ADFS + SiteMinder による WEB SSO 実現のためのステップバイステップドキュメントが公開

濃い話になってしまってすいません。 ADFS Step-by-Step Guide: Federation with CA SiteMinder Federation Security Services というドキュメントが公開されました。 ADFSは、Active Directory Federation Service の略で、2003R2 からサポートされた認証技術ですが、これについては既にご存知かと思います。 #Longhorn もとい Windows Server 2008 では、AD  FS というように、間に空白を入れて表記していますね。 ADFS は WS-Federation  Passive Requestor Profile (WS-F PRP) をサポートしたサービスで、異なる企業間で WEB ベースの相互認証を実現します。もちろん、WS-Federation に準拠した実装であれば、MS じゃなくても相互認証できるわけです。ってことは…WS-Federation 準拠システムだらけになれば、あの夢にまで見た SSO が現実的になるということです….が、実際には政治的なパワーも絡みますので、一朝一夕とはいかないようです。 …..とここまでは、ずいぶん前からアナウンスされてますのでご存知の方も多いかと思いますし、それなりに夢も持てる話題なのですが、ひとまず 「本当に相互接続できるの?」と懐疑的になっていらっしゃる方も多いかと…。 そんな疑問にお答えできるのが本ドキュメントです。 CA 社 の SiteMinder WebAccess Manager といえば 狭義のSSO だけでなく Role…

1

TechNet on Podcast

TechNet の WebCast って、Podcast されているのって、ご存知でしたか? #すでに紹介されていたらすいません おはずかしい話ですが、昨晩まで知りませんでした。 英語放送の Podcat をダウンロードしようとしたところ、偶然 TechNet という言葉を発見…。え??と思ってアクセスしてみると、なんと、TechNet の WebCast でした。音声放送のみですが、通勤時に聞けるのは非常に魅力的です。 Microsoft Technet Podcast ├[Technology] WebCast (101本) ├[News] News (101本)  ← Alan Le Marquand Speaks├[News] TechNet Radio(74本) └[HOWTO] Windows Vista Desktop Deployment (37本) ← 一番人気  Alan Le Marquand Speaks その他 Microsoft 関係└Windows Weekly with Paul Throttee 高添講師を iPod で持ち歩ける日も近いかもしれませんね。  

0

oof ?なんだそりゃ?

こんばんは。 唐突ですが、私、老眼です。なので、老眼鏡を作りました。最近、日本語翻訳されたドキュメントを査読する仕事がありまして、老眼鏡が手放せませんでした…老眼鏡って…便利…。もともと両目共に2.0なので、全くメガネには縁がありませんでしたが、まさか38歳にして老眼鏡のお世話になるとは….。老眼鏡って便利です。しみじみ。 いや、そんな話ではなく、oof です。 MS社員以外の方で、oof っていう言葉、ご存知ですか?例えば、以下のように使います。 oof  9am – 11am Exchange をお使いの方はお分かりになるかもしれません。私は、最初に見たとき、「off」かと勘違いしました。9時~11時まで休みを取るのかと。 で、気になって Live Search を駆使して調べたところ、どうやら MS発祥の用語らしいのです。本来のつづりは、 Out of Office とのことで、外出中という意味で使うらしく、ときには休暇の意味でも使うことがあるようです。ちょっと便利ですよね(と私は思いました)。 で、なぜにこれがMS用語なのかといえば、 Exchangeグループblog の古い記事に以下の記述がありました。http://msexchangeteam.com/archive/2004/07/12/180899.aspx いわく、oof は、もともと Out Of Facility を意味し、Xenix のメールシステムで、ユーザーの状態を「外出中」にセットするために使用するコマンドだったとのこと。これが次第に「外出中」を現す隠語的な使われ方をするようになったみたいです。 同じようにコンピュータのオペレーションから来ている言葉で、「 little r 」ってのもあるとか。これは、Outlookを使用して返信するためのショートカットキーが 「コントロール+小文字 r 」であることから、「返信してね」という意味で使うらしいです…。 そういえば、IT業界って同じような言葉って多いですよね。 忙しい人が応答できる状態にあるかどうか確認することを「pingをうつ」と言ったり(え?言いません?)。 関係ないですが、mmk は もててもててこまっちゃう..でしたよね。

