[FIM2010]FIM MAとポータルのスキーマのマッピング（ユーザ）

ちなみに通算100ポスト目です。ぼちぼちペースですがそれなりに継続出来ているのは皆様のおかげです。本当に感謝しております。

さて本題ですが、FIM2010もリリースされ、色々と試してみようという方も増えてきたのかな？とも思うので、実際に設定をする上で必要なんだけど現状あんまり整理されていない情報ということで、FIM MAのユーザオブジェクトのどの属性がFIM Serviceポータルのユーザの属性と紐付いているのか？をまとめてみました。

これをベースにマッピングをしたら、後はMIIS/ILMと同様にMetaverseや他のMAとの属性フロー／同期規則を作ってやれば思った通りの属性でマッピングできると思います。

FIM Service MA		FIM Service Web
属性名称	形式	属性名称	表示区分	備考
AccountName	string	アカウント名	標準表示
AD_UserCannotChangePassword	boolean	ADユーザーはパスワードを変更できません	詳細表示（拡張属性）	※Web上はチェックボックス（ON→true、OFF→値なし）
Address	string	アドレス	標準表示
Assistant	reference	アシスタント	標準表示
AuthNLockoutRegistrationID	reference	ロックアウトゲート登録データID	詳細表示（拡張属性）
AuthNWFLockedOut	reference	AuthNワークフローロックアウト	詳細表示（拡張属性）
AuthNWDRegistered	reference	AuthNワークフロー登録済み	詳細表示（拡張属性）
City	string	市区町村	標準表示
Company	string	会社名	詳細表示（拡張属性）
CostCenter	string	コストセンター（原価部門）ID	標準表示
CostCenterName	string	コストセンター（原価部門）名	標準表示
Country	string	国/地域	標準表示	※Web上はコンボボックス（日本→JP）
Department	string	部署	標準表示
Description	string	説明	詳細表示（共通属性）
DetectedRulesList	reference	検出された規則一覧	詳細表示（共通属性）
DisplayName	string	表示名	標準表示
Domain	string	ドメイン	標準表示
Email	string	電子メール	詳細表示（拡張属性）
EmployeeEndDate	string	雇用終了日	標準表示	YYYY-MM-DDTHH:MM:SS.XXX
EnployeeID	string	社員ID	標準表示
EmployeeStartDate	string	雇用開始日	標準表示	YYYY-MM-DDTHH:MM:SS.XXX
EmployeeType	string	従業員タイプ	標準表示	※Web上はコンボボックス（フルタイム従業員→Full Time Employee）
ExpectedRulesList	reference	予期される規則一覧	詳細表示（共通属性）
ExpirationTime	string	有効期限	詳細表示（共通属性）
FirstName	string	名	標準表示
FreezeCount	number	フリーズの数	詳細表示（拡張属性）
FreezeLevel	string	フリーズレベル	詳細表示（拡張属性）
IsRASEnabled	boolean	RASアクセス許可	標準表示	※Web上はセレクトボタン（許可→true、拒否→false、RASポリシーに基づく制御→値なし）
JobTitle	string	役職	標準表示
LastName	string	姓	標準表示
LoginName	string	ログイン名	詳細表示（拡張属性）	※ドメイン名\エイリアス
MailNickName	string	電子メールエイリアス	標準表示	※ドメイン名なし（＠の左部分）
Manager	reference	管理者	標準表示
MiddleName	string	ミドルネーム	標準表示
MobilePhone	string	携帯電話	標準表示
ObjectID	reference	リソースID※自動付与	詳細表示（共通属性）
ObjectType	string	リソースの種類※自動付与	詳細表示（共通属性）
OfficeFax	string	FAX	標準表示
OfficeLocation	string	事業所	標準表示
OfficePhone	string	電話（会社）	標準表示
Photo	binary	写真	標準表示
PostalCode	string	郵便番号	標準表示
ProxyAddressCollection	string	プロキシアドレスの集合	詳細表示（拡張属性）
TimeZone	reference	タイムゾーン	標準表示

色々と気になるニュースなどなど

RSAカンファレンスもありましたし、色々と気になるニュースや記事が色々と

・Claims-based Identity and Access Control Guideのリリース

　http://msdn.microsoft.com/en-us/library/ff423674.aspx

　しばらく前から気になる記事ではありましたが、このたび正式にリリースされたようです。

　今読んでいるCloud Security and Privacyが読み終わったらじっくり読みたいと思います。

・Windows Identity Foundation Developer Workshopの開催

　http://blogs.msdn.com/vbertocci/archive/2010/03/04/coming-to-a-city-near-you-windows-identity-foundation-developer-workshops.aspx

