ラベル News の投稿を表示しています。 すべての投稿を表示
ラベル News の投稿を表示しています。 すべての投稿を表示

2015年10月5日月曜日

[お知らせ]IdM実験室別館をオープンしました

こんにちは、富士榮です。

既に一部ソーシャルメディアではお知らせしていたり、現在@ITで連載しているIDaaSに関する記事からもリンクを張っていますが、MSDNの動画投稿サイトであるChannel9に「IdM実験室別館」をオープンしました。


https://channel9.msdn.com/Blogs/IdM-Lab-Annex-MVP-for-Directory-Services-Naohiro-Fujie


とりあえずは@ITの記事に連動する形でAzure Active Diretory(Azure AD)に関する以下のプレゼンテーションと実際の動作のデモンストレーションを動画で公開しています。


  • Azure AD アプリケーション連携(1) ~ アプリ連携の概要
  • Azure AD アプリケーション連携(2) ~ Google Apps との連携
  • Azure AD アプリケーション連携(3) ~ Google への ID配信
  • Azure AD アプリケーション連携(4) ~ ASP.NET アプリとの ID 連携
  • Azure AD アプリケーション連携(5) ~ グループベースのユーザー割り当て
  • Azure AD アプリケーション連携(6) ~ ユーザーの動的な割り当て
  • Azure AD アプリケーション連携(7) ~ ルールベースのアクセス制御



今後は、記事連動以外のトピックスについても取り上げていきたいので、文字ばっかりじゃ良くわからない、とか自分でやるのは面倒だから動いているところがみたい!!というリクエストなどあれば、コメントを頂ければコンテンツ化をしていければと思います。


参考)現在連載中の@ITの記事

企業のID管理/シングルサインオンの新しい選択肢「IDaaS」の活用:
 第1回 もはや企業のID管理で避けては通れない「IDaaS」とは?
 http://www.atmarkit.co.jp/ait/articles/1508/07/news034.html

 第2回 IDaaSの実装をAzure ADで理解する(前編)
 http://www.atmarkit.co.jp/ait/articles/1509/30/news051.html

 第3回 IDaaSの実装をAzure ADで理解する(後編)
 http://www.atmarkit.co.jp/ait/articles/1510/05/news013.html

投稿者 時刻: 19:46 0 コメント
ラベル: , , , , , , ,

2015年4月2日木曜日

[FIM/MIM]ライセンス体系の変更~Windows Serverのライセンスに統合

※ライセンスにかかわる話なので、正式な見解は日本マイクロソフトにご確認ください。
 本ポストの内容については責任を負えません。

昨日から某所がざわついた話題です。

2015年4月1日のマイクロソフトのワールドワイドでのライセンス体系の変更によりForefront Identity Manager 2010 R2 Server(FIM)のライセンスが大きく変わっています。

以前と比較すると、下表のようになります。
2015年3月まで2015年4月から
サーバライセンスサーバごとに必要Windows Serverライセンスに含まれる
(OSの一機能として定義される)
CAL別途FIM CALが必要FIM機能を使うためには、別途FIM CAL/Enterprise Mobility Suite/AAD Premiumが必要
※実質変化なし
CAL例外事項FIM Syncのみの利用ならCALは不要同左


最大かつ唯一の変化点は「サーバ・ライセンスが不要になった」という点です。
FIMの様に多数のサーバで構成する製品だとこれはかなりの競争力の源泉となると思われます。
(まぁ、他社の例を見ていると基本はユーザライセンスのみ、というメーカが多いので同じような形になった、というだけかも知れませんが)

参考)Volume Licensingのページ
  http://www.microsoft.com/licensing/products/products.aspx


このページよりProduct Use Rights(PUR/製品使用権説明書)およびProduct List(PL/製品表)をダウンロードし中身を見てみると以下のように記載されています。

◆変更点(PUR/PL)
・削除された製品としてForefront Identity Manager 2010 R2 Serverが記載
・Windows Serverに関する変更点として以下が記載
Forefront Identity Manager 2010 R2 機能の追加 CAL の要件を満たすものとして、Forefront Identity Manager 2010 User CAL、Enterprise Mobility Suite User SL、および Microsoft Azure Active Directory Premium を追加しました。
Forefront Identity Manager 2010 R2 機能の追加エクスターナル コネクタの要件を満たすものとして、Forefront Identity Manager 2010 R2 External Connector を追加しました。
ID 情報を管理するための CAL の要件を追加しました。
Forefront Identity Manager 同期サービスのみを使用するユーザーについては CAL は不要である旨を明確にしました。

◆Windows Serverの項目
・機能として「Forefront Identity Manager 2010 R2機能」と記載
・FIM機能を利用する場合の必要CALとして以下が記載
Forefront Identity Manager 2010 R2 User CAL (デバイス CAL は使用できません) または
Enterprise Mobility Suite User SL または
Microsoft Azure Active Directory Premium
・追加の条件として以下が記載
証明書および ID の管理
本ソフトウェアで ID 情報を発行または管理するユーザーについては、CAL も取得する必要があります。
同期サービス
Forefront Identity Manager 同期サービスのみを使用するユーザーについては、CAL は必要ありません。





投稿者 時刻: 21:58 0 コメント
ラベル: , , , , , ,

2014年11月19日水曜日

[MIM]Microsoft Identity Manager 2015 CTP1が公開されました

既に各所で情報が出ていますが、Forefront Identity Manager(FIM)の次期バージョンであるMicrosoft Identity Manager 2015(MIM2015)のCTP1が正式に公開されました。

Active Directory Team Blog:Microsoft Identity Manager Public Preview is now available!


