[AD FS2.0]属性ストアへのアクセス権限について

前回に引き続き AD FS2.0 の属性ストアに関するネタです。

AD FS2.0 の属性ストアとして設定可能なのは、
・SQL Server
・LDAP
・カスタム
があることは前回紹介しましたが、各属性ストアへのアクセス権限については注意が必要です。

そもそも AD FS2.0 のサービスから各属性ストアへのアクセスはどのようなセキュリティ・コンテキスト（ユーザ）で実行されるのか？について理解しておくことが必要ですので、どんなユーザでアクセスが発生しているのかをカスタム属性ストアのコードの中にデバッグコードを書いて見てみました。
少々ベタですが、Initialize メソッドの先頭に以下の様に System.Environment.UserName （ユーザ名）、SystemEnvironment.UserDomainName （ドメイン名）をファイルへ出力するようにコードを書いてみます。

public void Initialize(Dictionary<string, string> config)
{
   System.IO.StreamWriter sw = new System.IO.StreamWriter(@"C:\temp\adfs.txt",false,System.Text.Encoding.GetEncoding("shift_jis"));
   sw.Write("ユーザ名 : " + System.Environment.UserName);
   sw.WriteLine();
   sw.Write("ドメイン名 : " + System.Environment.UserDomainName);
   sw.Close();

結果、ファイルには以下の様な文字列が書き込まれました。

ユーザ名 : IDP$
ドメイン名 : ADFS20
※コンピュータ名が IDP 、ドメイン名が ADFS20.LOCAL の環境下。

これは、AD FS2.0 のサービスを起動しているユーザ（シングル構成だとデフォルトで Network Service）を指しています。証拠にサービスの構成でサービス実行ユーザを Administrator に変更すると、以下の様に書き込まれる値が変わります。

ユーザ名 : Administrator
ドメイン名 : ADFS20


さて、これは
各属性ストアへ AD FS2.0 起動ユーザへのアクセス権限を与える必要がある
ということを意味します。（AD FS2.0 で認証されたユーザの権限ではないところがポイント）

MSDN の属性ストアに関連する記述を見るとデフォルトで設定できる、SQL Server および LDAP について以下の様な記述があります。（ポイントのみかいつまんでいます）
URL : http://technet.microsoft.com/en-us/library/adfs2-help-attribute-stores(WS.10).aspx

■SQL Server
1. SQL Server 属性ストアを設定するときは「Server=CONTOSOSRV01;Database=UserAttributes;Integrated Security = True」という様な接続文字列を AD FS2.0 の属性ストアに設定する必要がある。

2. マイクロソフトとしては、SQL Server へのアクセスは Windows 統合認証を使うことを推奨する。もし SQL Server 認証を使う場合はユーザ名およびパスワードに関する情報が AD FS2.0 の構成データベースの中にクリアテキストで保持されることになる。


解説すると、接続文字列の中の「Integrated Security = True」の部分は SQL Server へのアクセスを Windows 統合認証で行うことを指しています。
もちろん、「Server=CONTOSOSRV01;Database=UserAttributes;User Id=MyUser; password= P@ssw0rd」という形で接続文字列を設定することも可能ですが、属性ストアのパラメータとしてそのまま AD FS2.0 に設定されてしまうので、パスワード部分が丸見えになってしまうので推奨しない、ということです。

ただ、Windows 統合認証を使う場合は上記で述べたように AD FS2.0 を実行しているユーザで SQL Server へアクセスしてしまうので、あらかじめ SQL Server 側で当該ユーザへのログオン許可および必要なロールの割り当てを行っておく必要があります。

■LDAP
1. LDAP 属性ストアを設定するときは RFC 2255 に記載されているような LDAP URL をパラメータに指定する必要がある。
（例：ldap://localhost:56000/cn=AdfsUsers,o=Microsoft,c=US）

2. LDAP 属性ストアへのアクセスは Windows 統合認証を使用する必要がある。


ポイントは SQL Server の場合と異なり、LDAP へのアクセスにはバインドユーザとパスワードを指定することが出来ないので、 Windows 統合認証をサポートする LDAP サーバ（実質 AD LDS くらいしかない？）を用意しておく必要がある、というところです。



