AD FS や Windows Azure AppFabric ACS を勉強していると、用語の乱立に辟易することでしょう。特に、AD FS は日本語訳に少々難が無くもないため...ちょっとした慣れが必要です。

そんな面倒な用語のうち、比較的使用する頻度が高く、正確に理解しておかないと困るのが「クレームタイプ（要求の種類）」です。

AD FS 管理コンソールで、クレームルール（要求規則）を定義する画面を見てみましょう。以下の画面では、Active Directory の LDAP 属性から取り出した値を、クレームタイプ（出力方向の要求の種類）に放り込んでいます。

※この画面に表示されている「LDAP属性」についても注意が必要なので別の投稿で触れることにします。

上の画面で、「出力方向の要求の種類」に「会社名」や「電子メールアドレス」「Windows アカウント名」などという文字列が表示されています。つい、こういう漢字名がクレームタイプとして使われていると思われがちなのですが、これらはローカルの AD FS の世界だけで通用する名前です。

実際には、クレームは、http://schemas.hogehoge.com/claims/companyname のような URI によって識別されています。

以下の図を見てください。STS1 から発行されたセキュリティトークンには、「Microsoft Japan」や「Junichi Anno」などのクレームが含まれています。これらのクレームを STS2 や Application とやり取りするときには、事前に「こういう名前（クレームタイプ）でやり取りしようね」という取り決めが必要です。そうしないと、問題が起こります。

STS: Security Token Service

例えば、STS1 から「http://shemas.tf.com/claims/office」というクレームタイプが届いても、これが何を意味しているのかが STS2 や Application に理解できなければ、アクセス権を与えてよいものかどうか判別がつきません。逆に、STS2 や Application がどのようなクレームタイプを欲しているかが分からなければ、STS1 はセキュリティトークンを発行しようがありません。

通常、必要なクレームタイプを定義するのは RP側（アプリケーション側）です。事前に、「自分のところにアクセスに来るには、こういうクレームタイプを持ってこい」という情報を、「メタデータ」に記載してクレームプロバイダー（CP、アイデンティティ プロバイダー）側に渡しておきます。

メタデータには「クレームタイプ」だけでなく、それらの「必須 or オプション」についても記載されているので、クレームプロバイダーはどんなクレームタイプを送ればよいかがわかります。

AD FS の管理コンソールで、証明書利用者信頼に定義されているアプリケーションのプロパティを見てください。「受け付ける要求」というタブに表示されている情報が、アプリケーションが要求しているクレームタイプです。以下の画面例では、「役割」と「名前」というクレームが受け取り可能で、いずれも必須ではない（オプション）ことがわかります。必須ではないということは、これらを空のまま送ったとしたら、ゲスト権限が与えられるのだろうなぁ...ということが予測できます。

先ほど、クレームタイプは URI で表現されると書きました。にもかかわらず、「役割」や「名前」という漢字で書かれているとはどういういことでしょう？これは、メタデータに書かれているクレームタイプ（URI）が、既に AD FS に定義されているためです。以下は、上の画面のもととなるメタデータです。小さくて見えずらいですが、赤枠で囲んだ部分に、クレームタイプが定義されています。

次に、以下の画面を見てください。これは、AD FS の管理コンソールで [サービス] - [要求記述] を開いた画面です。

この画面には、ローカルの AD FS で使用できるクレームタイプが定義されています。「ローカルの」と書いたのは、クレームタイプは独自に編集することができるからです。リストの下3つ「部署」「従業員番号」「会社名」は私が独自に追加したクレームタイプです。

「役割」と「名前」の横に書かれている「要求の種類（クレームタイプ）」を見てください。メタデータと見比べていただくとわかるとおり、同じURIが書かれていることがわかります。同じURIなので、ローカルのAD FS内の識別名である「役割」や「名前」に置き換えられていたのですね。

このように、クレームプロバイダーとアプリケーションの間では、クレームタイプによって情報がやり取りされています。URI の1文字が違ってもクレームタイプは別のものとして判別されてしまうので注意しなければなりません。

2011/5/30 誤植を修正
2011/5/27 更新

Windows Azure にアプリケーションを展開し、オンプレミスのActive Directory や Google などとの認証連携を行うための手順を示した資料を最新の状態にアップグレードしました。

2011年3月11日 に開催したセミナーから、画面も操作手順も変わっていますので、是非ともこちらの資料をご覧くださいませ。

内容は、かなり盛りだくさんです。是非とも AD FS と Windows Azure AppFabric ACS を制覇してください！

最近、BLOGの投稿が滞っておりまして恐縮でございます。

もうすこししましたら、IT Pro 専用の分厚い Windows Azure ドキュメントがどどーんと公開されますので、楽しみにお待ちください。

さて、来る6月15日、Windows Azure Platform に関する最新情報をお伝えするセミナーを開催します。

6月15日 日本マイクロソフト株式会社 品川本社
Windows Azure Platform 最新情報 2011 年 6 月版 & そろそろリアルな運用についても考えてみよう

