統合アイデンティティ管理

統合アイデンティティ管理製品が提供する主な機能

ユーザーの集中管理

アプリケーションやシステムごとに別々に存在するID情報を、一元的に管理します。管理する方法は様々ですが、基本的な考え方は、統合アイデンティティ管理システムでユーザー・ストアを1つ持ち、ユーザー情報を管理します。

ユーザー・ストアは、製品によって新たに作成しなければならない場合もあれば、既存のディレクトリ・ソフトを活用できる場合もあります。ユーザー集中管理機能をコアにして、これから紹介するほかの機能も稼働します。

ユーザー・ストアへのインプットは、人事システム、メール・システム、ネットワーク・ログインID、個別管理など、企業がそれぞれ「正しいユーザー情報である」としているシステムを情報ソースとして検討し、運用しています。

ポリシーの集中管理

管理者は、権限の分掌、ID情報の同期、パスワード・ポリシーの設定などを集中管理することができます。

管理権限の委譲に基づくアクション

組織内外を問わず、適切なユーザーやグループに対して、ユーザー管理のタスクを委譲することが可能です。

Webサービスと連携

Webサービスとの連携をすることで、連携の幅が広がります。

不正アカウントの検知およびコントロール

管理対象システムと連携することで、正規のプロセスに則ることなく不正に追加、変更、削除が行われたアカウントを検知し、正規のセキュリティ・ポリシーに則った是正処置が可能です。

Bulk Loader

組織変更などにおける多数のユーザーに対する操作を、1つのファイルを取り込むことによって自動的に実行することが可能です。

スケジューリング機能

プロビジョニングやレポーティング、ユーザー管理タスクなどの実行を自動化することができます。

これらの機能提供は、製品によって異なりますが、ユーザー情報を一元的に管理していることだけは共通しています。

プロビジョニング

簡単に言うと、ユーザー・アカウントの作成、変更、削除を自動的に行う機能です（削除をデプロビジョニングと呼ぶ場合もあります）。以下の情報の更新をトリガーにして、自動的なプロビジョニング作業が行われます。

• ユーザーと組織の関係（社員、契約者、顧客、またはパートナー企業）
• 役割（ロール）と職責

システムにユーザー情報が登録・変更・削除された際に、その内容に基づき、必要な対象システム、アプリケーションのID情報が自動的に更新されます。

例えば、ある人が新規に入社した場合、「社員」、「営業部所属」、「課長」という情報を、統合アイデンティティ管理システムに登録し、その情報を元に、必要なシステム上に自動的にIDを作成します。

「社員」なので、イントラネット・ネットワークにアクセスするためのユーザーID、メール・システムのID、人事システム、費用清算システムへのID等が割り振られます。

また「営業部所属」という情報により、顧客管理システムや営業部ポータルなどへのアクセス用IDも付与されます。

そして「課長」という情報により、費用清算システムにおける承認権限の付与、営業部ポータルでのある一部のマネージャ向けアプリケーションへのアクセス権限の付与なども自動的に行われます。

こうして、入社した人がすぐに業務を始められる環境を提供します。図2は、「情報システム部所属」の場合の例です。

このように、企業内における個人の役割変更やタスクの変更をトリガーにして自動的に行われる作業がプロビジョニングです。「プロビジョニング＝統合アイデンティティ管理」という見方も、製品のカテゴライズの中にはある模様です。

プロビジョニングによって、各システムへのアクセスに必要となるユーザーIDの作成／各種権限の付与業務を、より迅速に一貫性のある方式で実現できます。各個人の生産性が向上するだけでなく、組織のセキュリティ・レベルの維持と効率化も同時に実現できます。

ワークフロー

アイデンティティ情報は、企業のリソースを使用する際のコントロールに使われる、重要な情報です。このため、簡単に変更するべきではありません。コンプライアンス対応という側面も持つ「統合アイデンティティ管理」では、ワークフローが1つの重要な要素になっています。ワークフロー機能により、情報の更新時に必要な承認を得ることが可能になり、さらにその一連のプロセスを監査ログとして保持することができます。

ワークフローにより、以下のように、組織ごとに異なるルールに対応することも可能です。

• 承認プロセスの実施
  （新規入社、異動、プロジェクト参加などに応じたアクセス権限の追加）
• 例外処理発生時の自動通知
  （不正なID登録の発生時や、職務分離を実現できない登録情報の発生時など）