第 1 章 Identity Manager の概要

Sun Identity Manager システムを使用すると、アカウントおよびリソースへのアクセスを管理および監査できます。Identity Manager は、定期的な日常のユーザープロビジョニングタスクおよび監査タスクを迅速に処理する機能とツールをユーザーに提供することで、内部および外部顧客に対して格別なサービスを容易に実行できるようにします。

この章では、概要について説明します。以下のトピックで構成されています。

全体像

今日のビジネスでは、IT サービスの柔軟性と機能性のさらなる向上が必要とされます。これまで、ビジネス情報およびシステムへのアクセス管理には、限られた数のアカウントとの直接的な対話しか必要ありませんでした。現在では、アクセス管理は、増大する内部顧客の処理のみならず、企業外のパートナーや顧客の処理も意味するようになっています。

このようなアクセスニーズの増大によって生ずるオーバーヘッドは、膨大なものになる可能性があります。管理者は、ユーザー (企業内外の) が効果的かつセキュアに自分の任務を果たせるようにしなければなりません。さらに、最初のアクセスのあとには、パスワードの忘失、ロールやビジネス上の関係の変更、といった詳細な問題に次々に直面します。

さらに、今日のビジネスは重要なビジネス情報のセキュリティーと完全性を管理する厳しい要求に直面しています。米国企業改革 (SOX) 法、HIPAA 法 (医療保険の携行性と責任に関する法律)、GLB 法 (グラムリーチブライリー法) などコンプライアンスに関連する法律の影響を受ける環境では、活動の監視とレポートによって生み出されるオーバーヘッドは、膨大でコストがかかります。ビジネスの安全を確保するために、データ収集とレポートの要件を満たしながら、アクセス管理の変化にすばやく対応できるようにしておく必要があります。

Identity Manager は、動的な環境におけるこのような管理上の課題を解決する際に特に役立つように開発されました。Identity Manager を使用して、アクセス管理のオーバーヘッドを分散させ、コンプライアンスの負荷に対処することにより、アクセスをどのように定義するか、定義したあとに柔軟性と管理をどのようにして維持するか、という主要な課題が解決しやすくなります。

セキュアでありながら柔軟な設計の Identity Manager は、企業の構造に適応し、これらの課題に対処するように設定できます。Identity Manager オブジェクトを管理対象のエンティティー (ユーザーおよびリソース) にマップすることにより、操作の効率は飛躍的に向上します。

サービスプロバイダ環境で、Identity Manager はこれらの機能をエクストラネットユーザーも管理するように拡張しました。

Identity Manager システムの目的

Identity Manager ソリューションでは次の目的を達成することができます。

多種多様なシステムおよびリソースに対するアカウントアクセスを管理する。

各ユーザーの一連のアカウントに対する動的なアカウント情報をセキュアに管理する。

ユーザーアカウントデータの作成および管理に対する委任された権限を設定する。

多数の企業リソースと、ますます増大するエクストラネット顧客およびパートナーを処理する。

企業情報システムへのユーザーアクセスをセキュアに承認する。Identity Manager では、組織内外でのアクセス特権の許可、管理、および失効の機能が完全に統合される。

データを保持することなくデータの同期を維持する。Identity Manager ソリューションは、優れたシステム管理ツールで監視する必要のある 2 つの主要な原則をサポートする。

管理対象システムへの製品の影響を最低限に抑える必要がある

製品が別の管理リソースを追加することで、企業環境が複雑になってはならない

ユーザーアクセス特権のコンプライアンスを管理し、自動是正措置と電子メール警告で違反を管理する監査ポリシーを定義する。

定期的アクセスレビューを行い、ユーザー特権を保証するプロセスを自動化するアテステーションレビューと承認手順を定義する。

主要な情報を監視し、ダッシュボードを使用して統計を監査し、レビューする。

リソースへのユーザーアクセスの定義

拡張された企業内のユーザーとは、企業と関係を持つすべてのユーザーのことであり、従業員、顧客、パートナー、サプライヤ、買収した会社などが含まれます。Identity Manager システムでは、ユーザーはユーザーアカウントによって表されます。

ビジネスおよびほかのエンティティーとの関係に応じて、ユーザーは、コンピュータシステム、データベースに保存されたデータ、または特定のコンピュータアプリケーションなど、さまざまなものにアクセスする必要があります。Identity Manager では、これらを「リソース」と呼びます。

