[IDaaS]Salesforce Identityがリリース

2012年秋の Dreamforce で発表された Salesforce Identity ですが、ようやく正式にリリースされたようです。（対象は Enterprise Edition / Performance Edition / Unlimited Edition とのこと）

※画面ショットは公式サイトより

発表時の blog はこちら
　原文
　　http://blogs.developerforce.com/engineering/2012/09/introducing-salesforce-identity.html
　日本語
　　http://blogjp.sforce.com/2012/09/salesforce-iden-ce09.html

　参考）日本の公式ページ
　　http://www.salesforce.com/jp/platform/identity/



まだ現物を触れていないので何とも言えませんが、各種オンライン記事を見ると Active Directory 統合やら多要素認証や Google や SAP など各種アプリケーションへのシングルサインオン基盤（ランチャー）のような機能や SCIM を使ったプロビジョニング機能などがあるようです。

• A cloud directory with user profiles, workflows and administration.
• Directory integration and support for Active Directory.
• Dashboards and reporting.
• Multi-factor authentication.
• Single sign-on, integration with Salesforce Chatter and social feeds, mobile identity and social sign-ons via Facebook, Google, Amazon and Paypal.
• Policies based on device such as mobile or PC.

※出展：zdnet / http://www.zdnet.com/salesforce-launches-identity-service-eyes-okta-7000021928/

• Cloud Directory: Scalable directory services, including fully automatable user profile management, workflows and delegated administration to improve compliance
• Directory Integration: New Salesforce Identity Connect enables out-the-box support for existing directory investments such as Active Directory
• Reporting and Dashboards: Builds and customizes reports and dashboards instantly using drag and drop tools to better understand usage and access patterns across apps
• Multi-factor Authentication: Adds an extra layer of security when logging in or accessing critical resources

※出展：forbes / http://www.forbes.com/sites/benkepes/2013/10/15/salesforce-launches-identity-tying-together-the-complexity-of-the-distributed-enterprise/


中にはこんな記事も。

Salesforce Identity rocks the boat for startups like Okta and Ping
　http://www.citeworld.com/cloud/22557/salesforce-identity-versus-okta-ping-onelogin

確かにこれまで Okta とか PingIdentity などのサードパーティに頼っていたフェデレーション関係の機能が本体に取り込まれるとなると波風も立つかと。。。

しかし現状の Windows Azure Active Directory の例を見ていても他のサービスとの統合は確かに出来るようにはなるんでしょうが、「器用な」連携はまだまだ、、という気がするので、サードパーティはそのあたりの「かゆいところに手が届く」サービスや製品をリリースすることでエコシステムが機能していくことになるんだと思います。
（Ping Federate と Office365 の連携なんかはよい例で、AD FS を使わずに PingIdentity の製品を使うことでクレームルールだけではできない「器用な」ことができるようになっています）


尚、現状私の手元にある Salesforce のライセンスが Developer Edition と Professional Edition だけなので、何とか対象になっているエディションを入手できたら実際に試してみます。

ちなみに Developer Edition でも ID プロバイダ、認証プロバイダ、シングルサインオン設定などは可能で、いつの間にか認証プロバイダの種類に OpenID Connect が登場しているあたりが流石の Pat Patterson / Chuck Mortimore コンビというあたりです。

[FIM2010]Hotfix（ビルド 4.1.3469.0）が出ています

久しぶりに新しい Hotfix が出ています。

Forefront Identity Manager 2010 R2 向け Hotfix build 4.1.3469.0
　http://support.microsoft.com/default.aspx?id=2877254


ECMA2.0 関係の修正や Windows Azure Active Directory コネクタ関係の修正も含まれているので、是非適用しておきたいところです。


尚、これは今回に限った話ではありませんが、Hotfix を適用すると各種 dll のビルド番号が更新され、本体の exe からうまく認識されなくなることがあります。
そんな時は、MIIServer.exe.config などの .config ファイルの中の セクションの bindingRedirect 要素に古い dll のビルド番号と新しい dll のビルド番号を書いておくことで回避をすることができます。
※FIM Synchronization の場合。FIM Service の場合は同じく対応する Microsoft.ResourceManagement.Service.exe.config ファイルを記載する必要があります。

