Sun ONE Identity Server 配備ガイド |
第 1 章
はじめにSunTM ONE Identity Server は、Web ベースのサービスや Web ベース以外のアプリケーションを利用する顧客、従業員、およびパートナーのデジタルアイデンティティに対し、組織による管理プロセスのインフラストラクチャを提供します。これらのリソースは、内部および外部の広範なコンピューティングネットワーク上で分散される可能性があるため、アクセスを管理する属性、ポリシー、および制御が定義されます。この章では、Identity Server を導入する際の基本的な方針について説明します。次の節で構成されています。
アイデンティティ管理とは現在、各企業では、日々の作業の管理を容易にするため、高度な情報技術のインフラストラクチャを維持しています。このインフラストラクチャの不可欠な要素には、次のようなものがあります。
これらの各要素は個別に配備されるため、システムごとにユーザーを追跡して、実行可能および実行不可能な操作を制御します。通常、この追跡処理には、個人のプロファイル、認証情報、およびアクセス制御などのアイデンティティデータの管理が含まれます。アイデンティティ管理を利用することで、この複製データ (矛盾していることが多い) の管理が簡単になります。
アイデンティティ管理インフラストラクチャ
アイデンティティ管理システムの目的は、企業全体を対象として、単一のインフラストラクチャによるすべてのユーザーの管理を実現することです。単一のアイデンティティ管理システムを使用することで、繰り返しを避けて一貫性を維持することができるため、ユーザープロファイルの管理が簡単になります。さらに単一のシステムにより、アイデンティティ管理プロセスの合理化、簡略化、および自動化が可能になります。以下に、アイデンティティ管理システムの構成要素を示します。
- アイデンティティ管理の提供するインフラストラクチャは、アイデンティティおよび対応する属性、証明情報、資格の作成および管理をサポートします。この機能には、以下が含まれます。
- セキュリティーサービスを使用することで、ユーザーのアイデンティティがネットワーク上で一貫したものになります。この機能には、以下が含まれます。
- アクセス制御は、ユーザーの資格 (さまざまなリソースをどのようにまたいつ使用できるか) を定義します。多くの場合、これらの制御によりユーザーの組織内でのロールが指定されます。集中化されたポリシーおよびロールを作成して適用することにより、組織は顧客、従業員、およびパートナーの責任を委譲できます。
- 連携サービスは、独立した情報システム間の認証および承認を提供します。
- 企業の LDAP ディレクトリは、すべてのアイデンティティ情報およびアイデンティティ管理システム自体の設定情報の信頼できるデータストアとして動作します。
これらの構成要素の詳細については、図 1-1 を参照してください。
図 1-1 アイデンティティ管理ソリューションの構成要素
アイデンティティプロファイルのライフサイクル
一般的なアイデンティティプロファイルのライフサイクルについて考慮すると、アイデンティティ管理を行う際の課題を概観できます。組織内のアイデンティティには、次の 3 つの段階が存在します。
Sun ONE Identity ServerSun ONE Identity Server は、統合化された標準ベースのミドルウェアのパッケージです。Identity Server の提供する Web サービスにより、アクセス管理、連携、およびアイデンティティ管理がサポートされます。これにより、Identity Server が総合的なアイデンティティ管理ソリューションになり、ユーザープロファイルの作成および管理機能が、セキュリティプロセス、アクセス管理ツール、およびデータ格納用ディレクトリに統合されます。これらの機能を使用すると、リソースおよび情報が保護された総合的なシステムを組織に配備すると共に、Web ベースのアプリケーションをセキュリティ保護された方法で配信できます。
アクセス管理
アクセス管理は、独自およびアプリケーション固有の認証および承認方法に代わる、共通の認証および承認インフラストラクチャを提供します。組織は、集中化された管理位置から、複数のサービスに対してポリシーベースのアクセス制御を行えます。Identity Server 内の複数のアクセス管理サービスが総体として、次の機能を提供します。
シングルサインオン (SSO)
シングルサインオン機能は、一度のユーザー認証で、複数のリソースへのアクセスを可能にします。Identity Server は、Web ベースのアプリケーションで SSO をサポートします。また、Web ベース以外のアプリケーションに SSO 機能を統合するためのプログラミング用インタフェースも提供します。
プラグイン可能な認証
