スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

Tech Fieldersセミナー「【AD 10 周年記念】Active Directory 次の一手」に行ってきました

2月27日のActive Directory 10周年記念Tech Fieldersの集いは異例づくめのお祭り的なイベント感が満載だった。
昨日3月5日(金)はまた通常のTech Fieldersセミナーに戻った。

昨日のテーマは「Active Directory 次の一手」。
今までのドメインによるログオン認証だけではなく、Active Directoryファミリの他のサービスの活用方法の紹介がテーマです。
講師はマイクロソフトエバンジェリストの田辺さんと安納さんです。

セミナーの構成
1.ID管理の全体像 (田辺さん)
2.AD RMS によるアクセス権限管理 (田辺さん)
3.ADFS 2.0 によるクラウドからの AD 認証 (安納さん)
4.FIM 2010 による ID 連携 (安納さん)
5.Active Directory プロダクトマネージャーからのお知らせ
6.ライトニングトーク
7.懇親会 “Happy Hour”

(写真1)Tech Fielders セミナー [【AD 10 周年記念】Active Directory 次の一手]のテキスト
Tech Fielders セミナー  [【AD 10 周年記念】Active Directory 次の一手]のテキスト


■第1部:ID管理の全体像

各種アプリケーションを利用するため、ログオン認証やそのユーザの役割・や権限の承認など、ID管理は非常に重要でる事を再認識。
[認証]本人であることを確認する。ID/パスワードなど。
[承認]リソースにアクセスする権限を指定。ACLなど。

マイクロソフト製品によるID管理をこのように分類している。
[ID統合]Active Directory
[ID連携]Active Directory フェデレーションサービス
[ID分散]Forefront Identity Manager


■第2部:AD RMS によるアクセス権限管理

Windows Server 2008以降では、Active Directoryを5つのサービスの整理している。
[AD DS]Active Directory ドメインサービス
[AD CS]Active Directory 証明書サービス
[AD FS]Active Directory フェデレーションサービス
[AD LDS]Active Directory ライトウェイトディレクトリサービス
[AD RMS]Active Directory ライツマネジメントサービス

これ、よく知っています。と言うか、使っています。
うちの会社グループでは、かなり大規模にこの仕組みを利用しています。
一般のディスク暗号化、ファイル暗号化の仕組みでは、正当な権限を持った人は暗号を解除することができるため、例えばメールに添付して間違った相手に送ったり、あるいはP2Pソフトなどでデータ流出すると、すべて読み取られてしまいます。

RMSの機能を具体的に実装したのがMicrosoft OfficeのIRMです。(Information Rights Management)
Office文書ファイルにActive Directoryのユーザやユーザグループごとに閲覧や編集、印刷などの可否を埋め込むことができます。
そのため基本的には会社のネットワーク内でActive Directoryにより認証されている状態でしか読み取ることができません。

万が一Office文書ファイルが流出しても、ファイルを読み取ることさえできないのです。
この仕組みをうちの会社グループではものすごい人数で運用しています。
不便なことは
・権限を確認してファイルを開くのに少し時間がかかる
・文書ファイルを流用するときに自分に権限がなくて困ることがある
・お客さんなど取引先にファイルを送るときに復号し忘れて「読み取れないよ」となることがある

しかし万が一ファイルが流出しても読み取られない安心感は、他のファイル暗号化製品とはまったく違う安心感があります。
これ、ほんとお勧めです。


■第3部:ADFS 2.0によるクラウドからのAD認証

組織・会社などを超えて、ユーザを認証することがある。
取引先の受発注、提携している旅行代理店、ASPで利用しているアプリケーション。
今まではそれぞれのアプリケーションごとにIDとパスワードを登録しているけど、管理が大変な上に利用者もとても面倒。

それを例えば自社内のActive Directoryで認証されたら、自社内での認証情報に基づいて他社のアプリケーションに自動でログインできるようになるととても便利。
それを実現する仕組みがフェデレーション。

マイクロソフトでフェデレーションを提供する仕組みがAD FS。
Windows Server 2003 R2ではOS標準機能としてADFS 1.0が搭載された。
その後はOSとは切り離されてADFS単独で提供されるようになり、現在はその最初のバージョンであるAD FS 2.0が開発中。

A社の従業員はActive Directoryでログオン認証されている。
B社はA社に対してASP形式でアプリケーションを提供している。
この場合A社がアイデンティティプロバイダ、B社がリライングパーティとなる。

アイデンティティプロバイダ
[IDストア]Active Directory
[STS]ADFS 2.0
STS:Security Token Service

リライングパーティ
[STS]ADFS 2.0
[APP]アプリケーション

この場合B社のSTSがA社のSTSを信頼する、
B社のSTSはA社のSTSからA社従業員の情報を取得し、その情報に基づいてB社が提供するアプリケーションでの役割や権限を確認する。

[クレーム]アプリケーションが必要とする個人の付帯情報。所属、役職、年齢など。
[セキュリティトークン]STS間でやり取りする、パッケージ化されたクレーム。
セキュリティトークンには発行元の署名が含まれており、これによって受け取り側がそのクレームを信頼する。


