オンプレ AD と Office 365 が共存している企業さんでの OnTime 的カレンダー共有の解決方法
2.1K Views
November 23, 18
スライド概要
OnTime Group Calendar for Microsoft がマルチテナント、マルチドメインに対応。またログインのためのトークン発行ロジックの実装など2019年前半に向けた新機能のご紹介
【公式】 OnTime Group Calendar for Microsoft ページ https://ontimesuite.jp/forms/ 【公式】 OnTime Group Calendar for HCL Domino ページ https://ontimesuite.jp/fordomino/ 高速グループスケジュールの OnTime Group Calendar for Microsoft / for Domino の日本総代理店をしています。 CEO at AXCEL corporation that the agency of OnTime Group Calendar in Japan.
関連スライド
各ページのテキスト
オンプレADとOffice365が共存している企業さんでの OnTime的カレンダー共有の解決方法 OnTime Group Calendar Direct Shop 有限会社アクセル 岡本敏弘
ONTIME FOR MICROSOFT
本日はお時間頂戴しましてありがとうございます •少しばかりの自分歴史をご紹介して (10分) •そもそもOnTimeはなんぞやをご紹介して (10分) •今日のタイトルの話題に触れまして (10分) •結局の解決した方法をご紹介します。 (10分) •時間があればMicrosoft Teams対応など 今後の新機能についても少しお話しします。 (10分)
数年前までのワタクシ
数年前までマイクロソフトさんへ感じてたこと 1. BPOSで、パートナーとして請求のやりとりに面倒を感じる。BPOSって単 なるMicrosoft Officeとクラウド版Exchangeの抱き合わせだよね? 2. Microsoft Excelで、オンラインで同時編集が可能になった。 とはいってもGoogleドキュメントと同じレベルだよね? 3. Azureで、クラシックポータルの仮想ネットワークと仮想マシンの概念が しっくりこなくて、気持ちが他に流れる。 4. SQL Serverで、Analysis Servicesが実装されたんでCognos要らない けどマシンパワーが半端ない!と感じた。 5. Dynamics 365で、Salesforceとの比較勉強会に出て、一応Outlook メールと連携出来るだけマシかなぁと感じた。
しかし、 ご存知の通り、 超進化していました。
BPOSで、パートナーとして請求のやりとりに面倒を感じる、BPOSって単なるMicrosoft Officeとクラウド版Exchangeの抱き合わせだよね? Office365のバックエンドでは認証 基盤としてAzure ADが動いてた! しかもAD連携可能。すごくない?
Microsoft Excelで、オンラインで同時編集が可能になった。 とはいってもGoogleドキュメントと同じレベルだよね? TeamsのタブでExcelの同時編集 を見た。これだよな、したい事って! Teamsの未来に鳥肌がたった。
Azureで、クラシックポータルの仮想ネットワークと仮想マシンの概念がしっくりこなくて、気 持ちが他に流れる。 新しいAzureポータルとなって 世のUTMやL3スイッチみたいに 簡単に構築できるやんけ!
SQL Serverで、Analysis Servicesが実装されたんでCognos要らないけどマシンパワー が半端ない!と感じた。 清水さんのPower BIのセッションで、 見たことある多次元CUBEが出てき てド肝を抜かれた。
Dynamics 365で、Salesforceとの比較勉強会に出て、一応Outlookメールと連携出 来るだけマシかなぁと感じた。 鶴田さんからノベルティグッズのお返 しにCDSを勉強しなさいと啓示が。 遠くにSAP R/3を感じながら。。。
ワタクシの考えが浅はかでした。 大変ショックを受けたわけです。しかもMSさんの世界制覇の野望に恐れを感じたんです。 ワタクシはこの機能革新のスピードに追いついていけるのだろうか? とっても不安。。。。。
そんなワタクシをJPO365UGやJAZUG、 他のコミュニティや皆さんのブログ、書籍 が育ててくれています。 本当にありがとうございます。 正直なところ、土曜日の午後はツラいけど。。。。
ほんで そもそも「アクセル」という会社は 20年以上前から何をしてたの? ボーッとしてたんちゃう?
1995年頃から流行りの業務コンサルしてました • 今で言う働き方改革ですかね。 • インターネットメールがまだ普及していないころから。 • Lotus Notesを見たときは全て解決できるんちゃう?と感じた。 • 採用面接、社員育成、組織改編、システム開発、環境構築。 • 長年やってきて未解決で且つとても重要なことが1つ。
詰まるところ日本の企業に大事な ある「!」に行き着きました。 それが。。。。
行き先掲示板 縦に人の名前、横に時間軸 のアレ そして、探し回ってやっと見つけた ワタクシ的に最高なプロダクトが、、、
今日は for MICROSOFT のご紹介です
これ!