　残念ながら日本では開催されませんが、3月の終わり～6月の頭にかけて6カ国で開催されます。

　Azure連携も含めWIF三昧なセッションやラボが繰り広げられるようです。

・The Experts Conference 2010の開催

　http://www.tec2010.com/

　毎年開催されているディレクトリ、アイデンティティ関連のカンファレンスです。今年は4月の終わりにロサンゼルスで開催されます。

　さすがに今年はAD FS2.0、FIM2010関連のセッションがてんこ盛りです。

・その他気になる情報

　AD FS2.0／OpenID連携を使ってOpenIDでSharePoint2010へアクセス

　https://blogs.pointbridge.com/Blogs/nielsen_travis/Pages/Post.aspx?_ID=34

　上記とも関連しますが、WIF SDKとDotNet OpenIDを使ってOpenIDとWS-Federationのクレーム変換を行うカスタムSTSの作り方

　http://blogs.southworks.net/mwoloski/2009/07/14/openid-ws-fed-protocol-transition-sts/

なかなか目を通しきれませんが、どれも興味深い情報ばかりなのでがんばってウォッチしていきます。

Forefront Identity Manager 2010 リリース

【画像を追加しました！】

毎年セキュリティ系ベンダの目玉発表が目白押しのRSAカンファレンス2010（現在サンフランシスコで開催中）でマイクロソフトからはForefront Identity Manager 2010のリリースおよび先日買収したU-ProveのCTPが発表になりました。

【ポータル】／Release Candidateの文字が消えてます

【Synchronization Service】／Release Candidateの文字が消えてます

製品ページ
http://www.microsoft.com/forefront/identitymanager/en/us/default.aspx

評価版ダウンロード
http://technet.microsoft.com/ja-jp/evalcenter/cc872861.aspx


当初の予定から1年遅れでしたが、ようやくリリースにこぎつけた、という感じでしょうか。

思えばILM2007もRSAカンファレンス2007で発表されていました。ちょうどその年はサンフランシスコでカンファレンスに参加していて、マイクロソフトのブースで色々と話を聞いたのを思い出します。

↓その時にもらったプレビュー版

↓その時にもらったTシャツ

なにはともあれ早速触ってみたいと思います。

リリース直前！FIM2010関連のWebcast

リリースを目前に控えたForefront Identity Manager 2010ですが、リリースを控えていよいよ盛り上がってきました。

ということで、TechNetのWebcastが3月～4月で4回開催されます。

いずれも日本時間では夜中なので非常にしんどいですが・・・

◆3月9日（日本時間3月10日AM3:00～4:00）

－TechNet Webcast: Forefront Identity Manager 2010: Technical Overview and Deployment (Level 300)

－内容（とりあえずは概要ですね）

Microsoft Forefront Identity Manager 2010 is released, and we take you on a tour around the product in this webcast. We provide a technical overview of Forefront Identity Manager 2010 to give you an overall understanding of the product and its capabilities. We also cover the deployment basics for different scenarios, so you can learn how to effectively deploy and configure Forefront Identity Manager for common scenarios.

◆3月18日（日本時間3月19日AM2:00～3:00）

－TechNet Webcast: Forefront Identity Manager 2010: Monitoring and Troubleshooting FIM in Production (Level 300)

－内容（トラブルシューティング。こういうのが出てくるといよいよリリース、という感じです）

Microsoft Forefront Identity Manager (FIM) 2010 includes rich features across multiple platforms. Troubleshooting FIM requires broad domain knowledge of technologies such as Active Directory, Microsoft SharePoint, Microsoft Exchange Server, SQL, Windows Communication Foundation, Windows Workflow Foundation, and Microsoft Identity Lifecycle Manager (ILM) 2007. In this webcast, we walk you through how to manage FIM in a production environment by showing common troubleshooting approaches, migrating configuration, and common resolutions. The webcast is appropriate for IT professionals who plan to configure or administer FIM for customers.

◆3月30日（日本時間3月31日AM2:00～3:00）

－TechNet Webcast: Forefront Identity Manager 2010: Deploying FIM (Level 300)

－内容（構築関連。キャパシティプランニングなど有用な情報となりそうです）

Microsoft Forefront Identity Manager (FIM) 2010 is a powerful platform that can satisfy many customer requirements for identity and access management. In this webcast, we cover Forefront Identity Manager capacity planning, project planning, and best practice configurations from the product team. We provide best practices for deploying FIM, share FIM deployment experiences from Microsoft Technology Adoption Program (TAP) customers and Microsoft IT, and address common questions like capacity planning.

