test

Sun Identity Manager 8.1 ビジネス管理者ガイド

第 1 章 Identity Manager の概要

Sun Identity Manager システムを使用すると、アカウントおよびリソースへのアクセスを管理および監査できます。Identity Manager は、定期的な日常のユーザープロビジョニングタスクおよび監査タスクを迅速に処理する機能とツールをユーザーに提供することで、内部および外部顧客に対して格別なサービスを容易に実行できるようにします。

この章は次のトピックで構成されています。

全体像

今日のビジネスでは、IT サービスの柔軟性と機能性のさらなる向上が必要とされます。これまで、ビジネス情報およびシステムへのアクセス管理には、限られた数のアカウントとの直接的な対話しか必要ありませんでした。現在では、アクセス管理は、増大する内部顧客の処理のみならず、企業外のパートナーや顧客の処理も意味するようになっています。

このようなアクセスニーズの増大によって生ずるオーバーヘッドは、膨大なものになる可能性があります。管理者は、企業内および企業外のユーザーが効果的かつセキュアに自分の任務を果たせるようにしなければなりません。さらに、最初のアクセスのあとには、パスワードの忘失、ロールやビジネス上の関係の変更、といった詳細な問題に次々に直面します。

さらに、今日のビジネスは重要なビジネス情報のセキュリティーと完全性を管理する厳しい要求に直面しています。米国企業改革 (SOX) 法、HIPAA 法 (医療保険の携行性と責任に関する法律)、GLB 法 (グラムリーチブライリー法) などコンプライアンスに関連する法律の影響を受ける環境では、活動の監視とレポートによって生み出されるオーバーヘッドは膨大で、コストがかかります。ビジネスの安全を確保するために、データ収集とレポートの要件を満たしながら、アクセス管理の変化にすばやく対応できるようにしておく必要があります。

Identity Manager は、動的な環境におけるこのような管理上の課題を解決する際に特に役立つように開発されました。Identity Manager を使用して、アクセス管理のオーバーヘッドを分散し、コンプライアンスの負荷に対処することにより、アクセスをどのように定義するか、定義したあとに柔軟性と管理をどのようにして維持するか、という主要な課題を解決しやすくなります。

セキュアでありながら柔軟な設計の Identity Manager は、企業の構造に適応し、これらの課題に対処するように設定できます。Identity Manager オブジェクトを管理対象のエンティティー (ユーザーおよびリソース) にマップすることにより、操作の効率は飛躍的に向上します。

サービスプロバイダ環境で、Identity Manager はこれらの機能を拡張して、エクストラネットユーザーも管理できるようにしました。

Identity Manager システムの目的

Identity Manager ソリューションでは次の目的を達成することができます。

リソースへのユーザーアクセスの定義

拡張された企業内のユーザーとは、企業と関係を持つすべてのユーザーのことであり、従業員、顧客、パートナー、サプライヤ、買収した会社などが含まれます。Identity Manager システムでは、ユーザーはユーザーアカウントによって表されます。

ビジネスおよびほかのエンティティーとの関係に応じて、ユーザーは、コンピュータシステム、データベースに保存されたデータ、または特定のコンピュータアプリケーションなど、さまざまなものにアクセスする必要があります。Identity Manager では、これらを「リソース」と呼びます。

ユーザーはアクセスするリソースごとに 1 つ以上のアイデンティティーを持つ場合が多いため、Identity Manager では単一の仮想 ID を作成して異種のリソースにマップします。これにより、ユーザーを単一のエンティティーとして管理できるようになります。図 1–1 を参照してください。

図 1–1 Identity Manager ユーザーアカウントとリソースの関係

1 つの Identity Manager 仮想アイデンティティーの複数のリソースへのマッピングを示す図。

多数のユーザーを効果的に管理するには、ユーザーをグループ化する論理的な方法が必要です。ほとんどの企業では、ユーザーは職務上の部署または地域的な部門にグループ化されています。通常、このような部署はそれぞれ、異なるリソースにアクセスする必要があります。Identity Manager では、このようなタイプのグループを「組織」と呼びます。

