【Azure for IT Pro】資料:AD FS 2.0 と Windows Azuer AppFabric ACS V2 を使用した SSO の構築 第2.2版

2011/5/30 誤植を修正 2011/5/27 更新 Windows Azure にアプリケーションを展開し、オンプレミスのActive Directory や Google などとの認証連携を行うための手順を示した資料を最新の状態にアップグレードしました。 2011年3月11日 に開催したセミナーから、画面も操作手順も変わっていますので、是非ともこちらの資料をご覧くださいませ。 内容は、かなり盛りだくさんです。是非とも AD FS と Windows Azure AppFabric ACS を制覇してください!  

1

【IDM】Visual Studio 2010 で「STS 参照の追加」メニューが"どーしても"出てこない場合の対処

多くの皆さんが、既に AD FS 2.0 を使用した SSO の構築を試していただいていると思います。まだの方は是非とも以下のサイトから「AD FS 2.0 を使用して Windows Azure との SSO を実現しよう」をダウンロードして試してみてください。 ハイブリッド & プライベート クラウド TechCenter 本件に関してよくいただく質問に以下のようなものがあります。 Windows Identity Foundation SDK がインストールされているのに、Visual Studio 2010 に「STS参照の追加」が出てこない… これについては、@normalian さんの以下の投稿で解決できる場合が多いので、是非とも参照してください。 Visual Studio 2010で「STS参照の追加」が表示されない場合の対処法 – waりとnaはてな日記 さて、問題はここからです。 上記対処をしたのにどうしても出てこない…というご相談をいただくこともあります。 その場合は、「STS参照の追加」が何を呼び出しているのかを思い出してください。 Windows Identity Foundation SDK のインストールフォルダを覗いてみると、「FedUtil.exe」という名前のファイルがあります。「STS参照の追加」では、このユーティリティが呼ばれているわけですね。 だったら、直接起動すればよいのですね。 直接起動すると、以下のような感じです。ご覧のとおり、本来 web.config のパスが記載されている場所が空白です。でも問題ありません。いま作成しているプロジェクトの web.config を指定すれば済みます。 あとは、「STS追加の参照」が表示されているときと何も変わりありません。

0

【IDM】AD FS 2.0 PowerShell コマンドレットを使用する~1 基礎編

いろいろと書きたいことがあるのですが、今回は AD FS 2.0 の PowerShell コマンドレットについて、その第一歩を書いておきます。 英語がイヤでない方は、原文である以下の記事もどうぞ。 AD FS 2.0 for Windows PowerShell Basics AD FS 2.0 をインストールすると、AD FS 2.0 用 PowerShell コマンドレットもインストールされます。 試しに、AD FS 2.0 がインストールされた環境で PowerShell コンソールを起動し、「Get-PSSnapin –Registered」と入力してみてください。AD FS 2.0 用コマンドレットが正しくインストールされていれば以下のように表示されます。 PS C:\> Get-PSSnapin –Registered Name        : Microsoft.Adfs.PowerShell PSVersion   : 1.0 Description : This powershell snap-in contains cmdlets used to manage Microsoft…

0

【IDM】AD FS 2.0 カスタムルール(カスタム規則)の作り方 2/2

すみません。すっかり以下の投稿の続編を失念しておりました。 【IDM】AD FS 2.0 カスタムルール(カスタム規則)の作り方 1/2 – フィールドSEあがりの安納です – Site Home – TechNet Blogs 上記の投稿では、以下のシナリオに沿ったカスタムルールを作成することになっています。 ■想定するシナリオ Active Directory にログオンした回数 (LogonCount) によって利用者の利用状況を判断し、WEB アプリケーションに表示するメニューを変えたい。例えば、100 回以上ログオンしたことがあるユーザーは「操作に慣れたユーザー」であると判断して、使えるアプリケーションを増やしてあげるとか…。(適当なシナリオですんません) 上記のシナリオをカスタムルールとして展開するには、以下のルールを作成して順番に実行しなければなりません ログオン回数(logonCount)属性を Active Directory から取得して LogonCount クレームを発行する ログオン回数が 10未満(1桁の数字)ならばステータス「BEGINNER」を UserStatus クレームに放り込む(発行しない) ログオン回数が 10以上 100未満(2ケタの数字)ならばステータス「SENIOR」を UserStatus クレームに放り込む(発行しない) ログオン回数が 100以上(3ケタ以上)ならばステータス「EXPERT」を UserStatus クレームに放り込む(発行しない) UserStatus クレームを発行する ということで、ちゃちゃっと作ってしまいましょう。 1. ログオン回数(logonCount)属性を Active Directory から取得して LogonCount クレームに放り込む AD FS…

