こんにちは。本日は土曜日ですが、一つ皆様にお伝えすることがあり blog を書かせていただきました。
今から 10 年前の 2000 年 2 月 28 日。この日を考えた時に、2 つ連想されることがあります。1 つは、2000 年がもう 10 年も前だということ(早いですねー)、そしてもう 1 つが、その日は Active Directory が誕生した日だということです。
つまり、2000 年 2 月 28 日は、Windows 2000 Server がリリースされた日です。現在ではおかげさまで AD が多くのお客様に使っていただくまでになりました。そこで、さらに AD を盛り上げていこうということで様々なイベントが弊社で企画開催されています。
そして、まさに本日開催されているのが「Tech Fielders の集い 特別編 - おかげさまで Active Directory 10 周年」というエンジニアの方向けのイベントでして、今まさに会場からこの blog を書いています。お休みの日、そしてあまり天気の良くない中にも関わらず、会場は満席で熱気に溢れています。
↑会場は満席でした。後ろにはプレスの方々も。
弊社から、優れたエンジニアとして認定させていただいている MVP の方々のパネルディスカッションもあり、Windows 2000 Server がまだベータの(Windows NT 5.0 と呼ばれていた)頃の AD にまつわる苦労話なども織り交ぜながら、幾度となく笑いも巻き起こる楽しいイベントとなっています。また、Twitter と連携しており、会場参加の皆様からもセッション内容について #ad10th につぶやいていただけたりと、ライブ感もあって非常に有意義なイベントです(ご参加いただいた皆様、ありがとうございました!)。
↑つぶやき状況がリアルタイムに会場に表示されていました。
TechFielders というイベントは、本日に限らず様々なテーマで定期的に開催されていますので、ご興味のある方は是非弊社イベントサイトでご確認ください。
私も、このイベントで「Active Directory 提案のツボ」というお題でセッションに登壇させていただきました。以下、このセッションのダイジェストとして、AD のこれまでと、これからについて、日々の業務の中で感じる私なりの考えを簡単にまとめてみたいと思います。
■ 過去(AD リリースの頃から現在まで)
多くのお客様で ID はシステム個別に管理されており、NT ドメインはデスクトップログオンに使われるぐらいでした。そのような AD は認証基盤として、多くの業務システムで必要となるユーザー情報、アクセス権、認証処理を担う役割を期待され、そして私たちもお客様にご提案を実施してきました。
■ 現在
おかげさまで AD は多くのお客様で使われていますが、未だに AD の管理に関する悩みは多くお聞きします。AD を立てたけど、バラバラの状態で統合が上手くいっていなかったり、AD はデスクトップログオンのみで、業務システムの認証はほとんど AD に統合しておらず、またグループポリシーなども活用されていない。という悩みもお聞きします。また、規模の大きいお客様は、海外拠点も含めたワールドワイドでの AD 統合を検討しているケースも増えています。
■ 将来
クラウドの利用が本格化し、クラウド上のアプリケーションに対する認証をどうするかというテーマが出てきます。その時もちゃんと AD は活用できます。キーワードは「フェデレーション」です。フェデレーションという機能は、認証情報をインターネット越しに利用可能にする技術で、AD の認証情報をフェデレーション機能がクラウド上のアプリケーションに伝え、クラウド上のアプリケーションがその認証情報を解釈することで、AD の認証がクラウドのアプリケーションにも利用できる(シングルサインオン)ようになります。つまり、AD をきちんと整備することは、将来的にも無駄な投資にはならないということです。
実は、このフェデレーション機能は Windows Server 2003 R2 からすでに搭載されているってご存知でしたでしょうか?「Active Directory フェデレーション サービス(AD FS)」という名前の機能です。これがバージョンアップし、AD FS 2.0 が今年上半期にリリースされ、弊社 Web サイトより無償ダウンロード可能となる予定です。現在 RC 版がダウンロード可能です。
私のセミナー発表資料のリクエストをいただきましたので、下記に準備いたしました。是非ダウンロードの上ご覧ください。
■ Tech Fielders の集い 特別編 - おかげさまで Active Directory 10周年 セミナー 「AD 提案のツボ」 セッション資料(PDF, 9.6MB)
今後も Active Directory を宜しくお願いいたします!
