[FIM2010] R2 向け HotFix がリリース

早くも HotFix がリリースされています。

修正内容の詳細は
　http://support.microsoft.com/?id=2734159
に記載されていますが、特に日本語環境で重要な修正点としては以下の2点かと。

・Unicode 文字列が含まれるユーザがパスワードリセットポータルを使えなかった不具合を修正
・Synchronization Manager が Unicode 文字列を含むファイルやフォルダへのアクセスができない不具合を修正

いずれもレアケースだとは思うので、それほど影響はありませんが極まれに日本語の sAMAccountName で構成されている Active Directory を見たりするので条件に合致するユーザもいるんだと思います。


他にも Exchange 2010 で Active Sync デバイスを追加したとき、Active Directory からユーザをデプロビジョニングできなくなる、といった課題にも対応したり、パフォーマンス向上をしていたりするようなので、気になる方は適用するとよいと思います。

[FIM2010] R2対応書籍が発売

濃い本が発売されました。

Kent Nordstrom さんによる Microsoft Forefront Identity Manager 2010 R2 Handbook です。

Amazon もしくは Packt Publishing で購入可能です。
※今日現在、Amazon（日本、US共に） では予約販売になっています。

早速購入してみたので、中身を軽く紹介しておきます。

まず、目次は下記の通りです。

Chapter 1: The Story in this Book
Chapter 2: Overview of FIM 2010 R2
Chapter 3: Installation
Chapter 4: Basic Configuration
Chapter 5: User Management
Chapter 6: Group Management
Chapter 7: Self-service Password Reset
Chapter 8: Using FIM to Manage Office 365 and Other Cloud Identities
Chapter 9: Reporting
Chapter 10: FIM Portal Customization
Chapter 11: Customizing Data Transformations
Chapter 12: Issuing Smart Cards
Chapter 13: Troubleshooting


インストールからカスタマイズまで全体的に網羅されています。
特に第8章では Office365 のユーザを管理する方法についての記載があったり、UAG と FIM を使って OTP（ワンタイムパスワード）を使った Office365 へのログオンの記述もあります。
同様に R2 からの新機能である Web ベースの SSPR（セルフサービスパスワードリセット）や SCSM を使ったレポーティングについても記載されています。

残念なのは約400ページで上記のすべてを詳細に解説するのは紙面上無理があり、それぞれの項目についての記述レベルは割と軽いものになっている点です。
しかし、全体に網羅されているので初めて FIM 2010 / FIM 2010 R2 を導入する人にとっては非常に理解しやすい内容になっていると思います。


これを機に日本が誇る？青本も R2 対応してリニューアルしないかなぁ・・・と思っています。

[FIM2010]Google Apps MAをリリースしました

以前のエントリで宣言してそのまま放置していた ECMA2.0 対応の GoogleApps 用管理エージェントですが、先ほど CodePlex 上でリリースしました。

CodePlex 上のプロジェクト

 - http://fim2010gapps.codeplex.com/

昔 Sourceforge に公開していた ECMA 1.0 用のものと基本的な動きは同じですが、 ECMA2.0 対応をするに際してゼロから書き直しました。

※ FIM 2010 rollup2 より前の ECMA2.0 非対応環境で使う場合は昔のバージョンを使ってください。

ソースコードも一緒に公開しているので、わかる人はわかるとは思いますが、そのうち内容の解説を本ブログ上でも行いたいと思います。

また、前のエントリでも紹介した 9/22 の .NET ラボ勉強会でのハンズオンではこの管理エージェントを使って実際に Google Apps へのプロビジョニングを体験していただこうと思いますのでこちらもお楽しみに。

[告知]8月～9月はアイデンティティ系イベント三昧

8月～9月は何故かアイデンティティ系のイベントがてんこ盛りです。
私も下記のイベントで都合4回登壇する予定です。

8/28
OpenID Technight Vol.9
http://atnd.org/events/31320
＃既にキャンセル待ち

前半に先日のCloud Identity Summitの内容の紹介など非常に興味深いセッションがあった後、「クラウド・アイデンティティとコンシュマライゼーション」というテーマでパネルディスカッションがあり、私は後半のパネルに登場する予定です。

9/19 大阪、9/21 東京
ID & IT Management Conference 2012
http://nosurrender.jp/idit2012/

今年で2回目の開催となる国内では非常に貴重なアイデンティティに関するカンファレンスです。このイベントはパネルディスカッションが中心になっているが特長で、今回私は「シングルサイオンベンダーによる最新技術動向について」というパネルのモデレータを務める予定です。

