[JICS]Vittorio Bertocci氏へのインタビュー／オフショット

Japan Identity and Cloud Summit(JICS)で来日していたVittorio Bertocci氏にWindows Azure Active Directory(WAAD)のインタビュー記事が先週頭にBuild Insiderで公開されました。

Vittorio Bertocci氏インタビュー
　開発者にとってのWindows Azure Active Directoryの役割と今後の展開
　http://www.buildinsider.net/enterprise/interviewvittorio/01


内容は記事をご覧いただくとして、編集の方に許可を頂いたのでインタビュー中の写真を少々アップしておきます。

JICSの講師控室でインタビューしていました。占有してしまって済みませんでした。
しかし事前に質問を用意していたとはいえ、全編英語でのインタビューは結構疲れました。ちなみにその週はずっと彼をアテンドしていたので、若干英語力が上がったかも。

インタビューの前にGraph APIを使ってWAADで使うSaaSアプリケーションの管理もできるようになるといいなぁ、という話をホワイトボードを使ってディスカッションしていたりしました。（見えないと思いますが）

だいぶ間は空いてしまいましたが、とり合えず１週間お疲れ様でした。


おまけ（＠東京から京都へ移動する前に東京駅で寿司をｗ）

[WAAD]セルフサービス・グループ管理と承認フロー

日々いろいろと機能がリリースされている（※）Windows Azure Active Directory（WAAD）ですが、今回は利用者自身によるグループ管理と承認フロー（いずれもPremium版のプレビュー機能）を試してみます。
※ちなみに本日も新しいレポート機能がリリースされてました。

■概要

アプリケーションパネル（http://myapps.microsoft.com）からグループの作成、グループへの参加申請、承認が出来るようになっています。

■利用シーン

同じくプレビュー機能でグループを組織が使うアプリケーション（GoogleAppsなどのSaaSアプリケーション）に割り当てることが出来るようになっているので、利用者自身がグループへ参加申請し、グループオーナーが承認することで管理者でなくてもアプリケーションを使わせることが出来るようになります。

こんな感じです。

■動作を試してみる

◇初期状態の確認

　一般ユーザにはSaaSアプリケーションが割り当てられていないのでまだアプリケーションは使えない状態です。アプリケーションパネルを開いても何も出てきません。

◇事前作業：グループの作成（グループオーナー／一般利用者の作業）

　アプリケーションパネルからグループを作成します。
　※ちなみに管理者（マイクロソフトアカウント）が管理ポータルから作成したグループだと参加申請がうまく行かないので、組織のアカウントを使ってグループを作成しておく必要があります。ここでは組織アカウント（管理権限のない一般利用者）でアプリケーションパネルへログインして、セルフサービスでグループを作成しています。

まずはアプリケーションパネルへアクセスし、グループメニューを開きます。（WAAD Premiumプレビューの有効化を事前にしておく必要があります）

[Create a Group]をクリックするとグループ作成画面になるので、グループ名を入れてグループを作成します。

[Create]をクリックするとグループが作成できます。


◇事前作業：アプリケーションへグループを割り当てる（管理者作業）

　管理ポータルでグループ一覧を開くと先ほど作成したグループが表示されているのがわかります。

　このグループをSaaSアプリケーションに割り当てます。

　これで準備は完了です。


①グループへの参加申請

　先ほどのグループオーナーとは別のユーザでアプリケーションパネルへアクセスし、グループメニューを開きます。今度はグループへの参加を申請します。
　少しわかりにくいのですが参加したいグループのアイコンの右下の歯車をクリックすると[Join]というメニューが出てくるのでクリックします。

　リクエストが成功するとグループオーナーへ承認依頼が行きます。

②グループ参加申請を承認する

　グループオーナー（先ほど事前作業でグループを作成したユーザ）でアプリケーションパネルへアクセスし、今度は承認メニューを開きます。
　すると、先ほどの申請が届いているので選択⇒承認を行います。

　これでグループへの参加が承認されるので先ほど申請したユーザはグループに割り当てられたSaaSアプリケーションが使えるようになっているはずです。


③アプリケーションを利用する

　改めてアプリケーションパネルを開きます。すると先ほどは何も出てこなかったアプリケーションメニューにグループに割り当てられたアプリケーションが表示されます。

　また、グループメニューから先ほど申請したグループのメンバになっていることもわかります。
　（ドロップダウンからMy Membershipを選択すると自身がメンバになっているグループが表示されます）

■まとめと今後の展開


　まだまだプレビュー機能ということもあり若干機能不足な感じはしますが、小規模な企業であればWAADのグループ機能を使ってうまくSaaSアプリケーション利用の承認フローが実装できると思います。

