2010/04/13

Microsoft Forefront Identity Manager 2010 ではまったところ


Microsoft Identity Lifesycle Manager 2007 (ILM) の後継製品、Microsoft Forefront Identity Manager 2010 (FIM) の記事執筆のため、評価環境を構築しました。これまで、スクリーンショットをとるためだけに、ILM のインストールまではしたことがあったのですが、今回は FIM の新機能まわりのスクリーンショットをとるため、動く状態まで持っていく必要がありました。これがまた一苦労でした。


FIM は、SharePoint ベースのポータル サイトが新たに追加され、このポータルはランゲージパックの追加で日本語にも対応できます。しかし、ほとんどのドキュメントが英語のため、インストールから苦労します。ILM や FIM が初めてという方でも、以下に示すドキュメントに従って一歩ずつ進めば、だんだんこの製品の仕組みについて理解できると思います。いくつかのサービスアカウント(FIM Service Account、FIM MA Account)、MA(Management Agents)、MPR (Management Policy Rule:管理ポリシー規則)、Set(セット)、Workflow(ワークフロー)といった、ILM/FIM 独特のコンポーネントの役割についてもだんだんと、そしてなんとなくわかってきます。

Installation Guide
http://technet.microsoft.com/en-us/library/ee534909(WS.10).aspx
Publishing Active Directory Users From Two Authoritative Data Sources
http://technet.microsoft.com/en-us/library/ee534908(WS.10).aspx
Introduction to User and Group Management
http://technet.microsoft.com/en-us/library/ee534902(WS.10).aspx
Introduction to Password Reset
http://technet.microsoft.com/en-us/library/ee534892(WS.10).aspx
....

上記のドキュメントに従って少しずつ進んでいけば、環境を構築し、フラット ファイルと Metaverse (FIM のメタ ディレクトリ) 間、および Metaverse と Active Directory 間の ID 同期ができ、新機能のセルフ パスワード リセット機能を試してみることができます。ID 同期のコア サービスである Synchronization Service は、管理ツールが英語なので、上記のドキュメントに従えばよいのですが、ポータルを日本語化した場合、ドキュメントの英語表記と日本語の対応が分かりにくい部分が多々出てくるので注意が必要です。

ここははまるかもしれないというところ(私がはまって何日も悩んだところ)に触れておきます。

Windows SharePoint Services SP2(またはSP1 )の英語版が必要

Install Guide のリンク先(http://go.microsoft.com/fwlink/?LinkID=181113)は日本語版にリダイレクトされるので注意してください。必ず英語版の SharePoint.exe を使用してインストールする必要があります(サーバー OS は日本語版の日本語ロケールでかまいません)。

ポータル日本語化のためには、Windows SharePoint Services SP2 英語版に日本語 Language Pack をインストールする必要がある。

Install Guide の Windows SharePoint Services 3.0 Language Pack の下にあるリンク(http://go.microsoft.com/fwlink/?LinkID=178266)のリンク先は Language Pack SP2 です。これをインストールする前に、ここから SharePointLanguagePack.exe (言語は日本語) をダウンロードしてインストールする必要があります。

ID 同期に失敗する

FIMMA(FIM Service 用のManagement Agent)を作成する際に、データベースに接続するための資格情報として、FIM MA アカウントを指定する必要があります。別のアカウントを指定すると、同期に失敗します。

Administrator 以外のユーザーで FIM ポータルにログインすると、Service not Available と表示される、ユーザーログオン時にセルフ パスワード リセット登録画面が表示されない...

Administrator 以外のユーザーでポータルや機能がうまく動かないというのが、最もはまったところです。原因はいくつか考えられます。
  1. Service and Portal のインストール時に、[Grant authenticated users access to the FIM Portal site]と[Grant authenticated users access to the FIM Password Reset site]にチェックを入れる必要があります。忘れた場合は、Administrator で SharePioint サイトにログオンし、Microsoft Identity Management サイトと Microsoft Identitry Management Password Reset Portal サイトでSharePoint のサイト設定(サイトの操作→サイト設定) を開き、 [Users and Permissions]の[Advanced permissions]の[New]→[Add Users]を使用して、NT AUTHORITY\authenticated users に対して Read アクセス権を設定してください。
  2. FIM ポータルを利用するユーザーは、対応する person オブジェクトが FIM Metaverse 内に存在し、Active Directory の user オブジェクトと、AccountName(アカウント名)、Domain(ドメイン)、ObjectSID(リソース SID) が同期されている必要があります。私の場合、上記のドキュメントの手順では、ObjectSID が同期できませんでした。FIM ポータルに Administrator でログインし、ログインできないユーザーのプロファイルを開いて、[詳細表示]ボタンをクリックします。[拡張属性]タブで[リソース SID]の項目を確認します。ここに[エクスポート...]ボタンが表示されない場合(“この属性には値が指定されていません”と表示される場合)は、ObjectSID が同期されていない状態です。私の場合は、Synchronization Service Manager で ADMA (Active Directory 用の Management Agent) のプロパティを開き、[Configure Attribute Flow]のページで Data source user:objectSid → Import → Metaverse person:objectSid を追加設定し、再同期することでリソース SID がセットされました。
  3. ポータルの使用を許可するために、以下の2つの管理ポリシー規則(MPR)を有効にする必要があります。FIM ポータルに Administrator でログインし、[管理ポリシー規則]でこれらの MPR を開き、[全般]タブの[ポリシーを無効にする]のチェックを外します。
    User management: Users can read attributes of their own
    General: Users can read non-administrative configuration resources
Windows 7 クライアントでは、秘密の質問に対する答えに日本語使用が NG

セルフ パスワード リセット機能は、FIM 2010 の注目の新機能の 1 つです。秘密の質問に答えさせることで、パスワードを忘れたエンド ユーザーが自分でパスワードをリセット(再設定) できるようにします。秘密の質問は、管理者が QA ゲートで設定し、質問に対する答えは、ユーザーがログオンしたとき、答えが未設定の場合、設定画面が表示されます。

FIM 2010 のせっかくの売りの機能なのですが、Windows 7 クライアントからリセットを実行する際に、エンド ユーザーが日本語で答える必要がある場合、ログオン画面からのセルフ パスワード リセットで大変なことになります。答えを入力する際に、日本語入力システム (IME) を有効にできないのです (右の画面)。

この問題、私の Windows 7 環境固有のトラブルと思っていましたが、マイクロソフト社員の Blog 記事でも報告されています。Windows Server 2008 R2 でも確認しましたが、Windows 7 と同様に、IME が無効になります。Windows XP および Windows Vista クライアントだと、IME が無効になることなく、ちゃんと日本語で回答できます(上の Windows Vista の画面)。

[FIM障害情報] Self Password Reset 時日本語の回答が入力できない Ver 1.0
http://blogs.technet.com/jpilmblg/archive/2010/04/12/fim-self-password-reset-ver-1-0.aspx

0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。