◆4月5日（日本時間4月6日AM2:00～3:00）

－TechNet Webcast: Forefront Identity Manager 2010: Extending FIM (Level 300)

－内容（SDKなどを使ったFIMの拡張）

Most customers have requirements that cannot be solved by configuring Microsoft Forefront Identity Manager (FIM) 2010 alone. For these customers, it is necessary to extend the FIM platform with custom activities, portals, schema, Resource Control Display Configurations (RCDCs), and management agents. In this webcast, we present the FIM software development kit (SDK) road map so you can best choose which extensibility point to use. We cover best practices of creating, testing, and deploying those extensions for your customers using real-world examples from Technology Adoption Program (TAP) customers and Microsoft IT. About half of the webcast is devoted to the workflow host and writing custom workflow activities. This webcast is appropriate for IT professionals who are already familiar with FIM.

ずべて日本時間では深夜、かつ英語という厳しい条件ですが、早期導入などの結果に基づくキャパシティ情報や拡張に関する話など、今後FIMの展開をする上では必須となりそうな情報が満載のようですので、がんばって聴きたいと思います。

参加してきました「Tech Fielders の集い 特別編 － おかげさまで Active Directory 10周年 セミナー 」

今週はTechDaysもありましたし、本日のAD10周年イベントもあり盛りだくさんでした。

細かい情報はあとからTechFieldersのサイトに載ると思うので、印象に残った点だけ軽く振り返ってみますが、twitterのハッシュタグ#ad10thを見ていて感じたのは、「フェデレーション／ADFS」と「PowerShell」に対する反応の多さが印象的でした。

PowerShellはともかく、これまでフェデレーションって何に使うの？という反応ばかりでしたが、やはりここにきてクラウド連携と関連してみなさんの興味も急上昇、、という感じなのだと思います。

※安納さんのblogでもご紹介いただきましたが、フェデレーションについてTechFieldersのサイトにコラムを書いているので、ご興味があれば見てやってください。

さて、各セッションについてもざっと流してみます。

■Active Directory 10年の歩み／MCS待鳥さん、柿沼さん

・設計の移り変わり

　ADを取り巻く環境（NW、HWスペックや価格）の変化に伴いサイト構成（分散配置から集中配置へ）やDCのサイジング（OSの64bit化に伴う保持オブジェクト数の増加など）が変わってきた、というお話。

・ADの使いこなし例

　3つの例を挙げていました。

　１．Excelで簡単アカウント管理＆監査

　　　VBA+ADSIでオブジェクトの管理台帳を！という使い方です。昔私も作りました。ID管理製品を入れるほどの規模ではない企業の場合これで十分なんだと思います。

　２．パスワード変更情報を取り出す

　　　PCNSを使ってDCへのパスワード変更をフックする例です。意外とみなさんPasswordChangeNotify()関数をご存知ないようで、twitterのTLには感嘆の声が上がっていました。そう言えば以前パスワードフック関連のポストをしたのですが、いまだにアクセス数が上位です。

　３．見えないサーバで個人情報管理

　　　IPSecを使って簡易的な検疫をしましょう、というお話。簡単に実装できるのでやってみてもよいかもしれません。

■Active Directory 提案のツボ／SE山崎さん

Windows Server使い倒し塾でおなじみの山崎さんのセッションです。既に今日の資料がポストされているので、詳しくはそちらを見てください。

山崎さんもやはりADの今後、というところではADFS2.0とAzure連携というお話をしておられました。

■Active Directory／Group Policyよくある質問／サポートチーム北川さん

ある意味、今回のセミナの目玉の一つだったのではないでしょうか？

普段は切羽詰まった状態でメールや電話でしかお話できない製品サポートチームのリアルな話でした。

よくある障害の事例として、

　１．DCへアクセスできないケース

　　　名前解決ができない

　　　ネットワーク上へアクセスできない

　　　NATしている（SMBがNAT非対応）

　２．sysvolへSMB通信が失敗するケース

　　　DFS異常など

　３．低速リンクの検出により一部のポリシーがあたらないケース

　　　ICMPで検出しているので、ICMPがブロックされていると低速リンクとみなされる

が紹介されたり、一部のDCの破損が起きた場合の復旧手順などが紹介されました。

こちらもしばらくしたらblogに本日の情報をアップしてくださるということなので、細かくはそちらに期待です。

■Active Directoryトラブル解決のツボ／ADSIサポートチーム渡部さん

こちらも上記と同じく濃いセッションです。

いつもお世話になっているADSI/ILMサポートチームの「お父さん」こと渡部さんのセッションです。

こちらは製品というよりもADSIやWMIなどの開発がらみも含めた微妙な領域のサポート部隊なので、プログラミングに依存する問題、環境・構成に依存する問題の切り分け～解決までのアプローチについて紹介していました。ある意味もっとも専門性が要求される部隊なのかも知れません。

