Sun Java™ System Identity Manager 7.1 管理ガイド |
第 1 章
Identity Manager の概要Sun JavaTM System Identity Manager システムを使用すると、アカウントおよびリソースへのアクセスをセキュアかつ効率的に管理し、監査することができます。Identity Manager は、定期的な日常のユーザープロビジョニングタスクおよび監査タスクを迅速に処理する機能とツールをユーザーに提供することで、内部および外部顧客に対して格別なサービスを容易に実行できるようにします。
この章では、概要について説明します。以下のトピックで構成されています。
全体像今日のビジネスでは、IT サービスの柔軟性と機能性のさらなる向上がリクエストされます。これまで、ビジネス情報およびシステムへのアクセス管理には、限られた数のアカウントとの直接的な対話しか必要ありませんでした。ところが、アクセス管理は次第に、増大する内部顧客の処理のみならず、企業外のパートナーや顧客の処理も意味するようになってきました。
このようなアクセスニーズの増大によって生ずるオーバーヘッドは、膨大なものになる可能性があります。管理者は、ユーザー (企業内外の) が効果的かつセキュアに自分の任務を果たせるようにしなければなりません。さらに、最初のアクセスのあとには、パスワードの忘失、ロールやビジネス上の関係の変更、といった詳細な問題に次々に直面します。
さらに、今日のビジネスは重要なビジネス情報のセキュリティーと完全性を管理する厳しいリクエストに直面しています。米国企業改革 (SOX) 法、HIPAA 法 (医療保険の携行性と責任に関する法律)、GLB 法 (グラムリーチブライリー法) などコンプライアンスに関連する法律の影響を受ける環境では、活動の監視とレポートによって生み出されるオーバーヘッドは、膨大でコストがかかります。ビジネスの安全を確保するために、データ収集とレポートの要件を満たしながら、アクセス管理の変化にすばやく対応できるようにしておく必要があります。
Identity Manager は、動的な環境におけるこのような管理上の課題を解決する際に特に役立つように開発されました。Identity Manager を使用して、アクセス管理のオーバーヘッドを分散させ、コンプライアンスの負荷に対処することにより、アクセスをどのように定義するか、定義したあとに柔軟性と管理をどのようにして維持するか、という主要な課題が解決しやすくなります。
セキュアでありながら柔軟な設計の Identity Manager は、企業の構造に適応し、これらの課題に対処するようにセットアップできます。Identity Manager オブジェクトを管理対象のエンティティー (ユーザーおよびリソース) にマップすることにより、操作の効率は飛躍的に向上します。
サービスプロバイダ環境で、Identity Manager はこれらの機能をエクストラネットユーザーも管理するように拡張しました。
Identity Manager システムの目的
Identity Manager ソリューションでは次の目的を達成することができます。
- 多種多様なシステムおよびリソースに対するアカウントアクセスを管理する。
- 各ユーザーのアカウント配列に対する動的なアカウント情報をセキュアに管理する。
- ユーザーアカウントデータの作成および管理に対する委任された権限をセットアップする。
- 多数の企業リソースと、ますます増大するエクストラネット顧客およびパートナーを処理する。
- 企業情報システムへのユーザーアクセスをセキュアに承認する。Identity Manager では、組織内外でのアクセス特権の許可、管理、および失効の機能が完全に統合される。
- データを保持することなくデータの同期を維持する。Identity Manager ソリューションは、優れたシステム管理ツールで監視する必要のある 2 つの主要な原則をサポートする。
- ユーザーアクセス特権のコンプライアンスを管理し、自動是正措置と電子メール警告で違反を管理する監査ポリシーを定義する。
- 定期的アクセスレビューを行い、ユーザー特権を保証するプロセスを自動化するアテステーションレビューと承認手順を定義する。
- 主要な情報を監視し、ダッシュボードを使用して統計を監査し、レビューする。
ユーザーアクセスの定義
拡張された企業内のユーザーとは、企業と関係を持つすべてのユーザーのことです。たとえば、従業員、顧客、パートナー、サプライヤ、買収者などです。Identity Manager システムでは、ユーザーはユーザーアカウントによって表されます。
ビジネスおよびほかのエンティティーとの関係に応じて、ユーザーは、コンピュータシステム、データベースに保存されたデータ、または特定のコンピュータアプリケーションなど、さまざまなものにアクセスする必要があります。Identity Manager では、これらをリソースと呼びます。
ユーザーは、アクセスするリソースごとに 1 つ以上の ID を持っていることが多くあるため、Identity Manager は、異種のリソースにマップされる単一の仮想 ID を作成します。これにより、ユーザーを単一のエンティティーとして管理できるようになります。図 1-1 を参照してください。
図 1-1 Identity Managerユーザーアカウント | リソースの関係
多数のユーザーを効果的に管理するには、ユーザーをグループ化する論理的な方法が必要です。ほとんどの企業では、ユーザーは職務上の部署または地域的な部門にグループ化されています。通常、このような部署はそれぞれ、異なるリソースにアクセスする必要があります。Identity Manager では、このようなタイプのグループを組織と呼びます。
