左側にオススメ書籍コーナーを作ってみました。
何しろ絶対数が少ないアイデンティティ管理分野の書籍。
洋書を含め色々と買い漁って調べるしかない中で、私が買ってみてよかった本一覧なので、興味のある方は是非読んでみてください。
(一部、私も関与している本もありますがそのあたりは宣伝ということでw)
Why I Joined Hawcx
3 日前
2012年1月26日木曜日
AppFabric ACSの構成をバックアップする
昨日の朝、こんなアナウンスがありました。
クラウド上で提供されているサービスについても障害に備えてバックアップを取っておく必要がありそうです。
こんな時に役に立つのが以前紹介した、「Windows Azure PowerShell Comandlets」です。
http://wappowershell.codeplex.com/releases/view/66308#DownloadId=240649
このコマンドレッドをインストールすると、サンプルとして ACS の設定のインポート/エクスポートスクリプトが提供されます。
このスクリプトを実行すると以下のように設定がエクスポートされます。
> ExportNamespace.ps1 "ACSネームスペース" "マネージメントキー" "出力ファイル名"
Adding AcsManagementToolsSnapIn Snap-in...
Getting all the Identity Providers from sso-test namespace...
Getting all the Relying Parties from sso-test namespace...
Getting all the Rule Groups from sso-test namespace...
Getting all the Service Keys from sso-test namespace...
Getting all the Service Identities from sso-test namespace...
Serializing all the information in sso-test namespace to the 出力ファイル名 file...
Done
ファイルの中身を見るとこんな感じで設定がエクスポートされています。
インポートする際はこの逆で ImpoerNamespace.ps1 を実行することになります。
もしもの時に備えて設定をエクスポートしておくことをおすすめします。
重要なお知らせ – Windows Azure アクセス制御サービスの設定情報確認のお願 い
お客様各位、
マイクロソフトは、Windows Azureアクセス制御サービス(ACS)の設定情報(証明 書利用者、IDプロバイダー、ルールなど)が、ある条件下で予期せずに損失する こと検出・修正しました。この修正は、日本時間2011月12月 12日午前11時に実行 いたしました。この障害は一部のお客様のみ発生しております。念 のため、お客 様のACSの名前空間が正しく設定されているかご確認お願いいた します。
対象バージョン: Windows Azure Access Control Service 2.0
この度は、ご迷惑をおかけしたことを深くお詫び申し上げます。ご不明な点がご ざいましたら、https://www.windowsazure.com/j a-jp/support
カスタマー サポート までお問い合わせください。
クラウド上で提供されているサービスについても障害に備えてバックアップを取っておく必要がありそうです。
こんな時に役に立つのが以前紹介した、「Windows Azure PowerShell Comandlets」です。
http://wappowershell.codeplex.com/releases/view/66308#DownloadId=240649
このコマンドレッドをインストールすると、サンプルとして ACS の設定のインポート/エクスポートスクリプトが提供されます。
このスクリプトを実行すると以下のように設定がエクスポートされます。
> ExportNamespace.ps1 "ACSネームスペース" "マネージメントキー" "出力ファイル名"
Adding AcsManagementToolsSnapIn Snap-in...
Getting all the Identity Providers from sso-test namespace...
Getting all the Relying Parties from sso-test namespace...
Getting all the Rule Groups from sso-test namespace...
Getting all the Service Keys from sso-test namespace...
Getting all the Service Identities from sso-test namespace...
Serializing all the information in sso-test namespace to the 出力ファイル名 file...
