[予告]カンターラ・イニシアティブ・シンポジウム2009

アイデンティティ管理技術の普及拡大を目的として今年6月に発足したカンターラ・イニシアティブのセミナが11/6（金）に開催されます。7月に開催されたセミナは発足記念セミナでしたので、実質今回のセミナが本格的な活動の第一歩と言えると思います。
私もJAPAN WGに参加しており、先日このセミナで使う講演資料に関する打ち合わせを実施しました。WGに参加されている方々はこの分野では名の通った方々ばかりなのでとっても緊張してしまうのですが、各種技術の相互運用など、今後有用なテーマに取り組んでいるので非常に勉強になります。

下記サイトで今回のシンポジウムに関する情報が公開されていますので、ご興味のある方は参加してみてはいかがでしょうか？
http://kantarainitiative.org/confluence/display/WGJ/091015+KI+2nd+Seminar


アジェンダ（予定）は下記です。


14:00～14:05 開会挨拶
高橋健司
カンターラ・イニシアティブ　ジャパン・ワークグループ　議長
14:05～15:05 基調講演 "Why Kantara matters to ISOC and the Internet" （同時通訳）
Lucy Lynch
Trustee, Kantara Initiative
Director of Trust and Identity Initiatives, Internet Society
15:05～15:10 （休憩）
15:10～15:30 一般講演 「アイデンティティ管理の『現在・過去・未来』」
金子以澄
日本CA株式会社 マーケティング部 マーケティングマネージャー
15:30～16:00 一般講演 「カンターラ・イニシアティブにおける分科会の取組み事例」
伊藤宏樹
日本電信電話株式会社 NTT情報流通プラットフォーム研究所
16:00～16:15 （休憩）
16:15～17:00 特別講演 「健康情報活用基盤 （日本版EHR） の全体構想について」
山本隆一
東京大学情報学環・学際情報学府 准教授 医学博士
17:00～17:30 事例研究 「事例でみるID管理技術の使い分け(仮) 」
澤井 真二
日本オラクル株式会社 Fusion Middleware事業統括本部 Security SC部
17:30～18:00 事例研究 「J-SaaS における SAML2.0 の適用」
永野 一郎
NTTソフトウェア株式会社 モバイル＆セキュリティ・ソリューション
事業グループ セキュリティソリューションチーフエキスパート
18:00 閉会挨拶

[ILM2007→FIM2010]データベースごと移行してみる

先日のエントリに引き続きILM2007→FIM2010への移行に関してです。


FIMは以下の3つのコンポーネントで構成されているのは以前紹介したとおりです。（CLMも含めると4つ）

（ILM部分）
・FIM Synchronization Service（ILM Synchronization Service）
・FIM Service（ILM Service）
・FIM Portal/Password Portal（ILM Portal/Password Portal）
（CLM部分）
・ILM Certificate Management Service


この中でMIIS/ILM2007の時代から存在していたのはFIM Synchronization Serviceだけなので、基本的に「移行」ということになるとこのサービスが対象となります。

先日は新規にFIM2010をセットアップしてILM2007の設定をExport→Importで移行する、という方法でしたが、今回はデータ（MetaVerse、ConnectorSpaceの中身や実行ログなど）を含めごっそり移行する方法を試してみます。


基本的な流れは下記の通りです。
１．SQL Server 2005→SQL Server 2008へのアップグレードを行う
２．アップグレードしたSQL Serverを使用してFIM2010をセットアップする


早速試してみましょう。



と言ったものの結果的に言うとFIM2010RC1ではこの方法はうまく行きません。

ILM"2"RC0の頃はフォーラムにも書かれている通りこの方法でうまく移行が出来ていました。

フォーラムにはDLLのリコンパイルやMicrosoft.metadirectoryservicesex.dllの入れ替えなども必要、とありますが少なくとも私の試した限りそのような作業はしなくてもILM2007の時と同様の動きが再現出来ました。

今更ですが簡単に流れを紹介しておきます。
１．移行対象のILM2007の使用しているSQL ServerをSQL Server 2008へアップグレードする
２．ILM Synchronization Serviceをインストールする際に１のデータベースを指すようにDBサーバとインスタンスを指定すると既存のデータベースを再利用するかどうかをインストーラが聞いてくるのでYESを指定する
３．既存データベースにアクセスするためにkeyファイルが必要、と言われるのでILM2007で作成しておいたkeyファイルをインストーラに読み込ませる
４．インストール完了！















この手順でRulesExtenstionのDLLファイルまで含め環境の再現が出来ていました。データベースの移行だけで何故か物理的なDLLファイルまで再現されるのには驚きました。
※ただ、MADATAフォルダだけは移行されないので手動でコピーしてあげる必要がありました。



と、RC0の話をこれ以上詳しくしても仕方がないのでRC1で何故この手順が失敗するのかを見ていくと、答えはFIM Synchronization Serviceが使うデータベースの名前にありました。

下の画面を見るとわかるとおりデータベースの名前が変わってしまっているため、既存で使っていたインスタンスを指定しても既存のデータベースを使わずに新規にデータベースを作成してしまっています。
















バージョン毎のデータベースの名前は下記のようになっています。

バージョン	データベース名
MIIS	MicrosoftIdentityIntegrationServer
ILM2007
ILM"2"RC0
FIM2010RC1	FIMSynchronizationService

ということで、データベースの名前をあらかじめ変更することが必要なのか、それともFIM2010RC1のインストーラに古いデータベース名でも移行元として認識させる方法があるのか少し調べる必要がありそうです。