ユーザーをグループ化するもう 1 つの方法は、企業での関係または任務機能などの類似した特性でグループ化することです。Identity Manager ではこのようなグループ化をロールと呼びます。
Identity Manager システムでは、ユーザーアカウントにロールを割り当てて、リソースへのアクセスを効率的に有効化または無効化します。組織にアカウントを割り当てることにより、管理の役割の委任を効率的に行うことができます。
ポリシーを適用することによって、Identity Manager ユーザーを直接または間接的に管理することもできます。ポリシーは、規則およびパスワードと、ユーザー認証オプションをセットアップします。
ユーザータイプ
Identity Manager には、Identity Manager ユーザーと、Identity Manager システムをサービスプロバイダ実装用に設定する場合のサービスプロバイダユーザーという 2 つのユーザータイプが用意されています。これらのタイプを使用すると、ユーザーと企業との関係に基づきプロビジョニング要件が異なる可能性のあるユーザーを区別できます (たとえば、エクストラネットユーザーとイントラネットユーザーを区別)。
サービスプロバイダ実装の一般的なシナリオは、サービスプロバイダ企業が内部ユーザーと外部ユーザー (顧客) を Identity Manager で管理するケースです。サービスプロバイダを実装するための設定の詳細については、『Identity Manager SPE Deployment』を参照してください。
ユーザーアカウントを設定する場合は、Identity Manager ユーザータイプを指定します。サービスプロバイダユーザーの詳細については、第 13 章「サービスプロバイダの管理」を参照してください。
管理の委任
ユーザーアイデンティティーマネージメントの役割の分散を成功させるには、柔軟性と管理の適切なバランスを取る必要があります。選択した Identity Manager ユーザーに管理者特権を与えて管理タスクを委任することにより、管理者のオーバーヘッドが軽減します。さらに、人事部長など、ユーザーニーズを熟知したユーザーにアイデンティティー管理の役割を与えることにより、効率が向上します。このような拡張特権を持つユーザーを、Identity Manager 管理者と呼びます。
ただし、委任はセキュアなモデル内でのみ有効です。適切な管理レベルを維持するために、Identity Manager は管理者に異なるレベルの機能を割り当てることができます。機能は、システム内でのさまざまなレベルのアクセスおよび操作を承認します。
また、Identity Manager ワークフローモデルにも、特定の操作に承認が必要かどうかを確認する方法が含まれています。Identity Manager 管理者は、ワークフローを使用してタスクの管理権限を保有し、その進行状況を追跡できます。ワークフローの詳細については、『Identity Manager ワークフロー、フォーム、およびビュー』を参照してください。
Identity Manager オブジェクトIdentity Manager オブジェクトとその操作の方法を明確に理解することは、システムの管理と導入を成功させるために不可欠です。オブジェクトには次のものがあります。
ユーザーアカウント
Identity Manager ユーザーアカウント
ユーザーアカウントのセットアッププロセスは動的です。アカウントのセットアップで選択したロールに応じて、アカウントを作成するためのリソース固有の情報が増減する可能性があります。割り当てられたロールに関連付けられたリソースの数とタイプによって、アカウント作成時に必要な情報が決まります。
ユーザーに管理特権を与えて、ユーザーアカウント、リソース、およびほかの Identity Manager システムオブジェクトとタスクを管理できます。Identity Manager 管理者は組織を管理し、管理対象の各組織内のオブジェクトに適用する一連の機能を割り当てられます。
ロール
ロールは Identity Manager ユーザータイプを表す Identity Manager オブジェクトであり、リソースのグループ化とユーザーへの割り当てを許可します。通常、ロールはユーザーの任務機能を表します。たとえば金融機関では、ロールは出納係、融資担当者、支店長、窓口担当、経理担当者、管理補佐などに対応します。
ロールは、ユーザーに対するリソースおよびリソース属性の基本的なセットを定義します。また、ほかのロールとの関係、たとえばほかのロールを含むか除外するかなども定義できます。
同じロールを持つユーザーは、リソースに共通のベースグループへのアクセスを共有します。各ユーザーに 1 つ以上のロールを割り当てることも、ロールを割り当てないこともできます。
図 1-2 に示すように、ユーザー 1 とユーザー 2 は、ロール 2 の割り当てによって同じリソースセットへのアクセスを共有しています。ただし、ユーザー 1 はロール 1 の割り当てによってほかのリソースにもアクセスできます。
図 1-2 ユーザーアカウント、ロール、リソースの関係
リソースとリソースグループ
Identity Manager リソースには、アカウントが作成されるリソースまたはシステムへの接続方法についての情報が格納されています。Identity Manager がアクセスを提供するリソースは、次のとおりです。
