第 1 章はじめに

Sun Java^TM System Identity Server (以前の Sun^TM ONE Identity Server) は、Web ベースのサービスや Web ベース以外のアプリケーションを利用する顧客、従業員、およびパートナーのデジタルアイデンティティに対し、組織による管理プロセスのインフラストラクチャを提供します。これらのリソースは、内部および外部の広範なコンピューティングネットワーク上に分散する可能性があるため、アクセスを管理する属性、ポリシー、および制御が定義されています。

この章では、Identity Server を導入する際の基本的な方針について説明します。次の節で構成されています。

「アイデンティティ管理とは」

「Sun Java System Identity Server」

「Identity Server の配備」

アイデンティティ管理とは

現在、各企業では、日々の作業の管理の効率化のため、高度な情報技術のインフラストラクチャを運用しています。このインフラストラクチャに不可欠な要素には、次のようなものがあります。

異なるオペレーティングシステムを実行するネットワークサーバー

情報データストア

人事、給与、および契約管理システム

アカウンティング、サプライチェーン管理、およびリソース計画に対応した事業分野別アプリケーション

販売、マーケティング、顧客サービス、現場サポート、その他のクライアント関連機能を統合した顧客関係管理 (CRM) システム

ショッピングおよびセキュリティ保護されたクレジットカード取引に対応した電子商取引用アプリケーション

これらの各要素は個別に配備されるため、システムごとにユーザーを追跡して、実行可能および実行不可能な操作を制御します。通常、この追跡処理には、個人のプロファイル、認証情報、およびアクセス制御などのアイデンティティデータの管理が含まれます。アイデンティティ管理を利用することで、この複製データ (矛盾していることが多い) の管理が簡単になります。

アイデンティティ管理のインフラストラクチャ

アイデンティティ管理システムの目的は、企業内のすべてのユーザーを単一のインフラストラクチャにより管理することです。単一のアイデンティティ管理システムを使用することで、繰り返しを避けて一貫性を維持することができるため、ユーザープロファイルの管理が簡単になります。さらに単一のシステムにより、アイデンティティ管理プロセスの合理化、簡略化、および自動化が可能になります。以下に、アイデンティティ管理システムの構成要素を示します。

アイデンティティ管理の提供するインフラストラクチャは、アイデンティティおよび対応する属性、証明情報、資格の作成および管理をサポートします。この機能には、以下が含まれます。

アイデンティティの提供 (プロファイルの作成、変更、および削除)

ユーザーの自己登録

パスワード管理およびパスワードリセット

セキュリティーサービスを使用することで、ユーザーのアイデンティティがネットワーク上で一貫したものになります。この機能には、以下が含まれます。

認証 (当人のアイデンティティを証明する)

シングルサインオン機能 (一度の認証で多数のリソースへのアクセスを可能にする)

アクセス制御は、ユーザーの資格 (さまざまなリソースをどのようにまたいつ使用できるか) を定義します。多くの場合、これらの制御によりユーザーの組織内でのロールが指定されます。集中化されたポリシーおよびロールを作成して適用することにより、組織は顧客、従業員、およびパートナーの責任を委譲できます。

認証 (アイデンティティが要求されたアクションを実行できるかどうかを決定する)

ポリシー (保護されたリソースへのアクセス承認を定義する)

アクセス制御命令 (アイデンティティデータへのアクセス承認を定義する)

連携サービスは、独立した情報システム間の認証および承認を提供します。

企業の LDAP ディレクトリは、すべてのアイデンティティ情報およびアイデンティティ管理システム自体の設定情報の信頼できるデータストアとして動作します。

これらの構成要素の詳細については、図 1-1 を参照してください。

アイデンティティプロファイルのライフサイクル

一般的なアイデンティティプロファイルのライフサイクルについて考慮すると、アイデンティティ管理を行う際の課題を概観できます。組織内のアイデンティティには、次の 3 つの段階が存在します。

