tag:blogger.com,1999:blog-8202606014137942456.comments2023-02-03T08:37:42.070+09:00IdM実験室Naohiro Fujiehttp://www.blogger.com/profile/17688001430167255272noreply@blogger.comBlogger55125tag:blogger.com,1999:blog-8202606014137942456.post-51568367497290557402019-02-06T19:04:03.570+09:002019-02-06T19:04:03.570+09:00おを、スクリプトをレビューしていただき、ありがとうございます!!
ざっと書いたブログだったので、全く...おを、スクリプトをレビューしていただき、ありがとうございます!!<br />ざっと書いたブログだったので、全く見直してなかった(汗)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-30883231949314620922016-09-06T15:50:37.119+09:002016-09-06T15:50:37.119+09:00Hello, so far Microsoft have not enabled capabilit...Hello, so far Microsoft have not enabled capability of adding users to "Domain Admins" on Azure AD Domain Services. So you have to build own AD DS on Azure IaaS this moment.Naohiro Fujiehttps://www.blogger.com/profile/17688001430167255272noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-64568873679724764502016-09-05T22:04:49.825+09:002016-09-05T22:04:49.825+09:00Hello! Did you manage to solve this? I am trying t...Hello! Did you manage to solve this? I am trying to add a new Domain Controller to the Azure AD and i get the same issue. I cannot add any account to "Domain Administrators" group and therefore cannot promote a new server as DC. Any ideas?Anonymoushttps://www.blogger.com/profile/13949772662900962626noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-29518995252408698102016-02-11T22:57:29.551+09:002016-02-11T22:57:29.551+09:00初めまして、情報処理について学んでいる者です。
SAMLについて、とても勉強になりました!初めまして、情報処理について学んでいる者です。<br /><br />SAMLについて、とても勉強になりました!師子乃https://www.blogger.com/profile/16494381059968334220noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-46167022208467649852015-12-10T14:00:52.322+09:002015-12-10T14:00:52.322+09:00このコメントはブログの管理者によって削除されました。nguyenhuonghttps://www.blogger.com/profile/08145826367895009231noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-37661984564247785162015-10-03T00:14:15.450+09:002015-10-03T00:14:15.450+09:00このコメントはブログの管理者によって削除されました。sullihttps://www.blogger.com/profile/05617995555300944343noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-77592460889110117902015-04-25T20:20:56.036+09:002015-04-25T20:20:56.036+09:00ありがとうございます。いつも大変お世話になっています!ありがとうございます。いつも大変お世話になっています!atsukanrockhttps://www.blogger.com/profile/08190045704255038973noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-31777275613114281942015-04-25T18:15:59.037+09:002015-04-25T18:15:59.037+09:00ありがとうございます。
クラウドの良さって運用面など含め多々あるのですが、一方でインターフェイスがち...ありがとうございます。<br />クラウドの良さって運用面など含め多々あるのですが、一方でインターフェイスがちょいちょい変わるのでついて行くのが大変ですよね。<br />過去の記事を見るとだいぶ変わってきてしまっているものも多いと思いますので、追々最新版で検証・記録していこうと思います。Naohiro Fujiehttps://www.blogger.com/profile/17688001430167255272noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-86519220869561281692015-04-25T17:47:46.213+09:002015-04-25T17:47:46.213+09:00古い記事なので突っ込むのは無粋な気もしますが、このブログは自分を含む IdM 迷子たちのオアシスなの...古い記事なので突っ込むのは無粋な気もしますが、このブログは自分を含む IdM 迷子たちのオアシスなので。。<br /><br />実際に試してみたところ、次の通り数カ所手順の変更が必要でした:<br /><br />* Salesforce 側のマイドメイン設定で、<a href="https://developer.salesforce.com/blogs/developer-relations/2014/12/implementing-single-sign-on-mobile-applications-salesforce-identity.html" rel="nofollow">https://developer.salesforce.com/blogs/developer-relations/2014/12/implementing-single-sign-on-mobile-applications-salesforce-identity.html</a> にある通りに設定を変える。<br />* Salesforce 側の SSO 設定で、この記事中では HTTP リダイレクトを選ぶとあるが、HTTP ポストを選ぶ。atsukanrockhttps://www.blogger.com/profile/08190045704255038973noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-4690556299702960862015-02-25T22:48:40.327+09:002015-02-25T22:48:40.327+09:00例が適切ではありませんでしたので修正します。
response_modeの指定をするのはNotifi...例が適切ではありませんでしたので修正します。<br />response_modeの指定をするのはNotificationがRedirectToIdentityProviderの時なので、以下のようなコードになります。<br /><br />RedirectToIdentityProvider = (context) =><br />{<br />context.ProtocolMessage.ResponseMode = "fragment";<br />return Task.FromResult(0);<br />}<br />Naohiro Fujiehttps://www.blogger.com/profile/17688001430167255272noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-75792464642765055902015-02-25T22:39:11.948+09:002015-02-25T22:39:11.948+09:00コメントありがとうございます。
こちらの投稿に関するご質問でしょうか?