JAAS (JavaTM Authentication and Authorization Services) ベースの認証フレームワークは、LDAP、RADIUS (Remote Authentication Dial-In User Service)、X.509 デジタル証明書、SecureID、SafeWord、UNIX (PAM ベース)、Windows NT、HTTP 基本認証、匿名、および自己登録を含む、さまざまなプラグイン可能認証モジュールをサポートします。このフレームワークを利用することで、提供される認証サービスプロバイダインタフェース (SPI) を使用して、カスタム認証モジュールも開発できます。認証を設定することで、同一システム内の多様な組織、ロール、またはユーザーのニーズを同時にサポートしたり、複数の要因が連鎖した設定をサポートしたりできます。マルチレベルの認証を使用すると、データやサービスの特性に基づいて求められるさまざまな認証レベルにリソースを割り当てることができます。認証サービスには、Web ベース、Java、C、および XML インタフェースからアクセスできます。
ポリシーの評価
ポリシーサービスを使用すると、さまざまなロールやグループ化メカニズムにマッピング可能なアクセス管理ルールを集中的に設定および評価できます。IP アドレス、日付と時刻、カスタム条件などのポリシー制約は、実行時にポリシーに適用して評価できます。
連携管理
インターネットは、ビジネス、コミュニティ、および個人のやり取りのための主要な手段に急速になりつつあるため、ユーザーがさまざまなアカウントアイデンティティを集約させるシステムを構築し、単一のネットワークアイデンティティを使用できるようにする必要が生じてきました。このシステムをアイデンティティ連携といいます。アイデンティティ連携を使用すると、複数のインターネットサービスプロバイダのローカルアイデンティティを関連付けたり、連結したり、またはバインドしたりすることができます。ネットワークアイデンティティを使用すると、あるサービスプロバイダのサイトにログインすれば、アイデンティティを再認証または再確立しなくても提携先のサイトに移動できます。Identity Server は、Liberty 1.1 および SAML 1.0 の完全な実装を提供します。これには、完全なプロファイル実装および、カスタム統合化に対応した SDK サポートが含まれます。Liberty アイデンティティおよびサービスプロバイダの複数ホスティングが提供されます。
Liberty Alliance Project
連携管理は、認証ドメインおよびプロバイダに関するメタデータを表示、管理、および設定する方法を備えています。アイデンティティ連携を実現するために策定された Liberty Alliance Project は、20 億を超える顧客と広範な業種から参加した 138 のメンバー企業により構成されています。その使命は、消費者とビジネスユーザーのシングルサインオンを可能にする、連携されたネットワークアイデンティティソリューションを提供およびサポートすることにより、断片化するアイデンティティの問題を解決することです。このため、Liberty ベースのアプリケーションは、ユーザーアカウントを別の Liberty 対応アプリケーションのユーザーアカウントと連携 (リンク) させて、2 つのアプリケーション間のシングルサインオンを実現できます。Identity Server は、Liberty Alliance Project の仕様を実装しています。
SAML (Security Assertion Markup Language)
SAML は、ビジネス間インフラストラクチャの主要な成功要因です。アプリケーションは、Identity Server に統合された SAML API を使用して、セキュリティ情報を交換し、信頼される他のアプリケーションとのビジネス取引を実行できます。エンドユーザーは、Web ブラウザを使用して Identity Server への認証を行い、サイト内転送 URL 経由で信頼できるサイトの外部 URL にシームレスにアクセスできます。開発者は、アプリケーション内で SAML API を使用し、信頼できる外部アプリケーション間で認証、承認、および属性情報を交換できます。
アイデンティティ管理
アイデンティティ管理は、ユーザー提供、ポリシー設定、サービス管理を可能にする拡張可能なブラウザベースのインタフェースを提供します。Identity Server コンソールを使用すると、単一のインタフェースからアイデンティティ管理を集中的に実行できます。また、ローカルグループマネージャ、外部パートナー、さらにエンドユーザーにまでも管理を委任できます。
ユーザープロファイル管理