マイクロソフト株式会社山崎 淳一
みなさん、こんにちは。冬季五輪で寝不足気味の竹内です。
さて、過去 3 回にわたって DirectAccess の概要から簡単な設定方法まで紹介してきました。今回は DirectAccess のシステム要件は?DirectAccess を検証したいけど何がいるの?という疑問について紹介し、一連の DirectAccess 関する POST のまとめの記事にしたいと思います。
過去の記事をまだご覧になってない方は以下をご覧ください。 簡単・安全に社内ネットワークにリモート接続!DirectAccess (基本編) 簡単・安全に社内ネットワークにリモート接続!DirectAccess (発展編)
DirectAccess は IPv6 のテクノロジーを利用していますが、実環境に沿った IPv4 環境でも利用できる DirectAccess の要件を紹介します。
■システム要件 ・DA クライアント: Windows 7 Enterprise/Ultimate (ドメイン参加済み) ・DA サーバー: Windows Server 2008 R2 Standard 以上+UAG 2010 ・ドメイン コントローラー: Windows Server 2003 以上 ・その他の要件1: 証明書機関 (できれば Enterprise CA) ・その他の要件2: グローバル IP × DA サーバー台数
今まで紹介していた DirectAccess 単体のシステム要件では DC を最低 1 台 Windows Server 2008 以降にしなければなりませんでしたが、UAG 2010 (Unified Access Gateway 2010) を利用すれば DC が Windows Server 2003 の環境でも DirectAccess を導入することが可能です。
では実際に少し試してみたいという方のために評価環境を作るための評価版のソフトウェアとStep by Stepの紹介です。
■必要なソフトウェア ・Windows 7 Enterprise 評価版 http://technet.microsoft.com/ja-jp/evalcenter/cc442495.aspx ・Windows Server 2008 R2 評価版 (英語版) http://www.microsoft.com/downloads/details.aspx?FamilyID=ba571339-5436-4cf5-9c37-6ed7dab6f781&DisplayLang=en ※UAG 2010 は英語版の Windows Server 2008 R2 上で構築する必要があります。 ・Forefront Unified Access Gateway 2010 評価版 http://technet.microsoft.com/ja-jp/evalcenter/dd183100.aspx
■構築方法 ・Step-by-step guide for setting up Forefront UAG DirectAccess in a test lab http://technet.microsoft.com/en-us/library/ee861167.aspx
こちらの評価版と Step by Step を使えばすぐにでも DirectAccess の環境を構築することができます。Step by Step はクローズなネットワークを想定した構成となっていますが、手順自体は実環境でも利用可能ですので是非お試しください。
マイクロソフト株式会社 竹内宏之
皆様 こんにちは いよいよWindows 2000のサポート終了まで5か月を切りました。 日経ITProでも取り上げていただいていますが、今後もマイクロソフトでは様々な媒体を通じて告知を行っていく予定です。(参考: まもなくサポート切れするWindowsについてMicrosoftがアップグレードを呼びかけ)
さて、皆様のなかには7/13のサポート切れまでシステムの移行が間に合わない、あるいはもう少し時間がかかるといったケースがあるかと思います。そのような場合 Forefront TMG を利用したリスク低減策をご紹介します。
Forefront TMG とは以前 ISA Server と呼ばれていた製品の後継で、ゲートウェイ機能を持つソフトウェアです。
今回のケースで利用していただく機能は、バーチャルパッチ機能といいます。Forefront TMGは脆弱性に対応した定義ファイルを持ち、その脆弱性をついた攻撃を検出すると、通信を遮断します。また、この定義ファイルはOSのセキュリティパッチ公開と同時にMicrosoft Updateより提供されます。