プロファイルの作成

ユーザーが組織に参加すると、アイデンティティプロファイルが作成されます。プロファイルには、個人情報、雇用データ、パスワード情報、および定義済みのアクセス権が含まれます。

プロファイルの管理

セットアップが終了したら、プロファイルを管理する必要があります。これには、プロファイルデータの変更、リソースアクセスポリシーの管理、アクセス制御命令の更新が含まれます。

プロファイルの無効化

ユーザーがログアウトすると、プロファイルにそのことを示すフラグを付け、システムリソースへのアクセスを無効にする必要があります。

Sun Java System Identity Server

Sun Java System Identity Server は、アクセス管理、連携、およびアイデンティティ管理をサポートする Web サービスを統合した標準ベースのミドルウェアのパッケージです。このため、Identity Server は総合的なアイデンティティ管理ソリューションとして、ユーザープロファイルの作成および管理機能を、セキュリティプロセス、アクセス管理ツールおよびデータ格納用ディレクトリに統合します。これらの機能を使用すると、リソースおよび情報が保護された総合的なシステムを組織に配備するとともに、Web ベースのアプリケーションをセキュリティ保護された方法で配信できます。

アクセス管理

アクセス管理は、独自およびアプリケーション固有の認証および承認方法に代わる、共通の認証および承認インフラストラクチャを提供します。組織では、中心となる 1 箇所の管理機能から、複数のサービスに対してポリシーベースのアクセス制御を提供できます。Identity Server の一連のアクセス管理サービスは、次の機能を提供します。

シングルサインオン (SSO)

シングルサインオン機能は、一度のユーザー認証で、複数のリソースへのアクセスを可能にします。Identity Server は、Web ベースのアプリケーションで SSO をサポートします。また、Web ベース以外のアプリケーションに SSO 機能を統合するためのプログラミング用インタフェースも提供します。

プラグイン可能な認証

JAAS (Java^TM Authentication and Authorization Services) ベースの認証フレームワークは、LDAP、RADIUS (Remote Authentication Dial-In User Service)、X.509 デジタル証明書、SecureID閨ASafeWord閨AUNIX�(PAM ベース)、Windows�NT、HTTP 基本認証、匿名、および自己登録を含む、さまざまなプラグイン可能認証モジュールをサポートします。

このフレームワークを利用することで、提供される認証サービスプロバイダインタフェース (SPI) を使用して、カスタム認証モジュールも開発できます。認証を設定することで、同一システム内の多様な組織、ロール、またはユーザーのニーズを同時にサポートしたり、複数の要因が連鎖した設定をサポートしたりできます。

マルチレベルの認証を使用すると、データやサービスの特性に基づいて求められるさまざまな認証レベルにリソースを割り当てることができます。認証サービスには、Web ベース、Java、C、および XML インタフェースからアクセスできます。

ポリシーの評価

ポリシーサービスを使用すると、さまざまなロールやグループ化メカニズムにマッピング可能なアクセス管理ルールを集中的に設定および評価できます。IP アドレス、日付と時刻、カスタム条件などのポリシー制約は、実行時にポリシーに適用して評価できます。

連携管理

インターネットは、ビジネス、コミュニティ、および個人のやり取りのための主要な手段に急速になりつつあるため、ユーザーがさまざまなアカウントアイデンティティを集約させるシステムを構築し、単一のネットワークアイデンティティを使用できるようにする必要が生じてきました。このシステムをアイデンティティ連携といいます。アイデンティティ連携を使用すると、複数のインターネットサービスプロバイダのローカルアイデンティティを関連付けたり、連結したり、またはバインドしたりすることができます。ネットワークアイデンティティを使用すると、あるサービスプロバイダのサイトに一度ログインすれば、アイデンティティを再認証または再確立しなくても提携先のサイトに移動できます。