　もう少しちゃんと使おうと思うと、最低限以下の機能は必要だと思うので、今後に期待したいところです。

• すべてのグループが表示されてしまうので、ユーザの権限によってグループの表示や申請自体が出来ないようにフィルタイングする
• グループオーナー権限の委譲（複数人で承認出来るようにする）
• グループオーナーが削除されてしまうとグループへの参加が出来なくなる

[FIM2010]無印FIM2010用HotFix

まだ無印のFIM2010（Forefront Identity Manager 2010）を使っている人向けのHotFixがでてきています。

ビルド番号は4.0.3733.2です。
KBページ：http://support.microsoft.com/?id=2926490

これは以前リリースされたビルド4.0.3714.2を置き換えるものなので、まだ無印を使っている人はあてた方が良いと思います。

修正されたのはSynchronization Serviceで以下が治っています。

マルチバリュー属性の差分インポートを行う際に以下の条件に該当すると変更を検出しない

• 差分インポートが該当属性に関するエクスポートを確認した場合
• 変更がエクスポート後、確認用の差分インポートを実行する前に、接続されたリソース側に対して直接実行された場合

タイミングの問題ではありますが、あり得る状況なので予期せぬ問題に発生しないためにも適用は必須ですね。

Japan Identity & Cloud Summit 2014のまとめのまとめ

先日のポストでも紹介したとおり、Vittorio Bertocci氏と一緒にJapan Identity & Cloud Summit 2014（JICS2014）に参加してきてました。

私もエンタープライズトラックを担当し、「ID基盤構築101（ワンオーワン）」というタイトルでID基盤構築の基礎の話をさせていただきました。

Id基盤構築101 from Naohiro Fujie

また、VittorioにIdentity as a Service（IDaaS）とWindows Azure Active Directoryについてインタビューもしましたので、そのうちWeb記事として公開されると思います（まだ原稿書いてませんがw）

そんなこんなで当日は他のトラックやセッションをほぼ全く聞けていないのですが、各種メディアで取り上げられたり、皆さんがtogetterでまとめを作っていただいていたので、さらにそれらをまとめておきます。

◆メディア系
Cloud Watch：災害時対策や高齢者支援で重要度を増す「ID連携」実現の方向性〜谷脇氏講演
　http://cloud.watch.impress.co.jp/docs/news/20140116_630987.html
Internet Watch：”総透明社会”にどう関わるか〜佐々木俊尚氏講演
　http://internet.watch.impress.co.jp/docs/news/20140116_630986.html
@IT：なぜ僕らはまだパスワードリスト攻撃に悩まされ続けるのか
　http://www.atmarkit.co.jp/ait/articles/1401/16/news068.html
ITPro：ID戦略で「領域を超えて情報流通や連携を」JICS2014に延べ1200人が参加
　http://itpro.nikkeibp.co.jp/article/NEWS/20140117/530462/

◆togetterまとめ
テクノロジートラック：Identity女神誕生 by @nov
　http://togetter.com/li/616328
エンタープライズトラック by @mad_p
　http://togetter.com/li/616813
なんとなくメモ by @ulto
　http://togetter.com/li/616907
パーソナルデータトラック by @nov
　http://togetter.com/li/616390
セキュリティトラック by @nov
　http://togetter.com/li/616331

◆個人blog
JICS2014に参加してきました。 by @ntsuji
　http://n.pentest.jp/?p=31142


軽くピックアップしただけなので、抜け漏れがあるかもしれませんが、見つけたら追加してきます。

おまけ
1日目夜の情報交換会でのミニセッションの写真 by @tkudos

左→右：Vittorio Bertocci（Microsoft Corporation）、私、Pat Patterson（Salesforce.com）、崎村さん（OpenID Foundation、NRI）、池澤あやかさん（女優。http://ameblo.jp/ikezawa-ayaka/）

[NSF2014]エンタープライズ・ID連携トラストフレームワークに おけるポリシーのあり方

来週は Japan Identity & Cloud Summit（JICS） ですが、今月はまだまだイベントが続きます。

1月29日（水）は神田のベルサーレで日本ネットワークセキュリティ協会（JNSA）恒例のネットワーク・セキュリティ・フォーラム（NSF）が開催され、アイデンティティ管理ワーキンググループでも一つパネルセッションがあり、私もパネリストとして参加します。

　ネットワーク・セキュリティ・フォーラム2014
　http://www.jnsa.org/seminar/nsf/2014/


テーマは昨年～今年ワーキンググループで議論の中心となっている、「エンタープライズにおけるトラストフレームワーク」です。
クラウド活用の拡がりによって企業内でもID連携が普及してきましたが、例えばグループ企業間やサプライチェーンの中でのアプリケーションや情報共有のために認証連携を行う場合に、認証やそのバックエンドにあるID管理は各IdPであるグループ企業側に任せてしまうことになります。（グループ企業の認証システムで認証された結果を持って親会社のアプリケーションへログインする、というようなユースケース）
その場合、親会社などアプリケーションを公開する側（RP側）としては本当にその認証結果（IdP側）を信じていいのか？という点が課題になります。
例えば、
・本当にちゃんとID管理されているのだろうか？（退職者アカウントが残っていたりしないか？など）
・認証システムのセキュリティが甘くてなりすましなどは起きていないだろうか？
など心配は尽きない、ということです。

