Kasoukatoka

耐寒マツバギク(2024/5/18撮影) タンポポに似て、円形に細い花弁を持っていることや、その名前からキクの仲間と思ったところ、調べてみると違う植物の仲間だそうです。 マツバギクという名称なのでなんとなくアジア原産かと思っていたら、南アフリカ原産でした。 New-MgDomainFederationConfiguration コマンドというコマンドがあるそうです。 以下URLを見てみると、 前回のブログエントリ で使用した Set-MsolDomainAuthentication コマンドの後継コマンドだそうです。どうやら、Microsoftは将来的にSet-MsolDomainAuthenticationをはじめとしたコマンドの一式を非サポートとするようです。 Find Azure AD PowerShell and MSOnline cmdlets in Microsoft Graph PowerShell 今回私は、近い将来来る変化に備えて、New-MgDomainFederationConfiguration コマンドを使用してMicrosoft 365の認証をWorkspace ONE Accessに委任する方式を試してみました。 本ブログエントリは2024年5月18日時点で筆者が確認できた情報をもとに作成しております。本ブログエントリを参考に同様の手順を実行する場合、その時々の各製品、サービスの提供元の公式情報をご確認ください。 【2024年12月15日更新： このMicrosoft日本チームのブログ記事 を見ると、2025年3月30日をもってMSOLコマンドのサポートが完全に提供されなくなるようです】 ■目次 Microsoft.Graph.Identity.DirectoryManagement モジュールのインストール Microsoft 365に接続 Microsoft 365に存在するドメインのリスト表示 New-MgDomainFederationConfiguration コマンドによるフェデレーション設定 ログイン確認 その他躓いたこと ①Microsoft.Graph.Identity.DirectoryManagement モジュールのインストール Set-MsolDomainAuthentication コマンドは MSOnlin...

シラン(2024年5月8日) 以前掲載したショウブの隣に群生していました。単子葉類なので、色違いのショウブかと思ったら別の植物だったので意外でした。 シランは中国、日本、韓国などアジアの一部の国で、4月から5月にかけて咲くようです。 Workspace ONE Accessには、シングルサインオン機能があります。 以前 簡単にご紹介したように、この機能は企業で利用されるWebアプリケーションなどのシステムとSAMLなどのフェデレーションプロトコルに則て認証連携を行い、「Workspace ONE Accessに一度ログインすれば認証連携したシステムに個別にユーザー名/パスワードを入力することなく、そのままログインできる」というものです。 最近は勤怠システムや経費精算システムなどもSAMLに対応したSaaSを利用する企業が増えつつあり「覚えないといけないユーザー名/パスワードがここ数年で増えた！」という方も多いと思います。 そのような状況において、Workspace ONE Accessと複数のSaaSをSAMLなどで認証連携することにより、シングルサインオン機能はユーザーのログインにかかる手間を下げてくれます。 ※もっと言うとすでに勤務先でOktaやOnelogin、HENNGE ONEなどで認証を統一しており、「ここ数年で、勤怠システムにログインしようとしたら、ログイン先の勤怠システムの代わりに、なんかよくわからない別の認証システムにユーザー名/パスワードを入力するようになった」という方もいらっしゃると思います。Workspace ONE Accessも、そんな「なんかよくわからない別の認証システム」のうちの一つです。 認証連携を行う際、どこかからWorkspace ONE Accessなどの認証を委任される側のシステムのことをIdP(Identity Provider)とよび、認証をどこかに委任する側のシステムのことをSP(Service Provider)と呼びます。 認証連携のプロトコルは、SAMLを採用しているSPが多い印象があります。 ※ちなみにWorkspace ONE Accessが対応している認証連携のプロトコルは以下の通りです。 SAML 2.0 applications SAML 1.1 applications WS-Federation 1...

親族宅のフキノトウの周りのフキ(2024/5/3) 2月に撮影したフキノトウのフキが、もうこんなに大きくなっていました。 AWS初心者とはいえ、エビデンスの整理とブログポストの作成に長いことかかってしまいました。。 本投稿はUAGをAWS上に構築するシリーズの第十二回目の記事です。 今回は、NLBを経由してAWS上のUAGにテスト接続します。 テスト接続であれば、UEM管理コンソール上からVMware Tunnelセクションのボタンを押下すればよいと考える方もいらっしゃるかもしれませんが、あのテスト接続ボタンはUAGからUEMに報告されたバージョンなどのステータスを報告しているため、実は外部からきちんとアクセスできるかどうかのテスト接続としてはちょっと足りません。 なので今回は、手元のPCからUAGに、Webブラウザで接続してみます。 t2.microで構成して リソースが足りないせいか 、 接続成功してもしばしばこのような画面になりました。。。 ■サマリ 最後に、今回実施した手順になぞらえて概観図を並べ替えたPDFを作成したので、以下のリンクに保存しています。 将来手順を思い出したいときに、たぶん役に立ってくれる。。（はず） Deploying UAG on AWS