各 Identity Manager リソースに格納されている情報は、次の主要なグループに分類されます。
Identity Manager ユーザーアカウントは、図 1-3 に示すように次の割り当てによってリソースにアクセスできます。
関連する Identity Manager オブジェクトであるリソースグループを、リソースの割り当てと同じ方法でユーザーアカウントに割り当てることができます。リソースグループは、リソースを相互に関連付けて、アカウントを特定の順序でリソース上に作成できるようにします。また、複数のリソースのユーザーアカウントへの割り当てプロセスを簡素化します。リソースグループの詳細については、「リソースグループ」を参照してください。
組織と仮想組織
組織とは、管理の委任を可能にするために使用される Identity Manager コンテナです。組織は、Identity Manager 管理者が管理するエンティティーの範囲を定義します。
また、組織は、ディレクトリベースのリソースへの直接のリンクも表します。これらは仮想組織と呼ばれます。仮想組織を使用すると、情報を Identity Manager リポジトリに読み込まずに、リソースデータを直接管理できます。Identity Manager では、仮想組織を使用して既存のディレクトリ構造とメンバーシップをミラー化することにより、セットアップタスクの重複と時間の浪費をなくします。
ほかの組織を含む組織は、親組織です。組織はフラットな構造に作成することも、階層構造として作成することもできます。階層構造は、ユーザーアカウントを管理するための部署、地域、またはその他の論理的な部門を表します。
ディレクトリジャンクション
ディレクトリジャンクションは、階層的に関係する組織のセットであり、ディレクトリリソースの実際の階層構造コンテナのセットをミラー化したものです。ディレクトリリソースは、階層構造コンテナを使用して、階層構造の名前空間を使用するリソースです。ディレクトリリソースの例には、LDAP サーバーおよび Windows Active Directory リソースがあります。
ディレクトリジャンクション内の各組織は、仮想組織です。ディレクトリジャンクションの最上位の仮想組織は、リソース内に定義されたベースコンテキストを表すコンテナをミラー化したものです。ディレクトリジャンクション内の残りの仮想組織は、最上位の仮想組織の直接または間接的な子であり、定義済みリソースのベースコンテキストコンテナの子であるディレクトリリソースコンテナのいずれかをミラー化しています。
Identity Manager ユーザーを、組織と同様の方法で仮想組織のメンバーにして、仮想組織から使用可能にすることができます。
機能
機能、つまり権限のグループが割り当てられたユーザーは、Identity Manager の管理操作を実行できるようになります。機能によって、管理ユーザーはシステム内で特定のタスクを実行したり、さまざまな Identity Manager オブジェクトを操作したりすることができます。
通常、機能は、パスワードのリセットまたはアカウントの承認など、特定のジョブの役割に従って割り当てられます。個別のユーザーに機能と権限を割り当てることにより、管理の階層構造が作成され、データの保護をおびやかすことなく、対象を絞ったアクセスと特権を提供することができます。
Identity Manager では、一般的な管理機能用のデフォルト機能のセットを提供しています。また、特定のニーズを満たす機能を作成して割り当てることもできます。
管理者ロール
管理者ロールを使用すると、管理ユーザーが管理している組織を組み合わせて、その組み合わせごとに一意の機能セットを定義できます。管理者ロールに機能および管理する組織を割り当ててから、その管理者ロールを管理ユーザーに割り当てることができます。
機能および管理する組織は、管理者ロールに直接割り当てることができます。また、管理ユーザーが Identity Manager にログインしたときに、間接的 (動的) に割り当てることもできます。Identity Manager 規則によって、動的に権限が割り当てられます。
ポリシー
アカウント ID、ログイン、およびパスワードの特性に関する制約をポリシーとして設定することによって、Identity Manager ユーザーに関する制限事項を設定します。アイデンティティーシステム アカウントポリシーは、ユーザー、パスワード、および認証ポリシーのオプションと制約を設定します。リソースパスワードとアカウント ID ポリシーは、長さ規則、文字タイプ規則、許容される単語や属性値を設定します。辞書ポリシーを使用すると、Identity Auditor は単語データベースと照合してパスワードをチェックすることができ、簡単な語句を使った辞書攻撃から保護することができます。
監査ポリシー
ほかのシステムポリシーとは異なり、監査ポリシーは特定のリソースのユーザーグループのポリシー違反を定義します。監査ポリシーは、1 つまたは複数の規則を設定し、これによってユーザーのコンプライアンス違反を評価します。これらの規則は、リソースによって定義された 1 つまたは複数の属性に基づく条件によって決まります。システムがユーザーをスキャンする場合、そのユーザーに割り当てられた監査ポリシーで定義された条件を使用し、コンプライアンス違反が発生しているかどうかを判断します。
オブジェクトの関係
以下の表は、Identity Manager オブジェクトおよびオブジェクト間の関係を示しています。