SharePoint 2010 のアカウント ID 変更ツール SPMigrateUsers

原文の記事の投稿日: 2012 年 6 月 3 日 (日曜日) SharePoint を運用しているとアカウント ID の変更が必要になることがあります。SAML クレームはそのよい例です。私は、自分が扱ってきた事例の影響もあってか、ユーザーの ID クレームには電子メール アドレスを使うことにしています。こうするのは、a) ほとんどの人々は電子メール アドレスを持っている、b) 電子メール アドレスはほとんどのユーザーに理解される、という 2 つの理由によります。しかし、電子メール アドレスは人々により変更されるという理由で、それを使うことに躊躇することもよくあります。電子メール アドレスを変更すると、当然、すべてのアクセス許可は失効するわけです。正直なところ、私は変更がそれほど頻繁に起こるとは考えていません。もしそうなら、電子メール アドレスなど端から使わないでしょう。ただし、ときどきは変更されるので、SharePoint を電子メール アドレスで保護しているとき、どのような処置が必要になるかを考えてみましょう。 この問題を扱うときの要点は、IMigrateUserCallback インターフェイスに関する以前のブログ投稿 (http://blogs.msdn.com/b/sharepoint_jp/archive/2011/03/07/windows-saml.aspx) で説明しています。先の投稿記事では、IMigrateUserCallback インターフェイスで ID を移行するときの手順と、Windows クレーム ID を SAML クレーム ID に変換する例を示しましたが、変更すべき資格情報を入力するだけで必要な変更が自動的に行われる簡単な Windows アプリケーションがあればよいと考え、それを作成することにしました。こうした変更は本来、各自の状況に即して作られた簡単なツールで行うべきことなのですが、本稿に添付したソース コードを基に、もっと独創的なツールを開発してもよいでしょう。たとえば、ファイルやデータベースからユーザーの一覧を読み込んで、自分自身で照合するといったこともできます。 このツールにもよいところがあります。それは多くのシナリオに対応できることです。電子メール アドレスを別のアドレスに変換できるのはもちろん、グループ名を別のグループ名に変換することもできます。後者は Ops 関係者が教えてくれたもう 1 つのケースで、実際、グループの名前を変更しても SID は変化しないので、グループ名 (たとえば、SAML のロール クレーム)…


SharePoint 2010 の SAML クレームに関する "トークンの発行元は信頼できる発行元ではありません" エラーの問題

原文の記事の投稿日: 2012 年 5 月 18 日 (金曜日) 正直なところ、SharePoint はときどき私たちに誤った情報を伝えることがあります。 実例: 今日、友人の Nidhish と一緒に SharePoint サイトで SAML を機能させる作業をしていました。最初、このサイトにアクセスすると HTTP 500 という見慣れないエラーが発生しました。私の経験では、それ自体が非常に珍しいことです。そこで、この問題についてさらに深く理解しようと、私たちが ULS ログを開いたところ、”このトークンの発行元は、信頼できる発行元ではありません。” というエラーが見つかりました。これまで SharePoint での SAML の設定を 3,492,234 回も行ってきたので、証明書の構成が正しいことにはかなり自信がありました。にもかかわらず、私たちは相当な時間をかけて、SPTrustedRootAuthority に登録した証明書の調査、証明書の拇印の比較、AD FS での証明書の再確認、サービスやボックスのリサイクルなどを行ったのです。しかし、これらはまったく無意味でした。証明書の構成には、どこにも誤りが見当たらなかったからです。 ここに来てようやく、私はさらに AD FS の証明書利用者の設定を見直すことにしました。そしてそこで “本当” の問題を見つけました。証明書利用者の WS-Fed エンドポイントが “https://foo/_trust” ではなく、誤って “https://foo” に設定されていることがわかったのです。実際、証明書はすべて正しかったのですが、要求が trust ディレクトリではなく、ルートにリダイレクトされていたわけです。結局、WS-Fed エンドポイントの更新後は、すべてが正常に機能し始めました。以上、皆さんの参考になりそうなちょっとした情報でした。 これはローカライズされたブログ投稿です。原文の記事は、「The Issuer of a Token is not…