新機能は既にTechEd Europeなどでも解説されている通り、以下の通りです。
※各種画像は公式blogより転載

◆特権アカウント管理(Privileged Access Management/PAM)

 Active Directory上のアカウントに限定ではありますが、ユーザに対して期間限定で特権を割り当てることが可能になります。
 具体的にはKerberosのチケットのTTLをコントロールしたグループへの参加をさせる形となります。


◆Azure Active Directory(AzureAD)の多要素認証(MFA)を使ったセルフサービスパスワードリセット(SSPR)
 これまでカスタムでSSPRの認証ゲートを組み込んでいましたが、製品としてAzureのMFAに対応したPhone Gateが実装されてきました。
 パスワードを忘れた場合などのリセットをする際の認証に、これまでの秘密の質問だけでなくPhone Factorが使えるようになったので、管理者の負荷を下げることが出来るかもしれません。


◆ストアアプリでのCertificate Manager(CM)の提供
 Certificate Manager(CM)でのスマートカード発行がこれまでのWebベースからストアアプリでも出来るようになりました。タブレット端末で使うときなどは重宝するかも知れません。


◆最新プラットフォームのサポート

 ようやく、以下のプラットフォームに対応しました。
  • Windows Server 2012 R2
  • SharePoint 2013
  • SQL Server 2014
  • Exchange 2013
  • Visual Studio 2013


connectサイトからダウンロードできるので、早々に試してみようと思います。

ダウンロードサイト:




投稿者 時刻: 7:05 0 コメント
ラベル: , , , , , , , ,

2014年11月13日木曜日

Office2013 Windowsクライアントが多要素認証とSAML IdPサポート

ずいぶん前から「そのうち」と言われていて中々実現しなかったOfficeのネイティブアプリでの多要素認証(MFA)と外部SAML IdPでの認証サポートが今月後半に実現することが発表されました。

Officeの公式blog




※blogより転載

なるほど、ADAL(Active Directory Authentication Library)をOfficeクライアントの認証コードに噛ませてAzure ADや外部IdPとつなげる、という構成なわけです。

これでAzure ADからOAuthのアクセストークンを取得してOffice365のサービスへOfficeクライアントがアクセスするわけですね。


blogによると、以下のことが出来るようになるようです。

1.多要素認証

 いわゆるPhoneFactorとかの追加要素を使った認証ですね。

2.SAML対応の外部IdPでの認証

 現在もMicrosofot Online Sign-In Assistantを使ってAzure ADを使って認証をすることはできましたが、中身はws-trustを使っていたので、実質Azure AD一択でした。しかし、今回ADALを使うことでSAML2.0に対応するので、OpenAMなどと直接接続をすることが出来るようになります。

3.SmartCard認証

 多要素認証の一環でもありますが、AD FSを展開していてSmartCardで認証できるようにしている環境下において、ID/パスワードを入力する代わりにSmartCardのみで認証できるようになります。

4.OutlookでのBASIC認証が不要に

 これまでOutlookとOffice365(Exchange Online)の間はBASIC認証でしたので、ID/パスワードをOutlookからExchangeへ渡して、Exchange Onlineがws-trustでAzure ADやAD FSで認証される、という構成でしたが、ADALをサポートすることでOutlookから直接IdPへ接続し認証後、Exchange Onlineへ接続、という流れに変わります。
 ※おそらく、これでAD FS+Office365+Outlook環境でAD FS Proxyが必要なくなります。


Microsoft Updateで更新プログラムが落ちてくるみたいなので、月末が楽しみです。
また、待ちきれない人に向けてPreview Programもやっているみたいなので、興味がある方は参加してみてはいかがでしょうか?