上記を踏まえてカスタム属性ストアを作成する場合は以下の考慮が必要です。

・Windows 統合認証でアクセスできる場合は、属性ストア側に AD FS2.0 実行ユーザへの権限を与えておく必要がある
・独自の認証を使う場合は、AD FS2.0 側のパラメータとして設定を行うことは可能だがクリアテキストで保持されてしまうので注意が必要である


MSDN フォーラムなどを見ていると LDAP を使いたいけど Windows 統合認証が必須、というあたりに引っかかっている人が結構いそうなので、OpenLDAP 対応のカスタム属性ストアなどを作って公開したらヒーローになれるかも、、です。

[AD FS2.0]カスタム属性ストアを作成する

AD FS2.0はその名の通り初期状態では、参加している Active Directory ドメイン上の情報（属性）をクレームとして発行します。

例えば、

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"), query = ";userPrincipalName;{0}", param = c.Value);

といった形で要求記述言語を記載すれば Active Directory 上のユーザの userPrincipalName 属性を NameIdentifier タイプのクレームとして発行します。


他にも、AD FS2.0 の属性ストアとして利用できるのは標準で
・LDAP
・SQL Server
があります。

それらの標準で用意されている属性ストアにない情報をクレームとして発行したい、という場合はどうすればよいのか？というと、「カスタム属性ストア」を自分で作って（コーディングして）利用することが出来ます。


ここで少しおさらいですが、 SAML IdP の一般的な構造に従い、AD FS2.0 は以下の様な構造になっています。

ここで注意なのですが、AD FS2.0 の属性ストアはあくまで属性オーソリティが参照する先のレポジトリである、という点です。つまり、AD FS2.0 の構成要素である認証オーソリティが参照する先はあくまで Active Directory である、という点です。
残念ながら認証オーソリティの参照先を別のシステム（LDAP や他のレポジトリ）に変更することは AD FS2.0 ではできません。（2要素認証などを含むカスタム認証を行う場合は、AD FS2.0 のログインページをカスタマイズすることである程度は対応可能です）

ですから、クレームに含まれる属性を SQL Server や LDAP や今回紹介するテキストファイルから取得することはできますが、これはそれらのシステムで認証を行うわけではなく、認証を行った後に属性を取得することが出来るだけである、ということになります。


前置きが長くなりましたが、早速実装してみます。

細かいところは MSDN の記載を参考にするとして、今回は基礎編として MSDN にサンプルとして記載されているカスタム属性ストアを組み込んでみます。
http://msdn.microsoft.com/en-us/library/ee895358.aspx

紹介されているサンプルはテキストファイルに記載されている属性情報をクレームとして発行する、というものです。


■レポジトリとなるテキストファイルの用意

まずは、元となるテキストファイルを作成します。（C:\temp\data.txtとして保存します）
EmployeeID,EmployeeName,Age,Department,Role
1,John,33,HR,Manager
2,Jane,25,Sales,Vendor
3,Tim,45,Marketing,Evangelist
4,Leann,33,IT,Administrator


■カスタム属性ストア用のライブラリの作成

次に、AD FS2.0 サーバ上に Visual Studio 2010 をインストールし、MSDN のページにあるサンプルコードをコピペして、DLL を作成します。プロジェクトの種類はクラスライブラリを選択します。
# ここで注意なのですが、.NET Framework は3.5を選択する必要があります。.NET Framework 4.0 で作成した DLL だと 3.5 でビルドされている AD FS2.0 から参照できません。 
# Microsoft.IdentityServer.ClaimsPolicy.dll という AD FS2.0 のライブラリを参照する関係で AD FS2.0 がインストールされている環境に Visual Studio をインストールします。（ライブラリをコピーすれば他の環境でもビルドできるとは思いますが、試していません）
# もちろん、WIF SDK もインストールしておく必要があります。

コードは先ほどの MSDN のページのサンプルをそのままコピー＆ペーストしますが、その前に参照設定を行う必要があります。
必要なのは、
・Microsoft.IdentityModel
・Microsoft.IdentityServer.ClaimsPolicy
です。

Microsoft.IdentityServer.ClaimsPolicy については AD FS のインストールフォルダ直下にあるので直接参照します。

コンパイル出来たら作成した DLL ファイルを「 %Program Files%\Active Directory Federation Services 2.0 」以下にコピーしておきます。