Done
ファイルの中身を見るとこんな感じで設定がエクスポートされています。
インポートする際はこの逆で ImpoerNamespace.ps1 を実行することになります。
もしもの時に備えて設定をエクスポートしておくことをおすすめします。
2012年1月9日月曜日
[FIM2010] R2 で強化された拡張コネクタ開発
そろそろ正式リリースされてもおかしくない FIM2010R2 ですが、拡張コネクタ(Extensible Connectibity。旧XMA/ECMA)の開発に関する機能も強化されています。
新しい拡張コネクタ開発のフレームワークは ECMA2.0(Extensible Connectibity 2.0)と呼ばれ、MIIS/ILM 時代のXMA、FIM2010 の ECMA1.0 に比べて以下の新機能が追加されています。
・Call based Import
・Batched Import & Export
・Schema / Partition discovery
・Customizable parameters & Interface
・Definable capabilities
それぞれの機能について簡単に説明をしていきたいと思います。
■Call based Import
FIM の拡張コネクタを開発する際、Import / Export の形式は File based、Call based から選択することになります。それぞれの違いは、
・File based : 中間ファイルを経由したデータのやり取り
・Call based : 直接接続先とデータのやり取り
です。
FIM2010 までは Export については File based / Call based の両方を利用することが出来ましたが、 ECMA2.0 からは Import 処理でも直接接続(Call based)をサポートしました。
■Batched Import & Export
MIIS~FIM2010 までは Import / Export 共に一つのメソッドで実装するしかなかったので、1エントリ毎に対象システムとのコネクションの確立、データ連携、コネクションのクローズという手順を踏むしかなく、非常にオーバーヘッドがかかっていました。
今回 ECMA2.0 ではコネクションの初期化・確立、データ連携、コネクションのクローズがそれぞれ別々のメソッドとして分離されました。結果として、コネクション関連のメソッドをエントリ毎に呼び出す必要がなくなり、効率がよくなりました。
参考)インポート時に使用するメソッド
・コネクションの初期化 : OpenImportConnection
・インポートの実施 : GetImportEntries
・コネクションのクローズ : CloseImportConnectionResults
■Schema / Partition discovery
これまでは接続先システムのスキーマ(どのような属性を保持しているか)を FIM に認識させるために例え接続先がデータベースであったとしてもテンプレートファイル(CSV)を一度読み込ませる必要がありました。
しかし、ECMA2.0 からは GetSchema メソッドを実装することで直接スキーマを読み込んで連携対象の objectType と属性一覧を取得することが出来る様になりました。
■Customizable parameters & Interface
こちらも XMA / ECMA1.0 では接続先システムに関するパラメータの設定が
・Connect To : 接続先の名称
・User : 接続用ユーザ名
・Password : 接続用パスワード
の3つしか指定できなかったのですが、ECMA2.0 からは画面上にコントロールを自由に配置できる様になったため、パラメータ群についてもかなり自由に設定出来る様になりました。
配置可能なコントロールは以下の通りです。
・ラベル
・文字列
・暗号化文字列
・ファイル
・チェックボックス
・セクション区切り
・ドロップダウンリスト
・テキストエリア
試しに配置してみたのが以下の画像です。
■Definable capabilities
拡張コネクタがサポートする機能を設定することが出来ます。設定可能なプロパティは以下の通りです。
と、ここまでざっと新機能を紹介してきました。次回は新しい形式を使って以前作成した Google Apps MA を実装する方法を紹介したいと思います。
ちなみに ECMA2.0 の評価環境としては FIM2010R2 の RC 版、もしくは ECMA2.0 の評価専用の Synchronization Service(Build 4.0.3587.168)が Connect サイトに用意されています。
新しい拡張コネクタ開発のフレームワークは ECMA2.0(Extensible Connectibity 2.0)と呼ばれ、MIIS/ILM 時代のXMA、FIM2010 の ECMA1.0 に比べて以下の新機能が追加されています。
・Call based Import
・Batched Import & Export
・Schema / Partition discovery
・Customizable parameters & Interface
・Definable capabilities
それぞれの機能について簡単に説明をしていきたいと思います。
■Call based Import
FIM の拡張コネクタを開発する際、Import / Export の形式は File based、Call based から選択することになります。それぞれの違いは、
・File based : 中間ファイルを経由したデータのやり取り
・Call based : 直接接続先とデータのやり取り
です。
FIM2010 までは Export については File based / Call based の両方を利用することが出来ましたが、 ECMA2.0 からは Import 処理でも直接接続(Call based)をサポートしました。
■Batched Import & Export