ユーザーをグループ化するもう 1 つの方法は、企業での関係または職務機能などの類似した特性でグループ化することです。Identity Manager ではこのようなグループ化を「ロール」と認識します。

Identity Manager システムでは、ユーザーアカウントにロールを割り当てて、リソースへのアクセスを効率的に有効化または無効化します。組織にアカウントを割り当てることにより、管理の役割の委任を効率的に行うことができます。

ポリシーを適用することによって、Identity Manager ユーザーを直接または間接的に管理することもできます。 ポリシーは、規則およびパスワードと、ユーザー認証オプションを設定します。

ユーザータイプについて

Identity Manager には、「Identity Manager ユーザー」と、Identity Manager システムをサービスプロバイダ実装で設定する場合に使用する「サービスプロバイダユーザー」の 2 つのユーザータイプが用意されています。これらのタイプを使用すると、ユーザーと企業との関係に基づきプロビジョニング要件が異なる可能性のあるユーザー (たとえば、エクストラネットユーザーとイントラネットユーザー) を区別できます。

サービスプロバイダ実装での一般的なシナリオは、サービスプロバイダ企業が内部ユーザーと外部ユーザー (顧客) を Identity Manager で管理するケースです。サービスプロバイダ実装の設定については、『Sun Identity Manager Service Provider 8.1 Deployment 』を参照してください。

ユーザーアカウントを設定する場合は、Identity Manager ユーザータイプを指定します。サービスプロバイダユーザーの詳細については、第 17 章サービスプロバイダの管理を参照してください。

管理の委任

ユーザーのアイデンティティー管理の責任をうまく分散させるには、柔軟性と管理のバランスを適切にとる必要があります。選択した Identity Manager ユーザーに管理者特権を与えて管理タスクを委任することにより、管理者のオーバーヘッドが軽減します。 さらに、人事部長など、ユーザーニーズを熟知したユーザーにアイデンティティー管理の役割を与えることにより、効率が向上します。このような拡張特権を持つユーザーを、Identity Manager 管理者と呼びます。

ただし、委任はセキュアなモデル内でのみ有効です。適切な管理レベルを維持するために、Identity Manager は管理者に異なるレベルの機能を割り当てることができます。機能は、システム内でのさまざまなレベルのアクセスおよび操作を承認します。

また、Identity Manager ワークフローモデルにも、特定の操作に承認が必要かどうかを確認する方法が含まれています。Identity Manager 管理者は、ワークフローを使用してタスクの管理権限を保有し、その進行状況を追跡できます。ワークフローの詳細については、『Sun Identity Manager Deployment Reference』の第 1 章「Workflow」を参照してください。

Identity Manager オブジェクト

Identity Manager オブジェクトとその操作の方法を明確に理解することは、システムの管理と導入を成功させるために不可欠です。オブジェクトには次のものがあります。

注 –

Identity Manager オブジェクトに名前を付けるときは、次の文字を使用しないでください。

(アポストロフィー)、. (ピリオド)、| (パイプ)、[ (左角括弧)、] (右角括弧)、, (コンマ)、: (コロン)、$ (ドル記号)、" (二重引用符)、\ (円記号)、= (等号)

また、_ (下線)、% (パーセント記号)、^ (キャレット)、および * (アスタリスク) の使用も避けてください。

Identity Manager ユーザーアカウント

ユーザーとは、Identity Manager システムアカウントを所有する個人です。Identity Manager には、各ユーザーについての一連のデータが格納されます。これらの情報をまとめて、特定のユーザーの Identity Manager アイデンティティーを構成します。