ID&IT Management Conference 2013 が終わりました

9/18@大阪、9/20@東京で開催された「ID&IT Management Conference 2013」が、無事終了しました。
　公式サイト
　　http://nosurrender.jp/idit2013/

先日投稿した通り、私は JNSA の IdM-WG のメンバでのパネルディスカッションを担当しました。

時間が限られてたのでなかなか多くは伝えられませんでしたが、とりあえず無事に終了して良かったかな、、と思っています。
当日使った資料を公開しましたので、よろしければご覧ください。

THE日本のID管理（ID&IT Management Conference 2013） from Naohiro Fujie

後、一番のジェネラルセッションの資料もExgen江川社長が公開していらっしゃいましたので、紹介しておきます。 今後エンタープライズがどういう方向に進んでいくのか？についてわかりやすく解説されているので、ぜひご覧ください。

Id&it2013 iamの理想と真実 from Egawa Junichi

最後に、OpenID Foundation Japanのエヴァンジェリスト @nov が togetter で当日のまとめを作っているので参加できなかった方はこちらを見ると雰囲気がつかめると思います。

　ID & IT 2013 - Osaka #idit2013
　　http://togetter.com/li/565725

[FIM2010]gacutil.exeを使わずにカスタムワークフローをGACへ取り込む方法

Forefront Identity Manager（FIM 2010）のカスタマイズのポイントを大きく分けると以下の4つになります。

1. カスタムクライアント
2. カスタムワークフロー
3. ユーザインターフェイス（UI）
4. 管理エージェント

これまでこのブログで紹介したことがあるのは3番目のUIのカスタマイズと、4番目の管理エージェントの作成方法でした。

ユーザインターフェイス（UI)
　[FIM2010] ポータルのナビゲーションバーをカスタマイズする
　http://idmlab.eidentity.jp/2012/05/fim2010.html

管理エージェント
　[FIM2010]Google Apps MA 1.1.0 をリリースしました
　http://idmlab.eidentity.jp/2012/10/fim2010google-apps-ma-110.html


1のカスタムクライアントはWindows PhoneやiOSなどで承認フローを回すような製品などが世の中にはリリースされていたりしますし、カスタムワークフローについても実際の導入を行う際は確実に実装をする対象になってくると思います。

と、いうことで今後カスタムワークフローの紹介も本ブログでしていこうと思っています。今回はその中で環境面の話なので順番的には微妙なのですが、ちょうどFIM MVPのCraigさんとSorenさんが作成したカスタムワークフロー（dll）をグローバルアセンブリキャッシュ（GAC）へ取り込む方法について紹介していたので、その方法を紹介します。

通常、作成したdllをGACに取り込むには.NET Framework SDKをインストールして、その中に含まれているgacutil.exeを使うことになるのですが、あんまり環境を汚したくない人向けにgacutilを使わなくても取り込むためのスクリプト（PowerShell）を先の二人が公開してくれています。

Craig Martin氏のブログ - Identity Trench
　Use PowerShell to GAC a FIM Workflow DLL without gacutil.exe
　http://www.identitytrench.com/2013/09/use-powershell-to-gac-fim-workflow-dll.html?utm_source=dlvr.it&utm_medium=facebook

Soren Granfeldt氏のブログ - The Identity Management Explorer
　Use Powershell to put your assemblies in the GAC
　http://blog.goverco.com/2012/04/use-powershell-to-put-your-assemblies.html?m=1


参考にしてみてください。

Bearer Token とは？

先日の OpenID Technight の後の懇親会で OpenID Foundation 理事長の崎村さんと飲みながら話をしていて、「言われてみれば・・・」と思ったのが、「OAuth などの Bearer Token の Bearer ってなんのことだと思う？」という話題でした。

OAuth 2.0 では通常 Bearer もしくは MAC というタイプのトークンが使われ、単純に違いは Secret や署名の要否という理解だったので、Bearer が何を意味するのか？を考えたことはなかったんですが、言われてみると気になります。

辞書を引くと
・運ぶ人[もの],運搬人
・持参人
などという意味があるようです。
※weblio より

相変わらずこの手の用語は直訳しても良くわからないです。。。

ということで、崎村さんによる解説です。

・Bearer は「持参人払い」から来ている
　※大辞林によると「持参人払い＝小切手などの証書で，特定の者を権利者として指定せず，それを持参した人に支払うこと」
・つまり、トークンを持ってきた人に対して支払う（API 利用を許可する）、という意味である
・例えば、飛行機のチケットは持ってきた人が権利者かどうかの確認を行うが、演劇のチケットは持ってきた人が観劇できる。この演劇のチケットが Bearer である