9/22
.NETラボ勉強会
http://www.dotnetlab.net/dnn/Events/NET%E3%83%A9%E3%83%9C%E5%8B%89%E5%BC%B7%E4%BC%9A2012%E5%B9%B409%E6%9C%88/tabid/122/Default.aspx
＃登録サイトは未オープン。オープン時にお知らせします。

.NETラボの高尾さんを巻き込んで遂に企画してしまいました。FIM/ADFS のハンズオンです。日本マイクロソフトからお馴染み安納さんやソフィアネットワークスの国井さん（Directory ServiceのMVP）にも色々とお願いをしてしまったので、かなりレアなイベントになりそうです。

お時間の許す方は是非！

[FIM2010] R2 向け Best Practices Analyzer がリリース

これは一度でも FIM をインストール・設定したことがある人なら理解できると思いますが、インストールや設定に際してかなり細かい設定項目や前提事項が存在しています。

真面目にやろうとすると、このような本を片手に頑張ることになるのですが、中々面倒くさいのも事実です。

FIM Best Practices Volume 1: Introduction, Architecture And Installation Of Forefront Identity Manager 2010

通常私達がセットアップをする場合は、そのあたりをまとめたスクリプトや設定テンプレートを使ってしまうのですが、結果を一括で確認できるという点では今回リリースされた様な Best Practices Analyzer はとても便利です。

ダウンロード URL

http://www.microsoft.com/en-us/download/details.aspx?id=30419

尚、このツールを使うには事前に MBCA2.0（Microsoft Baseline Configuration Analyzer）をインストールしておく必要があります。

ダウンロード URL

http://www.microsoft.com/en-us/download/details.aspx?id=16475

早速使ってみます。

まずは起動して Select Product より Forefront Identity Manager 2010 R2 BPA を選択して Start Scan をクリックします。

次の画面で分析対象のパラメータを設定します。今回の環境では CLM および BHOLD は使っていないのでチェックを入れていません。

Start Scan をクリックすると分析が開始され、しばらくすると結果が表示されます。

ここでは、FIMService / FIMSyncService のアカウントのバッチジョブとしてのログオン拒否のポリシーが有効化されていない点と SQL Server Agent のジョブが有効になっていない点がエラーおよび警告として表示されています。

結果をクリックすると詳細が表示され、対応方法について記載された Web サイトへのリンクも用意されています。

では、分析結果で指摘された事項を修正していきます。

まずはサービスアカウントがバッチジョブとしてログオンできない様にポリシーを構成します。

次に SQL Server Agent のジョブで一部有効化されていないものがあったので有効化しておきます。

構成したら再度、ツールで分析をしてみます。

すると今度は問題が表示されなくなります。

みなさんも設定が一通り完了したら一度このツールを使って正しく設定されているかを最後に確認してみることをお勧めします。

[WAAD]Graph API で Office365 アカウントを管理する

Windows Azure Active Directory（WAAD）は Office365 などで利用されるマイクロソフトのオンライン・ディレクトリ・サービスです。
ということは Office365 のユーザ情報は WAAD 内にストアされており、Graph API で管理することが出来る、ということになります。

早速、Office365 のユーザの情報を Graph API で取得してみたいと思います。

まず当然ですが Office365 上にユーザを作っておきます。

このユーザ情報を Graph API を試すためのツールである Graph Expolorer を使って取得してみます。

このツールの Resource の値に
  - https://directory.windows.net/sub02adfs.onmicrosoft.com/Users
という形で対象ドメインと取得リソースを指定すれば値が取得できるはずです。

早速、GET をクリックしてみると、、、当然認証が走ります。

この中の Principal Id とか Symmetric Key とは何を指しているのかが、よくわかりません。

このあたりのドキュメントを読むと Graph API を使うには Service Princial を作成するという作業が必要の様です。
 - How-to Procedure: Authenticate To Windows Azure AD Graph Using Windows Azure AD Access Control
   http://msdn.microsoft.com/en-us/library/hh974468

具体的には Office365 の Powershell コマンドレットを使って Service Principal Id を取得するスクリプトを実行する必要があります。
※事前に Microsoft Online Servies サインインアシスタントも必要


ただ、面倒なので既に用意されているスクリプトを使いましょう。
 - PowerShell authorization script
   http://iddemo.blob.core.windows.net/files/CreateServicePrincipal.ps1

