|
| |
| Sun Java™ System Identity Manager 7.0 管理ガイド | |
第 1 章
Identity Manager の概要Sun JavaTM System Identity Manager システムを使用すると、アカウントおよびリソースへのアクセスをセキュアかつ効率的に管理し、監査することができます。Identity Manager は、定期的なタスクおよび日常のタスクを迅速に処理する機能とツールをユーザーに提供することで、内部および外部顧客に対する例外的なサービスを容易に実行できるようにします。
この章では、概要について説明します。以下のトピックで構成されています。
全体像今日のビジネスでは、IT サービスの柔軟性と機能性のさらなる向上がリクエストされます。これまで、ビジネス情報およびシステムへのアクセス管理には、限られた数のアカウントとの直接的な対話しか必要ありませんでした。ところが、アクセス管理は次第に、増大する内部顧客の処理のみならず、企業外のパートナーや顧客の処理も意味するようになってきました。
このようなアクセスニーズの増大によって生ずるオーバーヘッドは、膨大なものになる可能性があります。管理者は、ユーザー (企業内外の) が効果的かつセキュアに自分の任務を果たせるようにしなければなりません。さらに、最初のアクセスのあとには、パスワードの忘失、ロールやビジネス上の関係の変更、といった詳細な問題に次々に直面します。
さらに、今日のビジネスは重要なビジネス情報のセキュリティーと完全性を管理する厳しいリクエストに直面しています。米国企業改革 (SOX) 法、HIPAA 法 (医療保険の携行性と責任に関する法律)、GLB 法 (グラムリーチブライリー法) などコンプライアンスに関連する法律の影響を受ける環境では、活動の監視とレポートによって生み出されるオーバーヘッドは、膨大でコストがかかります。ビジネスの安全を確保するために、データ収集とレポートの要件を満たしながら、アクセス管理の変化に素早く対応できるようにしておく必要があります。
Identity Manager は、動的な環境におけるこのような管理上の課題を解決する際に特に役立つように開発されました。Identity Manager を使用して、アクセス管理のオーバーヘッドを分散させ、コンプライアンスの負荷に対処することにより、アクセスをどのように定義するか、定義したあとに柔軟性と管理をどのようにして維持するか、という主要な課題が解決しやすくなります。
セキュアでありながら柔軟な設計の Identity Manager は、企業の構造に適応し、これらの課題に対処するようにセットアップできます。Identity Manager オブジェクトを管理対象のエンティティー (ユーザーおよびリソース) にマップすることにより、操作の効率は飛躍的に向上します。
サービスプロバイダ環境で、Identity Manager はこれらの機能をエクストラネットユーザーも管理するように拡張しました。
Identity Manager システムの目的
Identity Manager ソリューションでは次の目的を達成することができます。
- 多種多様なシステムおよびリソースに対するアカウントアクセスを管理する。
- 各ユーザーのアカウント配列に対する動的なアカウント情報をセキュアに管理する。
- ユーザーアカウントデータの作成および管理に対する委任された権限をセットアップする。
- 多数の企業リソースと、ますます増大するエクストラネット顧客およびパートナーを処理する。
- 企業情報システムへのユーザーアクセスをセキュアに承認する。Identity Manager では、組織内外でのアクセス特権の許可、管理、および失効の機能が完全に統合される。
- データを保持することなくデータの同期を維持する。Identity Manager ソリューションは、優れたシステム管理ツールで監視する必要のある 2 つの主要な原則をサポートする。
- ユーザーアクセス特権のコンプライアンスを管理し、自動是正措置と電子メール警告で違反を管理する監査ポリシーを定義する。
- 定期的アクセスレビューを行い、ユーザー特権を保証するプロセスを自動化するアテステーションレビューと承認手順を定義する。
- 主要な情報を監視し、ダッシュボードを使用して統計を監査し、レビューする。
ユーザーアクセスの定義
拡張された企業内のユーザーとは、企業と関係を持つすべてのユーザーのことです。たとえば、従業員、顧客、パートナー、サプライヤ、買収者などです。Identity Manager システムでは、ユーザーはユーザーアカウントによって表されます。
ビジネスおよびほかのエンティティーとの関係に応じて、ユーザーは、コンピュータシステム、データベースに保存されたデータ、または特定のコンピュータアプリケーションなど、さまざまなものにアクセスする必要があります。Identity Manager では、これらをリソースと呼びます。