早速さわってみます。
メイン画面から見る各種機能 実行できるアクションが 表示されます。 メンバーや予定の検索。 日付ピッカー クリックで希望の 日付にジャンプ グループ 指定したグループの 一覧をメインビュー に表示 組織階層も対応 個人用も作 成可能 日程調整 会議開催日時の 相談投票機能 凡例 予定の種別毎に色 の説明 タイムスケール 選択したそれぞれのスケールのビューに切替。 グループビューと個人ビューの切替。 ▼はビュー設定を切り替えて表示出来ます。 会議招集に未応答時 グレー表示されます。 管理者の設定に依存 現在時刻を赤線で表示 日付スライダー 表示期間を表示 直接指定も可能。 閲覧権限が無ければ 予定枠しか見えません。 「Outlook予定表」で 「共有」を設定。 「非公開」オプション が指定された予定は 本人以外はブランクで表 示されます。
機能1 ハイスピード、エンタープライズ対応 • 大人数、長期間 を表示してもサク サク動作します • 大規模ユーザーに お勧め • 時間幅、ユーザー 行サイズは右上の ビュー切り替えにメ ニューがあります
機能2 階層型表示グループを自動生成 • ADの属性を使用して階層型表示グループを自動生成 • もう階層型アドレス帳を流し込む必要はございません • 一般的な属性だ けでなくカスタム属 性の01-15も利用 可能 • ちなみに個人で作 成したグループも共 有可能になります
機能3 スケジュールアシスタント • 今見てる画面が 会議を開催する画 面です • 思い立ったらメン バーを選択して空 き時間表示バーを 確認してマウスをド ラッグするだけ
機能4 アドレス帳代わりの個人プロフィール • 名前をクリックする とプロフィール画面 が表示される • すぐにメール送るこ とも電話を掛ける こともできます • そのユーザーの直近 の予定も表示され ています
機能5 ワンパーソンビュー(個人ビュー) • 一人のユーザーや 会議室のスケ ジュールを俯瞰する のに便利 • 代理アクセスを持 つアカウントについ てはサイドメニュー に並べて瞬時にア クセス
機能6 日程調整機能(Pollarity) • 会議召集前に希 望日時を相談 • 答える側は自分の 予定も確認しなが ら回答出来る • 外部アドレスの人 達へも相談出来 るので、多人数の 商談会にも使える • 夜にも使える
機能7 会議室ドアサイン(オプション) • OnTime OpenAPI を使用したサードパー ティー製品 • LIVENESS Rooms • 入室無しで自動 キャンセルなど
歴史 • 北欧デザインらしくデンマーク製です • なんと20年以上前からLotus Domino版が存在します • 15年目の2012年春にデンマークと日本が出会いました、Google検索で • その頃の世界販売実績は約50万ライセンス • はや6年、日本の皆さまのご要望をドンドン実装してきました • Microsoft版は日本では2年前のちょうど今頃Ver.2.0から展開 • 今では世界で70万ライセンス。うち日本でDomino版が約20万ライセンス • そして日本のMicrosoft版はキー発行ベースで既に6万ライセンス 実働ベースで約2万ライセンス程度が稼働しています
将来を踏まえこの構成からスタートしました • オンプレとOffice365のダブル対応、サーブレットによるサーバー実装 • 将来IBM版とコード共通化のためテナントから独立した構成 Authentication Services Active Directory OnTime Services SQL Server 2016 Synchronisation 各種設定データ カレンダーデータ Administration Exchange ユーザー予定表 Exchange Web Services Apache Tomcat Server OnTime API Admin Client OnTime Desktop クライアント OnTime Mobile クライアント OnTime on Microsoft Outlook OnTime on Microsoft Teams OnTime 日程調整 Option OnTime ケータリング(4Q 2017) OnTime Open API LIVENESS Rooms with OnTime カレンダーアーカイブ with OnTime
さて本日のお題目 Office365的なご要望もいくつかお聞きしており、その中での2大巨頭がこちら
1. マルチテナント・マルチドメイン対応 •違う組織や基盤でも1つの画面で 関係者のスケジュールを確認したい。 2. 別々の認証基盤での認証認可対応 •それぞれの組織が違う認証基盤で SSOを運用して統一できない。 マルチテナント対応はとても困難な課題でした。