確かにOWIN OpenI...コメントありがとうございます。<br /><a href="http://idmlab.eidentity.jp/2014/05/aadaspnet-openid-connectaadresponsemode.html" rel="nofollow">こちら</a>の投稿に関するご質問でしょうか?<br /><br />確かにOWIN OpenId Connectの新しいバージョンだとResponseModeをはじめとした各種プロパティが出てきません。<br />ただ、これは無くなったわけではなく、場所が変わっただけなので、例えばresponse_modeを使いたい場合は、Notificationsのイベント毎にProtocolMessageを使って実装します。<br /><br />例えば、こんな感じです。<br />Notifications = new OpenIdConnectAuthenticationNotifications()<br />{<br />MessageReceived = (context) =><br />{<br />context.ProtocolMessage.ResponseMode = "fragment";<br />}<br />}<br /><br />またそのうちまとめて投稿しますね。Naohiro Fujiehttps://www.blogger.com/profile/17688001430167255272noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-88528052366310358262015-02-25T16:19:44.319+09:002015-02-25T16:19:44.319+09:00参考にさせていただいてます。
Microsoft.Owin.Security.OpenIdConne...参考にさせていただいてます。<br />Microsoft.Owin.Security.OpenIdConnectの3.0からは、ResponseModeのプロパティが無くなって、この方法はとれなくなったということでしょうか?Anonymoushttps://www.blogger.com/profile/07253804751183466326noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-19306713900554457662015-01-21T14:40:43.487+09:002015-01-21T14:40:43.487+09:00引き続きuser-agent(x-ms-client-user-agent)をトレースしてみましたが...引き続きuser-agent(x-ms-client-user-agent)をトレースしてみましたが、PowerShell、AADSyncなどサインインアシスタントを使っているモジュールはMSOIDSVC.EXEを含む値になり、AADSyncだけ通してPowerShellは通さない、という制御は難しいようです。Naohiro Fujiehttps://www.blogger.com/profile/17688001430167255272noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-62557086379973257052015-01-16T16:10:19.905+09:002015-01-16T16:10:19.905+09:00軽く試してみました。行けますね。
アクセス制御についてもネットワークレベルで実装すれば大丈夫みたい...軽く試してみました。行けますね。<br /><br />アクセス制御についてもネットワークレベルで実装すれば大丈夫みたいです。<br />またBlogに書きますが、Active(ws-trust)エンドポイントのみをパブリックURLに設定し、PassiveエンドポイントはプライベートURLすると、AADSyncおよびPowerShellだとアクセス出来るけどブラウザ経由だとADFSにリーチ出来ないのでアクセスできない、という構成が出来ました。<br />(もちろんPowerShellでアクセスできてしまうので、他の企業のユーザ一覧を参照できてしまうことには変わりありませんが。。。)Naohiro Fujiehttps://www.blogger.com/profile/17688001430167255272noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-7781481580975285212015-01-16T15:46:07.789+09:002015-01-16T15:46:07.789+09:00ありがとうございます。
確かにPowerShell⇒サインインアシスタント⇒AzureAD⇒(ws-...ありがとうございます。<br />確かにPowerShell⇒サインインアシスタント⇒AzureAD⇒(ws-trust)⇒AD FSという経路ならアクセスでいけそうですね。(Lyncのコミュニケータと同じパターン)<br />アクセス制限は難しそうですが。。。Naohiro Fujiehttps://www.blogger.com/profile/17688001430167255272noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-91769127554051395902015-01-16T15:04:14.597+09:002015-01-16T15:04:14.597+09:00返信ありがとうございます。PowerShellではWS-TrustもしくはSAML-ECPでFede...返信ありがとうございます。PowerShellではWS-TrustもしくはSAML-ECPでFederated Userをつかえた記憶がありますが、ちょっと記憶違いかもしれません。時間があるときに確かめてみようとおもいます。タケhttps://www.blogger.com/profile/10570414887883111940noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-466152525539752392015-01-16T12:33:48.849+09:002015-01-16T12:33:48.849+09:00コメントありがとうございます。
AADSyncやPowerShell用にFederated Use...コメントありがとうございます。<br /><br />AADSyncやPowerShell用にFederated Userをそもそも使えないんです。<br />SAMLやws-federationで外部のIdPへリダイレクトする部分の実装がHTTP依存なので基本はブラウザ(もしくはWebViewなどのブラウザコントロール)向けの仕組みなので。Naohiro Fujiehttps://www.blogger.com/profile/17688001430167255272noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-7600490609902500272015-01-16T11:03:02.819+09:002015-01-16T11:03:02.819+09:00Azure ADにAADAync専用のドメインを追加し、Federated設定をすることでADFSな...Azure ADにAADAync専用のドメインを追加し、Federated設定をすることでADFSなどでAADSyncのみのアクセスに制限できないでしょうか。このときユーザーエージェントで判定することになると思いますが、問題はその中にAADSyncを判別できるものが含まれているかということと、ユーザーエージェントはわりと簡単に偽装できてしまうことでしょうか。タケhttps://www.blogger.com/profile/10570414887883111940noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-13110308930308372062014-02-08T08:42:15.866+09:002014-02-08T08:42:15.866+09:00AzureとオンプレミスのSSOを勉強しています。