このバーチャルパッチ機能により、セキュリティパッチの当たっていないWindows Serverのセキュリティリスクを下げることができます。
Windows 2000 Serverのサポート切れに対する対策としてはOSのバージョンアップが一番の推奨ですが、間に合わない場合でも、クライアントとWindows 2000 Serverの間にこのForefront TMGを入れていただくことで、セキュリティリスクを大幅に下げることが可能になります。
Windows 2000のサポートが終了した時点では、脆弱性があるかどうかの検証も行われませんが、今までの例からWindows Server 2003 や 2008 との脆弱性が共通であることが多いため、サポートが切れたWindows 2000 Serverで想定される脆弱性もブロックできます。
この構成は、今回のWindows 2000 移行に関係するだけではなく、セキュリティパッチ提供後、すぐにシステムへ適用できない一般的なケースにも利用可能です。
今回は、若干営業トークになってしまいましたが、もし、Windows 2000 Serverの更新が間に合わないお客様は、このようなゲートウェイ製品を導入することで、リスクの低減を図っていただければと思います。
石澤史明
P.S.4回目の Windows 2000アップグレードセミナーを以下のとおり実施することになりました。今回のTMGによるセキュリティ低減策も少しお話します。
サポート終了直前!Windows 2000 Server アップグレードセミナー~Windows Server 2008 R2への移行方法と、新機能の利用メリット~時間:2010年3月24日 13:30 ~ 2010年3月24日 18:00場所:マイクロソフト株式会社 新宿本社
今回は、802.1x 環境で NAP (ネットワークアクセス保護)を利用する場合の認証方式についてです。一般に 802.1x 認証方式というと PEAP=パスワード、EAP-TLS=クライアント証明書 と認識されている方が多いと思います。しかし、NAP 環境では PEAP が前提となるため、EAP-TLS は使用できません。では、証明書は使えないのかというと、実は PEAP でも可能です。このあたり混乱しがちなので、以下にまとめてみました。
NAP 環境では、PEAP パケット内に SoH(正常性ステートメント、NAP クライアントが NPS に渡す健康状態の通知)を埋め込むことで検疫を実現しています。SoH を埋め込めない EAP-TLS は NAP 用には使用できません。 また、PEAP には、パスワードベースの PEAP-MS-CHAP v2 と 証明書ベースの PEAP-TLS の2種類があります。
※ 仕様詳細: ・[MS-SOH]: Statement of Health for Network Access Protection (NAP) Protocol Specification http://msdn.microsoft.com/en-us/library/cc246924(PROT.13).aspx ・[MS-PEAP]: Protected Extensible Authentication Protocol (PEAP) Specification http://msdn.microsoft.com/en-us/library/cc238354(PROT.13).aspx
※ NPS(ネットワークポリシーサーバー) は、NAP を使用しない純粋な RADIUS サーバーとしても構成でき、この場合は EAP-TLS も使用できます。
Windows クライアント(Windows 7 / Vista / XP SP3)にて、PEAP-MS-CHAP v2 を設定するには、ネットワーク アダプタのプロパティの [認証] タブにて設定します。以下、設定の流れです。
1.認証方式で PEAP を選択し、[設定]にて2. へ
2.EAP-MSCHAP v2 を選択し、[構成]で 3. へ ※ サーバー証明書、信頼されたルート証明機関を指定する。 ※ [ネットワークアクセス保護を強制する](XP SP3では [検疫のチェックを有効にする])を ON にする。
3.Active Directory 環境でのシングルサインオンを指定
PEAP-TLS の場合の設定も基本的に同様です。 (最初の画面1で PEAP ではなく証明書方式を指定した場合、 EAP-TLSになってしまいますのでご注意ください。)
1.認証方式で PEAP を選択し、[設定]にて2. へ ※ この画面で PEAP を選択せずに、
2.[スマートカードまたはその他の証明書]を選択し、[構成]で 3. へ ※ サーバー証明書、信頼されたルート証明機関を指定する。 ※ [ネットワークアクセス保護を強制する](XP SP3では [検疫のチェックを有効にする])を ON にする。