■作成したライブラリを AD FS2.0 のカスタム属性ストアとして登録する

最後は AD FS2.0 に作成したカスタム属性ストアを認識させる作業になります。

まず、AD FS2.0 管理コンソールを起動し、[信頼関係]-[属性ストア]を選択して右クリックして出てくる[カスタム属性ストアの追加]メニューを起動します。

表示名に「FileAttributeStore」、カスタム属性ストアのクラス名に「CustomAttributeStores.FileAttributeStore,CustomAttributeStores」を設定します。

次にパラメータを設定します。
今回のサンプルでは
・パラメータ名：FileName
・値：c:\temp\data.txt
と設定します。

ここまで出来るとカスタム属性ストアを使用する準備が整うので、あとは適当なアプリケーションから利用してみます。


■アプリケーションから利用する

通例に従い、証明書利用者信頼（Relying Party）を作成します。
要求規則ルールにカスタムルールを設定し、以下の様なルールを記載します。
例では、要求規則のルールに age が 45 の人の name と role 属性を取得し、クレームとして発行する、というルールとなっています。

後は、実際にアプリケーションにアクセスしてみます。
今回のアプリケーションではわたってきたトークンからクレーム・タイプが role の値を取得して表示する、というロジックを記載しているので、以下の様に Evangelist という文字列が表示されます。

詳しくはサンプルで使ったソースを読むとわかるのですが、BeginExecuteQuery メソッドの中で渡されたパラメータに従い、ストアの中から任意の値を返す、というロジックを記載さえできればどんなレポジトリでも属性ストアとして登録することが可能です。

海外には PowerShell の実行結果をクレームとして発行するための PowerShell Attribute Store を作って公開している強者もいたりします。
以下、参考までに。
http://www.theidentityguy.com/articles/2011/11/19/powershell-attribute-store-for-ad-fs-20.html

[Office365] ディレクトリ同期ツールの64bit版はFIM2010のビルド5.x

先日のエントリで 64bit 版のディレクトリ同期ツールがリリースされたことを書きましたが、ようやくインストールする時間が取れたので少し構造を見てみました。

やり方としては非サポートですが、前回ベータ版で行った方法（Synchronization Server の管理コンソールを直接起動）です。

ベースとなっている物のバージョンですが、前回は Identity Lifecycle Manager 2007 FP1 がベースでしたが、64bit 化に伴い、 Forefront Identity Manager 2010 がベースになっています。

ビルドを見てみると、ビルド番号は 5.0.227.2 となっています。

ん？5.x？
これまで FIM2010（Synchronization Service）のビルドは 4.x （無印は 4.0.x、R2 は 4.1.x）でした。

参考）現状の FIM2010 のビルド一覧
4.0.2592.0 RTM
4.0.3531.2 http://support.microsoft.com/kb/978864
4.0.3547.2 http://support.microsoft.com/kb/2028634
4.0.3558.3 http://support.microsoft.com/kb/2272389
4.0.3561.2 http://support.microsoft.com/kb/2443871
4.0.3573.2 http://support.microsoft.com/kb/2417774
4.0.3576.2 http://support.microsoft.com/kb/2502631
4.0.3594.2 http://support.microsoft.com/kb/2520954
4.1.1906.0 R2 RC


ちなみにこれは歴史を振り返ると
・Zoomit VIA （マイクロソフトによる買収前） / 流石にビルドバージョンは知らない。。。
・Microsoft Metadirectory Server 2.x （日本未発売） / Build 2.x
・Microsoft Identity Integration Server 2003 / Build 3.x
・Identity Lifecycle Manager 2007 / Build 3.x
・Forefront Identity Manager 2010 / Build 4.x
という形で内部バージョンを持っていました。

ここで 5.x が本流の FIM とは別の流れで出てしまった、という事実は次の FIM のメジャーバージョンアップに何か影響があるのでしょうか。。。
まぁ同期のアーキテクチャは既に10年以上もほぼ変わっていないので、そろそろ別のものに？？もしくは打ち止め？？などと想像してしまいます。

Tao of Attributes - 属性之道 於京都 に参加してきました

11/30 の Internet Week および 12/1 の OpenID Summit Tokyo に引き続き 12/2 は京都にて「Tao of Attributes - 属性之道 於京都」が開催されました。