いつの間にか・・・

このblogを初めて１年が経ってしまっていました。

おかげさまでこんなニッチなテーマが中心にも関わらず15,000ページビュー程のアクセスをいただいております。

中途半端で終わってしまっているテーマも多くて情報としていまひとつまとまりがありませんが、今後なんとか改善して行き、役に立つコンテンツが提供出来ればと思っています。

今後ともよろしくお願いします<(_ _)>

LDAP Manager 4.5リリース

新バージョンがリリースされたようです。

http://www.exgen.co.jp/info091005.html


主な強化ポイントは下記の通りです。

１．Windows Server 2008、および 64bit OSに正式対応：
　LDAP Managerの動作プラットフォームに Windows Server 2008が追加され、同時に、従来の 32bit版に加えて 64bit版モジュールのご提供も開始いたします。

２．リモート制御プラグイン：
　ユーザ情報のリアルタイム連携処理を、LDAP Managerサーバのバックエンド側で処理する新規プラグインです。エンドユーザの連携処理待ち時間短縮を実現しました。

３．リトライ機能を追加：
　ユーザ情報のリアルタイム連携処理中に発生した連携エラー状況を記録し、あらかじめ設定した周期で連携処理を自動再実行するリトライ機能が、標準機能として追加されました。

４．連携パフォーマンスの大幅向上：
　大量ユーザを効率よくメンテナンスする際に効果的な「連携機能」を持つプラグイン群の処理ロジックを見直し、従来版の3分の1から6分の1という大幅なパフォーマンス向上を実現しました。



個人的には差分同期機能をもう少し強化しても良いのかな？とも思ったりしています。
今はソースとデスティネーションを全件比較してしまうので、どうしても大規模環境だと厳しい感じがしますが、トランザクションログ（ジャーナル）との比較を行うような仕組みを取り入れればもう少し性能や同期先システムへのクエリ負荷も減るのかな？と思います。
まぁ、仕組みがややこしくなりますし、トランザクションが失敗したときなどの同期先レポジトリとトランザクションログとの整合性など気にしなければならないことが多いので実際に実装するのは大変だとは思いますが・・・
夢は広がりますが、そのトランザクションログから同期対象システムを含めた特定時点へのデータリカバリ（ロールバック／ロールフォワード）などが出来るようになると運用していく上で一番の問題となるエントリの「ズレ」の修正運用が楽になるかも知れません。


後は、シェア情報も載っていますが、やはり安価ということもあり大学や中小企業を中心に売れているようですね。
↓
* ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望　2009【内部統制型・情報漏洩防止型ソリューシン編】」2009年6月刊において、「LDAPManager」は、2009年アイデンティティ管理パッケージ出荷本数の市場シェアで、20.3%となり第一位となっています。

Forefront Identity Manager 2010 RC1／ポータル画面

インストールしてみたのですが、変な工夫が要らなくなって非常にスムーズです。
※変な工夫：SQLやブラウザの言語を一時的に日本語にしたり、Firewallのポリシーを設定したり、、Beta3やRC0ではたくさんありました。過去エントリ参照


尚、インストールの過程で何点か変わっているポイントがありました。
・SQL FullText Searchが必要になっている
・MAアカウントがインストールユーザと同じユーザを選択できない
・SQL Server Agentが実行されていないと怒られる
他にもFirewallの設定やWSSのサイトへのアクセス権の設定を自動でやってくれるようになっていたりしました。


とりあえずポータルの画面です。

















ちなみにRC0のときはこんな感じ。


















基本はマイナーチェンジですね。

クラウド時代のID管理へ？ ～ADFS2.0がSAML2.0相互運用性テストにパス～

先のポストにも一部書きましたが、カンターラ・イニシアティブとLiberty AllianceのSAML2.0相互運用性テストにマイクロソフトのADFS2.0（Geneva Server）がパスしています。

http://www.projectliberty.org/news_events/press_releases/entrust_ibm_microsoft_novell_ping_identity_sap_and_siemens_pass_liberty_alliance_saml_2_0_interoperability_testing



















結果をみると、ADFS2.0が今回パスしたのは、
・IDP Lite
・SP Lite
・eGov 1.5
です。

企業内のAD/ADFSをIdPとしてクラウドのサービスの認証を行う、ということができるということになれば、クラウドサービスの利用の障壁が少しでも下がるのではないでしょうか？
また、SAMLという標準的なプロトコルに対応した、ということでオンプレミスの世界でもこれまでWindows統合認証ができないために利便性が悪かった様々なIIS以外のアプリケーションサーバの認証が別途SSOツールを導入しなくてもできる、となるとADFS2.0は非常に強力なソリューションということができると思います。



ちなみに、ひそかに2010年の第2四半期にリリースされる予定のSAP NetWeaver Identity Management 7.2もパスしてます。
こちらは
・IDP Lite
・SP Lite
が対象です。

MaXware時代後期にもMFS（MaXware Federation Server）が出てきてはいたものの、結局SAPに買収されたときに立ち消えになっていましたが、ここにきてリリースされるということになったようです。
GUIクライアントとのEnterpriseSSOとかも合わせて実装されればな～とも思います。

Forefront Identity Manager 2010 RC1公開

先日ポストしたように9/30（ダウンロードサイトの日付をみると9/29）に公開されました。

















Forefrontチームのblog
http://blogs.technet.com/forefront/archive/2009/09/30/forefront-identity-manager-2010-release-candidate-1-available-now-part-of-microsoft-s-overall-identity-and-access-strategy.aspx


早速インストールしてみましたので記録は次回。
















ロゴなどが色々と変わっています。



また、blogを見ていると他にも気になる点（ADFS2.0がSAML2.0の相互運用性テストにパスした、とか）もあるのでそちらも探ってみようと思います。