3.コンピュータ(クライアント)の証明書を選択
Active Directory のグループポリシーを使用すると、ドメイン内の コンピュータに認証方式の指定を一括設定することができます。項目は次の通りです。
[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定] ・[ワイヤード(有線)ネットワーク(IEEE 802.3)ポリシー] ・[ワイヤレスネットワーク(IEEE 802.11)ポリシー]
各コンピュータにて以下のサービスが起動している必要があります。 これらのサービスが起動していないとネットワーク アダプタのプロパティに [認証] タブが表示されません。
・Wird AutoConfig -- 有線ネットワークの構成用(Windows 7 / Vista / XP SP3) ・WLAN AutoConfig -- 無線ネットワークの構成用(Windows 7 / Vista ) ・Wireless Zero Configuration -- 無線ネットワークの構成用(XP SP3)
グループポリシーにより、サービスの自動起動を一括設定することができます。
[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定] ・[システムサービス]
認証モードは、既定では[ユーザーまたはコンピュータ認証]となっています。認証モードの変更は、Windows 7 / Vista では GUI 上(上記 Windows クライアント設定の画面1で[追加の設定])で指定できますが、XP SP3 では netsh コマンドにより、XML ファイルを扱う必要があります。
KB929847: http://support.microsoft.com/kb/929847/en-us
また、PEAP-MS-CHAP-v2 の場合は、コンピュータ認証のみでの使用はできません。
KB904943: http://support.microsoft.com/kb/904943/en-us
今回は、802.1x 認証方式とその設定方法についてご説明しましたが、NAP を 802.1x 実施で構成するためには、他に、NAP クライアントの構成、NPS の構成、証明書サービス(CA) の構成などが必要になります。また、802.1x 機器の構成も必要です。参考になる技術資料は下記のとおりです。
Technet - NAP:
・チェックリスト : 802.1X ワイヤード用の NAP 強制を構成する http://technet.microsoft.com/ja-jp/library/cc730926(WS.10).aspx ・チェックリスト : 802.1X ワイヤレスの NAP 強制を構成する http://technet.microsoft.com/ja-jp/library/cc753793(WS.10).aspx
802.1x 機器の NAP 対応情報、設定ガイド:
・アラクサラネットワークス株式会社(AX シリーズ) http://www.alaxala.com/jp/solution/nap/index.html ・アライドテレシス株式会社(CentreCOM シリーズ) http://www.allied-telesis.co.jp/solution/switch_sec/nap.html ・シスコシステムズ合同会社(Catalyst シリーズ) http://download.microsoft.com/download/5/b/3/5b3e6fb0-210c-4c1c-aa02-b0be839de387/CISCO_and_NAP_Setting_Guide.exe ・日本電気株式会社(UNIVERGE IP8800シリーズ、QXシリーズ) http://www.nec.co.jp/ip88n/07.html http://www.nec.co.jp/qxseries/07.html ・富士通株式会社(SR-Sシリーズ) http://primeserver.fujitsu.com/primergy/software/windows/os/wins2008/w2008-02-05.html
瀧本 文男
こんにちは。今回は Windows Server 2008 R2 を使って新しく Active Directory ドメインを構築する際の注意点をお知らせします。