Identity Server は、Liberty 1.1 および SAML 1.0 の完全な実装を提供します。これには、完全なプロファイル実装および、カスタム統合化に対応した SDK サポートが含まれます。Liberty アイデンティティおよびサービスプロバイダの複数ホスティングも含みます。

Liberty Alliance Project

連携管理は、認証ドメインおよびプロバイダに関するメタデータを表示、管理、および設定する方法を備えています。アイデンティティ連携を実現するために策定された Liberty Alliance Project は、20 億を超える顧客と広範な業種から参加した 138 のメンバー企業により構成されています。その使命は、消費者とビジネスユーザーのシングルサインオンを可能にする、連携されたネットワークアイデンティティソリューションを提供およびサポートすることにより、断片化するアイデンティティの問題を解決することです。

このため、Liberty 対応のアプリケーションは、ユーザーアカウントを別の Liberty 対応アプリケーションのユーザーアカウントと連携 (リンク) させて、2 つのアプリケーション間のシングルサインオンを実現できます。Identity Server は、Liberty Alliance Project の仕様を実装しています。

SAML (Security Assertion Markup Language)

SAML は、ビジネス間インフラストラクチャを実現するのに重要です。アプリケーションは、Identity Server に統合された SAML API を使用して、セキュリティ情報を交換し、信頼される他のアプリケーションとのビジネス取引を実行できます。エンドユーザーは、Web ブラウザを使用して Identity Server への認証を行い、サイト内転送 URL 経由で信頼できるサイトの外部 URL にシームレスにアクセスできます。開発者は、アプリケーション内で SAML API を使用し、信頼できる外部アプリケーション間で認証、承認、および属性情報を交換できます。

アイデンティティ管理

アイデンティティ管理は、ユーザー提供、ポリシー設定、サービス管理を可能にする拡張可能なブラウザベースのインタフェースを提供します。Identity Server コンソールを使用すると、単一のインタフェースからアイデンティティ管理を集中的に実行できます。また、ローカルグループマネージャ、外部パートナー、さらにエンドユーザーにまでも管理を委任できます。

ユーザープロファイル管理

簡潔にまとめると、ユーザープロファイル管理では、アイデンティティプロファイルの作成と削除を行います。ただし、これには、プロファイルの管理を事情に通じた管理者に委任することや、セルフサービスコンポーネント (ユーザーはこれを使ってサービスやアプリケーションを利用できる) を提供すること、新規ユーザーアカウントを作成してそのプロファイルを管理すること (パスワードの変更、自宅住所の更新など) が含まれます。

ポリシー設定

ポリシー設定は、アクセス承認時に評価されるルールの定義です。委任を実行すると、最上位レベルの管理者がポリシーの設定および管理を組織のあらゆるレベルの個人に分散できます。これにより、ポリシーの設定および管理を、リソースに対する権限を保持するユーザーに確実に託すことができます。

サービス管理

サービス管理を使用すると、Web サービスおよび対応する属性を設定、登録、および管理できます。Identity Server では、独自の管理に使用するサービス用インタフェースも提供されます。

監査

管理者は、高度な設定が可能なログ機能を使用して、ユーザーのアクティビティ、トラフィックパターン、認証および承認違反に関する詳細なレポートを作成できます。これらの機能を使用して、リソースアクセスに対するセキュリティレベルの監査も実行できます。MAC (Message Authentication Code) およびデジタル署名ベースのログセキュリティは、ログまたは監査記録に対するいかなる改ざんも検出します。デバッグ機能も有効にできます。

ポリシーエージェント

Identity Server 内のアクセス制御は、ポリシーエージェントを使用して行われます。ポリシーエージェントは、指定された Web サーバー、アプリケーションサーバー、およびプロキシサーバーを不正な侵入から保護します。Identity Server では、Web およびプロキシサーバーを URL レベルで保護するポリシーエージェント、および Java テクノロジに対応したアプリケーションサーバーへのアクセスを行う Java^TM 2 Platform, Enterprise Edition (J2EE) ポリシーエージェントがサポートされます。詳細については、「ポリシーエージェントを使用した Identity Server の統合」を参照してください。