MIIS~FIM2010 までは Import / Export 共に一つのメソッドで実装するしかなかったので、1エントリ毎に対象システムとのコネクションの確立、データ連携、コネクションのクローズという手順を踏むしかなく、非常にオーバーヘッドがかかっていました。
今回 ECMA2.0 ではコネクションの初期化・確立、データ連携、コネクションのクローズがそれぞれ別々のメソッドとして分離されました。結果として、コネクション関連のメソッドをエントリ毎に呼び出す必要がなくなり、効率がよくなりました。
参考)インポート時に使用するメソッド
・コネクションの初期化 : OpenImportConnection
・インポートの実施 : GetImportEntries
・コネクションのクローズ : CloseImportConnectionResults
■Schema / Partition discovery
これまでは接続先システムのスキーマ(どのような属性を保持しているか)を FIM に認識させるために例え接続先がデータベースであったとしてもテンプレートファイル(CSV)を一度読み込ませる必要がありました。
しかし、ECMA2.0 からは GetSchema メソッドを実装することで直接スキーマを読み込んで連携対象の objectType と属性一覧を取得することが出来る様になりました。
■Customizable parameters & Interface
こちらも XMA / ECMA1.0 では接続先システムに関するパラメータの設定が
・Connect To : 接続先の名称
・User : 接続用ユーザ名
・Password : 接続用パスワード
の3つしか指定できなかったのですが、ECMA2.0 からは画面上にコントロールを自由に配置できる様になったため、パラメータ群についてもかなり自由に設定出来る様になりました。
配置可能なコントロールは以下の通りです。
・ラベル
・文字列
・暗号化文字列
・ファイル
・チェックボックス
・セクション区切り
・ドロップダウンリスト
・テキストエリア
試しに配置してみたのが以下の画像です。
■Definable capabilities
拡張コネクタがサポートする機能を設定することが出来ます。設定可能なプロパティは以下の通りです。
| 区分 | プロパティ名 | 説明 | デフォルト値 |
|---|---|---|---|
| 実行プロファイル | DeltaImport | MA が Delta Import をサポートするかどうか | TRUE |
| FullExport | MA が Full Import をサポートするかどうか | FALSE | |
| 接続先ディレクトリの動作 | ObjectRename | MA が DN のリネームをサポートするかどうか。DistinguishedNameStyle プロパティの値が MADistinguishedNameStyle.Generic もしくはMADistinguishedNameStyle.LdapStyle となっている必要がある | TRUE |
| ObjectConfirmation | 接続先ディレクトリがオブジェクトの変更時に確認をすることが出来るかどうか | Normal | |
| DeleteAddAsReplace | MA が削除→追加をサポートするかどうか。もしこの値が FALSE であればオブジェクトのリプレース時に全削除→追加が実行される。 | TRUE | |
| DistinguishedNameStyle | MA がサポートする DN のスタイル | MADistinguishedNameStyle.Generic | |
| NoRefereneceValuesInFirstExport | 初回エクスポート時にオブジェクトが参照値を含まないようにする必要があるかどうか | FALSE | |
| 同期と MA の動作 | ConcurrentOperation | 複数インスタンスの MA の同時オペレーションを同期エンジンがサポートするかどうか | TRUE |
| ExportType | Export 時にオブジェクトの属性をリプレースする際、同期エンジンが属性のリプレース行うか、属性のアップデートを行うかどうか | MAExportType.ObjectReplace | |
| Normalizations | Export 前にデータの平準化を行うかどうか | MANormalizations.None |
と、ここまでざっと新機能を紹介してきました。次回は新しい形式を使って以前作成した Google Apps MA を実装する方法を紹介したいと思います。
ちなみに ECMA2.0 の評価環境としては FIM2010R2 の RC 版、もしくは ECMA2.0 の評価専用の Synchronization Service(Build 4.0.3587.168)が Connect サイトに用意されています。
2012年1月2日月曜日
MVP Renewal !!
皆さま明けましておめでとうございます。
既に twitter や facebook には書きましたが、昨年度に引き続き Forefront Identity Manager の MVP を再受賞することができました :-)
これで3年目に突入ですので、いつまでも初心者気分ではいられなくなってきました(汗
昨年は FIM よりも AD FS2.0 をはじめとしたフェデレーションの話の方が当 Blog のネタとしても多かった気がしますが、今年は SCIM 元年?になる感触もあるので、ちゃんとプロビジョニングの話もしていきたいと思います。(手始めは FIM の SCIM アダプタの作成?)
また、外部向けに話をする際も、これまでは分野の性質上、企業のIT管理者向けにID管理システムの企画~プロジェクトの進め方みたいな話をすることが多かったのですが、今年は技術者向けの勉強会などで話する機会を増やしてもよいのかな?とも思っています。(ニーズがあれば、、ですが)
相変わらずニッチな分野ではありますが、今後も細々と活動をして行きちょっとしたお役に立てればと思います。 ということで本年もよろしくお願い致します!