11

5月19日 Community Launch Team イベント 広島 に参加します

すでにご存じの方も多いと思いますが、全国のコミュニティとマイクロソフトが共同で Community Launch Team というイベントを開催しています。 Community Launch Team イベントスケジュール すでに12日に札幌で第1回が開催されましたが、続く拠点は5月19日(土)の広島です。 定員制のため、全ての方が参加可能であるわけではないのですが、広島会場では若干の空き枠が残っているようです。まだ参加申し込みをしていらっしゃらない方、よろしければいかがでしょうか。参加は、上記のリンクから広島会場のをクリックして必要情報を入力するだけです。 ITの仕事は、ひとりでコツコツと着実に進めることも大切なのですが、もっと大切なのは情報共有であると考えています。よく、 情報は発信者に集まってくる と言われますが、これは事実です。私も経験があります。情報が集まると仕事がさらに楽しくなり、さらに情報を発信して、仲間が増えて、ものすごい人と出会って「自分てまだまだだな」と落ち込んだりしながらさらに成長することができます。 情報発信者には仕事も集まってきます(それで身を滅ぼすことも無くはありませんが…)。 何も知らなくても、売りが無くてもよいのです。こうしたイベントをきっかけに知り合いを作るところから始めましょう。 目標は、「有名なあの人にあいさつ」だけでもいいじゃないですか。そんなちょっとしたきっかけが自信につながり仕事の幅を広げてくれます。そんな人が1万人いれば、それだけでIT業界の活性化にもつながりますよね。IT業界が活性化すれば、めぐりめぐって自分によい結果が返ってくるはずです。 19日はエバンジェリストとしてセションは無いのですが、皆さんといろいろなお話ができれば幸いです。#まだMS経験が浅いので、業界の面白い話は持っておりませんが…すみません どうぞよろしくお願いいたします。 #19日は広島は何かあるのでしょうか?ホテルが全く取れません…。仕方がないので西条にとりました…。