私は OpenID Summit Tokyo と Tao～ に参加したのですが、 OpenID Summit 側にはプレスも入っていましたし、他にもまとめてくれている人がいる（これとかこれ）ので、今回は Tao～ について少し書いておきたいと思います。

といっても当日参加された方はご存じだとは思いますが、かなりカオスな感じ（良い意味で）で進んだワークショップだったのではっきり言って理解＆メモしきれていません。（全編英語でしたし）

まぁ一番の収穫？はこの分野で世界的にもトップを走っている方々でもまだまだ整理がしきれていないんだな、という妙な安心感？が得られたこと。。です。

アジェンダの順に徒然とメモを書いておきます。

Session 1 Tao of Attributes

1. Tao of Attributes / Ken Klingenstein, Internet2

　・ロールとは何か？
　　→属性、クレームをまとめたもの
　　→誰がまとめるのか。コミュニティ、会社、属性プロバイダ・・・など
　　→動的に変化するもの
　　→それっていわゆる「アイデンティティ」だよね？

　・メタデータの重要性
　　→相互フェデレーションを可能とする

　・メタデータの新しい要素
　　→LoA（Level of Assuranse）※前日の OpenID Summit でも属性単位の LoA の話が出ていた
　　→グラフィカルなアイコン
　　→サービス属性、、など
　　→ユーザの同意が必要

　・属性オーソリティ（発行元）のタイプ
　　・企業：従業員コードとか
　　・政府機関、自治体：パスポート番号とか
　　・一時的なもの：位置情報とか
　　・コミュニティ
　　　・フォーマル：バーチャルな組織
　　　・インフォーマル：うわさ
　　・自分自身：使用する言語とか

　・PII（Personal Identifiable Information）の分類（かっこないは例）
　　・個人を特定しない属性（ePSA）
　　・プライバシのために設計された間接的な識別子（ePTID）
　　・プライバシのために設計されていない間接的な識別子（IPアドレス）
　　・直接の識別子（名前、住所）
　　・メールアドレスとFAX番号
　　・位置情報（携帯電話）
　　・センシティブ情報（健康状態、人種、宗教）


2. Attribute Exchange within eduGain Members and Scheme / ValterNordh, eduGAIN

　・eduGain のサービスの紹介
　　・http://www.geant.net/service/edugain/pages/home.aspx
　　・フェデレーション間の接続サービス（インターフェデレーションサービス）
　　・ディスカバリサービス
　　・メタデータサービス（MDS）

　・メタデータのやり取りの方法
　　・フェデレーションからMDSへのメタデータの送付（アップストリーム）
　　・フェデレーションがMDSよりメタデータの取得（ダウンストリーム）

　・属性リリース問題
　　・IdP管理者はどの属性が他のフェデレーションへ渡されているのかを知る必要がある
　　　（eduGainではメタデータの中のスキーマで工夫）


3. Attribute Verification Methods / Kick Willemse, OpenID Foundation

　メモれず・・・
　属性の分類と必要に応じて対象の属性が保証されていることが必要、という話。
　（さすがに資料なしのチョークトーク、且つカオスな感じにはついていけず）


4. Good Practice in Japan: Credit Mutual Exchange in Kyoto eLearning Consortium / Toyokazu Akiyama and Koji Ozaki, Kyoto Sangyo University

　・eラーニングシステムをコンソーシアム参加大学の間で共有するために Shibboleth を導入した
　　・コンソーシアムには50の大学が参加
　　・生徒が自身で登録して利用するシステムだったため、各大学の事務局が各登録を確認していたが手間が大かった
　　・Shibboleth を導入して各大学の IdP と連携出来る様に。


5. Scope of SCOPE for OpenID Connect / Nat Sakimura, OpenID Foundation

　時間切れでスキップ



Session 2 Level of Assurance

6. GakuNin LoA Story / Hiroyuki Sato, University of Tokyo

　時間切れでスキップ


7. Challenge at Kyoto University / Yasuhiro Nagai, Kyoto University

　・LoA は「利用頻度 x セキュリティレベル」の2軸で考えている
　・各セキュリティレベルに応じて以下の認証レベルを導入している
　　Level 1 ) フェース to フェース の認証なし
　　Level 2 ) 静的パスワード＋ICカード
　　Level 3 ) 静的パスワード＋ICカード＋動的パスワード（ワンタイムパスワード）
　　Level 4 ) 静的パスワード＋ICカード＋電子証明書
　・電子証明書は学生証（Felica）に最初から入れてある