ユーザーは、アクセスするリソースごとに 1 つ以上の ID を持っていることが多くあるため、Identity Manager は、異種のリソースにマップされる単一の仮想 ID を作成します。これにより、ユーザーを単一のエンティティーとして管理できるようになります。図 1-1 を参照してください。
図 1-1 Identity Manager ユーザーアカウント | リソースの関係
多数のユーザーを効果的に管理するには、ユーザーをグループ化する論理的な方法が必要です。ほとんどの企業では、ユーザーは職務上の部署または地域的な部門にグループ化されています。通常、このような部署はそれぞれ、異なるリソースにアクセスする必要があります。Identity Manager では、このようなタイプのグループを組織と呼びます。
ユーザーをグループ化するもう 1 つの方法は、企業での関係または任務機能などの類似した特性でグループ化することです。Identity Manager ではこのようなグループ化をロールと呼びます。
Identity Manager システムでは、ユーザーアカウントにロールを割り当てて、リソースへのアクセスを効率的に有効化または無効化します。組織にアカウントを割り当てることにより、管理の役割の委任を効率的に行うことができます。
ポリシーを適用することによって、Identity Manager ユーザーを直接または間接的に管理することもできます。ポリシーは、規則およびパスワードと、ユーザー認証オプションをセットアップします。
管理の委任
ユーザーアイデンティティーマネージメントの役割の分散を成功させるには、柔軟性と管理の適切なバランスを取る必要があります。選択した Identity Manager ユーザーに管理者特権を与えて管理タスクを委任することにより、管理者のオーバーヘッドが軽減します。さらに、人事部長など、ユーザーニーズを熟知したユーザーにアイデンティティー管理の役割を与えることにより、効率が向上します。このような拡張特権を持つユーザーを、Identity Manager 管理者と呼びます。
ただし、委任はセキュアなモデル内でのみ有効です。適切な管理レベルを維持するために、Identity Manager は管理者に異なるレベルの機能を割り当てることができます。機能は、システム内でのさまざまなレベルのアクセスおよび操作を承認します。
また、Identity Manager ワークフローモデルにも、特定の操作に承認が必要かどうかを確認する方法が含まれています。Identity Manager 管理者は、ワークフローを使用してタスクの管理権限を保有し、その進行状況を追跡できます。ワークフローの詳細については、『Identity Manager Workflows, Forms, and Views』を参照してください。
Identity Manager オブジェクトIdentity Manager オブジェクトとその操作の方法を明確に理解することは、システムの管理と導入を成功させるために不可欠です。オブジェクトには次のものがあります。
ユーザーアカウント
Identity Manager ユーザーアカウント
ユーザーアカウントのセットアッププロセスは動的です。アカウントのセットアップで選択したロールに応じて、アカウントを作成するためのリソース固有の情報が増減する可能性があります。割り当てられたロールに関連付けられたリソースの数とタイプによって、アカウント作成時に必要な情報が決まります。
ユーザーに管理特権を与えて、ユーザーアカウント、リソース、およびほかの Identity Manager システムオブジェクトとタスクを管理できます。Identity Manager 管理者は組織を管理し、管理対象の各組織内のオブジェクトに適用する一連の機能を割り当てられます。
ロール
ロールは Identity Manager ユーザータイプを表す Identity Manager オブジェクトであり、リソースのグループ化とユーザーへの割り当てを許可します。通常、ロールはユーザーの任務機能を表します。たとえば金融機関では、ロールは出納係、融資担当者、支店長、窓口担当、経理担当者、管理補佐などに対応します。
ロールは、ユーザーに対するリソースおよびリソース属性の基本的なセットを定義します。また、ほかのロールとの関係、たとえばほかのロールを含むか除外するかなども定義できます。
同じロールを持つユーザーは、リソースに共通のベースグループへのアクセスを共有します。各ユーザーに 1 つ以上のロールを割り当てることも、ロールを割り当てないこともできます。