簡潔にまとめると、ユーザープロファイル管理では、アイデンティティプロファイルの作成と削除を行います。ただし、これには、プロファイルの管理を事情に通じた管理者に委任することや、セルフサービスコンポーネント (ユーザーはこれを使ってサービスやアプリケーションを利用できる) を提供すること、新規ユーザーアカウントを作成してそのプロファイルを管理すること (パスワードの変更、自宅住所の更新など) が含まれます。
ポリシー設定
ポリシー設定は、アクセス承認時に評価されるルールの定義です。委任を実行すると、最上位レベルの管理者がポリシーの設定および管理を組織のあらゆるレベルの個人に分散できます。これにより、ポリシーの設定および管理を、リソースに対する権限を保持するユーザーに確実に託すことができます。
サービス管理
サービス管理を使用すると、Web サービスおよび対応する属性を設定、登録、および管理できます。Identity Server では、独自の管理に使用するサービス用インタフェースも提供されます。
監査
管理者は、高度な設定が可能なログ機能を使用して、ユーザーのアクティビティ、トラフィックパターン、認証および承認違反に関する詳細なレポートを作成できます。これらの機能を使用して、リソースアクセスに対するセキュリティレベルの監査も実行できます。MAC (Message Authentication Code) およびデジタル署名ベースのログセキュリティは、ログまたは監査記録に対するいかなる改ざんも検出します。デバッグ機能も有効にできます。
ポリシーエージェント
Identity Server 内のアクセス制御は、ポリシーエージェントを使用して行われます。ポリシーエージェントは、指定された Web サーバー、アプリケーションサーバー、およびプロキシサーバーを不正な侵入から保護します。Identity Server では、Web およびプロキシサーバーを URL レベルで保護するポリシーエージェント、および Java テクノロジに対応したアプリケーションサーバーへのアクセスを行う JavaTM 2 Platform, Enterprise Edition (J2EE) ポリシーエージェントがサポートされます。
Identity Server コンソール
Identity Server コンソールは、Identity Server の配備全体で設定された、アイデンティティ、サービス、およびポリシーの作成、管理、および監視用のブラウザベースインフラストラクチャです。これは、機能的な Web アプリケーションを作成する開発者を支援する J2EE フレームワークである、Sun ONE Application Framework を使用して構築されます。HTML ページの外観を定義するために、XML ファイル、JSP (JavaServer PagesTM)、CSS (Cascading Style Sheets) が使用されます。
プログラミング用インタフェース
非グラフィカルインタフェースには、Identity Server の拡張およびカスタマイズに使用される API、SPI、およびコマンド行ツールが含まれます。このインタフェースを使用すると、その他のアプリケーションから各機能にアクセスできるようになります。API および SPI の詳細は、「Identity Server SDK」および『Sun ONE Identity Server Customization And API Guide』を参照してください。コマンド行ツールの詳細は、『Sun ONE Identity Server 管理ガイド』を参照してください。
Sun ONE Directory Server
Sun ONE Directory Server は、アイデンティティ、ポリシー、設定およびサービス情報を格納する統合化されたデータリポジトリとして機能します。
配備 Identity ServerIdentity Server は、オープンな標準に準拠したプラットフォームに合わせて設計されています。このプラットフォームは、認証、承認、シングルサインオン、ポリシー、アイデンティティ、および管理機能を既存のインフラストラクチャに統合する際に使用できます。その機能は、Web コンテナの Java 仮想マシン (JVM) 内部で動作し、API およびさまざまなサーバーフレームワークにアクセス可能な Java サーブレット、JavaBeansTM、および JSP の集合体として提供されます。Identity Server を企業のインフラストラクチャに統合することで、以下のタスクを達成できます。
Identity Server の統合
