[FIM2010]PowerShellコネクタの正式リリース

Forefront Identity Manager 2010 R2 (FIM2010 R2)用のコネクタが更新されています。

◆PowerShell コネクタの正式リリース

　これまで PowerShell コネクタと言えばデンマークの FIM MVP の Soren Granfeldt さんが公開していたものでしたが、マイクロソフトからも正式にリリースされました。どうやらこれまで MCS(Microsoft Consulting Service)が使っていたものを製品に組み込んだ、ということらしいです（うろ覚え）

　用途としては、ホームディレクトリをファイルサーバに作ったり、Office365 へのプロビジョニング後にライセンスをアサインしたり、と小回りを聞かせたいときに使うのがメインになりそうです。

　こちらからダウンロードできます。

　http://www.microsoft.com/en-us/download/details.aspx?id=42260

◆Generic SQL コネクタの RC 版（リリース候補版）

　ODBC ドライバがある DBMS へ接続できるコネクタです。これまではビルトインの SQL コネクタと Oracle コネクタしか用意されていませんでしたが、これでもう少し柔軟なシステム管理ができるようになると思います。

　こちらは RC 版なので Connect サイト（要登録）からダウンロードできます。

　https://connect.microsoft.com/site433/Downloads/DownloadDetails.aspx?DownloadID=52652

◆SAP ユーザ、ロール、グループ コネクタの RC 版（リリース候補版）

　こちらも RC 版です。これまでも SAP コネクタはありましたが、今後廃止される Web Service コネクタをベースに作られているものでした。今回のリリースは Web Service コネクタベースでは無いネイティブ版ということです。

　同じく Connect サイトからのダウンロードです。

　https://connect.microsoft.com/site433/Downloads/DownloadDetails.aspx?DownloadID=52651

◆Generic LDAP コネクタの更新

　以前正式リリースされた Generic LDAP コネクタの更新プログラムがリリースされています。

　LDAPS 接続での不具合修正や Apache Directory Server の新規サポートなどがポイントです。

　こちらは KB として公開されています。

　http://support.microsoft.com/kb/2936070

なかなか時間が取れなくて Windows Azure Active Directory コネクタや SharePoint コネクタなど新規のコネクタの使い方を紹介できていませんが、順次公開していこうと思います。

LDAP Manager 4.5リリース

新バージョンがリリースされたようです。

http://www.exgen.co.jp/info091005.html


主な強化ポイントは下記の通りです。

１．Windows Server 2008、および 64bit OSに正式対応：
　LDAP Managerの動作プラットフォームに Windows Server 2008が追加され、同時に、従来の 32bit版に加えて 64bit版モジュールのご提供も開始いたします。

２．リモート制御プラグイン：
　ユーザ情報のリアルタイム連携処理を、LDAP Managerサーバのバックエンド側で処理する新規プラグインです。エンドユーザの連携処理待ち時間短縮を実現しました。

３．リトライ機能を追加：
　ユーザ情報のリアルタイム連携処理中に発生した連携エラー状況を記録し、あらかじめ設定した周期で連携処理を自動再実行するリトライ機能が、標準機能として追加されました。

４．連携パフォーマンスの大幅向上：
　大量ユーザを効率よくメンテナンスする際に効果的な「連携機能」を持つプラグイン群の処理ロジックを見直し、従来版の3分の1から6分の1という大幅なパフォーマンス向上を実現しました。



個人的には差分同期機能をもう少し強化しても良いのかな？とも思ったりしています。
今はソースとデスティネーションを全件比較してしまうので、どうしても大規模環境だと厳しい感じがしますが、トランザクションログ（ジャーナル）との比較を行うような仕組みを取り入れればもう少し性能や同期先システムへのクエリ負荷も減るのかな？と思います。
まぁ、仕組みがややこしくなりますし、トランザクションが失敗したときなどの同期先レポジトリとトランザクションログとの整合性など気にしなければならないことが多いので実際に実装するのは大変だとは思いますが・・・
夢は広がりますが、そのトランザクションログから同期対象システムを含めた特定時点へのデータリカバリ（ロールバック／ロールフォワード）などが出来るようになると運用していく上で一番の問題となるエントリの「ズレ」の修正運用が楽になるかも知れません。


後は、シェア情報も載っていますが、やはり安価ということもあり大学や中小企業を中心に売れているようですね。
↓
* ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望　2009【内部統制型・情報漏洩防止型ソリューシン編】」2009年6月刊において、「LDAPManager」は、2009年アイデンティティ管理パッケージ出荷本数の市場シェアで、20.3%となり第一位となっています。

オブジェクト保持構造における各社アプローチ

一般的な業務アプリケーションと比べてIdM製品のデータの持ち方（構造）で一番特徴的なのが「データを縦に持つ」という点だと思います。

意味がよくわからないと思いますので具体的な例を挙げますが、通常データベースのテーブルを設計する際は、

ID	displayName	telephoneNumber
001	Scott McNealy	123-456-789

という様にデータを横に並べて1レコードが1エントリという構造にします。
これは視覚的にもわかりやすいですし、昔からアプリケーションはレコード単位で処理を行うことが容易な形でライブラリなどが作られてきたためです。

