全体像

今日のビジネスでは、IT サービスの柔軟性と機能性のさらなる向上が必要とされます。これまで、ビジネス情報およびシステムへのアクセス管理には、限られた数のアカウントとの直接的な対話しか必要ありませんでした。現在では、アクセス管理は、増大する内部顧客の処理のみならず、企業外のパートナーや顧客の処理も意味するようになっています。

このようなアクセスニーズの増大によって生ずるオーバーヘッドは、膨大なものになる可能性があります。管理者は、企業内および企業外のユーザーが効果的かつセキュアに自分の任務を果たせるようにしなければなりません。さらに、最初のアクセスのあとには、パスワードの忘失、ロールやビジネス上の関係の変更、といった詳細な問題に次々に直面します。

さらに、今日のビジネスは重要なビジネス情報のセキュリティーと完全性を管理する厳しい要求に直面しています。米国企業改革 (SOX) 法、HIPAA 法 (医療保険の携行性と責任に関する法律)、GLB 法 (グラムリーチブライリー法) などコンプライアンスに関連する法律の影響を受ける環境では、活動の監視とレポートによって生み出されるオーバーヘッドは膨大で、コストがかかります。ビジネスの安全を確保するために、データ収集とレポートの要件を満たしながら、アクセス管理の変化にすばやく対応できるようにしておく必要があります。

Identity Manager は、動的な環境におけるこのような管理上の課題を解決する際に特に役立つように開発されました。Identity Manager を使用して、アクセス管理のオーバーヘッドを分散し、コンプライアンスの負荷に対処することにより、アクセスをどのように定義するか、定義したあとに柔軟性と管理をどのようにして維持するか、という主要な課題を解決しやすくなります。

セキュアでありながら柔軟な設計の Identity Manager は、企業の構造に適応し、これらの課題に対処するように設定できます。Identity Manager オブジェクトを管理対象のエンティティー (ユーザーおよびリソース) にマップすることにより、操作の効率は飛躍的に向上します。

サービスプロバイダ環境で、Identity Manager はこれらの機能を拡張して、エクストラネットユーザーも管理できるようにしました。

Identity Manager システムの目的

Identity Manager ソリューションでは次の目的を達成することができます。

• 多種多様なシステムおよびリソースに対するアカウントアクセスを管理する。

• 各ユーザーの一連のアカウントに対する動的なアカウント情報をセキュアに管理する。

• ユーザーアカウントデータの作成および管理に対する委任された権限を設定する。

• 多数の企業リソースと、ますます増大するエクストラネット顧客およびパートナーを処理する。

• 企業情報システムへのユーザーアクセスをセキュアに承認する。Identity Manager では、組織内外でのアクセス特権の許可、管理、および失効の機能が完全に統合される。

• データを保持することなくデータの同期を維持する。Identity Manager ソリューションは、優れたシステム管理ツールで監視する必要のある 2 つの主要な原則をサポートする。

  • 管理対象システムへの製品の影響を最低限に抑える必要がある。

  • 製品が別の管理リソースを追加することで、企業環境が複雑になってはならない

  ユーザーアクセス特権のコンプライアンスを管理し、自動是正措置と電子メール警告で違反を管理する監査ポリシーを定義する。

• 定期的アクセスレビューを行い、ユーザー特権を保証するプロセスを自動化するアテステーションレビューと承認手順を定義する。

• 主要な情報を監視し、ダッシュボードを使用して統計を監査し、レビューする。

リソースへのユーザーアクセスの定義

拡張された企業内のユーザーとは、企業と関係を持つすべてのユーザーのことであり、従業員、顧客、パートナー、サプライヤ、買収した会社などが含まれます。Identity Manager システムでは、ユーザーはユーザーアカウントによって表されます。

ビジネスおよびほかのエンティティーとの関係に応じて、ユーザーは、コンピュータシステム、データベースに保存されたデータ、または特定のコンピュータアプリケーションなど、さまざまなものにアクセスする必要があります。Identity Manager では、これらを「リソース」と呼びます。

ユーザーはアクセスするリソースごとに 1 つ以上のアイデンティティーを持つ場合が多いため、Identity Manager では単一の仮想 ID を作成して異種のリソースにマップします。これにより、ユーザーを単一のエンティティーとして管理できるようになります。図 1–1 を参照してください。

図 1–1 Identity Manager ユーザーアカウントとリソースの関係

多数のユーザーを効果的に管理するには、ユーザーをグループ化する論理的な方法が必要です。ほとんどの企業では、ユーザーは職務上の部署または地域的な部門にグループ化されています。通常、このような部署はそれぞれ、異なるリソースにアクセスする必要があります。Identity Manager では、このようなタイプのグループを「組織」と呼びます。

ユーザーをグループ化するもう 1 つの方法は、企業での関係または職務機能などの類似した特性でグループ化することです。Identity Manager ではこのようなグループ化を「ロール」と認識します。

Identity Manager システムでは、ユーザーアカウントにロールを割り当てて、リソースへのアクセスを効率的に有効化または無効化します。組織にアカウントを割り当てることにより、管理の役割の委任を効率的に行うことができます。

ポリシーを適用することによって、Identity Manager ユーザーを直接または間接的に管理することもできます。 ポリシーは、規則およびパスワードと、ユーザー認証オプションを設定します。

ユーザータイプについて

Identity Manager には、「Identity Manager ユーザー」と、Identity Manager システムをサービスプロバイダ実装で設定する場合に使用する「サービスプロバイダユーザー」の 2 つのユーザータイプが用意されています。これらのタイプを使用すると、ユーザーと企業との関係に基づきプロビジョニング要件が異なる可能性のあるユーザー (たとえば、エクストラネットユーザーとイントラネットユーザー) を区別できます。

サービスプロバイダ実装での一般的なシナリオは、サービスプロバイダ企業が内部ユーザーと外部ユーザー (顧客) を Identity Manager で管理するケースです。サービスプロバイダ実装の設定については、『Sun Identity Manager Service Provider 8.1 Deployment 』を参照してください。

ユーザーアカウントを設定する場合は、Identity Manager ユーザータイプを指定します。サービスプロバイダユーザーの詳細については、第 17 章サービスプロバイダの管理を参照してください。

管理の委任

ユーザーのアイデンティティー管理の責任をうまく分散させるには、柔軟性と管理のバランスを適切にとる必要があります。選択した Identity Manager ユーザーに管理者特権を与えて管理タスクを委任することにより、管理者のオーバーヘッドが軽減します。 さらに、人事部長など、ユーザーニーズを熟知したユーザーにアイデンティティー管理の役割を与えることにより、効率が向上します。このような拡張特権を持つユーザーを、Identity Manager 管理者と呼びます。

ただし、委任はセキュアなモデル内でのみ有効です。適切な管理レベルを維持するために、Identity Manager は管理者に異なるレベルの機能を割り当てることができます。機能は、システム内でのさまざまなレベルのアクセスおよび操作を承認します。

また、Identity Manager ワークフローモデルにも、特定の操作に承認が必要かどうかを確認する方法が含まれています。Identity Manager 管理者は、ワークフローを使用してタスクの管理権限を保有し、その進行状況を追跡できます。ワークフローの詳細については、『Sun Identity Manager Deployment Reference』の第 1 章「Workflow」を参照してください。