統合アイデンティティ管理
ユーザー・セルフサービス
ユーザーがID関連の問題を自己解決する機能として、ユーザー自らがWebブラウザ画面から簡単に操作できるセルフサービス・システムを提供します。これにより、ヘルプデスクへの問い合わせ件数で上位に位置づけられる「ユーザーのパスワード忘れや失効」に対応できます。
- パスワード・リセット
- ユーザーは、本人を証明するための確認プロセスを経て、新しいパスワードを自動的に入手できます。
- アクセス・リクエスト
- ユーザーは、Webインタフェースまたは独自のポータル・サイト経由で、新規IDをリクエストできます。ワークフローとの連携により、承認までを実現できます。
- セルフ・アドミニストレーション
- ユーザー自身の操作によって、パスワードや各種プロファイル情報を含むユーザー情報を管理できます。
インテグレーション
統合アイデンティティ管理システムは、管理対象システムへの多様なインテグレーション手段(システム連携手段)を提供します。これにより、短期間でのシステム導入と柔軟な実装を実現します。インテグレーションにより、複数のシステムのIDを統合管理することができます。
各システムとの連携は、エージェントやコネクタと呼ばれるモジュールによって行われます。
- プロビジョニング・コネクタ
- メインフレームからWebアプリケーションに至るまで、各種のシステムと連携するためのコネクタが、幅広く標準で提供されます。
- コネクタ作成ツール
- LDAPやRDBMS、自社開発アプリケーションなどと接続するコネクタを開発するためのSDKが提供されます。製品によっては、ウィザード方式のGUIに従って接続/マッピングの設定をすることで、プログラミング・レスでコネクタを作成できるようになっています。
- オープン・インタフェース
- Webサービスによる連携のほか、SPML(Service Provisioning Markup Language)への準拠により、ID管理業務とほかのITシステムと連携する機能が提供されます。
インテグレーション(システム連携)も、製品によって提供する機能範囲が異なります。
監査とレポーティング
IDに関連する各種リスクの可視化と、組織におけるコンプライアンスへの取り組みを支援するために、監査およびレポーティングの機能が提供されます。レポートの形式は、製品によって異なります。また、出力するレポート情報も、以下のように、さまざまなレベルがあります。
- レポートとして提供する製品
- レポーティング用の情報のみを提供する製品
- 単純にログを出力するだけだが監査対応をうたう製品
レポーティングや監査の機能には、以下のようなものがあります。
- 各種イベントの監査
- 監査機能により、監査に必要とされるID管理作業のトレースを行うことが可能です。これにより、誰がどのID管理タスクを実行したのか、といった調査を支援します。
- 権限ベースのレポート
- ユーザーの権限一覧をレポーティングすることによって、誰がどのID管理タスクを行えるかを確認できます。これにより、必要に応じて是正措置をとることが可能です。
導入時の製品選定ポイント
製品カタログを見ただけでは、どの製品もできることは一緒に見えてしまうのが実情です。では、統合アイデンティティ管理製品を選択する際にチェックするポイントとしては、どのようなものがあるでしょうか。
- 求めている管理が実現できるか
- カタログ・レベルでは、どの製品であっても、ロールやタスクの管理ができそうです。しかし、複雑な管理まで可能などうかは、製品によって差が出ます。自社の現在の運用に求められる管理が可能かどうかを、きちんとヒアリングすることを勧めます。
- 製品価格
-
- ポイント機能を提供しているアイデンティティ管理製品と、統合アイデンティティ管理を実現できる製品では、製品価格が大きく異なっています。
- 今回紹介した個々の機能がオプション扱いとなり、追加ライセンスを払わなければならない製品も存在します。一方で、すべてを最初から含んでいる製品も存在します。
- 導入コスト
- 管理したいシステム、アプリケーションとの連携にかかるコストが、大きく異なってきます。
- もともと多くのシステムやアプリケーションに対してコネクタを提供している場合、開発コストは少なく済みます。
- インテグレーション用のコネクタを、どう作成するのかによって、コストは変わります。作成しなければならないコネクタの数にも、もちろん依存します。
- 1からプログラミング
- SDK利用して開発
- ウィザード方式のGUIに従って接続/マッピングを設定
統合アイデンティティ管理製品におけるアクセス管理
統合アイデンティティ管理製品は「アクセス管理を実現します」とうたっています。多くの場合、このアクセス管理には「アクセス制御」は含まれません。一般的な統合アイデンティティ管理製品が実施するアクセス管理は、"アクセス権の付与"になります。
統合アイデンティティ管理製品は、プロビジョニングの工程で、ユーザーIDをターゲット・システム上に生成します。その後、そのユーザーIDを付与された個人がシステムにログインする際には、統合アイデンティティ管理システムを関与することはありません。エンドユーザーによる日々の業務においては、統合アイデンティティ管理システムに接続することはないのです。
情報システムへのアクセスを許可したり制御したりする仕組みは、統合アイデンティティ管理製品の管理範囲外です。取得されるログも、実際のアクセス・ログではないことを念頭に置く必要があります。