0

Identity & Access Solutions

皆さんもご存じのとおり、企業や大学のネットワーク上には多くのリソースが設置されています。多くの場合、それらは相互に連携していません。連携とは、「相互に認証しあったり、お互いの設定を引き継ぎあったり」といったことを指しています。そのため、利用者は複数のIDやパスワードを覚える必要がありますし、一方で管理者は複数のシステムのユーザーIDを準備し、かつリソースへのアクセス権を適切に設定しなければならないといった複雑な管理作業を強いられています。それらによるコストの増大やリスクは無視できないものとなっているわけです。 じゃ、こういう状況に対し、マイクロソフトはどう考えているのかといえば、こう考えています 効率的なユーザーIDの管理はビジネス上の最優先課題である でもって、その課題を以下の5つに分類しています。 ユーザーID情報の自動管理 対応プロダクト:Identity Lifecycle Manager 2007 (ILM 2007) ILM2007は、従来 Microsoft Identity Management Server 2003 と呼ばれていた製品の後継です。IM2007自身が中央のメタデータベースの役割を果たし、ルールやポリシーに従って周辺のディレクトリサーバやデータベース、アプリケーションサーバにID情報およびそれに関連したアクセス権情報を同期します。実際に同期を行うのは MA(Management Agent)と呼ばれるプログラムで、ILM2007が提供しているMAのほか、独自に作りこむこともできます。 データファイルの保護 対応プロダクト:Microsoft Windows Rights Management Services (RMS) PPTをお客様に送りたいけど編集や印刷は行ってほしくない…と思ったことはありませんか?仕方なくPDFに変換して送るといったことは、お客様を担当されているSEや営業さんであれば1度はあるはずです。RMSを使用すると、Office Systemで作成したデータファイルを暗号化するとともに、アクセス権の設定によって不正なアクセスから保護することができます。また、アクセスの種類として印刷や複製を制限したり、有効期限を設定することも可能です。 INFORMATION AUTHOR 所有者はRMSからライセンス認証を受け証明書が発行される(初回) 所有者がデータファイルに対してアクセス権と使用条件を設定して暗号化する。このときアクセス権と使用条件が記載された「ライセンス」がコンテンツに付加される。 ファイルの送信 Recipient 受け取ったファイルを開こうとすると、それに関連付いたアプリケーションはRMSクライアントモジュールを呼び出す。RMSクライアントはRMSサーバにアクセスし、ライセンス情報のチェックを行う。 チェックが完了し、許可されたユーザーであれば、あらかじめ「ライセンス」に書き込まれている範囲でデータを取り扱うことができる。 組織間のセキュアな連携 対応プロダクト:Microsoft Active Directory Federation Services (ADFS) Federationとは、連合とか連盟という意味です。ADFSは組織内および組織間、さらには企業間で効率的で安全なリソース管理を行い、Single SignOnを実現するための技術です。いうなれば、NTドメインの「信頼関係」という考え方を、エンタープライズレベルに拡大可能とした技術とでもいいましょうか。MS独自技術ではなく、WSS1.0 として策定された業界標準であり、Sun Microsystems社やIBM社なども、本仕様の策定に関わっています。つまり、MS製品間のみを対象としているのではなく、広くマルチベンダー間でのWEBベースSSOの実現を目的としたものなのです。 強化された認証 対応プロダクト:Windows Certificate Services (CS) おなじみの証明書発行サービスですね。Windowsが提供する証明書サービスを使用する利点は、Active Directoryと統合されているというところです。これにより、管理者はユーザーをキーとした各種属性に加え、証明書もActive…

0

MSは何を考えているか ~ Identity & Access Solutions

Microsoft Identity & Access Solutions  というページをご存知でしょうか。 英語で恐縮なのですが(しかも英語がダメな私がご紹介するのもアレなのですが)、ユーザーID とアクセス権の効率的な管理を実現する製品とその適用場面についてダイジェスト的に紹介しているページです。 MS がお勧めする、ユーザーID の管理手法や、適用する製品を効率的に知るのに最適なページだと思います。 書かれている内容は、別のページに簡単にまとめてみましたので興味のある方はご覧になってみてください。 Identity & Access ソリューション また、よろしければ MS の WebCast もどうぞ。昨年の TechED 2006 にて「ID&アクセス管理 ロードマップ」としてMS 新津氏がスピーチされたものです。 TechED 2006 WebCasts  └ ID&アクセス管理 ロードマップ このスピーチを踏まえたうえで読んでいただくと、より分かりやすいかと思います。 