■第4部:FIM 2010 による ID 連携

Forefront Identity Manager 2010の前バージョンはIdentity Lifecycle Manager 2007。
各種アプリケーションやデータベース間でアカウント情報を同期します。
それだけではなく、新規アカウントの登録の申請や承認のワークフロー機能が搭載されている。

それからかなり便利そうなのがパスワードのセルフリセット機能。
パスワード忘れに備えて事前に秘密の質問を登録しておく。
Windowsログオン前の画面に「パスワードのリセット」のリンクが表示される。
指定した数の秘密の質問に正しく回答すると、自分で新パスワードを設定し直すことができる。
事前に登録する秘密の質問の数や、パスワード忘れ時に回答する秘密の質問の数も事前に指定が可能。

大企業で従業員が数千人、数万人規模になると、ヘルプデスク部門へのパスワード依頼だけでもかなりの量になってしまう。
管理者には非常にありがたい機能だ。

ワークフローとパスワードリセットだけでも運用コストがかなり削減できそう。
それからセミナーでも強調されていたけど、ID管理が正しくできていないとフェデレーションで他の企業から信頼されなくなることが考えられる。
辞めた人、休職中、所属や権限が変わった。
これらのことがタイムリに正しく反映されなければ他の会社との相互運用は確かに難しい。


そうそう。
懇親会Happy Hourでは2月27日に続いてActive Directory 10周年記念特製ケーキが出てきた。
今回は中のスポンジ部分がチョコレート。
おいしくてまた食べてしまった。

ライトニングトークに最年少20歳で登場した若手くんの面白い話も聞けたし。
正常な最後のドメインコントローラをdcpromo /forceremovalで強制降格してしまったとは!!
利用者数が極少とは言え、会社で使っているActive Directoryだからねえ。
そのときの驚愕と焦りはすごかったろうね。


毎度のことですが、Tech Fieldersセミナーは新製品・新技術について知ることができるだけではなく、現場の技術者・管理者の生の声を聞くことができる本当に貴重な機会。
エバンジェリストの皆さんの熱意も伝わってきて、非常に刺激になります。
関連記事

コメントの投稿

非公開コメント

テスト中

全ての記事を表示する

ブロとも申請フォーム

ブログ検索
プロフィール

norimaki2000

norimaki2000のブログにようこそ
・2013/01/05テンプレートをsantaからhouseに変更
・2012/10/29テンプレートをsweet_donutsからsantaに変更
Follow norimaki2000 on Twitter気軽に話しかけてね

ニューヨーク・マンハッタン(タイムズスクェア)180×135

千葉県在住で東京都内に勤務。SE歴20年超えました。

昔々はオフコンで販売管理などのアプリケーション開発してた。
ファミリーレストランの無線オーダリングやPOS、キッチンプリンタの全国展開なんかもやっていました。
数年前まではWindows上のアプリケーション展開が多かったかな。
ここ数年はWindowsサーバーを中心としたサーバーインフラの提案・構築・保守を中心にやってます。
主な取り扱い製品は、
・Windows 2000 Server以降 (もちろんNT3.5やNT4.0も知っていますが)
・Active Directory (今で言うAD DS)
・Symantec Backup Exec
・Symantec System Recovery
・CA ARCserve Backup for Windows
・CA ARCserve Replication
・CA ARCserve D2D
・EMC RepliStor
・VMware vSphere
・某メーカーのクラスタソフトウェア

どれもこれも中途半端な知識と技術力ですが、なんとかやっています。
私自身は技術や製品を担当する立場ではなく、特定業種のお客さん(ユーザ企業)の対応窓口となるSEの役割りですから、必要であれば詳しい知識や経験豊富な別のSEを探してきてプロジェクトメンバに加えます。

もちろん小さな物件では自分で提案、インストール、お客さんへの導入、アフターサポートまでやります。
大きな物件では提案はやりますが、構築部分は専門部隊に依頼します。
その場合でもアフターサポート窓口は私がやりますので、お客さんに対しては一貫して窓口SEとなります。

サーバの世界の大きなトレンドは統合・仮想化。
2007年はVirtual Server 2005 R2によるサーバ仮想化も、2つのお客さんで本稼動させた。
2008年はVMware ESX 3.5を2セット構築。単純なローカル起動と、SANブート/VMotion/DRS/HA/VCBのフル装備もやった。
2009年はぜひHyper-Vの仮想環境を構築したいな。と思っていたが、なかなか機会に恵まれなかった。
2010年はVMware ESX 4.0でHA/VMotion/VCBバックアップを進行中。

そのほかにも、ドメインコントローラやファイルサーバの全国展開とデータ移行、特定のアプリケーションの実行基盤となるサーバ群のOS・バックアップ・DBクラスタなどインフラ部分の構築などをやっています。


2011年のポイントも引き続き、【ご利用は計画的に】。
今まで長年に渡って仕事も私生活も行き当たりばったりなので、少しでも物事を計画的に進められるようにしたい。
いつも計画性の無さが災いして多くの人に迷惑をかけています。
自分自身も計画的な仕事ができないため、いつもいろいろ苦労しています。
今年はさらに計画的に仕事をするようにしなきゃ。