図 1-2 に示すように、ユーザー 1 とユーザー 2 は、ロール 2 の割り当てによって同じリソースセットへのアクセスを共有しています。ただし、ユーザー 1 はロール 1 の割り当てによってほかのリソースにもアクセスできます。
図 1-2 ユーザーアカウント、ロール、リソースの関係
リソースとリソースグループ
Identity Manager リソースには、アカウントが作成されるリソースまたはシステムへの接続方法についての情報が格納されています。Identity Manager がアクセスを提供するリソースは、次のとおりです。
各 Identity Manager リソースに格納されている情報は、次の主要なグループに分類されます。
Identity Manager ユーザーアカウントは、図 1-3 に示すように次の割り当てによってリソースにアクセスできます。
関連する Identity Manager オブジェクトであるリソースグループを、リソースの割り当てと同じ方法でユーザーアカウントに割り当てることができます。リソースグループは、リソースを相互に関連付けて、アカウントを特定の順序でリソース上に作成できるようにします。また、複数のリソースのユーザーアカウントへの割り当てプロセスを簡素化します。リソースグループの詳細については、「リソースグループ」を参照してください。
組織と仮想組織
組織とは、管理の委任を可能にするために使用される Identity Manager コンテナです。組織は、Identity Manager 管理者が管理するエンティティーの範囲を定義します。
また、組織は、ディレクトリベースのリソースへの直接のリンクも表します。これらは仮想組織と呼ばれます。仮想組織を使用すると、情報を Identity Manager リポジトリに読み込まずに、リソースデータを直接管理できます。Identity Manager では、仮想組織を使用して既存のディレクトリ構造とメンバーシップをミラー化することにより、セットアップタスクの重複と時間の浪費をなくします。
ほかの組織を含む組織は、親組織です。組織はフラットな構造に作成することも、階層構造内に作成することもできます。階層構造は、ユーザーアカウントを管理するための部署、地域、またはその他の論理的な部門を表します。
ディレクトリジャンクション
ディレクトリジャンクションは、階層的に関係する組織のセットであり、ディレクトリリソースの実際の階層構造コンテナのセットをミラー化したものです。ディレクトリリソースは、階層構造コンテナを使用して、階層構造の名前空間を使用するリソースです。ディレクトリリソースの例には、LDAP サーバーおよび Windows Active Directory リソースがあります。
ディレクトリジャンクション内の各組織が、仮想組織です。ディレクトリジャンクションの最上位の仮想組織は、リソース内に定義されたベースコンテキストを表すコンテナをミラー化したものです。ディレクトリジャンクション内の残りの仮想組織は、最上位の仮想組織の直接または間接的な子であり、定義済みリソースのベースコンテキストコンテナの子であるディレクトリリソースコンテナのいずれかをミラー化しています。
Identity Manager ユーザーを、組織と同様の方法で仮想組織のメンバーにして、仮想組織から使用可能にすることができます。
機能
機能、つまり権限のグループが割り当てられたユーザーは、Identity Manager の管理操作を実行できるようになります。機能によって、管理ユーザーはシステム内で特定のタスクを実行したり、さまざまな Identity Manager オブジェクトを操作したりすることができます。
通常、機能は、パスワードのリセットまたはアカウントの承認など、特定のジョブの役割に従って割り当てられます。個別のユーザーに機能と権限を割り当てることにより、管理の階層構造が作成され、データの保護をおびやかすことなく、対象を絞ったアクセスと特権を提供することができます。
Identity Manager では、一般的な管理機能用のデフォルト機能のセットを提供しています。また、特定のニーズを満たす機能を作成して割り当てることもできます。
管理者ロール
管理者ロールを使用すると、管理ユーザーが管理している組織を組み合わせて、その組み合わせごとに一意の機能セットを定義できます。管理者ロールに機能および管理する組織を割り当ててから、その管理者ロールを管理ユーザーに割り当てることができます。
機能および管理する組織は、管理者ロールに直接割り当てることができます。また、管理ユーザーが Identity Manager にログインしたときに、間接的 (動的) に割り当てることもできます。Identity Manager 規則によって、動的に権限が割り当てられます。
ポリシー