0

入社3週間、私とMSの壁、それは…英語英語英語英語英語英語…

すっかり間を空けてしまいました。大変失礼いたしました。 ちょいとゆるーいお話ですいません。 MSに入社してから早3週間がたちました。3週間の感想は…..自分てこんなに英語ができないんだ…orzいや、出来る出来ないと判断するレベルですらないことを思い知らされました。 ここだけの話です。これから外資に入社を考えている皆さんに教訓を1つ。 外資の社員が言う「私は英語が出来ません」は信用するな 正直、出来ないレベルが違います。私は、MSがリリースしているホワイトペーパー程度の技術文書は、大体問題なく読めるつもりでした。でも、それ、読めていたわけではないんですね。専門用語に99%助けられて意味が分かっていただけのことで、英語が理解できていたわけでは無かったということを思い知りました。 言っても38歳ですから、ある程度のことは吸収できますし、会社というものがどういうものかも、まぁ大体理解しているつもりです。たとえそれが理不尽であると感じても、自分なりのやり方で回避する術も身に着けているつもりです。が….言語の壁というのは大きいです。 IT Pro エバンジェリストグループのメンバは全員日本人ですが、彼らと話していても分からない単語が多く、電子辞書を脇の下に忍ばせつつ会話をしている今日この頃です。 言語の壁って外国人とのコミュニケーションで味わうものだと思っていましたが、まさか日本人同士でも壁があるとは….もう、こうなると、笑うしかありません。とほほほ。 いま、私は、社内の事務システムの使い方、日々の業務メール、米国本社からの技術情報等、英語の波に飲まれる毎日を送っています。1つのメールを読破するのに要する時間といったら…なんかひらがなが読めない子供に戻った気分です。 ….と落ち込んでいても仕方がないので、これはもう努力しかありません。 って…何の実も無い話でした。 これだけで終わったら怒られそうなので、印象に残った英語を3つ(←す、少ない!)きっと当たり前すぎて、「こいつアホだ」と思われそうで気が引けるのですが…. FYI : For Your Information : 参考までに 社内のメールでは、FYIとだけ冒頭に書かれたメールが多く流れてきます。大部分は新しい技術に関する最新情報がFWされてくるわけですが、恥ずかしい話、最初はFYIってわかりませんでした…。でも、これ、IT業界では比較的常識の範疇だったりするのですね….知りませんでした。「あけましておめでとう」を「あけおめ」と略すのと同じ感覚?違うか…。 TBD : To Be Determined : 現在のところ未定だけど決定される予定  これも、どうやら常識の範疇らしいのですが、私の貧困なボキャブラリーにはありませんでした。社内のスケジュール表でたびたび見る言葉ですが、「ひとまず抑えておくけどまだ完全に決定ではない予定」には、タイトルにカッコ付でTBDと書かれています。(例) 6月10日 ●●社訪問(TBD)これ、便利な略語だなぁと関心しました。 approved : : 承認(された) 単純に、「認可」という意味で覚えていましたが、社内システムで「承認」ボタンのところに「approved」と書かれていることに気づき、こういう場合にも使うことを知りました。恥ずかしいですが、カミングアウトしてしまいます。 これからも、社内で覚えた英語について、恥をさらす覚悟で情報発信します。(余計なお世話?)英語が(本当に)苦手な方、傷をなめあいましょう。いや、お互いがんばりましょう。  