それと若手を上手に使うようにならなきゃならん。
若手の育成はもちろんだけど、僕自身も仕事を上手に他の人に振ることができるようになりたい。
仕事の種類のせいなのか性格なのか、どうしても一人で抱え込んでしまうから。

【Twitter】2010年の元旦から始めました。平均して1日あたり10ツィート程度です。
仕事関連の呟きが少し、くだらない呟きがほとんどかな。
Follow norimaki2000 on Twitter
・norimaki2000 on Twitter

Follow norimaki2000 on Twitter
・norimaki2000 on Twilog


オンライン上ではあるけれど、今まで知らなかった人たちと交流する機会を得ることになり、非常に刺激を受けます。
仕事でも私生活でも、いろんな人のつぶやきは息抜きにもなり、また助けられたり、あるいは「もっとがんばんなきゃ」と励みになったりします。
Twitterを考え出した人の発想、システムとして作り上げた努力と情熱はすごい!!


【好きな音楽】ベテランの皆さんなら浜田省吾、尾崎豊、エコーズ、若手なら鬼束ちひろ、平原綾香、現在注目の若手はいきものがかり

【好きなアイドル】千葉県柏市を中心に活動する地元アイドルの「コズミック☆倶楽部」を激推し中です。

【好きな飲み物】シャンパンはご存知モエ・エ・シャンドン ブリュット アンペリアル、ビールはキリン ブラウマイスター、水ならビッテル、お茶ならキリン生茶

【好きなTVドラマ】Xファイル、24、ミレニアム、ER、CSI:科学捜査班シリーズ、NCIS:ネイビー犯罪捜査班、ザ・プラクティス、ボストン・リーガル



パソコン困り事相談もよろしく


最近の記事
最近のコメント
カレンダー
08 | 2017/09 | 10
- - - - - 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
カテゴリー
FC2カウンター
キーワード

Windows_Server VMware_ESX VMware vCenter_Server VMware_Player PowerShell PowerCLI vSphere_Client VirtualCenter Active_Directory vStorage_API Converter 文音 Windows Hyper-V コズミック☆倶楽部 Microsoft_Security_Essentials Windows_8 vSphere VMware_Converter Backup_Exec sora なるみん あいひょん カラオケ Windows_Server_2012 System_Center VCB Red_Hat_Enterprise_Linux SQL_Server Tech_Fielders メモリダンプ System_Recovery ARCserve_Backup RHEL Internet_Explorer ESX VMware_vSphere Oracle Directory Exec Symantec VMware_HA Server vSphere_CLI ジン子 マークス Active vMotion Firefox Backup Recovery NTFS System 麗美 XenServer schtasks Vista remi コズミック倶楽部 DRS SE キリン vCenter_Converter Twitter Office Oracle_Database Windows_Update Visual_Studio wevtutil 氷結 Sysinternals DMC-FZ1000 若手 スリムス ラガー 一番搾り食物繊維 ついにステップワゴンを契約してしまった ロッキー 糖質 サッポロ 日本赤十字社 洗車 洗濯 写真 バルボア のどごし生 フィット 東京国際フォーラム カーナビ おとなのおつまみ ベビースター おやつカンパニー えびしお 献血 白石美帆 セキュリティ スパリゾートハワイアンズ カルディ サクセス けんけつちゃん はばたき福祉事業団 スタローン セルシオ スパークリングウォーター corega 経済産業省 雨どい 人口甘味料 伊藤園 ポケモン・スタンプラリー シャンプー台のむこうに サーバ デュポン  お茶のチューハイ ジョシュ・ハートネット 神戸 北野 ウォーター ハワイ エイドリアン ブラックホーク・ダウン コロン ワイヤーアクション ムエタイ カーポート 高原 バーベキュー 映画 グレープフルーツ グランダム 掃除 鬼押し出し園 草津 関西空港 羽田 夏休み 万座温泉 マッハ キャンプ 東京タワー SAP バックアップ ARCserve_D2D ARCserve_Replication Virtual_Infrastructure vStorag_API Apache グループポリシー SkyDrive VMFS OpenOffice.org ULPC XP Word OEM DSP ジャンプフェスタ ITIL OpenOffice Tween HUAWEI OneDrive 浜田省吾 GR5 れみ Windows_Serverバックアップ Paper.li Linux VMware_ESXi Windows_Azure iStorage バッチ robocopy AWS IP38X/N500 NVR500 Uptime.exe USB2.0 CG CDRW-AB24JL CD CR-V CoolMax Gathers DVD CAB Brio 修復 破損 2008 圧縮 コマンドライン ATAPI 0x0000007B Hyperion IDE SUPPLEX STOPエラー wbadmin SweetGrass Thunderbird USB Tools Resource Replication NR-7900A Kit IZZE NetBackup OREZZA PCI PC-Success オレッツァ 

月別アーカイブ
リンク
RSSフィード
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。