細かいアプローチについてはblogへの掲載を期待するとして、紹介されていた事例は以下の通りでした。

　１．ADSIで大量のオブジェクトを操作するとエラーがでるケース

　　　→リソース（ポート）の枯渇の可能性を疑う（netstatで確認）

　２．ADsOpenObject(OpenDsObject)が特定のDCに対して失敗する

　　　→名前解決の可能性が高い

　　　→DSQueryで対象のDCのオブジェクト参照を試す

　　　→直接IPアドレスを指定する

　３．ASP.NETアプリケーションがADを参照しようとすると認証エラーになる

　　　→NTLM認証はダブルホップ認証ができないので、KerberosでWindows統合認証を構成する必要がある。（ダブルホップ：ブラウザ→IIS→DCという2段階で認証が行われる構成）

■パネルディスカッション／MVPを含む5人の濃い方々・・

話が盛りだくさんでまとめきれませんが、一言で言うと「ここに歴史あり」という感じでしょうか？

NT5.0と言われていた時代からかかわってこられた方々ばかりで、Active Directoryの成長を実際に支えてこられた方々の生の話でしたので、とても面白かったです。

特に印象に残ったのは、

・Active Directoryは10年間基本設計が変わっていないという点が素晴らしい

・今後認証基盤だけではなくアイデンティティ情報のレポジトリとしても活用されていくのではないか？

という2点でした。

既に登壇されたMVP国井さんがblogに本日の様子をアップしているのでそちらも合わせてご覧ください。

■Active Directoryを広めよう！／プロダクトマネージャ岡本さん

製品マーケティングの視点でActive Directoryを紹介していました。

国内の企業の規模別のActive Directory導入率など、普段は見られない貴重なデータを見ることができ、とても参考になりました。

できれば今後はActive Directoryの各コンポーネント別（DS、RMS、CS、LDS、FS）でも集計が取れると面白いかと思ったりしました。

また、今後の各種イベントの情報や、6月26日に出版される新しい書籍「Active Directory ID管理ガイド」の紹介もありました。（以前出ていたActive Directory ID自動管理ガイドの改定版？）

■そして懇親会！

イベント自体すごい人数が参加していましたので、懇親会もかなりの人数が参加されていたのではないでしょうか？

目玉はこのケーキでした。

他にもこんなお土産をいただきました。

限定の帯付きの「ひと目でわかるActive Directory（2008R2対応）」

限定200個のメダル

まぁ何にせよ大盛況でしたし、とても役に立ちました。

関係者の皆さんは大変だったと思います。本当にお疲れさまでした！

アイデンティティ視点で見るTechDays2010

昨日（2月23日）、今日（24日）とMicrosoft TechDays 2010に参加してきました。
基本的にデベロッパー向けのイベントなんですが、今回はAzureにフォーカスされているということもあり、クラウドを取り巻く開発・管理・インフラ、、という形でインフラ屋さんにとっても非常に役に立つ話が盛りだくさんでした。

と言いつつ、アイデンティティ視点ということで私が特に注目して聴いたのが、
・T1-304 Windows Identity Foundation によるクラウド連携認証基盤の構築
・T1-309 Windows Azure Platform AppFabric によるオンプレミス/クラウド ハイブリッド アプリケーションの構築
・T4-401 オンプレミス & クラウドにおける Identity 連携の全体像
の3つです。
※セッション一覧はこちらから

内容的に言うと、オンプレミスで用意するIdP（ADFS2.0、AD）とアプリケーション側でクレームをハンドリングするためのライブラリであるWIF（Windows Identity Foundation）、間をつなぐMicrosoft Federation GatewayやAzure Platform AppFabricのアクセスコントロールサービス、というオンプレミスからクラウドにまたがるアイデンティティ＆アクセス管理についてを横断的に見てきた、という感じでしょうか。