Windows NT ドメインでは、「.」で区切らないドメイン名、すなわちシングルラベル ドメイン名を付けるのが普通でしたが、AD からは DNS がドメインの標準的な名前解決方式として採用されたため、AD のドメイン名も DNS の一般的な規則に則り、「.」を含むドメイン名を付けることをマイクロソフトが推奨するようになりました(サンプルとして良くあるのが「xxxx.local」など、後ろに「.local」を付けるパターンですね)。
この慣習(?)は比較的浸透していると思いますが、Windows 2000 が出た当初のまだあまり情報の無かった時代に構築された AD ドメインや、Windows NT ドメインからアップグレードして運用されているケースでは、今もシングルラベル ドメインを使用している場合もあるのではと思います。
シングルラベル ドメイン名の運用に当たっては、幾つかの注意点や、追加設定をしなければならない場合があります。詳細は下記 KB をご覧ください。
単一ラベル DNS 名のドメイン用に Windows を構成する
こういった考慮事項への対応が不十分な状態で運用され、ドメインの安定した運用に影響するケースがあったためか、Windows Server 2008 R2 では、安全のため新規にドメインを構築する際にシングルラベル ドメイン名を付けられなくなっています(2008 までは、警告が出るものの構築自体は可能でした)。
応答ファイルで自動構成をしようとした場合も、下記のように構成チェックではじかれます。
ちなみに、この制限は Dcpromo.exe で新しくドメイン名を設定する際に入力チェックが掛けられているというものであり、2008 R2 でシングルラベル ドメインの運用機能そのものが削除されたわけではありません。
つまり、既存のシングルラベル ドメイン内のドメインコントローラを 2008 R2 にすることは可能ですので、引き続き 2008 R2 でもシングルラベル ドメインの運用は可能です。
(下記のスクリーンショットは、contoso という 2003 ベースのシングルラベル ドメインに 2008 R2 のドメインコントローラを追加して、「Active Directory 管理センター」を起動した画面です)
とはいえ、上に挙げた KB にもある通り、AD でのシングルラベル ドメイン運用は、互換性の確保という点を除けば「百害あって一利無し」ですので、認証基盤更改のタイミングで見直されることをお勧めします。
・参考情報 http://technet.microsoft.com/ja-jp/library/ee681710(WS.10).aspx http://support.microsoft.com/kb/300684/en-us
マイクロソフト株式会社 山崎 淳一
皆さん、こんにちは。 今回は Active Directory Rights Management Service (AD RMS) の新しいホワイトペーパーと MSBC のキャンペーンについてご紹介します。
AD RMS の評価環境を構築する際に参考となる手順書がリリースされました。これらのホワイトペーパーは以前この Blog でも紹介させていただいた Active Directory TechCenter で公開されています。今回リリースされたホワイトペーパーは以下の 3 種類です。
・Active Directory Rights Management サービスのインストール
・Active Directory Rights Management サービスと Microsoft Office SharePoint Server との統合
・Active Directory Rights Management Services Bulk Protection Tool とファイル分類管理の連携
それぞれのホワイトペーパーのタイトルや内容をご覧いただけるとおわかりになるかと思いますが、これらのホワイトペーパーを利用することで、AD RMS の基盤と AD RMS を利用した MOSS やファイルサーバーによる権利設定の自動化の環境を構築いただくことができます。AD RMS の導入をご検討の方は、これらのホワイトペーパーをご活用いただき、評価を進めていただければと思います。また、1 月の終わりより、MSBC (Microsoft Business Connection) のサイトで、以下のキャンペーンが始まっています。「Active Directory を知る (応用編) - ファイル サーバー セキュリティ強化キャンペーン」
ぜひ、こちらのキャンペーンの記事もご覧ください。AD RMS とは何か?、AD RMS Bulk 暗号化ツールとは何か?、Windows Server 2008 R2 で搭載された File Classification Infrastructure (FCI) とは何か?... といったことが非常にわかりやすく紹介されております。