8. The University PKI Architecture in Japan and the LoA / Yasuo Okabe, Kyoto University

　・3つのレイヤーで PKI を構築／利用
　　・Open Domain PKI / SMIMEなど外部とのやり取りに利用
　　・Campus PKI / キャンパス内システムに利用
　　・Grid PKI / コンピューターグリッドに利用

　・UPKIの仕様は以下のURLより
　　https://upki-portal.nii.ac.jp/upkispecific/specific


9. Discussion

　時間切れ、というより各セッション内で。。。


10. Dinner

　がんこ
　絶景でした。山縣有朋の別邸だったそうです。

OAuth 2.0 仕様書の翻訳版リリース！

AppFabric ACSv2 や WIF を使ったり、facebook をはじめとするソーシャル API を使おうとすると避けて通れないのが OAuth です。

これまでも OpenID Technight などで仕組みの解説がありましたし、一部当ブログでも紹介しましたが、厳密に知ろうと思うと原文のスペックを読むしかなく、ハードルが高かったのが現状です。

そんな方に朗報です！
OpenID Foundation Japan の翻訳ワーキンググループの活動で OAuth 2.0 core draft 22 および Bearer draft 11 の仕様書の日本語版がリリースされました。
（私も一部お手伝いをさせていただきました）

http://openid-foundation-japan.github.com/

ぜひ、一度ご覧いただければと思います。

MCTS: Forefront Identity Manager 2010, Configuringの提供開始

以前のポストでベータ版が提供され始めたことをお知らせしましたが、11/20から正式版が提供され始めています。

日本でもまだ英語ではありますがプロメトリックで受験できるようになりました。（070-158）
225分の長丁場ではありますが、通常のMCTS試験と同様に\15,000で受験できるので受けてみるのもありかと思います。（目指せ日本初？）

試験範囲を再掲しておきます。
http://www.microsoft.com/learning/en/us/Exam.aspx?ID=70-158&locale=en-us

Plan a FIM Implementation and Install FIM (21 percent)

• Plan and design FIM topology.
• This objective may include but is not limited to: identify single point of failure; match topology to performance requirements; capacity planning; design highly available implementations for FIM Service and Portal
• Install the FIM Service and the FIM Portal.
• This objective may include but is not limited to: Microsoft SharePoint web configuration; service account permissions; prerequisites; certificates; groups
• Upgrade Microsoft Identity Integration Server (MIIS)/Microsoft Identity Lifecycle Manager (ILM) to FIM 2010.
• This objective may include but is not limited to: plan for upgrade; recompiling extensions; upgrading SQL databases; upgrading third-party clients
• Deploy and manage client components.
• This objective may include but is not limited to: automated installs; client images; multi-language support installation; plan for configuration of Microsoft Outlook for group management (Outlook plug-in for approvals and group management); use Group Policy objects (GPOs) to manage FIM client components; registry settings on client machines
• Implement disaster recovery for FIM 2010.
• This objective may include but is not limited to: backup and restore; FIM Service, FIM Portal; Sync Service; initial load scenarios; key backup and recovery

Plan and Configure Core Portal Functionality (19 percent)

• Plan and configure user and group provisioning.
• This objective may include but is not limited to: provisioning to Active Directory; deprovisioning; data-driven provisioning and deprovisioning; configure Management Policy Rules (MPR)/workflow/sync rule triples required for provisioning in the portal; expected rule entries; detected rule entries; workflow parameters
• Plan and configure group management.
• This objective may include but is not limited to: configure dynamic groups (query-based) in the portal; owner-based groups and approvals; distribution groups; security groups
• Plan and configure synchronization rules. 
• This objective may include but is not limited to: inbound and outbound sync rules; create objects in metaverse using declarative rules; advanced attribute flows; relationships
• Plan and configure authorization and action workflows.
• This objective may include but is not limited to: configure approvals including multiple approvals and escalations; notifications; deploying and configuring custom workflow activities
• Plan and configure security permissions and Management Policy Rules (MPRs).
• This objective may include but is not limited to: delegated administration; plan and implement user profile self-service; plan and implement group self-service; temporal objects; sets and set membership