  子供の日のために飾っている兜(2024/5/3) 少し気が早いですが、5月5日の当日にバタバタするのを避けるため、1週間ほど前から飾っています。 本投稿はUAGをAWS上に構築するシリーズの第十一回目の記事です。 今回は、UAGのフロントに配置するNLBを作成します。 概観図のなかでは、以下の赤いコンポーネントです。 ■目次 NLB作成 ■NLB作成 NLBを作成する際は、EC2ダッシュボードからLoad Balancingを選択し、Load balancersのリストでCreate load balancerをクリックします。 Load Balancerの作成ウィザードが表示されると、ALB,NLB,Classicの三種類から選ぶように求められます。今回はNLBを選択します。 NLB作成ウィザードが表示されます。 ロードバランサ名を入力し、internet-facingを選択します。ip address typeはipv4で問題なく動作しました。 Network mappingセクションで、VPCとAZ、サブネットを選択します。きちんとパブリックサブネットに接続します。 また、今回はElastic IPを振っています。 次にセキュリティグループを設定します。準備していたセキュリティグループを選択します。 セキュリティグループの次にあるのは受信ポートの設定です。今回はUAGの管理用Webページを表示するため、TCPの9443番ポートを設定します。また、バックエンドのUAGをせっていすべく、ここでCreate target groupのリンクをクリックします。 別のタブで、NLBの背後に控えるターゲットを作成するウィザードが表示されます。 ターゲットのタイプとしてIPアドレスベースの指定や、AWS Lambdaで定義した関数が指定できるようですが、今回は一番上のInstancesでEC2インスタンスを選択します。 ターゲットグループ名を入れ、ターゲットグループが待ち受けるプロトコルとポートとしてTCPの9443番を指定します。IP Address typeはIPv4を指定します。 また、ターゲットグループのインスタンスが使用しているVPCも選択します。 次にヘルスチェックを設定します。プロトコルをTCPに変更し、ポート番号を9443に変更します。 そのほか...

  アヤメ（2024/4/30） 4月下旬～5月下旬に咲きます。漢字では菖蒲（アヤメまたはショウブと発音します）と書くこともあるそうです。 ※ショウブとアヤメは別の花だそうです。 本投稿はUAGをAWS上に構築するシリーズの第十回目の記事です。 今回は、、、UAGの展開を実施します！！！🎉🥳🎉🥳🎉🥳🎉🥳 ※な、長かった。。。AWS初心者の私には長い道のりでした。。。 ようやく、VPCの中で表現できるコンポーネントに戻ってきたので、とても久しぶりですが、全体的な外観図を掲載します。今回は赤の部分（UAG）を構築していきます！ ■目次 UAGの展開 ■UAGの展開 UAGを展開する前に、 前回 VMDKから作成したAMI(Amazon Machine Image)がきちんと登録されていることを確認します。 次に、UAGに適用するためのSecurity Groupを作成します。 セキュリティグループの名称を埋め、どのVPCで使用するかを選択します。 今回は、9443で待ち受けるUAGの管理用画面に、テスト的にアクセスします。 UAGはNLBの後ろに位置するので、以下のような設定としています。 すべてのネットワークからのTCPポート：9443の通信を許可 NLBのサブネットからのTCPポート：9443の通信を許可 。。。この記事を書いているときに、1番の設定だけでよいのでは？と思いました。 なお、UAGはパブリックIPアドレスを持たないため、仮にインターネットからアクセスしたとしてもUAGに直接のアクセスはできません。が、NLBはアクセス元のIPアドレスを変換しないようなので、この方式とすることで、どこからアクセスしても、バックエンドのUAGにアクセスができるようになります。 ※この検証を行った後日、Autoscalingの際に使うようなNLBルールとすることでも通信ができるときづいたため、そちらの方がスマートな設定かもしれません。 セキュリティグループの設定をしたら、保存します。 次にUAGの展開用のスクリプトで読み込むiniファイルを設定します。 今回はt2.microにしました。 設定したら、PowerShellで実行します。実行時の操作はAzureやvSphereに展開するときと同じです。 スクリプトを実行してもよいか尋ねるプロンプトが出たら...