MSBC のサイトはこちらです。※利用にはユーザー登録が必要です。今回は AD RMS に関する新しいホワイトペーパーと MSBC キャンペーンについてご紹介させていただきました。
マイクロソフト株式会社須澤 英彰
みなさん、こんにちは。 今回は、 Hyper-V 上での Red Hat 動作のサポートについてアップデートです。
Red Hat 用の「Hyper-V 統合サービス(IC)」の提供が開始されました。 これにより Hyper-V 上の Red Hat をエミュレーションモードではなく、最適化したパフォーマンスで動作させることができるようになりました。
Red Hat 用の IC は、以下のサイトからダウンロードしてご利用いただけます。
Linux Integration Components for Windows Server 2008 Hyper-V R2 この IC でサポートする Linux ゲスト OS は次の通りです。
現在 Hyper-V 上での動作がサポートされているゲスト OS は、次サイトで確認いただけます。
Hyper-V におけるゲスト オペレーティング システムのサポート
上記サイトに記載されているとおり、 Hyper-V 上でサポートしている Linux は、次のとおりとなっています。
また、Hyper-V 上の Linux ゲスト OS の対応については、マイクロソフトから直接の IC 提供と並行して、Linux Community にて対応してもらうという動きもあります。
すでに Linux Kernel version 2.6.32 で、Hyper-V対応版が公開されていますので、各ディストリビューションにて Hyper-V 対応状況をご確認いただければと思います。
こちらについての詳細は、下記の US のサイトをご覧ください。
Windows だけでなく Red Hat の仮想化も、ぜひ Hyper-V をご検討ください。
伊賀 絵理子
皆さん、こんにちは。 雪、すごかったですね。うちの犬も生まれて初めて見る雪に鼻息を荒くしやや興奮気味で見ておりましたが、さすがに寒さには耐えられないようで、電気ストーブの近くの所定の位置に・・・雪が降ってもうちの犬は喜ばずでした。
前々回から FIM 2010 に関しての情報を記載させていただいておりますが、今回もFIM 2010 に関して記載させていただきます。 今回は、FIM 2010 で最も分かりやすい新機能の一つである、 ID 管理ポータルについて記載させていただきます。
FIM 2010 ID 管理ポータルとは FIM 2010 から新たに追加された、 ID 管理を GUI で行う為の管理機能を提供したWinodws SharePoint Service(WSS)ベースのポータルです。 管理者は、ポータル画面より、Active Directory(AD)などの同期対象となる ID ストアとの同期ルールの設定、管理ポリシーと呼ばれる ID 管理を行う上でのルールの設定、オブジェクトの編集(追加 / 変更 / 削除)を行う事が可能です。 また、本ポータルは一般ユーザーにも公開可能で、既定の機能ではユーザー情報の参照や配布グループの作成および作成したグループのメンバー管理を行う事が可能となっております。
FIM 2010 ID 管理ポータルの役割 本ポータルの役割としては、 ID を管理する機能を提供と、上記に記載させていただきましたが、 ID ポータルの一番の役割としては、オブジェクトを登録できるUIを提供できる事です。FIM 2010 の以前のバージョンでる ILM 2007 では ID 同期を行う事はできますが、 GUI ベースで ID 情報を管理しようとした場合、別途アプリケーションを開発していただく必要がありました。今回、 FIM 2010 では、ID 管理用のフロントのアプリケーションを標準機能として搭載しました。 これにより、グループのメンバーの管理や一部のユーザー情報のメンテナンスなどエンドユーザーが対応できる部分はユーザーに任せるといった事が可能となり、管理者の管理工数の削減、エンドユーザーに対しては利便性の向上され、さらにワークフローや操作権限などの管理ポリシーを設定する事でセキュリティリスクを軽減する事が可能となっております。
既定の ID ポータルで提供されている機能 FIM 2010 を構成直後の ID ポータルの機能を以下に示します。 (管理者用ポータル画面) 図1 ・ユーザー / 配布グループ / セキュリティグループの編集(追加 / 変更 / 削除) ※グループのメンバー管理機能も含む ・ワークフローの確認および承認 ・管理ポリシー / 同期ルールなどを設定する管理機能