隔週開催のワークショップに相談に来られました • 弊社で隔週開催しているワークショップに深刻な趣でお越しになりました • そのお客様は関連会社が多い企業グループさんで、、、 • それぞれの会社さんはオンプレExchangeやG Suite、Postfix、レンタルサー バーなど様々なメールシステムを利用してました • そしてOffice 365へ全グループ企業の統合が確定したのですが • 長期にわたる移行期間の間、社内のスケジュールが分断されてしまう • メールは転送されるから良いとしてもスケジュールの分断は大問題 • 唯一希望を持てるオンプレExchangeを利用の関連企業だったが、、、
なんと親会社以外 Exchange Onlineへ移行するのに ExchangeどころかADのデータも 利用できないことが決定した 通常はAzure AD Connectを使用したり、ハイブリッド構成を組んだりしてスムーズに移 行できますよね。
お悩みなら何とかするしかない 過去20年間もそうだし、 6年前にOnTimeを日本デビューさせてからもずっとそう ご相談いただいたからには出来る限りお力添えしたい
マルチテナント・マルチドメイン対応 • マイクロソフトさんのデザインを越えて統合管理を行える • テナント内で完結していたスキームを破綻しないよう拡張解釈する必要 • 想定されるテナント規模が更に大規模になることを覚悟する • Azure ADとWS ADの両方の属性に対応しないといけない 別ドメインで同じメールアドレスが見つかった場合はどうする? 隣のドメインの予定の閲覧権限はどうする? 表示グループ(階層ディレクトリ)の自動生成機能はそのまま成立する?
なんとか出来ました テナントのアドオンという構成ではないことが活きてきます このときほどコンセプトワークの重要性を思い知ったことはない
これを、、、 • 先ほどの構成図です Authentication Services Active Directory OnTime Services SQL Server 2016 Synchronisation 各種設定データ カレンダーデータ Administration Exchange ユーザー予定表 Exchange Web Services Apache Tomcat Server OnTime API Admin Client OnTime Desktop クライアント OnTime Mobile クライアント OnTime on Microsoft Outlook OnTime on Microsoft Teams OnTime 日程調整 Option OnTime ケータリング(4Q 2017) OnTime Open API LIVENESS Rooms with OnTime カレンダーアーカイブ with OnTime
これをこうしました。 • Domino版でも同じニーズがあり、マルチドメインは実現していた • 想定していたとはいえ、システムが確立した数年後に取り組む予定だった Authentication Services Azure AD Office 365 Azure AD Office 365 Active Directory Exchange OnTime Services SQL Server 2016 Synchronisation 各種設定データ カレンダーデータ Administration Exchange Web Services Apache Tomcat Server OnTime API Admin Client OnTime Desktop クライアント OnTime Mobile クライアント OnTime on Microsoft Outlook OnTime on Microsoft Teams OnTime 日程調整 Option OnTime ケータリング(4Q 2017) OnTime Open API LIVENESS Rooms with OnTime カレンダーアーカイブ with OnTime
管理センターではドメインを複数設定出来ます ドメインタブ • 管理画面もマルチテナント対応の ためあちこちで修正を行いました • ドメイン設定ページはドメインに依 存する情報を一元管理出来るよう に集約 • 左の画面はドメインの新規登録 ページです
ドメイン管理ページには主要な項目が並びます 優先順位 InPersonation情報 EWSの指定 同期対象情報 グループアドレスでも LDAPでも指定可能
二つ目のドメイン登録画面 優先順位 • 購入同期ライセンス数の上限まで 理論上99ドメインまで登録出来る が現実的ではない • 画面は同期メールボックスのUPN が重複した際の優先順位をドメイ ンで指定する • これにより移行先ドメインに順にメー ルボックスを作成する手順が実現 します
しかし認証認可の問題を解決しないといけない • フォーム認証、ADFS認証(SAML)、Web認証(統合Windows認証)等は 当初よりサポート • 認証基盤が1つならここにMFA対応するプランだけでもよかったが、、、、 • 複数のテナントユーザーやADFSユーザー、さらにはオンプレExchange同士 のマルチドメイン接続など、接続する全ドメインをカバーする認証管理を行 えるようにするとなるとシステムが肥大化してしまう