前回の開催が3月4日でしたから、ざっと3か月。この間、新しい機能がリリースされたり、発表されたりと、あいかわらず Azure 界隈の動きは激しいです。

目の前の作業に追われていると、なかなか最新情報を収集する機会を逃してしまいがちですが、是非とも1日で最新情報を収集できる、このセミナ-にご参加ください。

13:30 - 15:00 『Windows Azure Platform 最新情報 2011 年 6 月 版』（講師：各エバンジェリスト）

リリースされたばかり、または発表されたばかりの以下のテクノロジーを各15分程度でご紹介します。誰が何を話すかは、現在内部で奪い合い、押しつけ合いしているところです。

• Traffic Manager
• CDN（Contens Delevery Network）
• Windows Azure AppFabric ACS V2
• Windows Azure AppFabric Service Bus V2
• SQL Azure Federation
• SQL Azure Reporting
• SQL Azure Sync Service

15:15 - 16:15 『 Windows Azure の運用設計指針』（講師：安納 順一）

そろそろ各種事例を通して、リアルな運用のイメージおよび留意点が確立されつつあります。

このセッションでは、そんな情報を集約してお話しします。

対象は完全に IT Pro です。

16:25 - 17:25 『 絶対にお勧めできない VM Role の活用法』（講師：関田 文雄）

VM Role への期待に、はたしてマイクロソフトは答えられるのか!?

本来ならば「あれができます」「これができます」と言いたいところをグッと我慢し、アンチパターンのみでお送りするセッションです。

最新の情報は、いまアトランタで開催されている Tech・Ed にて講師の関田が収集中です。

 

当日は、ライトニングトークの開催も予定していますので、こちらへのお申し込みもお待ちしております。

手元には Windows Azure 関連書籍の在庫がかなりあるようなので、おそらく大じゃんけん大会も開催されるはずです。

お待ちしております。

ITPROの方は、もしかしたら「インストールマニアックス」の存在を知らないかもしれません。

インストールマニアックスとは、

Windows にインストールしたオープンソースソフトウェアの数を競う

という単純明快な競技で、普段お客様の環境を設計/構築している ITPRO にはうってつけのイベントです。

レギュレーションは単純明快。

• Windows Azure 上にオープンソースをインストールする
• 3名のチーム戦で合計点数を競う
• Windows Azure は、所定の期間インスタンスを上げたままにすること
• 課題ソフトウェアを必ずインストールすること

だけです。

そして、今年から加えられた新たなルール、それは、

女子を含むチームは全体の得点が2倍！

A女子1点、B男子10点、C男子10点 ならば、チーム得点は 21点＊2＝42点！

A男子10点、B男子10点、C男子10点 だと、チーム得点は30点...orz。女子、圧倒的に有利です。

もちろん、Windows Azure を契約していただく必要があるのでお金がかかります（6000円程度）。

それは、15000円分/人 のAmazonギフト券で還元いたします。

ギフト券は上記のレギュレーションを満たすだけで全員もらえます。

奥さん、お子さんを含めた3名で参戦し（実際にはお父さん一人でインストール作業を行うことになったとしても）、一人15000円のギフト券＊3＝45000円です。いやらしいですけど（笑）。しかも奥さんが女性だから点数2倍！ ただ、Azureの維持費が20000円程度かかりますので、実質25000円程度のプラスとなります。

Amazon で買い物の予定がある方は、この機会に参加していただくと、絶対に得します。

7月には決勝戦を開催し、優勝者には豪華プレゼント！があります。

昨年の有償プレゼントはMS本社ご招待でした。

参加エントリーの締め切りは 5月16日の23時59分です。

Twitter をお持ちの方は、#maniax5 を検索してみてください。メンバー募集のメッセージが多く流れています。

どうでもいいんですけど、これ知ってました（笑）？BINGの言語をUSにして試してみてください。私はサクシマさんに教えられて知りました。これじゃぁ��試験会場にスマフォは持ち込み禁止ですよね。ちなみに、(1+2)(5+n）を分母に持っていきたい場合ってどうするんでしょうかね...。

話は365度変わりますが、Office 365 って知ってます？詳細はこちらを見ていただくとして、いざ使おうとすると認証はどうするのだろう？ユーザー管理はどうするのだろう？と、疑問符がいっぱいです。

そんな疑問をお持ちの方に向けて、業界の有名人が解説してくれるセミナーが5月14日に開催されます。

オンサイト イベント：2011 Microsoft Community Open Day with GITCA ~ 仮想化技術・最新動向を理解する：IT プロフェッショナル編 ~

全体のテーマは仮想化技術なのですが、もちろんその中にはクラウドなんてのも入っていたりして、春の導入作業がひと段落ついたかなぁなんて方にはうってつけのセミナーです。

スピーカーは、横山さん、山内さん、小鮒さん、村嶋さんと、技術系の記事で頻繁に見かけるあの方々す。

名刺じゃんけんに勝てる「プレミアム名刺」を入手したい方も是非（笑）。

私も当日はセミナールームを徘徊していますので、声をかけてください。