図1 FIM 2010 管理者用 ID ポータル画面
(一般ユーザー用ポータル画面) 図2 ・ユーザー情報の参照 ・配布グループの編集(追加) ※配布グループのメンバー管理機能も含む ・ワークフローの確認および承認
図2 FIM 2010 一般ユーザー用 ID ポータル画面
ID 管理ポータルのカスタマイズ 既定の ID 管理ポータルの機能でも、ある程度利用はできるのですが、業務要件やより柔軟な ID 管理を行う上で既定の機能では十分に対応はできておりません。 しかし、FIM 2010 の ID 管理ポータルでは管理機能で、ポータル画面のカスタマイズ機能を標準で搭載しており、 容易にカスタマイズが行える機能を搭載しております。今回は、 以下に示すポータル画面のカスタマイズについて紹介します。
・ID ポータルのヘッダーのロゴの変更 ・ナビゲーションバー / ホームページへの項目追加 ・新規入力画面の項目の表示位置の変更 ・新規入力画面で入力必須項目の追加
(1)ID ポータルのヘッダーのロゴの変更 ポータルのヘッダーに企業のロゴなどを登録したいといった要望があるかと思います。本設定は、管理者でログインした ID ポータル画面の「管理」-「ポータル構成」画面の「拡張属性」タグから変更が可能です。 標準で設定できるのは、画面の右側と左側に画像が設定できさらに中央にテキストが登録できます。変更後の画面を図3に示します。
図3 ヘッダーの設定を行ったポータル画面
(2)ナビゲーションバー / ホームページへの項目追加 ポータル上のナビゲーションバーやポータル上に他のシステムリンクを追加する事が可能です。また FIM 2010で新たに作成したリソース(※)をポータル上に追加する事が可能です。本設定は、管理者でログインした ID ポータル画面の「管理」-「ホームページリソース」画面または、「ナビゲータバーリソース」画面から新規追加する事で追加が可能です。追加時に使用法キーワード属性に「BasicUI」と記入すると、一般ユーザーでログインしたポータル画面でも表示される項目となります。また、表示位置なども設定する事が可能で、利用しやすい位置に項目を追加していただく事が可能です。 図4にナビゲーションバーとポータル画面に項目を追加し画面を示します。
図4 コンピュータ項目を追加した ID 管理ポータル
※リソースを新たに追加する場合は、管理者でログインした ID ポータル画面の「管理」-「スキーマ管理」でリソースを作成し、属性を追加する事で、ポータル上で独自に管理できるリソースを定義する事できます。
(3)新規入力画面の項目の表示位置の変更 図5 に既定のユーザーの新規登録画面を示します。要件によっては、ユーザーの属性情報の順番を変更または、追加したい要望はあるかと思います。新規追加画面に登録される属性情報は、xmlの構成ファイルで定義されており、この構成ファイルを変更していただく事で、表示位置の変更や表示形式または、表示項目の追加を行う事が可能です。管理者でログインした ID ポータル画面の「管理」-「リソースコントロールの表示構成」画面から、「ユーザーの作成の構成」(ユーザーの新規作成画面を変更したい場合)を選択し、登録されている構成ファイルをエクスポートしローカルで編集しインポートする事で変更が可能となります。図6 に画面変更後のユーザーの新規登録画面を表示します。
図5 規定のユーザー新規登録画面
図6 表示位置を変更したユーザー新規登録画面
(4)新規入力画面で入力必須項目の追加 新規登録時の入力チェックの一つとして、入力必須項目にしたい項目もあるかと思います。入力必須項目として設定したい場合は、管理者でログインした ID ポータル画面の「管理」-「スキーマ管理」で対象リソース(例えばユーザー)にバインドされた属性(例えば、姓や名)を選択し、「全般」タグから必須項目にチェックを行っていただく事で入力必須項目に指定する事が可能です。図7に「ユーザー」リソースにバインドされた「名」属性設定画面を示します。図8に新たに入力必須項目を設定したユーザー新規登録画面を示します。
図7 「名」属性の設定画面
図8 入力必須項目を指定したユーザー新規登録画面
今回は、簡単に設定できる項目の一部ですが紹介させていただきました。より詳細な手順や他のカスタマイズにつきましては以下のサイトから確認できます。
●Introduction to Configuring the FIM Portal(英語) ●Introduction to Schema Management(英語) ●Introduction to Resource Control Display Configurations(英語)
是非、評価をしていただき、効率的な ID 管理を実現していただければと思います。
中村 仁吏