セッションではそのような状況の中で企業ではどのようなポリシーを持ってID連携の信頼関係を構築したらよいのか？という点について議論をします（予定）。

是非お申し込みください。

以下、セッション概要です。（申し込みページから引用）

エンタープライズ・ID連携トラストフレームワークに
おけるポリシーのあり方

モデレータ：
アイデンティティ管理WGリーダー
宮川 晃一 氏（日本ビジネスシステムズ株式会社）
パネリスト：
南 芳明 氏（株式会社シマンテック）
富士榮 尚寛 氏（伊藤忠テクノソリューションズ株式会社）
中島 浩光 氏（株式会社マインド・トゥー・アクション）
江川 淳一 氏（エクスジェン・ネットワークス株式会社） 

近年、学術認証フェデレーション(GakuNin)に代表されるIDフェデレーションモデルが本格的に運用され始めており、経済産業省においても「ID連携トラストフレームワーク検討委員会」が設立され、今後エンタープライズ分野への大きな広がりが期待されております。
また、OpenIDファウンデーション・ジャパンとの共同WGである、エンタープライズ・アイデンティティ・ワーキンググループ(略称：EIWG)では、ID連携フェデレーションをエンタープライズ分野にて推進するため、OpenID ConnectとSCIMの普及を目的とした活動を行っています。
本アイデンティティ管理WGでは、2012年度より「ID管理におけるトラストフレームワークのエンタープライズにおける活用」について継続討議していますが、企業間のトラストフレームワークを考える上で非常に重要な「ポリシー」について、その考え方をパネルディスカッションいたします。

MVP Renewal 5th !!

と、言うことで5年目突入しました。今年も Forefront Identity Manager の MVP を受賞いたしました。

振り返ると昨年は Windows Azure Active Directory（WAAD）の正式リリースなど、アイデンティティ・サービスのクラウド化（IDaaS）が大きなテーマだったと思います。また、その動きに伴いトラストフレームワークの重要性がエンタープライズにおいても認識されてき始めている、というところだと思います。

今年は早々に Japan Identity & Cloud Summit 2014（JICS）や Network Security Forum 2014（NSF）とイベント三昧で、再度エンタープライズにおけるID管理基盤のあり方についての解説や、IDaaS やトラストフレームワークの話の解説をしていきたいと思います。

ということで今年もよろしくお願いいたします。

[OAuth]年末大掃除。Facebookへのアクセス許可の整理

番外編です。
年末なので色々とPC環境やFacebook等の設定の整理をしています。

Facebookを使っていると、色々なアプリケーションやWebサイトに「いいね！」をしたり、プロフィール情報の読み取りや投稿許可を与えたりしてしまう（せざるを得ない）事があると思います。（この辺りがOAuthです）

あんまりアクセス許可を与えっぱなしにしておくのも気持ちが悪いのでいい機会なのでまとめて整理をしてしまいましょう。

まずは、「いいね！」をしてしまったWebサイトやFacebookページの整理です。

自分のプロフィールのアクティビティを開きます。

左下に「ページと趣味、関心」があるので、開きます。

色々なページに「いいね！」をしているのがわかります。
「いいね！」を取り消すにはそれぞれにある鉛筆マークをクリックします。
※実際にJICSのサイトの「いいね！」を消したらダメですよ（これ重要）

次に、アプリに与えてしまった許可の整理です。

こちらはプライバシー設定の中にあります。
画面右上のメニューからプライバシー設定を開きます。

続いてプライバシー設定画面の左下のアプリを開きます。

すると許可を与えたアプリの一覧が表示されます。
結構な数のアプリを使ってます。

ここで編集をクリックすると具体的にどんな許可を与えているのかをみることができます。

Amazonアプリ、結構な権限を要求してきています。。。。
ここで不要だと思ったら×をクリックして権限ごとに削除してしまうのも良いですし、アプリケーション単位で許可を取り消してしまうこともできます。

でも、消す前に具体的にアプリがいつ、何をしたのか？について見たければ、最終アクセスの中の「詳細を見る」をクリックすると履歴が見れます。

ちょこちょこ覗かれてますね。

信頼できるアプリやページであればいいですが、間違って許可を与えてしまった場合などはこの辺りで適切に管理をしてあげましょう。



と、いうことで年末の大掃除の一環でFacebookの権限周りを整理してみました。
皆さんもこの機会にぜひ大掃除をして良い年をお迎えください。

今年もお世話になりました。