Configure Advanced Portal-Based Scenarios (17 percent)

• Configure the Resource Control Display Configuration (RCDC) for object and attribute display.
• This objective may include but is not limited to: RCDC capabilities; validations; attribute permissions; data sources and data binding; form controls
• Customize the user experience.
• This objective may include but is not limited to: search scopes; menu navigation items; organizational branding; home page configuration; create and configure email templates; usage keywords
• Extend the portal schema.
• This objective may include but is not limited to: resource types; attributes; bindings; schema validation; synchronization filters
• Plan and configure self-service password reset and registration.
• This objective may include but is not limited to: authentication workflow for password reset and registration; QA gates; case sensitivity; lockout gates; password reset action workflow
• Write and interpret XPath queries.
• This objective may include but is not limited to: create valid FIM XPath filters; reference objects and attributes; filters; conditions

Confige FIM Synchronization (22 percent)

• Create and configure standard management agents (MAs).
• This objective may include but is not limited to: SQL Server MA; Certificate Management MA; Active Directory MA; file-based MAs; difference between call-based and file-based MAs; attribute flows; filters; projection rules; join rules; deprovisioning rules
• Create and configure the FIM Service MA.
• This objective may include but is not limited to: resource type mapping; Synchronization Rule filter; understand the constraints of the FIM MA; attribute flow
• Configure the metaverse.
• This objective may include but is not limited to: plan precedence; extend the schema; object deletion rules
• Create and automate run profiles.
• This objective may include but is not limited to: clearing run history; multi-step run profiles; run sequencing
• Implement rules extensions.
• Install and configure password synchronization and Password Change Notification Service (PCNS).
• This objective may include but is not limited to: configure Active Directory MA; install services on domain controllers; schema changes related to PCNS; service principal names

Monitor and Maintain FIM (21 percent)

• Migrate the FIM configuration between environments.
• This objective may include but is not limited to: FIM portal configuration; DLLs and code; synchronization service server configuration; run scripts and automation tools; Windows PowerShell scripts; how to move configurations from development to test to production
• Perform root cause analysis of provisioning issues.
• This objective may include but is not limited to: issues with management policy rules, set definitions, workflows, and expected rule entries; misconfiguration of synchronization service server; coexistence of classic provisioning and declarative provisioning; result sequence
• Perform root cause analysis of issues related to password management.
• This objective may include but is not limited to: issues with password synchronization; self-service password reset; requirements for registration; end-to-end process
• Perform root cause analysis of issues related to data flow and unexpected data.
• This objective may include but is not limited to: data discovery issues; join issues; filter issues; run profile issues; threshold issues; Stack trace; precedence issues; object deletion rules
• Perform root cause analysis of permissions issues.
• This objective may include but is not limited to: MPR definitions; set definitions; portal permission errors; service account permissions; provisioning issues; synchronization service server roles

FIM2010R2 RCがリリース

先週のニュースですが、7月末のベータ版から4か月弱、ようやくRC版（Release Candidate）がリリースされました。

特にベータ版以降の新規の改善点はなさそうですが、先日より物議を呼んでいる（KB2520954）についても反映されてくるものと思われます。
※このKBについては別途エントリを書こうと思います。かなり影響が大きそうですので、ちょっと検証中。。。

＜新機能・改善点＞
・レポーティング
・Webベースでのセルフ・サービス・パスワード・リセット（SSPR）
・FIMデータベースのパフォーマンス改善
・FIM Add-In の Outlook 2010 サポート
・Sharepoint 2010 のサポート
・トラブルシューティングの改善

また、Microsoft Server and Cloud Platform Blog　で Mark Wahl さんが書いている内容によると、
・SSPRの新しい認証ゲート
・追加レポート
・ECMA2
が拡張のポイントだそうです。

ダウンロードは以下より（登録が必要です）
https://connect.microsoft.com/site433/Downloads


他には同時に Lotus Domino 8 connector もリリースされています。これはまだFIM2010R2のRC版用ですが、このリリースより Domino 8.x の管理が出来る様になっています。
尚、10月末にリリースされた新しい拡張管理エージェント開発フレームワーク（ECMA2）をベースに開発されています。