Identity Server コンソール

Identity Server コンソールは、Identity Server の配備全体で設定された、アイデンティティ、サービス、およびポリシーの作成、管理、および監視用のブラウザベースインフラストラクチャです。これは、機能的な Web アプリケーションを作成する開発者を支援する J2EE フレームワークである、Sun Java System Application Framework を使用して構築されます。HTML ページの外観を定義するために、XML ファイル、JSP (JavaServer Pages^TM)、CSS (Cascading Style Sheets) が使用されます。

プログラミング用インタフェース

非グラフィカルインタフェースには、Identity Server の拡張およびカスタマイズに使用される API、SPI、およびコマンド行ツールが含まれます。このインタフェースを使用すると、その他のアプリケーションから各機能にアクセスできるようになります。API および SPI の詳細は、「Identity Server SDK」および『Identity Server 2004Q2 Developer's Guide』を参照してください。コマンド行ツールの詳細は、『Identity Server 2004Q2 管理ガイド』を参照してください。

Sun Java System Directory Server

Java System Directory Server は、アイデンティティ、ポリシー、設定およびサービス情報を格納する統合化されたデータリポジトリとして機能します。

Identity Server の配備

Identity Server は、オープンな標準に準拠したプラットフォームに合わせて設計されています。このプラットフォームは、認証、承認、シングルサインオン、ポリシー、アイデンティティ、および管理機能を既存のインフラストラクチャに統合する際に使用できます。その機能は、Web コンテナの Java 仮想マシン (JVM) 内部で動作し、API およびさまざまなサーバーフレームワークにアクセス可能な Java サーブレット、JavaBeans^TM、および JSP の集合体として提供されます。Identity Server を企業のインフラストラクチャに統合することで、以下のタスクを達成できます。

柔軟性に欠ける独自ユーティリティを排除する

複数の Web およびアプリケーションサービス間のセキュリティ保護された認証、アクセス制御、および監査を実現する

アクセス制御命令 (ACI) のレベルを設定して、集中化されたアイデンティティ管理を委任機能とともに実装する。これにより、以下の処理が組織内で可能になる

内部アイデンティティ管理を IT 担当以外の従業員に委任する

外部アイデンティティ管理をパートナーまたはサプライヤーの従業員に委任する

集中化されたポリシーフレームワークを設定して、実行中のアプリケーションや新たに配備されたサービスに認証機能を提供する

連携管理を Liberty Alliance 仕様 v.1.1 および SAML のサポートに統合する

ポリシーエージェントを使用した Identity Server の統合

Identity Server 2004Q2 は総合的なアイデンティティ管理システムですが、それぞれの組織では何らかのアイデンティティ管理システムをすでに実装している場合があります。たとえば、ディレクトリサーバーや Web コンテナをすでに配備している場合が考えられます。Identity Server と他のシステムとの相互運用を可能にするには、組織の要件を満たすエージェントを利用できる場合は、ポリシーエージェントをダウンロードして保護されたサーバーにインストールできます。

Identity Server の各リリースと並行して、新規ポリシーエージェントの開発およびリリースが行われています。たとえば、Apache Webserver、BEA WebLogic、IBM HTTP Server、IBM WebSphere、Lotus Domino、Microsoft IIS、および PeopleSoft のさまざまなリリースに対応したポリシーエージェントが利用できます。

ポリシーエージェントに対応したオペレーティングシステムには、Solaris^TM Operating System (SPARC�Platform Edition および x86 Platform Edition)、Red Hat^TM Linux, HP-UX 11.x、および Windows 2000 があります。