ポリシーには、アカウント ID、ログイン、およびパスワードの特性に制約を設定することによって、Identity Manager ユーザーの制限を設定します。アイデンティティーシステムアカウントポリシーは、ユーザー、パスワード、および認証ポリシーのオプションと制約を設定します。リソースパスワードとアカウント ID ポリシーは、長さ規則、文字タイプ規則、許容される単語や属性値を設定します。辞書ポリシーを使用すると、Identity Manager は単語データベースと照合してパスワードをチェックすることができ、単純な辞書攻撃からの保護が保証されます。
監査ポリシー
ほかのシステムポリシーとは異なり、監査ポリシーは特定のリソースのユーザーグループのポリシー違反を定義します。監査ポリシーは、1 つまたは複数の規則を設定し、これによってユーザーのコンプライアンス違反を評価します。これらの規則は、リソースによって定義された 1 つまたは複数の属性に基づく条件によって決まります。システムがユーザーをスキャンする場合、そのユーザーに割り当てられた監査ポリシーで定義された条件を使用し、コンプライアンス違反が発生しているかどうかを判断します。
オブジェクトの関係
以下の表は、Identity Manager オブジェクトおよびオブジェクト間の関係を示しています。
Identity Manager の用語Identity Manager インタフェースおよびガイドでは、用語を次のように定義しています。
アクセスレビュー
特定の日に従業員セットが適切なユーザーエンタイトルメントを持っているとアテストする管理および監査プロセス。
管理ユーザーに割り当てられた組織の組み合わせごとに定義します。
管理者
Identity Manager をセットアップしたり、ユーザーの作成やリソースへのアクセスの管理などの操作タスクを実行したりする役割を持つ個人。
管理者インタフェース
Identity Manager の主要な管理ビュー。
承認者
アクセスリクエストを承認または却下する管理機能を持つユーザー。
アテステーション
ユーザーエンタイトルメントが適切であることを確認するために、アクセスレビュー中にアテスターが行う操作。
アテステーションタスク
アテステーションを必要とするユーザーエンタイトルメントレビューの論理的集まり。ユーザーエンタイトルメントは、同じアテスターに割り当てられ、同じアクセスレビューインスタンスから作成されると、1 つのアテステーションタスクにグループ化されます。
アテスター
ユーザーエンタイトルメントが適切であることを保証 (アテステーション) する責任を持つユーザー。アテスターは、アテステーションを必要とするユーザーエンタイトルメントを管理するために必要な Identity Manager の拡張特権を持ちます。
Business Process Editor (BPE)
Identity Manager フォーム、規則、およびワークフローのグラフィカルな表示。BPE は今でもサポートされていますが、現在のバージョンの Identity Manager では Identity Manager IDE に置き換わっています。
機能
ユーザーアカウントに割り当てるアクセス権限のグループ。Identity Manager で実行される操作を制御する、Identity Manager での最小レベルのアクセス管理です。
ディレクトリジャンクション
階層的に関係する組織のセットであり、ディレクトリリソースの実際の階層構造コンテナのセットをミラー化したものです。ディレクトリジャンクション内の各組織が、仮想組織です。
エスカレーションタイムアウト
作業項目を割り当てられた所有者が作業項目リクエストで指定された時間内に応答しなかった場合、タイムアウトとなり Identity Manager プロセスは次に割り当てられている応答者にリクエストを送信します。
フォーム
Web ページに関連付けられたオブジェクトであり、ブラウザでユーザー表示属性をそのページにどのように表示するかについての規則が含まれています。フォームにはビジネスロジックを組み込むことができ、通常は、ユーザーに表示する前に、表示データを処理するために使用します。
アイデンティティーテンプレート
ユーザーのリソースアカウント名を定義します。
組織
管理の委任を可能にするために使用する Identity Manager コンテナ。組織は、管理者が制御または管理するエンティティー (ユーザーアカウント、リソース、管理者アカウントなど) の範囲を定義します。組織は、主として Identity Manager を管理する目的で「どこで」というコンテキストを提供します。
定期的アクセスレビュー
暦四半期など定期的な間隔で実行されるアクセスレビュー。
ポリシー
Identity Manager アカウントの制限を設定します。Identity Manager ポリシーは、ユーザー、パスワード、および認証オプションを設定し、組織またはユーザーに関連付けられます。リソースパスワードポリシーとアカウント ID ポリシーは、規則、許可される単語、および属性値を設定し、個々のリソースに関連付けられます。