大きなテーマとしては企業がクラウド上のサービスを使うに当たっての大きな課題であるオンプレミスとクラウドにまたがったシステムをいかに「セキュア」で「便利」に構築するか？その時にベースとなるアイデンティティはどうなるのか？という点をAzureに特化した際の一つの解が示されたと思います。

マイクロソフトの全体的なアイデンティティの方向性については以前紹介したKim Cameron氏のblogやアーキテクチャジャーナルに書かれている通りですが、クラウドの台頭というパラダイムシフトによりビジョンの実現に向けて製品への実装が加速した、という感じでしょうか。


詳細はエバンジェリスト安納さんがblogでActive Directoryの歴史と共に語ってくれていますが、以下のような仕組みが製品として提供されてこようとしています。

・企業内のアイデンティティ情報をクラウド（もしくは社外）と連携するための仕組み
　→Active Directory Federation Services 2.0 ( ADFS2.0 )
・Azureの場合に代表してフェデレーションする窓口
　→Microsoft Federation Gateway ( MFG )
・Azure上のサービスのアクセス権管理をする
　→Windows Azure Platform AppFabric／アクセスコントロールサービス
　　※基本的にはWebサービス（WCF）を使う場合の権限管理
・認証／認可モデルの変化（クレームベースのセキュリティモデルへの変更）に伴うアプリケーションの対応※まさにIdentity Metasystem！
　→Windows Identity Foundation ( WIF )

個人的にはMFG、AppFabricのACSは全然触っていないので、少し触ってみようかな？と思えました。
※そう言えばAD Connectorってどこへ行ったんだろうか？

尚、とってもわかりにくいキーワードであるフェデレーションやクレームベースのセキュリティについてTech Fieldersのサイトにコラムを書いたので、よろしければご覧ください。

・TechFieldersインタビュー AD FS 2.0 でアプリケーションの世界が変わる
・TechFieldersコラム システム管理者のためのフェデレーション講座

まぁ何にせよTechDays関係者の皆さんお疲れさまでした！

FIMの技術仕様詳細ドキュメント

FIMに関するマニアック情報って色々とあるんですが、普通に使う分には使い道がなかったり、マニアック過ぎて読み解くのが非常に困難（英語だし）、、ということであまり紹介してきませんでしたが、今回は少し紹介してみます。

MSDNに「Open Specifications Developer Center」というサイトがあります。

ここではマイクロソフト製品に使われている技術仕様が公開されているのですが、その中にFIMに関連する仕様も存在しています。（Windows Protocols→Application Services and .NET Framework Protocolsの中）

タグ	タイトル	説明
MS-UPSCDAP	User Profile Synchronization (UPS): Configuration Database Data Access Protocol Specification	構成データベースへのアクセスプロトコル仕様の解説
MS-UPSCDS	User Profile Synchronization (UPS): Configuration Data Structure	構成データベースのデータ構造の解説
MS-UPSCP	User Profile Synchronization (UPS): Configuration Protocol Extensions	オブジェクトの作成、変更、削除、列挙をするために使用するSOAPメッセージなどの解説
MS-UPSDBDAP	User Profile Synchronization (UPS): Database Data Access Protocol Specification	データベースへのアクセスプロトコルの仕様やストアドプロシージャの解説
MS-UPSLDAP	User Profile Synchronization (UPS): Lightweight Directory Access Protocol Version 3 Extensions	ADDSやiPlanetをはじめとする各種ディレクトリサーバへのLDAPアクセスの仕様解説
MS-UPSMODS	User Profile Synchronization (UPS): Management Objects Data Structure	データソースの同期を決定づける管理オブジェクトの構造の解説
MS-UPSSCXPP	User Profile Synchronization (UPS): Schema Exchange Protocol Profile	WS-MetaDataExchangeでのスキーマ交換の仕様解説

さすがに全部は見きれていませんが、エラーメッセージ一覧と意味、発生するトリガーなどがかなり細かく書いてあったり、データベースやオブジェクトの構造、ADDSやiPlanetなどの各種ディレクトリアクセスMAのLDAPアクセスの仕様など、トラブルが起きた時などには非常に役立つ情報ばかりです。（どちらかというとプロダクトサポート向けかも・・・）

他にもコードレスプロビジョニングに関する特許申請文書など色々とマニアック文書が存在していますが、なかなか手がつけられていません。。。気が向いたら解読して紹介したいと思います。（確かにERL/EREやDREなどの思想／仕様を押さえるうえでは役に立つので）