投稿者 時刻: 9:00 0 コメント
ラベル: , , , , , , , , , , ,

2014年7月23日水曜日

エンタープライズロール管理解説書(第2版) がJNSAアイデンティティ管理WGよりリリース

エンタープライズロール管理解説書の第1版がリリースされてから約1年、改版されたロール管理解説書がリリースされました。

エンタープライズロール管理解説書(第2版)
 http://www.jnsa.org/result/2014/idm_guideline/index.html


JNSAのアイデンティティ管理WGでも「パンドラの箱」と言われ続けてきたロール管理ですが、前回、今回と議論が深まり、企業内でより活用しやすい形にまとまっていると思います。

以下、目次です。

  • ロール管理の定義
  • ロール管理の意義
  • ロール管理導入の流れ
  • ロール管理導入における課題
    • 現状調査・企画フェーズ
    • ロール設計フェーズ
    • 実装方式設計フェーズ
    • 実装・移行・展開フェーズ
  • ロール管理の適正な運用の重要性
    • ロール管理運用の観点
    • トリガイベント分類ごとのロール管理運用のガイドライン
  • 金融業の仮想企業におけるロール管理導入事例


ロールとは何なのか?ビジネスロールとITロールの分け方や関連など概念的な話から実際にロール管理を実装する各フェーズにおいて考えるべき事項、運用面での注意点、そして最後に仮想企業における導入イメージなどこれからロール管理を検討しようとしている企業にとって非常に有用な内容になっていると思いますので、是非ダウンロードして読んでみてください。





投稿者 時刻: 0:14 1 コメント
ラベル: , , ,

2014年4月24日木曜日

[FIM2010]vNextが見えてきた。FIMからMIM(Microsoft Identity Manager) へ

昨年12月に次世代ロードマップが見えてきた、という話が出ていましたが遂に具体的な情報が見えてきました。

(また?)名前が変わります。今度は
「Microsoft Identity Manager」
です。Windows AzureがMicrosoft Azureへ変わったように、MicrosoftもWindowsだけじゃないよ、とういメッセージなんだろうな、と思います。

Server&Cloud Blogでの発表
 Forefront Identity Manager vNext roadmap (now Microsoft Identity Manager)


(関連ポスト)12月のポスト
 Important Changes to the Forefront Product Line
 [FIM2010]いよいよ次世代へのロードマップが見えてきた



詳細は来月のTechEd North Americaで発表されるようですが、今後の製品としてのフォーカスは以下の3点に向けられるようです。

  • Hybrid scenarios that leverage cloud-based services delivered in Microsoft Azure, including Multi-Factor Authentication, Azure Active Directory application integration, analytics and reporting
  • Support for the latest platforms and mobile devices with modern user interfaces
  • Improved security with additional controls, analytics and auditing of administrative and privileged user identities and their access to Active Directory, Windows Server and applications


ここでもやはりMicrosoft Azure Active Directoryと絡めたオンプレミスとクラウドのハイブリッド・シナリオが強く意識されていますね。
詳細情報が楽しみです。
投稿者 時刻: 8:12 0 コメント
ラベル: , , , , , , , ,

2014年3月2日日曜日

祝!OpenID Connect ローンチ

遅ればせながら。OpenID Connectが2/27にローンチされました。

米OpenID Foundationを牽引してこられた崎村さんの6年に及ぶ努力が実を結んだ瞬間だったと思います。本当におめでとうございます。
 OpenID Connect リリース~インターネットのアイデンティティ層
 http://www.sakimura.org/2014/02/2277/

 OpenID Foundationが、パーソナルデータ流通時代を支えるアイデンティティAPI標準仕様「OpenID Connect」を発表
 http://www.openid.or.jp/news/2014/02/openid-connect-standard.html

このblogでもお伝えしてきたようにMicrosoftもWindows Azure Active DirectoryでOpenID Connect / OAuth をサポートしていますし、先日のVittorio Bertocci氏へのインタビューでも触れたOWIN(Open Web Interface for .NET)でもそれらの技術を利用できる様になっています。
 [WAAD] OpenID Connect Interop 5
 http://idmlab.eidentity.jp/2013/11/waad-openid-connect-interop-5.html

 [WAAD] OAuth2.0 への対応状況まとめ&ちょこっと OpenID Connect
 http://idmlab.eidentity.jp/2013/07/waad-oauth20-openid-connect.html

 開発者にとってのWindows Azure Active Directoryの役割と今後の展開
 http://www.buildinsider.net/enterprise/interviewvittorio/01

 OWIN(Open Web Interface for .NET)
 http://owin.org/


また、OpenIDファウンデーションジャパンの公式リリースでも触れられているように翻訳/教育ワーキンググループでOpenID Connectの仕様(実装ガイド)を翻訳しています。
- Basic Client
 http://openid-foundation-japan.github.io/openid-connect-basic-1_0.ja.html
- Implicit Client
 http://openid-foundation-japan.github.io/openid-connect-implicit-1_0.ja.html

私もImplicit側で少しだけお手伝いをさせていただきましたので、仕様を見てみたい、という方はぜひご覧ください。

ちなみに。
インターネットに関するプロトコルとか技術って全部アメリカからの輸入品だと思っていませんか?
少なくともIdentityに関しては日本は先進国であり、グローバルスタンダードを牽引している存在だと堂々と言えるんじゃないかな、と思えたのが今回の発表でした。
(少なくとも関わっている人たちは既に国境にとらわれていない方ばっかりですがw)


投稿者 時刻: 22:24 0 コメント
ラベル: , , , , , , , , , ,
登録: 投稿 (Atom)