2

【セミナー資料】AD FS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1

11月2日の Tech Fielder セミナー「AD FS 2.0 を使用して Windows Azure との SSO を実現しよう」にご参加くださったみなさま、ありがとうございました。SSL 不調により途中お見苦しいところをお見せしましてすみませんでした。IIS でバインドの再設定を行ったところ、動作させることができました。懇親会にご参加いただいた20名ほどのみなさまには最後までご覧いただけたかと思います。 そして、ライブ中継をお申込みいただいたにもかかわらず、がサーバー不調により中止となってしまいましたこと、お詫び申し上げます。 当日の様子はビデオにして配信いたしますので、今少しお待ちください(もちろんお見苦しい部分は再収録いたします orz) とりいそぎ、当日の資料を加筆修正し、SlideShare にアップロードしました。 フォントがおかしいので、是非ともダウンロードしてからご参照ください。 枚数が多いため5分割してあります(すいません)。 1/5 ADFS 2.0 を使用してWindows Azure との SSO を実現しよう V1.1 View more presentations from Junichi Anno. 2/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう v1.1 View more presentations from Junichi Anno. ※2/5 の P22、24の誤植について指崎さんからご指摘いただきました。詳しくは…

4

【IDM】Active Directory の「直属の部下」属性からマネージャーかどうかを判断する 2/2

「マネージャーかどうかを判断しよう」の第3弾です。以前の投稿は以下をご覧ください。 【IDM】Active Directory の「直属の部下」属性 – フィールドSEあがりの安納です – Site Home – TechNet Blogs 【IDM】Active Directory の「直属の部下」属性からマネージャーかどうかを判断する 1/2 – フィールドSEあがりの安納です – Site Home – TechNet Blogs 前回の投稿で、Active Directory の DirectReports 属性から部下の一覧を持ってきました。 でも、この部下一覧をアプリケーションにごそっと渡したところで、アプリ側は迷惑なだけです。 どうせならば「DirectReports に部下が 一人以上存在していれば Manager である」と判断することはできないものでしょうか? できます(それも乱暴な話ではあるのですが…)。 これを実現するには、以下のような 2 つのクレームルールを作成する必要があります。 directReports 属性から値を取得するためのルール(クレームは発行しません) 取り出した値が1以上ならば Role クレームに Manager を放り込んで発行 ■1つ目 1つ目のルールは、前回作成したものとほとんど変わりません。どこが違うかよーく見てください。 前回のルール c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD…

0

【IDM】Active Directory の「直属の部下」属性からマネージャーかどうかを判断する 1/2

前回、以下の記事を投稿しました。 【IDM】Active Directory の「直属の部下」属性 – フィールドSEあがりの安納です – Site Home – TechNet Blogs 今回は、AD FS 2.0 のカスタムルールで「直属の部下」属性を取り出してみます。 ① 規則テンプレートの選択画面で、「カスタム規則を使用して要求を送信」を選択します ② 規則の構成画面で、要求規則名とカスタム規則を入力します カスタム規則になんて書いてあるかというと、以下の通りです。 c:[Type == http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname, Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.tf.com/Identity/Claims/directReports"), query = ";directReports;{0}", param = c.Value); 作業としては上記の通りです。 簡単に上記のクレーム規則を解説しておきます。 ■ c 後ろに続くクレームが格納される変数です。意味が解りませんよね…。あとでわかります。 ■ Type == http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname クレームパイプラインから、windowsaccountname というクレームが渡されたかどうかを判断しています。windowsaccountname に値が入っていない場合にはクレームは渡されませんので、このクレームが存在するということは、事実上「Active Directory」で認証されたことの証拠となります。…