SharePoint 検索に関する新しいコラム: 狭い空間からの眺め

原文の記事の投稿日: 2012 年 5 月 9 日 (水曜日) SharePoint の会議や TechEd で特に満足している点として、各分野の第一人者 (専門家) と親しくなったり、そうした人々から学べたりすることが挙げられます。私のお気に入りの検索の専門家である Jeff Fried 氏は、FAST Search の買収時にマイクロソフトに入り、当社のすべてのエンタープライズ検索テクノロジに関するテクニカル製品マネージャーを務めた人物です。Jeff は非凡な検索ギークですが、普通の人々にも理解できる形で検索について語ることができる才能を持ち合わせています。 数回前の会議で Jeff (現在はマイクロソフトのパートナー BA Insight の CTO (最高技術責任者) を務めています) と情報交換をする機会に恵まれました。その会話の中で彼は「マイクロソフトの外に出てわかったことの 1 つは、検索に関する意識の度合いが全般的に低いことです」と言っていました。それを聞いて驚きました。エンタープライズ検索は、SharePoint ソリューションの実装時に人々が求める上位 3 機能の 1 つだからです。実は、検索は設定だけが行われて後は忘れられているのでしょうか。そこで、そうした意識の低さの問題を解決するために、SharePoint 検索についてわかりやすく解説する記事を書いて、エンタープライズ検索をもっと有用なものにするヒントやガイダンスを提供してもらえませんか、と Jeff に頼んでみました。タイミングがよかったのか、彼はこの依頼を引き受けてくれました。 『神曲』でダンテがヴェルギリウスに導かれて地獄と煉獄を旅したように、だれもがみな導き手を必要としています。私たちには、SharePoint 検索の神秘的な世界を案内してくれる Jeff Fried 氏がいます。Jeff は、自身のコラム「Enterprise Search: The View from the Crawl Space」で、クエリ ログ、ブランディング、タブ、およびスコープへの対処など、検索機能を手軽に改善するうえで 100…


認証されたメッセージを Windows Phone プッシュ通知サービスに送信する方法

原文の記事の投稿日: 2012 年 6 月 5 日 (火曜日) プッシュ通知サービスは、Windows Phone アプリケーションでトースト メッセージの送信や Live タイルの更新といった操作ができる、Windows Phone の便利な機能です。このサービスは転送セキュリティ プロトコルを一切追加しなくても使用できますが、その場合はメッセージ数が 1 日につき最大 500 に制限されます。ただし、SSL を使用して、相互に認証されたセッションをプッシュ通知サービスに設定する場合は、送信できるメッセージ数の制限がなくなります。これにより、会話のセキュリティ保護はずっと魅力的なものになります。その作業を行う実際のプロセスに関するドキュメントは、これまで私が見てきた限り、残念ながらどれも十分なものではありませんでした。幸い、Windows Phone App Hub 内のソーシャル フォーラムは非常に有用であり、それらのフォーラムを読破すれば作業の全容を把握できます。しかし、作業に必要なすべての情報を探し出す時間を節約するために、ここではそれらを 1 つの簡単なドキュメントにまとめました。本来、こうした情報は製品チームなどにまとめてもらいたいのですが、とにかく参考にしてください。 こうしたセキュリティで保護された通信の確立に使用される証明書の要件については、http://msdn.microsoft.com/ja-jp/library/ff941099(VS.92).aspx を参照してください。ただし、作業を簡単にするために、サポートされている証明機関の 1 つによる SSL 証明書がある場合は、その証明書を使用できることがわかりました。サポートされている証明機関の一覧については、http://msdn.microsoft.com/ja-jp/library/gg521150(VS.92).aspx を参照してください。 この証明書を取得して App Hub にアップロードする必要があります。必要なのは、秘密キーを伴う PFX ではなく、パブリック版の証明書 (.cer ファイル) です。そのアップロードを行うには、App Hub に署名し、サインインを行った後、左上隅にあるアカウント名をクリックします。アカウント管理のページに進むと、[マイ アカウント] バナーの下に “証明書” というリンクが表示されています。このリンクをクリックし、表示される指示に従って証明書をアップロードします。 Windows Phone アプリケーションでは、HttpNotificationChannel クラスのインスタンスを作成します。新しい…