3

春はADSIの季節です~ユーザー管理からプロビジョニングへ

※一部不適切な表現がございましたので修正いたしました 高添さんのblogを見ていてふと思ったこと…..桜きれいだなぁ、そういえば弘前は今頃満開かなぁ、今年も花見ができなかったなぁ。 唐突ですがここで問題です。 「春は・・・の季節です」の・・・に言葉を入れてください 「お別れ(といえばY.Kかなぁ。Nもありか?)」「出会い」「卒業(と言えばY.S。これは譲れない。)」「入学」「新入社員」「満開の桜の下で缶ビール」「新しいマザーボード」「あ、メモリも追加しておこうかな」「まてよ、もうベイに空きがないな」「せっかくだからケースもいっとくか」「「だめだとても持ちきれない。カートを買おう」「うーん、Tまで行くのめんどうだな。」「これで一通りそろったかな」「な、なにーUSBワンセグチューナーだって!?」「うわーCのほうが安いじゃん」「ふぅ、腹減った。ちょっと歩くけどHでも行くか」と、いろいろおありかと思いますがが、わたしはズバリADSI(Active Directory Service Interfaces )です。それ以外、一切思いつきません。 春は、企業ならば人事異動と新入社員、大学ならば新入生と卒業生を大量に処理する季節です。 私が前職で担当していた文教市場の場合、3月末から4月上旬にかけて大量のユーザー登録作業が発生します。少ない大学では数百人程度ですが、大規模な大学になると「ひと春」の処理件数は10000人を超えます。この大量の入学生を、できる限り短時間に、そして正しくActive Directoryに投入するには、とても10000回の手作業では追いつきません。そこで頼りになるのが、ADSIを使用したスクリプティングです。 まだActive Directoryが無かったNT4の時代は net user コマンド や リソースキットの addusers コマンド を使用したバッチファイルで十分対応できました。ホームディレクトリを作成する必要があればmd コマンド、アクセス権を設定するには caclsコマンド、共有を作成するには、net share コマンドか rmtshare (これもリソキ)を使えば何とでもなりました。 NT4も晩年になると、より高度なマネジメントを実現することを目指して、WSH(Windows Scripting Host ← 今は Windows Script Host と言ってますね)がリリースされました。同時に、Winodws NT 4.0用ADSIもリリースされ、CSVファイルをコンバートしてからADSIでユーザー登録をしたりと、多彩な芸当が可能になりました。それでも従来のやり方を変えてまでスクリプトを使用するシチューエーションというのは、さほど無かったような気がします。 ※ご参考 ご存知の方も多いと思いますが、ADSIにはNT4でサポートされていた従来のWindows NTディレクトリサービスにアクセスするために、WinNTプロバイダというインターフェースが実装されています。Active Directoryに対してもWinNTプロバイダを使用することが可能です。実はWinNTプロバイダを使用したほうが効率が良いこともあり、状況によって使い分けると便利です。例として、Hey, Scripting Guy! をごらんください。 WSH+ADSIのありがたみを本当に実感したのは、やはりActive Directoryがリリースされてからです。Active Directoryが当たり前のように使われるようになった現在は、ADSI無しにユーザー管理を行うことはもはや不可能と言っても過言ではありません。もちろん、市販のGUIを使用すればある程度のことは可能です。しかしながら、ユーザー管理業務の100%をカバーできるかと言えば難しいところです。 私は10年以上、お客様に導入されているWindowsのユーザー管理を自らの手で行ってきましたが、そこで得られた1つの結論があります。それは、 完全に汎用的なユーザー管理システムはありえない!(多分ありえないと思う。ありえないんじゃないかな。ま、ちょっと覚悟はしておけ…..。) ということです。だたし、汎用化できる部分はたくさんあります。汎用化できる部分とできない部分を分け、できない部分をパラメタ化することが運用管理業務削減の鍵になるわけですが、ひとまずそのお話はおいときます。 なぜありえないのか。理由(というか事情)はたくさんありますが、大項目で抽出してみます。 入力データが違う  Active Directoryで管理する属性の種類が違う Active…