しかし、このデータ構造の弱点としてレコードへの属性（列）の追加／削除／変更という作業が発生した場合、アプリケーションそのものへの影響がとても大きい、という点でした。
そのため、設計段階での仕様固めが非常に大切でした。

しかし、IdMやディレクトリ分野においては割と気軽に属性の追廃改が行われがちですし、製品としてあらかじめハンドリング可能な属性を固定的に決めてしまうことはできません。
特にIDライフサイクル管理という意味でのIdMに関しては接続先システムの増減により必要となる属性が変化するのは日常的な話と言えるでしょう。

その点、LDAPのデータ構造は理にかなっていて、objectClassの追加により割と自由に属性を持つことができます。ゆえにNovellやExgenなどのIdM製品はレポジトリにLDAPを選択しているのだと思います。
ただ、やはりビジネスロジックを実装する上でLDAPだと限界があるのも確かなので、RDBにこだわるベンダもいて、インテックの結人／束人やSAP（旧MaXware）はパフォーマンスに問題が出るのを承知で無理やり縦構造のテーブルを作ったりしています。

ID	属性	値
001	displayName	Scott McNealy
001	telephoneNumber	123-456-789

マイクロソフトのFIM（ILM）に関してMetaverseの構造は別の機会に解説するとして、FIMが新しく利用するようになったWebサービスにおいても同様の思想が継承されており、WS-TransferでハンドリングされるResourceも以下のような拡張がされています。

■一般的な形
<Person>
<displayName>Scott McNealy</displayName>
<telephoneNumber>123-456-789</telephoneNumber>
</Person>

■拡張形（Transfer Extension for Identity Management Operations/TEIMO）

<PartialAttribute>
　<AttributeType>displayName</AttributeType>
　<AttributeValue><rm:displayName>Scott McNealy</rm:displayName></AttributeValue>
　<AttributeType>telephoneNumber</AttributeType>
　<AttributeValue><rm:telephoneNumber>123-456-789</rm:telephoneNumber></AttributeValue>
</PartialAttribute>


このように各社さまざまなアプローチで製品としてはどんなデータが入るかわからない器の実装をしているようです。

さて、最近はなかなか時間がとれなくて実験らしいことができていませんので、そろそろ久しぶりにFIMを触ってみようかと思います。Webサービス周りのアーキテクチャの整理もまだできていないので、そのあたりの整理もかねて。。。

Exgen Networksパートナーミーティングに参加しました

年度末／年度初めのバタバタで久しぶりの更新となってしまいました。

4/13（月）に東名阪第1弾となる大阪会場でのExgen Networksパートナーミーティングが開催されたので参加してきました。

パートナー向けということもあり、販売実績や販売傾向（やっぱり大学に強い）という話や新バージョンの機能やロードマップ関連の発表がありました。

話として興味深かったのは、2008年度の販売傾向を分析すると、
・IDワークフローや監査系のプラグインが伸びている
・スモール～ミドルTier（1000名～2000名）の顧客への導入が伸びている
ということでした。
やはり大企業へのIdMは一巡しており、今後は中小規模への導入が進む、ということとIDワークフローや監査系の機能は内部統制関連の対応ということだと思います。

ある意味非常に安価な製品なので中小規模の顧客の内部統制対応という領域をターゲットにしばらくは好調なのかも知れません。

後は、IdM製品専業ベンダということで次のビジネスは何かを模索する一貫として昨年度からExgen Networksでは「クラウド」をテーマとして挙げています。
具体的にはサイオステクノロジーとのアライアンスでGoogle Appsへのプロビジョニングプラグインの開発などという形で話を進めているようですが、そのあたりの話がサイオステクノロジーの中田さんから、後はスペシャルゲストでマイクロソフトの安納さんからAzureの話がありました。中田さんはともかく、安納さんは懇親会でも言っておられましたが「思いっきり競合」という非常にアウェイ感漂う中で頑張って？おられたと思います。

まぁ、今後の発展を期待したいところですがある意味狭義のIdMの典型であるプロビジョニング製品ベンダがクラウド世界におけるIdMというところに手を伸ばすのはなかなかハードルの高い話だな～というのが正直な感想でした。
LDAP ManagerのレポジトリとなるLDAPをHP Ice Wall SSOのレポジトリとしてSAML IdPを構築する、という話は実績を含めて出てきているようですが、認可回りなどはまだ手つかず、という感じです。

また、せっかくマイクロソフトとのコラボレーションも現場では実現しているので、LDAP Manager+Genevaといった組み合わせで、Azureと他のサービスのSSOなんて言うのも取り組みとしては面白いかも知れません。

いずれにしても今後に期待、というところです。