なるほど。わかりやすい。

OAuth などのトークンに置き換えると、Bearer トークンを使う場合、使用されるトークンが誰に対して発行されたのかを確認せずに、「トークンを持っていること」をベースに API 利用を許可する、ということですね。


RFC などの仕様や実装における用法を勉強するのはもちろん大事ですが、使われる用語の意味にはちゃんと設計思想が反映されているので、ちゃんと理解しておきたいところです。

JWx 仕様の日本語翻訳版が公開されました

以前より OpenID Authentication や OAuth 2.0 などの仕様の日本語化を行ってきた OpenID Foundation Japan の翻訳・教育ワーキング・グループにより JWx の翻訳版が公開されました。

本当は昨日（9/4）の OpenID Technight での発表の現場へ駆けつけたかったんですが、残念ながら大雨で足止めをされてしまい、間に合わず。。。


今回公開されたのは、以下の3点です。

• JSON Web Token (JWT) draft-ietf-oauth-json-web-token-11
• JSON Web Signature (JWS) draft-ietf-jose-json-web-signature-14
• Use Cases and Requirements for JSON Object Signing and Encryption (JOSE) draft-ietf-jose-use-cases-03

Windows Azure Active Directory の API や Google Apps の API、Salesforce.com の API を Forefront Identity Manager（FIM）をはじめとする IdM 製品から実行するようなケースではこれまで各接続先に対する設定に管理者の ID とパスワードを埋め込んだりする必要がありましたが、JWT を使った OAuth 2.0 の認可を行う形へ各社の API が対応してきているので、今後はそのようなリスクのある運用はしなくても良くなると思われます。今のうちに JWx に慣れ親しんでおく良い機会になると思いますので、ぜひ参考にしてください。
（私は JWT の部分で協力させていただいています）


参考）これまでに翻訳された仕様一覧はこちらから。
　http://openid-foundation-japan.github.io/

ID&IT Management Conference 2013に参加します

現在国内で開催されるエンタープライズ向けのアイデンティティ管理関連のイベントといえば、

・ID&IT Management Conference

・Japan Identity & Cloud Summit

の2つが主だと思います。

（コンシューマとか技術よりだと通称 idcon の Identity Conference とか OpenID Technight などもあります）

そのうち、ID&IT Management Conference 2013 が 9/18@大阪、9/20@東京で開催されます。

　公式ページ

http://nosurrender.jp/idit2013/

昨年はカンターラ・イニシアティブの顔でシングルサインオンに関する技術動向についてのパネルディスカッションのモデレータをさせていただいたのですが、今年は日本ネットワークセキュリティ協会（JNSA）の顔で「THE 日本のID管理(SI編)～要求仕様策定のポイント～」と題してアイデンティティ管理システム／認証システムの導入に関する RFP をどうやって書くべきなのか？のポイントについてのパネルディスカッションのモデレータを担当することになりました。

公式サイトのプログラム紹介ページより

THE 日本のID管理(SI編)～要求仕様策定のポイント～

日本のIAM分野のSIerが、認証基盤システム導入のための要求仕様(RFP)策定のポイントについてパネルディスカッションを行います。

内容についてはまだ考えている途中ですが、JNSAのアイデンティティ管理ワーキンググループで今年度のテーマの一つとして検討をしている、「アイデンティティ管理や認証システムの導入の目的と必要とする機能のマッピング」をベースに話をする予定です。

要するに、一言でアイデンティティ管理とか認証基盤と言っても何のためにシステム化をするのかによって必要となる機能は違うはずなので、単純に製品機能の有無（例えば対応する接続先アダプタの数など）で検討を進めてもあまり意味は無く、例えば運用コストを下げる目的ならばパスワードのセルフリセット機能などの自動化機能の重みが増しますよね、などといった話をしていこうと思います。

まだ、パネリストは未定ですが、導入経験の豊富な SIer のみなさんが登場してくれるはずなので、現場の生の声が聞けるチャンスだと思います。

平日の日中帯ですが、東阪の両方の会場でやりますので、都合がよろしければご来場ください。