第 1 章 製品の概要

この章では、Sun^TM Identity Manager の目的と、アプリケーションの主要な機能について説明します。Sun が提供しているその他のアイデンティティー管理製品についても、簡単に説明します。

この章では次のトピックを説明します。

• 「アイデンティティー管理とは」

• 「Identity Manager と他の IT システムのインタフェース」

• 「ユーザーが Identity Manager に接続する方法」

• 「Identity Manager Service Provider とは」

• 「Sun のその他のアイデンティティー管理製品について」

アイデンティティー管理とは

Sun Identity Manager を利用すると、複数の IT システム間でユーザーアカウントの作成、更新、および削除の処理を自動化できます。この処理をまとめて、「プロビジョニング」(ユーザーアカウントの作成と更新) および「プロビジョニング解除」(ユーザーアカウントの削除) と呼んでいます。

たとえば、新しく従業員が入社すると、Identity Manager はこの従業員にアクセス権を与えるために必要な承認を取得するワークフローを実行します。必要な承認を取得したら、Identity Manager は会社の人事システム (PeopleSoft)、電子メールシステム (Microsoft Exchange)、およびエンタープライズアプリケーション (SAP) に、従業員のユーザーアカウントを作成します。社内で従業員がロールを変更したら、Identity Manager はユーザーアカウントを更新し、新しいロールで必要なリソースにアクセスできるようにアクセス権を拡張します。また、従業員が退職する場合、Identity Manager はユーザーのアカウントを自動的に削除して、それ以降のアクセスを禁止します。

Identity Manager では、継続的に監査ポリシーを実施することもできます。「監査ポリシー」は、ユーザーに許可するアクセス、または許可しないアクセスの種類を指定します。たとえば米国では、同じユーザーが買掛管理システムと売掛管理システムの両方にアクセスすることは、Sarbanes-Oxley (SOX) 法にに違反します。これは、職務権限の分離違反として知られています。Identity Manager では、これらのさまざまな違反をチェックする監査を実行し、違反が検出された場合は、設定に従って自動的にアクセス権を削除したり、管理者に通知を送信することができます。この処理を「是正」と呼びます。

Identity Manager と他の IT システムのインタフェース

Identity Manager では、管理対象のアプリケーションやその他の IT システムを「リソース」と呼びます。Identity Manager は「アダプタ」または「コネクタ」をインタフェースとして使用して、これらのリソースに接続します。

アダプタおよびコネクタは、Identity Manager サーバーにインストールされます (Identity Manager は、ターゲットリソースにインストールされる特別なソフトウェア (「エージェント」) を必要としません)。多数の Identity Manager アダプタおよびコネクタが用意されています。また、標準プロトコルや公開されているアプリケーションプログラミングインタフェース (API) を使用して、任意のリソースと通信する新しいアダプタまたはコネクタを作成することもできます。Identity Manager にはさまざまなアダプタおよびコネクタが付属しており、一般的なほとんどのリソースと通信できます。さらに、プログラマはテンプレートとスケルトンコードを利用して、アダプタやコネクタを追加作成することができます。

一部のリソースとは直接通信することができません。この場合は、Sun Identity Manager Gateway を使用する必要があります。Gateway が必要なリソースには、Exchange や Windows Active Directory などの Microsoft 製品や、eDirectory (以前の Netware Directory Services) などの Novell 製品などがあります。これらの場合、Identity Manager は Gateway と直接通信を行い、Gateway がインタフェースとなってリソースに接続します。

図 1–1 Identity Manager が直接接続できるリソースと、Identity Manager Gateway が必要なリソース

Identity Manager がサポートするリソースのリストについては、『Sun Identity Manager 8.1 リリースノート』の「サポートされているリソース」を参照してください。

ユーザーが Identity Manager に接続する方法

Identity Manager には、管理者用のユーザーインタフェース (UI) と、エンドユーザー用のインタフェースが用意されています。Identity Manager を使用するには、管理者とエンドユーザーは Web ブラウザを使用して Identity Manager にログオンします。

• 管理者は「管理者インタフェース」を使用して、ユーザーの管理、リソースの設定と割り当て、権限とアクセスレベルの定義、監査ポリシーの確立、コンプライアンスの管理、およびビジネス管理者とシステム管理者に関するその他の職務を実行します。

