの課題へも対応できるようになっています。

今回は簡単にインストール~同期をした結果を載せてみます。


まず、注意事項ですが日本語環境ではBeta版のインストールは出来ませんので、英語環境にしてください。(OSインストールは日本語でも構いませんが、言語の追加で英語を追加し、表示言語を英語にした状態でインストールする必要があります)

ちなみに、当然のことながら事前にAzure AD上にディレクトリ同期を有効にしておく必要があります。

では始めます。

■インストール
モジュールをダウンロードして実行するとモジュールの展開・インストールが行われて自動的に設定が開始されます。

まずはAADへの接続情報の入力です。ここで入力するユーザはテナントの全体管理者の権限を持っている必要があります。


続いてオンプレミスのADDSの情報です。注目すべきはAdd Forestボタンです。
ここで複数のフォレストの情報を登録することでマルチフォレスト環境でもディレクトリ同期が出来ます。


設定したフォレスト情報が表示されているのがわかります。


次に2つの設定を行います。

一つ目はAcount Joinです。
これは複数のフォレストを同期する場合にアカウントを一意に識別してあげる必要があるのですが、その際に使用する属性を選択します。今回はシングルフォレスト構成なので、「My users are only represented once across all forests」を選択します。

二つ目はIdentity federationです。
AzureADとフェデレーションを行う場合にどの属性を使ってアカウントを紐づけるか?という設定です。AzureAD側ではImmutableIdという属性を使います。
これまでのディレクトリ同期ではobjectSidをBase64エンコードした値を使っていましたので、ShibbolethなどAD FS以外のSAML2.0 Identity Providerと接続する際は結構面倒だったのですが、今回からAAD側と紐づけをするための属性を自分で選択できるようになりました。

今回はUserPrincipalNameを選んでいます。


これまで通りHybrid環境のExchangeがある場合の設定もできます。


ここまで来たらもうすぐです。

完了です。その場で同期するならチェックしたままでFinishをクリックします。

とりあえず初期同期が走ります。

何の設定もしていないので、AADSyncを実行するユーザが同期されています。

ついでにグループも同期されています。これもゴミグループですね。。。



■同期ルール設定
これまではサポート外になるのを承知でmiisclientを使って同期ルールを編集することはできましたが、今回からは公式に同期ルールを編集するための簡易ツールがついてきます。

Synchronization Rule Editorが追加される。Synchronization Serviceは従来のmiisclient。


インバウンドとアウトバウンドの同期ルールが一覧で表示されるので、必要なモノを選択してEditをクリックすると編集できます。

ちなみにアウトバウンドはこんな感じ。AADへ連絡先、グループ、ユーザを同期するための設定が並んでいます。


試しにアウトバウンドのルールの編集をしてみます。

同期スコープも編集できます。これで特定のグループのユーザだけ同期する、なんていうことも簡単にできます。

このあたりがAADとオンプレミスのアカウントの紐づけです。どの属性で紐づけるかを選択できるので、例えばオンプレミスが.localドメインだった場合でもメールアドレスなどの属性を使って紐づけることが出来るようになります。

属性の接続など変わったことも出来ます。


ちなみに従来のmiisclientもSynchronization Serviceを開くと使えます。

ちなみにバージョン情報を見てもFIMの面影は消し去られています。。。


先日のOffice365の新機能発表でAzure AD Premiumの有償オプションだった多要素認証についてもMFA for Office365という形でサブスクライバへ無償提供されることが発表されていますし、このようにFIMを使わなくてもかなり柔軟にディレクトリ同期が出来るようになってきている、ますます簡単で便利な環境が提供されてきているので今後の展開が非常に楽しみです。