2

はじめてのIT Pro道場 BDD編に参加して思ったこと

本日、はじめてエバンジェリストとしてIT Pro道場に参加しました…といっても後ろで勉強させてもらっただけなのですが…お恥ずかしい。 本日のテーマは BDD、Bussiness Desktop Deployment でした。 13時に開始して、途中休憩を入れながら17時まで延々とプレゼンとデモンストレーションの繰り返し…これは大変な部署に配属されたものだと泣きそうになりました(笑)。長坂さんをはじめ、エバの皆さんの体力に感動を覚えました。おまけに長坂さんは、「1年以上更新していないblogを更新します!」とお客様に宣言されていましたので、まだまだ体力がありあまって困っているということなのでしょう。すごいです。そんな大人になりたいと思う今日この頃です。 で、BDDです…ここ2年、パッケージ開発ばかりしていたせいで、展開周りの話に疎かったのですが、久しぶりのDeploymentのお話は非常にエキサイティングでした。 ….思えば、Win3.0に初めて出会ったのが前職場への入社時でしたから、もう16年前になります。まだまだクライアントOSとしては不十分だった「あいつ」が、いつの間にか当たり前のように使われるようになり、しかもですよ、「大量のWINの展開が大変だから自動でできるようにして!」なんてことになるとは….WIN3.1のころも展開ツールはありましたが、所詮は20MB のHDDに入る程度ですから、XCOPYで十分でした。iniファイルを書き換えれば環境変更もできましたし、デスクトップのカスタマイズなんて…壁紙程度でしたね。SEがみんなで知恵を出し合い、なんとか楽をしようとバッチを作りこんでいたという、古きよき時代です。へたしたら、ISDN経由で展開してましたから(笑)。 衝撃的だったのはZAKの登場です。なんといっても、「Zero Administration Kit」ですから、Windowsの管理に悩んでいた私は即座に飛びつきました。徹夜でDOSのネットワークブートディスクを作成し、Unattend.txtを書いて、Sysdiffで差分を取って、さぁ、無人セットアップだ!と意気ごんだところ、セットアップの最後でコマンドパスが間違えていて実行に失敗….あのときの絶望感は今でも忘れられません。WOL(Wakeup On Lan)なんてものも当たり前のように使えますから、自宅からVPNで大学のネットワークに入り込み、ターミナルサービスでマスタークライアントの環境を修正し、ネットワークブートで環境を吸い上げ、ほかのクライアントに展開という離れ業も、簡単に行えます。 そんな展開ソリューションが(おそらく)一般的である中で、なぜBDDなのか… きっと皆さんは疑問だと思います。 実を言えば、そんな便利なイメージ配信機能も、穴が無いわけではないのです。それは、マスターイメージの品質の維持です。新しい障害修正がリリースされたり、バージョンアップ版がリリースされたり、ソフトウェアの細かな修正の頻度は年々短くなってきています。突如リリースされる「重要な更新」を、次回のリプレイスまで放っておくことなんて….なかなかできないですよね。ただでさえ、管理責任を問われやすい世の中になってしまいましたから、パッチを当てないばかりに大切なファイルが漏れてしまったなんてことを考えると、担当SEの心中も穏やかじゃありません。 じゃぁ、修正パッチがリリースされるたびにマスターイメージを作り直して2000台のPCに展開しなおすのか?….そんなことは物理的に無理です。想像もしたくありません。 そういった状況を考えると、最も理想的なのは、個々のコンポーネント単位にイメージが管理されている状態なのです。必要に応じて差分だけ適用するという方式のほうが、本当は細かな修正に対応しやすいのです。 BDDは、そうした理想的なマスターイメージの管理ソリューションを提供してくれます。SMSと連携することで、より緻密に展開スケジュールを管理することが可能です。 問題は、世の中への浸透ですね….。利用者だけでなく、ソフトウェアベンダー、そしてフリーソフトの開発者をも巻き込んでいかなければなりませんし、それが我々エバンジェリストの責任だと思っています。 ぜひ皆さん、一度道場に参加してみてください。そして、BDDのコンセプトに触れてください。特に、ZAWやZAKを知っている方!あまりにも便利になったWindows Deployment Solutionにびっくりしていただけるはずです。そして、懇親会で昔を懐かしみつつ、若いころ苦労させられた愚痴でもこぼしながら飲みましょう! 長くなりましてすみません。

2

はじめまして 安納(あんのう)です

みなさん、はじめまして。38歳にして新人の安納(あんのう)と申します。 4月21日付でIT PRO エバンジェリズムグループに配属されました。すでにBLOGが公開されている、長坂、奥主、田辺、高添と同じチームになります。どうぞよろしくお願いいたします。 元の職場ではフィールドSE兼パッケージ開発を担当していましたので、フィールドSEの皆さんが欲しい情報は把握しているつもりです。まだまだエバンジェリストとしては半人前ですが、フレッシュな視点(?)での情報発信を心がけたいと思います。 皆さんのお仕事の一助となれるよう頑張りますので、どうぞよろしくお願いいたします。

0