大変参考になりました。
ありがとうございます。AzureとオンプレミスのSSOを勉強しています。<br />大変参考になりました。<br />ありがとうございます。Anonymoushttps://www.blogger.com/profile/18005223485008961244noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-11747409101917519632013-12-17T17:05:46.776+09:002013-12-17T17:05:46.776+09:00Naohiro Fujie さま
ご返信いただきましてありがとうございます。
その後、調査した結...Naohiro Fujie さま<br /><br />ご返信いただきましてありがとうございます。<br /><br />その後、調査した結果、VC++のランタイムのバージョンが実行環境とビルド環境でお異なっていることでロードされなかったことがわかりました。<br /><br />初歩的な原因でお恥ずかしいのですがご報告させていただきます。<br /><br />ありがとうございました。こんどるhttps://www.blogger.com/profile/14688842428387874980noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-40955868100955481792013-12-15T22:50:08.821+09:002013-12-15T22:50:08.821+09:00こんどる様
レスが遅くてすみません。
申し訳ありませんが、64ビット環境ではまだ試したことがありませ...こんどる様<br />レスが遅くてすみません。<br />申し訳ありませんが、64ビット環境ではまだ試したことがありません。時間ができたら試してみるので、しばらくお時間をいただければと思います。Naohiro Fujiehttps://www.blogger.com/profile/17688001430167255272noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-53459704138316138022013-11-11T13:08:37.315+09:002013-11-11T13:08:37.315+09:00突然の投稿失礼します。ActiveDirectoryパスワードフック機能、参考にさせて頂きまして、V...突然の投稿失礼します。ActiveDirectoryパスワードフック機能、参考にさせて頂きまして、Visual Studio 2005 でDLLを作成し、無事<br /><br />・Windows 2003 Server R2 SP2 (32bit)<br /><br />で動作させることができました。<br />ところが、同プロジェクトを「x64」対応でビルドしなおして、<br /><br />・Windows 2008 Server R2 SP1 (64bit)<br /><br />のActiveDirectory環境で動作させようとしたところ、どうもうまく動きません。<br /><br />・レジストリへの登録&再起動<br />・C/C++ → コード生成 → マルチスレッド(/MT)<br /><br />などは実施しております。<br /><br />具体的には、InitializeChangeNotify もコールされていないように見受けられました。<br /><br />64bitOSあるいはWindows 2008 環境での動作実績はございますでしょうか?<br />いろいろ試行錯誤しているのですが解決の目途が立たないため、突然でもうしわけございませんが、ご質問させていただいた次第です。<br /><br />※不足情報あればご指摘いただけると幸いです。こんどるhttps://www.blogger.com/profile/14688842428387874980noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-1920973710101895782013-06-18T04:29:17.859+09:002013-06-18T04:29:17.859+09:00Yes I see, the Exchange configuration options on t...Yes I see, the Exchange configuration options on the Active Directory Management Agent appearing now.<a href="http://www.trodat-stamp.jp" rel="nofollow">Gerd Schmid - スタンプ</a>Ridahttps://www.blogger.com/profile/02405619882350094230noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-20427306229453440372013-06-16T18:48:55.898+09:002013-06-16T18:48:55.898+09:00ファイルのキャッシュされたバージョンのパスが長すぎるためパスワード管理操作が失敗します。この問題は、...ファイルのキャッシュされたバージョンのパスが長すぎるためパスワード管理操作が失敗します。この問題は、ユーザー マネ. <a href="http://www.trodat-stamp.jp" rel="nofollow">スタンプ</a>Ridahttps://www.blogger.com/profile/02405619882350094230noreply@blogger.comtag:blogger.com,1999:blog-8202606014137942456.post-20997772191107364952012-09-26T21:34:06.562+09:002012-09-26T21:34:06.562+09:00> natさん
本当ですね。ご指摘ありがとうございます。
確認、修正しておきます。> natさん<br /><br />本当ですね。ご指摘ありがとうございます。<br />確認、修正しておきます。Naohiro Fujiehttps://www.blogger.com/profile/17688001430167255272noreply@blogger.com