0

【IDM】Active Directory の「直属の部下」属性

AD FS 2.0 のクレームルール言語に関する解説を書いていて、ちょっと気になったことがありました。 Manager かどうか判断する場合に、TITLE(役職)属性を見る以外に何か方法は無いだろうかと…。 そういえば、Active Directory には「部下」的な属性があったよなぁ..と思い確認してみると…確かに「直属の部下」という属性があります。しかも、本人が触ることができないため、「役職」で判断するよりかは信頼がおけそうです。 さて、ここで問題です。この「直属の部下」という属性、Active Directory Domain Service 上での Attribute Name はなんでしょう? 正解は、 DirectReports です。 属性エディタで確認するには、[フィルター] で [後方リンク] を有効にしなければなりません。 「後方リンク」について説明しようと思ったのですが、MVP の国井さんが詳細に解説してくれていますのでそちらをご覧ください。 Always on the clock(MVP 国井さん) 【再掲】前方リンクと後方リンク « Always on the clock 後方リンクを見えるようにすると、以下のように DirectReports 属性が見えるようになります。 ってことで、AD FS 2.0 のカスタムクレームルールを使用して directReports 属性を取得してみたいと思いますが、それは以下の投稿で。 【IDM】Active Directory の「直属の部下」属性からマネージャーかどうかを判断する 1/2 – フィールドSEあがりの安納です – Site Home…

0

【TFセミナー】11/2 AD FS 2.0 を使用してWindows Azure との SSO を構築する(内容の予告)

やっと11月2日のセミナー準備が整いつつあります(遅いって..)。 今回は、AD FS 2.0 の構築からはじめて最終的には Windows Azure にクレーム対応のアプリケーションを展開し、オンプレミストのシングルサインオンのシステムを構築します。デモ機を使用して Step-By-Step で構築していきますので、これから構築を予定している方や、各オプションの意味を詳しく知りたい方はご参加ください(って、もう2日前ですけどね)。 オンサイトへの参加お申し込みはこちらから(あと20名程度かなぁ) Events : Tech Fielders セミナー 東京 [AD FS 2.0 を使用して Windows Azure との SSO を実現しよう ~ 道場形式] [CoreIO] ライブミーティングでの視聴申し込みはこちらから(こちらは人数制限はありません) Events:ライブ中継:Tech Fielders セミナー 東京 [AD FS 2.0 を使用して Windows Azure との SSO を実現しよう ~ 道場形式][CoreIO] 当日どんなことをやるのか、ここで簡単に予告しておきたいと思います….本当に時間が足りるんだろうか>自分…。 [構築作業 前篇] インフラ編 1. AD FS 2.0 の基礎知識 2….

0

【IDM】AD FS 2.0 カスタムルール(カスタム規則)の作り方 1/2

9/11 は MVP 瀬尾さん主催の「技術ひろば」で AD FS 2.0 のお話をさせていただきました。本日の資料を以下にアップロードしましたので参考になさってください。ちなみに10月の勉強会は エバンジェリスト松崎による SharePoint 開発 らしいです。お好きな方にはたまらないかと。   さて、私のセッションの中で カスタムルール を使用したデモンストレーションを行いましたが、その作成手順を説明できなかったのでこちらにまとめておきます。カスタムルールについては以下も参考にしてください。 【IDM】AD FS 2.0 で属性ストアとしてSQL Server を使用する ■想定するシナリオ Active Directory にログオンした回数 (LogonCount) によって利用者の利用状況を判断し、WEB アプリケーションに表示するメニューを変えたい。例えば、100 回以上ログオンしたことがあるユーザーは「操作に慣れたユーザー」であると判断して、使えるアプリケーションを増やしてあげるとか…。(適当なシナリオですんません) ■作業概要と若干の事前解説 AD FS 2.0 ではクレームを作成しやすくするため、以下に示すような「要求規則テンプレート」というものが用意されています。 このテンプレートで吸収できない規則(ルール)を使用したい場合には、「カスタムルール」を作成しなければなりません。 カスタムルールの書式は一見シンプルなのですが、実は意外と奥が深かったりします。書式に関する情報や事例が、現時点ではあまり多くなく、ちょいと苦労するかもしれません。 カスタムルールを作成するのにうってつけの参考書は、既存の要求規則テンプレートでしょう。例えば、「入力方向の要求をパススルーまたはフィルター処理」という要求規則テンプレートを使用して、 『役割』というクレームに『Manager』が入っている場合のみクレームをスルーする という規則を作ってみると、以下のようになります。 ここで、画面の下部にある「規則言語の表示」をクリックしてください。画面の設定内容が「要求規則言語」で表示されます。 言語部分は、以下のように書かれています。 c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/role", Value =~ "^(?i)Manager$"] => issue(claim = c); 要求規則言語は大きく2つの部分に分かれます。1つが条件部で、もう1つが発行部です。両者は「=>」で結ばれ、条件部が True の場合にのみ処理が発行部に渡されてクレームが発行されます。…

0