なんとか出来ました。 OnTimeは従来から独自のアクセストークンを発行してユーザーとアプリを識別している あとは初回のトークンを発行するプロセスで何を持って認可するかだった
ワンタイム認証用リンクをメールで送ろう • スケジュールをOnTimeで使用するユーザーは必ず受信ボックスを持っている • その受信ボックスを開けれる人は本人か代理権限も持つ人だけ • その受信ボックスに初回トークンのワンタイム認証用リンクを送ろう • そのリンクをクリックすることで初回接続用トークンをデバイスに保管する • 以後は接続する度に毎回有効期限付きのトークンを上書きし続けるので 本人以外接続を横取りはされない • これでユーザーアクセス制御はOnTimeでコントロールしよう • デバイスアクセス制御はHDEさんやMS謹製にお任せしましょう
OnTimeがサポートする認証の種類 1. フォーム認証 • 従来からのフォーム画面上でログイン名とパスワードを 入力します 2. WEB認証 (HTTP/HTTPS) • Active Directory等にログインしたデバイスからのブラ ウザ接続によるSSO 3. Active Directory Federation Servicesによる組織 認証 (HTTPSのみ) • Active Directory Federation Servicesの組織認 証へリダイレクトによって認証するSSO 4. メールによるワンタイム認証 (HTTP/HTTPS) • 指定したメールアドレスに認証用URLを送りURLにア クセス頂く事で認証しTokenを付与する認証方式
では実際に触って頂きましょう • 今回は30個のアカウントを準備しました。 と考えましたが皆さんに沢山触っていただく時間を取 りたかったのでトークン発行は画像で見ていただきます 皆さんにはフォーム認証で触って頂きます
ワンタイム認証リンクメール1 メール送信 • そのデバイスから 始めて接続した 時に、ワンタイム 認証用リンクを 送信するメールア ドレスを入力しま す。 • 画面はリロード用 にそのまま
ワンタイム認証リンクメール2 受信メール確認 • Outlookにログイ ンします • 受信した本人認 証確認メールを 開きます
ワンタイム認証リンクメール3 リンクをクリック • 本文にあるリンク をクリックして OnTimeサーバー からTokenを受け 取ります • このリンクは一度 クリックすると無 効となります
ワンタイム認証リンクメール4 OnTimeを開く • 先ほどの画面に 戻ってリロードする か、新たに OnTimeサーバー に接続すると OnTimeクライア ントが開きます。 • ちなみに表示グ ループはタイトル 部分をクリック
では実際に触って頂きましょう • 今回は30個のアカウントを準備しました。 と考えていますが、 あと2ページだけモバイル画面のご説明させて下さい
モバイル機能1 会議の開催 • ユーザーの写真を 1名長押しすると 選択モードに切り 替わるので残りも 軽く押して選択 • 右上の数字がつ いた+を押すと 会議開催 • 空き時間検索も 可能
モバイル機能2 プロファイルと予定の詳細 • ユーザーの写真を クリックするとプロ ファイル画面にな ります • スワイプするとスケ ジュール画面に切 り替わります • 予定をタップする とリスト表示が開 きます
では実際に触って頂きましょう • 今回は30個のアカウントを準備しました。 今度はホント。お待たせ致しました!
どうぞご自由にお触りください • パソコン(OnTime Desktop クライアント) • https://ontime.ontimedemo.com/ontimegcms/desktop • モバイル(OnTime Mobile クライアント) • https://ontime.ontimedemo.com/ontimegcms/mobile • ユーザー名 • 01@ontimedemo.com : : 30@ontimedemo.com • パスワード • 全て Ontime28 • 28@ontimedemo.comだけ Ontime82 • 代理アクセス権はランダムに作りました
今後の予定(来週から半年ぐらいのあいだ) • • • • • • • • • ふりがなソート グループのカスタム属性 グループのドメイン別作成 個人作成グループの共有 Teams対応 ロール(Roles)機能 会議の了承辞退 印刷機能 ハイブリッドの進化形 並び順をフリガナかカスタム属性1を使用出来る 動的作成パラメータにカスタム属性が使える 動的設定を特定のドメインに絞って生成出来る 個人で作成した表示グループをシェア出来る TeamsにタブとしてOnTime利用出来る ドメインをまたいで権限を付与することが出来る OnTimeの中で招集一覧で了承辞退が出来る メンバーと期間を指定してPDFを生成出来る ExchangeとDominoのマルチインフラ対応
Domino / Exchange のハイブリッドサポート
Text list views