既に twitter や facebook には書きましたが、昨年度に引き続き Forefront Identity Manager の MVP を再受賞することができました :-)
これで3年目に突入ですので、いつまでも初心者気分ではいられなくなってきました(汗
昨年は FIM よりも AD FS2.0 をはじめとしたフェデレーションの話の方が当 Blog のネタとしても多かった気がしますが、今年は SCIM 元年?になる感触もあるので、ちゃんとプロビジョニングの話もしていきたいと思います。(手始めは FIM の SCIM アダプタの作成?)
また、外部向けに話をする際も、これまでは分野の性質上、企業のIT管理者向けにID管理システムの企画~プロジェクトの進め方みたいな話をすることが多かったのですが、今年は技術者向けの勉強会などで話する機会を増やしてもよいのかな?とも思っています。(ニーズがあれば、、ですが)
相変わらずニッチな分野ではありますが、今後も細々と活動をして行きちょっとしたお役に立てればと思います。 ということで本年もよろしくお願い致します!
2011年12月27日火曜日
[告知]カンターラ・イニシアティブ・セミナー2012 Winter
2/1にカンターラ・イニシアティブのセミナーをやります。
今回は、JNSA(日本ネットワークセキュリティ協会)のIDMワーキンググループとの共同開催ということで、両方にちょっとずつ絡んでいる私もパネルディスカッションに参加します。
テーマが「グローバル企業におけるID管理」ということで、純日本製SIerの私としては何を話そうか迷うところですが、、、
他にもJNSAのクラウド環境におけるアイデンティティ管理ガイドブックよりアイデンティティ管理プロジェクトにおける失敗事例のパターンの話や、特権管理ソリューションの話、マイナンバーの話など非常に幅広いテーマで講演があるので、月初という忙しい時期だとは思いますがよろしければ是非。
■告知ページ
http://kantarainitiative.org/confluence/pages/viewpage.action?pageId=57606150
■アジェンダ
今回は、JNSA(日本ネットワークセキュリティ協会)のIDMワーキンググループとの共同開催ということで、両方にちょっとずつ絡んでいる私もパネルディスカッションに参加します。
テーマが「グローバル企業におけるID管理」ということで、純日本製SIerの私としては何を話そうか迷うところですが、、、
他にもJNSAのクラウド環境におけるアイデンティティ管理ガイドブックよりアイデンティティ管理プロジェクトにおける失敗事例のパターンの話や、特権管理ソリューションの話、マイナンバーの話など非常に幅広いテーマで講演があるので、月初という忙しい時期だとは思いますがよろしければ是非。
■告知ページ
http://kantarainitiative.org/confluence/pages/viewpage.action?pageId=57606150
■アジェンダ
13:30 受付開始
14:00 開会挨拶 カンターラ・イニシアティブ ジャパン・ワークグループ
14:05-14:35 講演 「アンチパターンから学ぶID管理」
JNSA ID管理WGより NTTコムウェア 駒沢 健
JNSA ID管理WGより NTTコムウェア 駒沢 健
14:40-15:20 講演 「特権ユーザ管理とは ~登場の背景と求められる機能」
日本CA株式会社 楠木 秀明
日本CA株式会社 楠木 秀明
15:30-16:00 講演 「共通番号制度・国民ID解説」
株式会社NTTデータ 技術開発本部 小山 武士
株式会社NTTデータ 技術開発本部 小山 武士
16:00-16:50 パネルディスカッション 「グローバル企業におけるID管理」
パネラー
JNSA ID管理WGリーダー 宮川 晃一(日本ビジネスシステムズ株式会社)
日本オラクル株式会社 下道 高志
伊藤忠テクノソリューションズ株式会社 富士榮 尚寛(MS MVP)
パネラー
JNSA ID管理WGリーダー 宮川 晃一(日本ビジネスシステムズ株式会社)
日本オラクル株式会社 下道 高志
伊藤忠テクノソリューションズ株式会社 富士榮 尚寛(MS MVP)
17:00頃 終了予定
2011年12月19日月曜日
[FIM2010] R2 で強化されたパスワード管理機能 - その1
# 久しぶりに本業?の FIM の話題です。
ようやく RC 版がリリースされた FIM2010R2 ですが、今回は新しく追加されたパスワード管理機能について試してみます。
無印のころは Windows ログオン画面でのパスワードリマインダ機能だけでしたが、R2 からは Web ベースでのパスワード登録およびパスワードリセット機能が実装されています。
・無印のころのパスワードリセット画面
この機能は Windows クライアントのみ、且つ全員がドメインに参加しているという状況下においては非常に有用な機能でしたが、非ドメインユーザなどには使えない、という欠点がありました。
(ドメインユーザであれば PC にログオンできない環境下でも使える、というのは運用上とても良い機能でした)
その点、R2 からは Web ベースでのパスワードリマインダが実装されているので、以下の様な流れで秘密の質問の登録およびリセットを行うことが出来ます。(設定方法はそれなりに手間がかかるので、別途まとめます)
ちなみに今回は AD と FIM のユーザを同期した状態、且つ AD MA のパスワード変更を有効にした状態がベースです。ですので、FIM でパスワードをリセットすると Active Directory のパスワードがリセットされます。