是正者
監査ポリシーの割り当てられた是正者に指定された Identity Manager ユーザー。
Identity Manager が是正の必要なコンプライアンス違反を検出すると、是正作業項目を作成し、その作業項目を是正者の作業項目リストに送信します。
リソース
Identity Manager では、アカウントが作成されたリソースやシステムへの接続方法についての情報が保存されます。Identity Manager がアクセスを提供するリソースには、メインフレームセキュリティーマネージャー、データベース、ディレクトリサービス、アプリケーション、オペレーティングシステム、ERP システム、およびメッセージプラットフォームがあります。
リソースアダプタ
Identity Manager エンジンとリソースの間のリンクを提供する Identity Manager コンポーネント。このコンポーネントにより、Identity Manager は所定のリソースのユーザーアカウントを管理 (作成、更新、削除、認証、およびスキャン機能を含む) するほか、そのリソースをパススルー認証に利用することができます。
リソースアダプタアカウント
管理するリソースにアクセスするために、Identity Manager リソースアダプタが使用するクレデンシャル。
リソースグループ
ユーザーリソースアカウントを作成、削除、および更新を順序付けするために使用するリソースの集まり。
リソースウィザード
リソースパラメータ、アカウント属性、アイデンティティーテンプレート、および Identity Manager パラメータのセットアップと設定を含め、リソースの作成および修正プロセスの手順を案内する Identity Manager ツール。
ロール
Identity Manager におけるユーザーのクラス用のテンプレートまたはプロファイル。各ユーザーには、1 つ以上のロールを割り当てることができます。ロールはアカウントによるリソースのアクセスとデフォルトのリソース属性を定義します。
規則
XPRESS、XML オブジェクト、または JavaScript 言語で作成された関数を含む Identity Manager リポジトリ内のオブジェクト。規則は、頻繁に使用されるロジックや、フォーム、ワークフロー、およびロール内で再利用される静的な変数を格納するためのメカニズムを提供します。
スキーマ
あるリソースに対するユーザーアカウント属性のリスト。
スキーママップ
あるリソースについての、リソースアカウント属性を Identity Manager アカウント属性にマップしたもの。Identity Manager アカウント属性は、複数のリソースへの共通リンクを作成し、フォームによって参照されます。スキーママップは、リソースウィザードの一部として表示されます。
サービスプロバイダユーザー
サービスプロバイダ企業の従業員やイントラネットユーザーとは区別される、エクストラネットユーザーまたはサービスプロバイダの顧客。
ユーザー
Identity Manager システムアカウントを所持する個人。Identity Manager では、ユーザーは特定の範囲の機能を持つことができます。拡張機能を持つユーザーは Identity Manager 管理者です。
ユーザーアカウント
Identity Manager を使用して作成されたアカウント。Identity Manager アカウントと、Identity Manager リソース上のアカウントのいずれかを指します。つまり、入力する情報またはフィールドは、ロールの割り当てによって直接または間接的にユーザーに提供されたリソースに応じて異なります。
ユーザーエンタイトルメント
特定の日の 1 人のユーザーに割り当てられたリソースとこれらのリソース上の重要な属性を示すユーザービュー。
ユーザーインタフェース
Identity Manager システムの制限されたビュー。特に管理機能を持たないユーザー用に調整したものであり、パスワードの変更や秘密の質問への回答の設定など、一連の自己管理タスクを実行できます。
仮想組織
ディレクトリジャンクション内で定義された組織。ディレクトリジャンクションを参照。
ワークフロー
論理的で反復可能なプロセスであり、ドキュメント、情報、またはタスクが、ある関与者から別の関与者に渡されます。Identity Manager ワークフローは、ユーザーアカウントの作成、更新、有効化、無効化、および削除を管理する複数のプロセスで構成されています。
作業項目
承認者、アテスター、是正者に指定されたユーザーに割り当てられた、Identity Manager 内のワークフロー、フォーム、手順によって生成された操作リクエスト。