Identity Manager ユーザーアカウント

ユーザーアカウントのセットアッププロセスは動的です。アカウントの設定で選択したロールに応じて、アカウントを作成するためのリソース固有の情報が増減する可能性があります。割り当てられたロールに関連付けられたリソースの数とタイプによって、アカウント作成時に必要な情報が決まります。

管理者とは、ユーザーアカウント、リソース、およびほかの Identity Manager システムオブジェクトとタスクを管理する追加特権を持つユーザーです。Identity Manager 管理者は組織を管理し、管理対象の各組織内のオブジェクトに適用する一連の機能を割り当てられます。

ユーザーアカウントの詳細については、第 3 章ユーザーとアカウントの管理を参照してください。管理者アカウントの詳細については、第 6 章管理を参照してください。

Identity Manager ロール

ロールは Identity Manager オブジェクトであり、リソースのアクセス権限をグループ分けし、ユーザーに効率的に割り当てることができるようにします。ロールは、次の 4 つのロールタイプに分けられます。

ビジネスロールは、組織内で類似のタスクを実行するユーザーがジョブの遂行に必要とするアクセス権をグループに編成します。通常、ビジネスロールはユーザーの職務機能を表します。

IT ロール、アプリケーション、およびアセットは、リソースの権利 (つまりアクセス権) をグループに編成します。ユーザーがリソースにアクセスできるようにするには、IT ロール、アプリケーション、およびアセットをビジネスロールに割り当てて、ジョブの実行に必要なリソースにユーザーがアクセスできるようにします。

IT ロール、アプリケーション、およびアセットは、必須、条件付き、オプションのいずれかにできます。

ロールは条件付きまたはオプションにできるため、職務内容が同じユーザーに対して、同じビジネスロールを割り当てると同時に、異なるアクセス権を設定できます。この方法により、ビジネスロールの設計者はロールへのアクセスを大まかに定義して法規制の順守をはかり、ユーザーのマネージャーはユーザーのアクセス権を柔軟に調整できます。この方法では、企業内のアクセスニーズの順列ごとにビジネスロールを新たに定義する必要がないため、「ロールエクスプロージョン」と呼ばれる問題が発生しません。

ユーザーには 1 つ以上のロールを割り当てることも、ロールを割り当てないことも可能です。

注 –

ロールの詳細については、「ロールとその管理について」を参照してください。

リソースとリソースグループ

Identity Manager は、リソースまたはシステムへの接続方法に関する情報を格納します。Identity Manager がアクセスを提供するリソースは次のとおりです。

各 Identity Manager リソースは、次の種類の情報を格納します。

リソースをユーザーに割り当てるには、2 つの方法があります。リソースをユーザーに直接割り当てる (個別または直接の割り当てと呼ばれる) ことも、リソースをロールに割り当て、そのロールをユーザーに割り当てる (ロールベースまたは間接の割り当てと呼ばれる) こともできます。

関連する Identity Manager オブジェクトである「リソースグループ」を、リソースの割り当てと同じ方法でユーザーアカウントに割り当てることができます。リソースグループは、リソースを相互に関連付けて、アカウントを特定の順序でリソース上に作成できるようにします。また、複数のリソースのユーザーアカウントへの割り当てプロセスを簡素化します。

リソースグループの詳細については、「リソースグループ」を参照してください。

組織と仮想組織

組織とは、管理の委任を可能にするために使用される Identity Manager コンテナです。組織は、Identity Manager 管理者が管理するエンティティーの範囲を定義します。

また、組織は、ディレクトリベースのリソースへの直接のリンクも表します。これらは仮想組織と呼ばれます。仮想組織を使用すると、情報を Identity Manager リポジトリに読み込まずに、リソースデータを直接管理できます。Identity Manager では、仮想組織を使用して既存のディレクトリ構造とメンバーシップをミラー化することにより、設定タスクの重複と時間の浪費をなくします。

ほかの組織を含む組織は、親組織です。組織はフラットな構造に作成することも、階層構造として作成することもできます。階層構造は、ユーザーアカウントを管理するための部署、地域、またはその他の論理的な部門を表します。