上記は直リンクですが、CodePlex で公開されているサンプルアプリケーションの中にもスクリプトが含まれていますので、そちらを利用しても良いでしょう。

 - サンプルアプリケーション
   http://code.msdn.microsoft.com/Sample-App-for-accessing-d71122ff

この中の「C#\PowerShell Scripts」の中に、CreateServicePrincipal.ps1 が上記からダウンロードできるスクリプトと同じものです。


このスクリプトを実行すると Service PrincipalName の指定するように要求されるので、任意の名前を入力します。

Windows Azure Active Directory 内でのユニーク性のチェックが行われ、問題なければマイクロソフト・オンライン・サービスの認証が走り、4つの値が払い出されます。

・Company ID
・AppPrincipal ID
・App Principal Secret
・Audience URI

この値の中の、AppPrincipal ID が先ほどの Graph Explorer の Principal Id、App Principal Secret が Symmetric Key に対応しているので、先ほどのログイン画面でその値を入力しログオンするとユーザの情報が表示されます。
※他の値については SSO を行う際に使うものなのでそのうち紹介したいと思います。

さきほど Office365 上に作ったユーザも確認できます。

今回は単に一覧を表示するだけでしたが、当然追加・変更・削除も出来るので、今後は Office365 へのプロビジョニングを DirSync に頼らなくても出来る様になってくると思います。
TechEd North America のセッションを見ていると既に FIM 2010 用の Graph API Management Agent を開発している会社もあるようなので、より柔軟にオンライン・アカウントを管理出来る様になってくると思います。

Windows Azure Active Directory Developer Preview が公開

European Identity Conference の Keynote で Kim Cameron 氏が語った Microsoft の IDMaaS（Identity Management as a Service）の実現である Windows Azure Active Directory の Developer Preview がアナウンスされました。

 - Windows Azure Team blog
   Announcing the Developer Preview of Windows Azure Active Directory
   http://blogs.msdn.com/b/windowsazure/archive/2012/07/12/announcing-the-developer-preview-of-windows-azure-active-directory.aspx

 - Vibro.NET / Vittorio Bertocci
   Single Sign On with Windows Azure Active Directory: a Deep Dive
   http://blogs.msdn.com/b/vbertocci/archive/2012/07/12/single-sign-on-with-windows-azure-active-directory-a-deep-dive.aspx


あわせて、各種ドキュメントやサンプルツールなどもリリースされています。

 - MSDN ドキュメント
   http://msdn.microsoft.com/en-us/library/hh974476

 - サンプルアプリケーション
   http://code.msdn.microsoft.com/Sample-App-for-accessing-d71122ff

 - Graph Explorer / テスト用ツール
   https://graphexplorer.cloudapp.net


更に興味深いのが Kim Cameron 氏が 最新の blog エントリ「Yes to SCIM. Yes to Graph.」で語っている Graph API と SCIM（Simple Cloud Identity Management）の関係です。


エントリの中で Kim 氏は基本的に SCIM の目指しているゴールをサポートしており、マイクロソフトとして取り組みを支援する姿勢を見せています。

しかし、何故マイクロソフトは SCIM を採用せずに Graph API を検討しているのか？という疑問に対する解として以下の2点を挙げています。

１．多様なオブジェクトが相互に多様な関係性の中に存在する環境において Graph API は検索や操作性において統合されたアプローチを提供するため。

　つまり、SCIM で提供されているスコープ（現状はユーザとグループオブジェクト）以上のオブジェクトと複雑な関係性を表現する上では Graph API の方が向いている、ということでしょうか。

２．巨大なスケールにおいてディレクトリは「多次元ネットワークを表現するものに変化する」ため。

　今後のディレクトリ内にストアされるオブジェクトは全てにつながり、多くのディメンジョンを持つことになるため、 オブジェクトを扱うためには Graph API が必要だ、ということでしょうか。
　例として、レガシーなディレクトリは組織や人やグループなどのオブジェクトを持っていて、組織は人を含み、グループは階層化されている、という様な構造を持っていましたが、ソーシャル構造を表現する必要が出てきている、という話が挙げられており、レガシーな単一指向性のディレクトリでは構造を表現することが不可能になってきている、という主張なのだと思います。


Kim Cameron 氏は次の blog エントリでも Windows Azure Active Directory のリリースについて書く、と宣言しているのでしばらくは目が離せそうにありません。