注	上記の各製品用のポリシーエージェントが、これらのすべてのオペレーティングシステムに用意されているわけではありません。現在利用可能なポリシーエージェントの一覧については、次の Web サイトで Sun の「Web, Portal & Directory Servers Download Center」を調べて、要件を満たすポリシーエージェントが利用できるかどうかを確認してください。 http://www.sun.com/software/download/inter_ecom.html

配備ロードマップ

Identity Server の統合の成功には詳細な計画が重要です。これには、ハードウェア、配備中のアプリケーション、アイデンティティデータおよびアクセス階層に関する情報の収集が含まれます。Identity Server の配備作業は、次の段階に分けることができます。

ビジネスの目的を識別
例:

業務効率を改善

データのセキュリティを確保

次の方法で生産性を保証

組織内の範囲および関係を理解

ビジネスの目的のサポートに必要な行動変化を分析

次の方法で高度なテクノロジ分析を開発し、ビジネスの目的に適用

テクノロジサービスを列挙

ビジネスの目的の達成に必要なツールを列挙

次に例示する、テクノロジサービスの具体策を定義
例:

パーソナライズにより蓄積された従業員の履歴およびデータを保管

アイデンティティ管理を使用して、パスワード同期およびアイデンティティ管理を実行

ロールの戦略を開発して、企業のセキュリティ保護を実現

以下の要素に基づいて、イニシアチブに優先順位を設定

統計的正確性

予測可能性

範囲

費用

影響

複雑性

動作

インフラストラクチャ

利点

サポート

依存関係

配備計画ガイドの各章

配備ロードマップで説明した各段階については、このマニュアルの以下の章で詳しく説明されています。

第 2 章「配備の計画」では、組織のアイデンティティ管理ソリューションの現状を評価し、将来の必要を明確にする方法 (目標および課題を含む) を定義します。

第 3 章「Identity Server のアーキテクチャ」では、Identity Server 製品の全コンポーネントのアーキテクチャに関する高度な概要を示します。

第 4 章「配備前の考慮事項」では、ハードウェア、データソース、および専門知識を含む、特定の要件を分析する方法を示します。

第 5 章「配備シナリオ」では、トポロジを計画し、アプリケーションを配備する簡単なシナリオについて説明します。

『Identity Server 2004Q2 配備計画ガイド』では、付録が追加されて説明が補足されました。以下にその内容を示します。

付録 A 「インストールされる製品のレイアウト」では、Identity Server のインストール時に作成されるディレクトリおよびファイルについて説明します。

付録 B 「ユーザーセッションのライフサイクル」では、複数の HTTP (HyperText Transfer Protocol) 要求間で行われる、ユーザーと Web アプリケーションとのやり取りの追跡に使用するセッションオブジェクトについて説明します。

付録 C 「Active Directory に対する認証」では、Microsoft Active Directory でユーザーを認証する方法を説明します。

付録 F 「RADIUS サーバーに対する認証」では、RADIUS (Remote Authentication Dial-In User Service) サーバーでユーザーを認証する方法について説明します。

付録 D 「chroot 環境のインストール」では、chroot 環境に Identity Server をインストールして、悪意のあるプログラムが実際のルートファイルシステムにアクセスすることを防ぐ方法について説明します。

Identity Server に関連するマニュアル

Identity Server に関する追加情報については、以下のマニュアルを参照してください。

インストール－インストール方法については、『Sun Java Enterprise System 2004Q2 インストールガイド』を参照してください。

移行既存のデータの移行と以前のバージョンの Identity Server の詳細は、『Sun Java Enterprise System 2004Q2 インストールガイド』および『Identity Server 2004Q2 Migration Guide』を参照してください。

管理－コンソールの使用方法および Identity Server の配備を管理する方法については、『Identity Server 2004Q2 管理ガイド』を参照してください。

カスタマイズ－アプリケーションのカスタマイズ方法については、『Identity Server 2004Q2 Developer's Guide』を参照してください。

前へ目次索引次へ
Sun Java System Identity Server 2004Q2 配備計画ガイド