組織の詳細については、「Identity Manager の組織について」を参照してください。

ディレクトリジャンクション

ディレクトリジャンクションは、階層的に関連付けられた組織のセットで、ディレクトリリソースの階層型コンテナの実際のセットをミラー化したものです。ディレクトリリソースは、階層型コンテナを使用して、階層的な名前空間を使用するリソースです。ディレクトリリソースの例には、LDAP サーバーおよび Windows Active Directory リソースがあります。

ディレクトリジャンクション内の各組織は、仮想組織です。ディレクトリジャンクションの最上位の仮想組織は、リソース内に定義されたベースコンテキストを表すコンテナをミラー化したものです。ディレクトリジャンクション内の残りの仮想組織は、最上位の仮想組織の「直接」または「間接」的な子であり、定義済みリソースのベースコンテキストコンテナの子であるディレクトリリソースコンテナのいずれかをミラー化しています。

Identity Manager ユーザーを、組織と同様の方法で仮想組織のメンバーにして、仮想組織から使用可能にすることができます。

ディレクトリジャンクションの詳細については、「ディレクトリジャンクションおよび仮想組織について」を参照してください。

Identity Manager の機能

機能、つまり権限のグループが割り当てられたユーザーは、Identity Manager の管理操作を実行できるようになります。機能によって、管理ユーザーはシステム内で特定のタスクを実行したり、さまざまな Identity Manager オブジェクトを操作したりすることができます。

通常、機能は、パスワードのリセットまたはアカウントの承認など、特定のジョブの役割に従って割り当てられます。個別のユーザーに機能と権限を割り当てることにより、管理の階層構造が作成され、データの保護をおびやかすことなく、対象を絞ったアクセスと特権を提供することができます。

Identity Manager では、一般的な管理機能用の一連のデフォルト機能を提供しています。また、特定のニーズを満たす機能を作成して割り当てることもできます。

機能の詳細については、「機能とその管理について」を参照してください。

管理者ロール

Identity Manager 管理者ロールを使用すると、管理ユーザーが管理している組織を組み合わせて、その組み合わせごとに一意の機能セットを定義できます。管理者ロールに機能および管理する組織を割り当ててから、その管理者ロールを管理ユーザーに割り当てることができます。

機能および管理する組織は、管理者ロールに直接割り当てることができます。また、管理ユーザーが Identity Manager にログインしたときに、間接的 (動的) に割り当てることもできます。Identity Manager 規則によって、動的に権限が割り当てられます。

管理者ロールの詳細については、「管理者ロールとその管理について」を参照してください。

Identity Manager のポリシー

「ポリシー」では、アカウント ID、ログイン、およびパスワードの特性に制約を設定することによって、Identity Manager ユーザーの制限を設定します。「アイデンティティーシステムアカウントポリシー」は、ユーザー、パスワード、および認証ポリシーのオプションと制約を設定します。リソースパスワードとアカウント ID ポリシーは、長さ規則、文字タイプ規則、許容される単語や属性値を設定します。「辞書ポリシー」を使用すると、Identity Auditor でパスワードを単語データベースと照合して、単純な辞書攻撃から保護することができます。

ポリシーの詳細については、「ポリシーとは」を参照してください。

監査ポリシー

ほかのシステムポリシーとは異なり、監査ポリシーは特定のリソースのユーザーグループのポリシー違反を定義します。監査ポリシーは、1 つまたは複数の規則を設定し、これによってユーザーのコンプライアンス違反を評価します。これらの規則は、リソースによって定義された 1 つまたは複数の属性に基づく条件によって決まります。システムがユーザーをスキャンする場合、そのユーザーに割り当てられた監査ポリシーで定義された条件を使用し、コンプライアンス違反が発生しているかどうかを判断します。