・パスワード(秘密の質問)の登録画面
# ちなみに相変わらず秘密の質問の回答に日本語は使えません。。
続いてパスワードリセット画面です。こちらも Web 化されています。
これで、無事にパスワードがリセットされました。
一旦ログオフして、再度ログオンするときは新しいパスワードになっているはずです。
2011年12月13日火曜日
Windows Azure Active Directory
Azure 方面では大幅アップデートでお祭り状態?になっているみたいですが、ひっそりとアイデンティティ関連に関してもアナウンスがされています。
詳細はこれから徐々に出てくると思われますが、現状出ている情報から見えるところだけとりあえず。
まず、タイトルが「Windows Azure Active Directory」になっています。
http://www.windowsazure.com/en-us/home/tour/access-control/
少しずつ本文から抜粋します。
Windows Azure Active Directory is a cloud service that provides identity and access capabilities for applications on Windows Azure and Microsoft Office 365. Windows Azure Active Directory is the multi-tenant cloud service on which Microsoft Office 365 relies on for its identity infrastructure.
Windows Azure 上のアプリケーションおよび Office365 用のアイデンティティ&アクセス機能を提供、とあります。
これまで、似たようなサービスではありましたが、全く別の基盤として稼働してきた AppFabric ACS と Office365 のアイデンティティ・プラットフォームでしたが、ついに統合?されることになりそうです。(単なるブランド統合だけかもしれませんが)
【参考】
これまでの Office365 のアイデンティティ・プラットフォーム。
ACS と同様に AD FS2.0 とのフェデレーションが出来ましたがあくまで Offce365 専用。
こんな記述もあります。
You can enable single sign-on, security enhanced applications, and simple interoperability with existing Active Directory deployments using Access Control Service (ACS), a feature of Windows Azure Active Directory.
AppFabric ACS の位置づけが明確に Windows Azure Active Directory の一機能とされています。
こんな記載もあるので、やれることとしては既存の Active Directory と一緒に使うことによって SSO などを実現、とあるのでそれほど変わらないのかと。
You can quickly extend your existing on-premises Active Directory authentication to your cloud applications through ACS. By using your existing user directory as the authoritative identity provider, users are authenticated to your cloud applications with their existing accounts.
標準技術への対応に関する記述は以下の通り。OpenID 2.0 との記載は以前からありましたが、OpenID Provider の追加は非サポートでした。今後はどうなるのかちょっと期待。
Integrated and customizable Home Realm Discovery so users can choose their identity provider with support for Windows Live ID, OpenID 2.0, Google, Yahoo, Facebook, and enterprise providers such as Windows Active Directory.
その他ですが、最近の Azure 界隈はかなり OSS に寄っている気がします。以下の記述を見ても Ruby の記述があるあたりが OSS 開発者を強く意識しているのかな?と思います。
ACS is compatible with virtually any modern web platform, including .NET, PHP, Python, Java, and Ruby, and has out-of-the-box support for popular web identity providers including Windows Live ID, Google, Yahoo!, and Facebook.
今回はまだリリースされている情報が少ないので、機能面ではあまり見えておらず、単なるリブランディングなのか?とも思えますが、引き続き要ウォッチです。
登録:
投稿 (Atom)
投稿
