皆さん、こんにちは。
暑くてジメジメした日が続来ますね。ウチの犬は、なんと早くも夏バテを起こしてしまいました。人間にとっても犬にとっても辛い季節です。。。

今回、Forefront Identity Manager(FIM) 2010 を利用した、Active Directroy ドメインサービス(AD DS)上でのグループ管理機能について紹介させていただきます。
FIM 2010 では、 ID統合管理基盤として利用できる機能を提供していますが、パスワードセルフリセットをはじめとし、AD DS との親和性が非常に高い機能を提供しています。グループ管理機能も AD DS と親和性の高い機能を提供しています。(もちろん、グループオブジェクトは AD DS のみではなく、他のシステムに対しても同期を行う事は可能です。)

FIM 2010 では、同期サービスによるバッチでのグループオブジェクトの一括処理(登録 / 変更 / 削除)やFIM ID 管理ポータルによるグループオブジェクトの作成 / 変更 / 削除が行え、特に FIM ID 管理ポータルでは、よりグループの管理が行いやすい管理機能を提供しています。今回は、FIM 2010 の ID 管理ポータルで提供しているグループに関する以下の機能を紹介させていただきます。

(1)様々な条件指定できるグループメンバーの設定
(2)ワークフローを利用した、申請ベースでのグループ参加
(3)Outlookを利用したメールベースでのグループ参加申請と承認
(4)検索フィルターによる様々な条件でのグループ検索

(1)様々な条件で指定するグループメンバーの設定

FIM ID 管理ポータルからは、セキュリティグループおよび配布グループを作成する事ができます。これを AD DS と同期させることで、AD DS 上にグループオブジェクトが作成されます。
FIM ID 管理ポータル上でグループオブジェクト作成時に、メンバーの構成を以下の3つのパターンで定義する事ができます。

#

メンバーの選択

構成条件
1 手動 グループのメンバーを手動で構成します。
2 管理者ベース FIM ID 管理ポータル上で管理者(上長)として設定されているユーザー(部下)がメンバーとして構成されます。
3 条件ベース カスタム検索フィルターによって動的にメンバーが構成されます。動的なので、例えば、条件に指定されている属性が変更された場合は、それに基づいてメンバーも変更されます。

条件ベースでは、FIM ID 管理ポータルで管理されている属性でグループのメンバー条件の指定ができます。これらの条件は 「AND」 または 「OR」 で条件を定義する事ができるので柔軟なグループのメンバー定義を指定する事ができます。また、確認として条件に適合するメンバーの確認も行う事が可能です。以下にメンバーの条件を設定画面を示します。

image
図1 メンバー選定条件の設定画面

(2)ワークフローを利用した、申請ベースでのグループ参加

FIM 2010 では、Windows Workflow Fundation ベースをワークフローを標準機能として提供しています。このワークフローの機能を利用して、申請ベースによるグループ参加を行う事ができます。
例えば、ユーザーが、あるグループに参加しようとした場合、グループ作成時に設定されたグループの所有者の承認を得て初めてグループのメンバーとして参加ができるといった運用が可能となります。これにより、これまでシステム管理者に依頼が来ていたグループ参加申請がシステム的に行う事で、管理コストの削減ができ、さらにユーザーにとっても、グループへのメンバー登録が迅速に行われることにより、生産性の向上につながるのではないかと考えます。
既定の機能は、「グループの所有者に対しての申請」で提供されていますが、ワークフローの承認者を変更する事で、承認者を変更する事も可能です。以下に承認の制約を設定したグループ作成画面を示します。

image
図2 承認の制約を設定したグループ作成画面

(3)Outlookを利用したメールベースでのグループ参加申請と承認

上記の(2)で示したグループへの参加申請および承認は FIM ID 管理ポータルから行う事が可能ですが、 Outlook と Exchage 環境を利用し、メールベースでのグループ参加申請と承認も行う事が可能です。 Outlook で申請 / 承認を行う為ににはクライアント上に FIM 2010 で提供している Outlook Add-in モジュールが別途必要となります。現状で対応している環境は、Outlook 2007 SP2 以降、Exchange Server 2007 SP1 以降または Exchange Server 2010 に対応しています。
Outlook Add-in モジュールをインストールしていただく事で、Outlook のメニューバーに「グループ」メニューが表示されグループ関連の操作を行う事ができます。また、申請などのメールの文面も参加申請用や承諾メールなどテンプレートを独自に定義する事ができますので要件に応じた文面でメールを送信する事が可能です。

(4)検索フィルターによる様々な条件でのグループ検索

管理者の方はじめユーザーの方は、自分が現在どのようなグループに参加ているか、確認や、自分が管理しているグループの確認などの要件や要望はよくあるのではないでしょうか?
FIM ID 管理ポータルでは、既定で、「自分が参加しているグループの検索」と「自分が所有しているグループの検索」がポータル上から行える様に定義されています。さらにグループの検索条件を要件に合わせて定義していただく事で、様々な条件で検索する事が可能となっています。検索条件は XPath で定義します。これらの検索条件のメニューは、一般ユーザーに表示を許可する、または管理者のみに表示を許可するといった様に表示の許可を指定する事が可能ですので、一般ユーザー用の検索と管理者用の検索を分けて表示させる事も可能となっています。一般ユーザーの ID 管理ポータル画面を以下に示します。

image
図3 一般ユーザーの FIM ID 管理ポータル画面

 

この様に FIM 2010 では、ID 管理ポータルを利用する事で、管理が面倒だったグループのメンテナンスが簡単に行えるようになっております。またこれらの作業は最小限の設定で対応でき、管理者の管理コストの低減化が行えさらにユーザーへの利便性の向上にもつながると考えております。

是非、FIM 2010をご評価またご検討ください。
FIM 2010 の書籍が出ました。ご評価 / ご導入され場合は是非、参考にしていただければと思います。

Active Directory ID管理ガイド Forefront Identity Managerで実装するID統合管理

また、8月に行われる TechED でも FIM 2010 のセッションで登壇させていただく予定です。さらに FIM 2010 を詳しく紹介させていただき、少しでも皆様のお役に立てれる情報を提供したいと考えております。ご興味がある方(そうでない方も)是非ご参加ください!!

中村 仁吏