【セミナー資料】AD FS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1

11月2日の Tech Fielder セミナー「AD FS 2.0 を使用して Windows Azure との SSO を実現しよう」にご参加くださったみなさま、ありがとうございました。SSL 不調により途中お見苦しいところをお見せしましてすみませんでした。IIS でバインドの再設定を行ったところ、動作させることができました。懇親会にご参加いただいた20名ほどのみなさまには最後までご覧いただけたかと思います。 そして、ライブ中継をお申込みいただいたにもかかわらず、がサーバー不調により中止となってしまいましたこと、お詫び申し上げます。 当日の様子はビデオにして配信いたしますので、今少しお待ちください(もちろんお見苦しい部分は再収録いたします orz) とりいそぎ、当日の資料を加筆修正し、SlideShare にアップロードしました。 フォントがおかしいので、是非ともダウンロードしてからご参照ください。 枚数が多いため5分割してあります(すいません)。 1/5 ADFS 2.0 を使用してWindows Azure との SSO を実現しよう V1.1 View more presentations from Junichi Anno. 2/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう v1.1 View more presentations from Junichi Anno. ※2/5 の P22、24の誤植について指崎さんからご指摘いただきました。詳しくは…

4

【IDM】Active Directory の「直属の部下」属性からマネージャーかどうかを判断する 2/2

「マネージャーかどうかを判断しよう」の第3弾です。以前の投稿は以下をご覧ください。 【IDM】Active Directory の「直属の部下」属性 – フィールドSEあがりの安納です – Site Home – TechNet Blogs 【IDM】Active Directory の「直属の部下」属性からマネージャーかどうかを判断する 1/2 – フィールドSEあがりの安納です – Site Home – TechNet Blogs 前回の投稿で、Active Directory の DirectReports 属性から部下の一覧を持ってきました。 でも、この部下一覧をアプリケーションにごそっと渡したところで、アプリ側は迷惑なだけです。 どうせならば「DirectReports に部下が 一人以上存在していれば Manager である」と判断することはできないものでしょうか? できます(それも乱暴な話ではあるのですが…)。 これを実現するには、以下のような 2 つのクレームルールを作成する必要があります。 directReports 属性から値を取得するためのルール(クレームは発行しません) 取り出した値が1以上ならば Role クレームに Manager を放り込んで発行 ■1つ目 1つ目のルールは、前回作成したものとほとんど変わりません。どこが違うかよーく見てください。 前回のルール c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD…

0

【IDM】Active Directory の「直属の部下」属性からマネージャーかどうかを判断する 1/2

前回、以下の記事を投稿しました。 【IDM】Active Directory の「直属の部下」属性 – フィールドSEあがりの安納です – Site Home – TechNet Blogs 今回は、AD FS 2.0 のカスタムルールで「直属の部下」属性を取り出してみます。 ① 規則テンプレートの選択画面で、「カスタム規則を使用して要求を送信」を選択します ② 規則の構成画面で、要求規則名とカスタム規則を入力します カスタム規則になんて書いてあるかというと、以下の通りです。 c:[Type == http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname, Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.tf.com/Identity/Claims/directReports"), query = ";directReports;{0}", param = c.Value); 作業としては上記の通りです。 簡単に上記のクレーム規則を解説しておきます。 ■ c 後ろに続くクレームが格納される変数です。意味が解りませんよね…。あとでわかります。 ■ Type == http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname クレームパイプラインから、windowsaccountname というクレームが渡されたかどうかを判断しています。windowsaccountname に値が入っていない場合にはクレームは渡されませんので、このクレームが存在するということは、事実上「Active Directory」で認証されたことの証拠となります。…

0

【IDM】Active Directory の「直属の部下」属性

AD FS 2.0 のクレームルール言語に関する解説を書いていて、ちょっと気になったことがありました。 Manager かどうか判断する場合に、TITLE(役職)属性を見る以外に何か方法は無いだろうかと…。 そういえば、Active Directory には「部下」的な属性があったよなぁ..と思い確認してみると…確かに「直属の部下」という属性があります。しかも、本人が触ることができないため、「役職」で判断するよりかは信頼がおけそうです。 さて、ここで問題です。この「直属の部下」という属性、Active Directory Domain Service 上での Attribute Name はなんでしょう? 正解は、 DirectReports です。 属性エディタで確認するには、[フィルター] で [後方リンク] を有効にしなければなりません。 「後方リンク」について説明しようと思ったのですが、MVP の国井さんが詳細に解説してくれていますのでそちらをご覧ください。 Always on the clock(MVP 国井さん) 【再掲】前方リンクと後方リンク « Always on the clock 後方リンクを見えるようにすると、以下のように DirectReports 属性が見えるようになります。 ってことで、AD FS 2.0 のカスタムクレームルールを使用して directReports 属性を取得してみたいと思いますが、それは以下の投稿で。 【IDM】Active Directory の「直属の部下」属性からマネージャーかどうかを判断する 1/2 – フィールドSEあがりの安納です – Site Home…

0