• エンドユーザーは「エンドユーザーインタフェース」を使用して、パスワードの変更、ユーザーの秘密の質問に対する回答の設定、IT システムへのアクセスの要求、委任された割り当ての管理など、自身で行う範囲のタスクを実行します。

図 1–2 管理者インタフェースおよびエンドユーザーインタフェースを使用して Identity Manager に接続するユーザー

また、企業では SPML (Service Provisioning Markup Language) を使用して、独自のユーザーインタフェースを作成したり、既存のフロントエンドシステムと Identity Manager を統合することもできます。

その他の Identity Manager インタフェースには、次のものがあります。

• IVR (Interactive Voice Response) 電話インタフェース。エンドユーザーは電話を使用して Identity Manager の機能を実行できます。

• Identity Manager IDE (統合開発環境)。Identity Manager をカスタマイズするために、ソフトウェア開発者によって使用されます。

• Identity Manager コンソール。管理者が使用できるコマンド行インタフェースです。

Identity Manager Service Provider とは

Identity Manager Service Provider は、エクストラネットに重点を置いたスケーラブルなアイデンティティー管理機能です。LDAP ディレクトリサーバーに保存された大量のエンドユーザーアカウントをプロビジョニングおよび保守することができます。Service Provider 機能では、多数の管理者アカウントを管理したり、LDAP アカウントデータを他のリソースと同期することもできます。

Service Provider 機能は、Identity Manager で利用可能な機能のサブセットを使用します。たとえば、監査機能はエクストラネット環境ではほとんど役に立たないため、利用できません。

標準の Identity Manager と Service Provider 機能の違いについては、『Sun Identity Manager Service Provider 8.1 Deployment』の「Service Provider Features」を参照してください。

独立したアドオン製品として利用可能にすれば、Service Provider は Identity Manager に組み込まれます。ただし、Service Provider 機能を利用するには特別な計画が必要です。

• Identity Manager Service Provider のシステムアーキテクチャーについては、「Identity Manager Service Provider のシステムアーキテクチャーについて」を参照してください。

• 高可用性を備えた Identity Manager Service Provider アーキテクチャーの計画については、「推奨される Service Provider の HA アーキテクチャーについて」を参照してください。

• Identity Manager を配備して Service Provider 機能を利用する方法については、『Sun Identity Manager Service Provider 8.1 Deployment 』を参照してください。

Sun のその他のアイデンティティー管理製品について

Identity Manager の他に、Sun では Sun Java^TM System Directory Server Enterprise Edition、Sun OpenSSO Enterprise、Sun Role Manager などのアイデンティティー管理ソリューションを提供しています。これらの製品は Identity Manager を補完するもので、たとえば Role Manager は Identity Manager の機能を拡張することができます。

Sun Java System Directory Server Enterprise Edition とは

Sun Java System Directory Server Enterprise Edition は、アイデンティティー情報用のスケーラブルで高いパフォーマンスを備えた LDAP データストアです。Directory Server Enterprise Edition は、中心となるディレクトリサービスと、その他の補完的なデータサービスを提供します。競合するディレクトリサービスには、Microsoft の Active Directory や Novell の eDirectory があります。

OpenSSO Enterprise とは

Sun OpenSSO Enterprise (以前の Sun Java System Access Manager および Sun Java System Federation Manager) は、内部および外部のアプリケーションや Web サービスに対して、幅広いセキュリティーポリシーを集中的に実施します。安全で集中化されたアクセス制御とシングルサインオン (SSO) 機能が提供されます。また、連携アイデンティティー管理では、異なるディレクトリサービス、セキュリティー、および認証テクノロジを利用している企業間で、アプリケーションを共有することができます。連携パートナーは相互に信頼して、それぞれのユーザーを認証し、サービスにアクセスする権限を保証します。

Sun Role Manager とは

Sun Role Manager (以前の Vaau RBACx) は、アクセス管理をユーザーごとではなく企業内のユーザーのロールに基づいて行うことで、アクセス制御コンプライアンスを簡潔にします。使用法や企業ポリシーに基づいたロールを作成することで、アクセスを詳細に監視して、より効果的で安全性の高い適切な方法で管理することができます。