Identity Server は総合的なアイデンティティ管理システムですが、大抵の組織では何らかのアイデンティティ管理システムを既に実装していることでしょう。たとえば、ディレクトリサーバーや Web コンテナを既に配備している場合が考えられます。Identity Server と他のシステムとの相互運用を可能にするには、保護されたサーバーにポリシーエージェントをダウンロードおよびインストールする必要があります。Identity Server の開発およびリリースと並行して、新規エージェントの開発およびリリースが行われています。Identity Server 6.1 のリリース時点では、Sun Microsystems の Web, Portal & Directory Servers Download Center からダウンロードできるのは、つぎのオペレーティングシステムに対応するエージェントです。ダウンロードセンターのページには、リリース済みのポリシーエージェントに関するより詳細で最新のリストが掲載されています。
警告
Identity Server のポリシーエージェントのリリーススケジュールは、製品自体のリリースとは別個に計画されています。このマニュアルの発行以降、このリストにポリシーエージェントが追加されている可能性があります。最新のリストについては、Sun Microsystems の Web, Portal & Directory Servers Download Center を参照してください。
Solaris オペレーティングシステム
Windows 2000 Server
Linux
HPUX 11
配備ロードマップ
Identity Server の統合を入念に計画することは、成功を収めるために欠かすことができません。これには、ハードウェア、配備中のアプリケーション、アイデンティティデータおよびアクセス階層に関する情報の収集が含まれます。Identity Server の配備作業は、次の段階に分けることができます。
配備ガイド の章
配備ロードマップで説明した各段階については、このマニュアルの以下の章で詳しく説明されています。
- 第 2 章「配備の計画」では、組織のアイデンティティ管理ソリューションの現状を評価し、将来の必要を見極める方法 (目標および課題を含む) を定義します。
- 第 3 章「Identity Server のアーキテクチャ」では、Identity Server 製品の全コンポーネントのアーキテクチャに関する高度な概要を示します。
- 第 4 章「配備前の考慮事項」では、ハードウェア、データソース、および専門知識を含む、特定の要件を分析する方法を示します。
- 第 5 章「配備シナリオ」では、トポロジを計画し、アプリケーションを配備する簡単なシナリオについて説明します。
補足的な情報を提供するため、配備ガイド に付録が追加されました。以下にその内容を示します。
- 付録 A 「インストールされる製品のレイアウト」では、Identity Server のインストール時に作成されるディレクトリおよびファイルについて説明します。
- 付録 B 「ユーザーセッションのライフサイクル」では、複数の HTTP (HyperText Transfer Protocol) 要求間で行われる、ユーザーと Web アプリケーションとのやり取りの追跡に使用するセッションオブジェクトについて説明します。
- 付録 C 「Active Directory に対する認証」では、Microsoft Active Directory でユーザーを認証する方法を説明します。
- 付録 E 「RADIUS サーバーに対する認証」では、RADIUS (Remote Authentication Dial-In User Service) サーバーでユーザーを認証する方法について説明します。
- 付録 F 「chroot 環境のインストール」では、chroot 環境に Identity Server をインストールして、悪意のあるプログラムが実際のルートファイルシステムにアクセスすることを防ぐ方法について説明します。
Identity Server の関連するマニュアル
Identity Server に関する追加情報については、以下のマニュアルを参照してください。
- インストール − インストール関連の情報については、『Sun Java Enterprise System 2003Q4 インストールガイド』を参照してください。
- 移行 − 既存データの移行および Identity Server の以前のバージョンの更新については、『Sun ONE Identity Server Migration Guide』を参照してください。
- 管理 − コンソールの使用方法および Identity Server の配備を管理する方法については、『Sun ONE Identity Server 管理ガイド』を参照してください。
- カスタマイズ − アプリケーションのカスタマイズ方法については、『Sun ONE Identity Server Customization And API Guide』を参照してください。