監査ポリシーの詳細については、「監査ポリシーについて」を参照してください。

オブジェクトの関係

次の表は、Identity Manager オブジェクトとオブジェクト間の関係を示しています。

表 1–1 Identity Manager オブジェクトの関係

Identity Manager オブジェクト 

説明 

適用対象 

ユーザーアカウント 

Identity Manager および 1 つ以上のリソース上にあるアカウント。ユーザーデータをリソースから Identity Manager に読み込むことができます。 

特別なユーザークラスである Identity Manager 管理者は拡張特権を持ちます。 

ロール。通常、各ユーザーアカウントには 1 つ以上のロールが割り当てられます。

組織。ユーザーアカウントは、組織の一部として階層構造で整理されます。組織は、Identity Manager 管理者によって管理されます。

リソース。個別のリソースを、ユーザーアカウントに割り当てることができます。

機能。管理者には、自分が管理する組織に対する機能が割り当てられます。

ロール 

ビジネスロールは、組織内で類似のタスクを実行するユーザーがジョブの遂行に必要なアクセス権をグループに編成します。アプリケーションおよび IT ロールはリソースをグループに編成し、ビジネスロールを使ってリソースをユーザーに割り当てられるようにします。ロールベースのリソース割り当てにより、大規模な組織でのリソース管理が簡単になります。 

リソースとリソースグループ。リソースとリソースグループは、アセット、アプリケーション、および IT ロールに割り当てられます。

ユーザーアカウント。類似した特性を持つユーザーアカウントは、ビジネスロールに割り当てられます。

アセット、アプリケーション、および IT ロール。アセット、アプリケーション、および IT ロールは、ビジネスロールに割り当てられます。

Resource 

アカウントが管理するシステム、アプリケーション、またはほかのリソースについての情報を格納します。 

ロール。リソースはアプリケーションおよび IT ロールに割り当てられ、これらのロールはビジネスロールに割り当てられます。ユーザーアカウントは、ビジネスロールの割り当てからリソースアカウントをゆるやかに「継承」します。

ユーザーアカウント。リソースをユーザーアカウントに個別に割り当てることができます。

リソースグループ 

順序付けされたリソースのグループ。 

ロール。リソースグループはロールに割り当てられます。ユーザーアカウントは、ビジネスロールの割り当てからリソースアクセスを「継承」します。

ユーザーアカウント。リソースグループをユーザーアカウントに直接割り当てることができます。

組織 

管理者により管理されるエンティティーの範囲を階層構造で定義します。 

リソース。組織内の管理者は、一部またはすべてのリソースにアクセスできます。

管理者。組織は、管理特権を持つユーザーによって管理 (制御) されます。管理者は 1 つ以上の組織を管理できます。ある組織内の管理特権は、子の組織にも継承されます。

ユーザーアカウント。各ユーザーアカウントは、Identity Manager 組織および 1 つ以上のディレクトリ組織に割り当てることができます。

ディレクトリジャンクション 

階層的に関連付けられた組織のセットで、ディレクトリリソースの階層型コンテナの実際のセットをミラー化したものです。 

組織。ディレクトリジャンクション内の各組織は、仮想組織です。

管理者ロール 

管理者に割り当てられた組織の組み合わせごとに、一意の機能セットを定義します。 

管理者。管理者ロールは管理者に割り当てられます。

機能と組織。機能と組織は、直接的または間接的 (動的) に管理者ロールに割り当てられます。

機能 

システム権限のグループを定義します。 

管理者。機能は管理者に割り当てられます。

ポリシー 

パスワードおよび認証の制限を設定します。 

ユーザーアカウント。ポリシーはユーザーアカウントに割り当てられます。

組織。ポリシーは組織に割り当てられるか、継承されます。

監査ポリシー 

ユーザーのコンプライアンス違反を評価する規則を設定します。 

ユーザーアカウント。監査ポリシーはユーザーアカウントに割り当てられます。

組織。監査ポリシーは組織に割り当てられます。