ユーザーはアクセスするリソースごとに 1 つ以上のアイデンティティーを持つ場合が多いため、Identity Manager では単一の仮想 ID を作成して異種のリソースにマップします。これにより、ユーザーを単一のエンティティーとして管理できるようになります。図 1-1 を参照してください。

多数のユーザーを効果的に管理するには、ユーザーをグループ化する論理的な方法が必要です。ほとんどの企業では、ユーザーは職務上の部署または地域的な部門にグループ化されています。通常、このような部署はそれぞれ、異なるリソースにアクセスする必要があります。Identity Manager では、このようなタイプのグループを「組織」と呼びます。

ユーザーをグループ化するもう 1 つの方法は、企業での関係または職務機能などの類似した特性でグループ化することです。Identity Manager ではこのようなグループ化を「ロール」と認識します。

Identity Manager システムでは、ユーザーアカウントにロールを割り当てて、リソースへのアクセスを効率的に有効化または無効化します。組織にアカウントを割り当てることにより、管理の役割の委任を効率的に行うことができます。

ポリシーを適用することによって、Identity Manager ユーザーを直接または間接的に管理することもできます。ポリシーは、規則およびパスワードと、ユーザー認証オプションを設定します。

ユーザータイプ

Identity Manager には、Identity Manager ユーザーと、Identity Manager システムをサービスプロバイダ実装用に設定する場合のサービスプロバイダユーザーという 2 つのユーザータイプが用意されています。これらのタイプを使用すると、ユーザーと企業との関係に基づきプロビジョニング要件が異なる可能性のあるユーザーを区別できます (たとえば、エクストラネットユーザーとイントラネットユーザーを区別)。

サービスプロバイダ実装の一般的なシナリオは、サービスプロバイダ企業が内部ユーザーと外部ユーザー (顧客) を Identity Manager で管理するケースです。サービスプロバイダを実装するための設定の詳細については、『Identity Manager Service Provider Deployment』を参照してください。

ユーザーアカウントを設定する場合は、Identity Manager ユーザータイプを指定します。サービスプロバイダユーザーの詳細については、第 17 章「サービスプロバイダの管理」を参照してください。

管理の委任

ユーザーのアイデンティティー管理の責任をうまく分散させるには、柔軟性と管理のバランスを適切にとる必要があります。選択した Identity Manager ユーザーに管理者特権を与えて管理タスクを委任することにより、管理者のオーバーヘッドが軽減します。さらに、人事部長など、ユーザーニーズを熟知したユーザーにアイデンティティー管理の役割を与えることにより、効率が向上します。このような拡張特権を持つユーザーを、Identity Manager 管理者と呼びます。

ただし、委任はセキュアなモデル内でのみ有効です。適切な管理レベルを維持するために、Identity Manager は管理者に異なるレベルの機能を割り当てることができます。機能は、システム内でのさまざまなレベルのアクセスおよび操作を承認します。

また、Identity Manager ワークフローモデルにも、特定の操作に承認が必要かどうかを確認する方法が含まれています。Identity Manager 管理者は、ワークフローを使用してタスクの管理権限を保有し、その進行状況を追跡できます。ワークフローの詳細については、『Identity Manager ワークフロー、フォーム、およびビュー』を参照してください。

Identity Manager オブジェクト

Identity Manager オブジェクトとその操作の方法を明確に理解することは、システムの管理と導入を成功させるために不可欠です。オブジェクトには次のものがあります。

ユーザーアカウント

ユーザーとは、Identity Manager システムアカウントを所持する個人のことです。Identity Manager には、各ユーザーについての一連のデータが格納されています。この情報が集まって、特定のユーザーの Identity Manager ID を形成します。

ユーザーアカウントの設定プロセスは動的です。アカウントの設定で選択したロールに応じて、アカウントを作成するためのリソース固有の情報が増減する可能性があります。割り当てられたロールに関連付けられたリソースの数とタイプによって、アカウント作成時に必要な情報が決まります。

管理者とは、ユーザーアカウント、リソース、およびほかの Identity Manager システムオブジェクトとタスクを管理する追加特権を持つユーザーです。Identity Manager 管理者は組織を管理し、管理対象の各組織内のオブジェクトに適用する一連の機能を割り当てられます。

ロール

ロールは、リソースアクセス権をグループ化して、効率的にユーザーに割り当てることを可能にする Identity Manager オブジェクトです。ロールは、次の 4 つのロールタイプに分けられます。

ビジネスロールは、組織内で類似のタスクを実行するユーザーがジョブの遂行に必要とするアクセス権をグループに編成します。通常、ビジネスロールはユーザーの職務機能を表します。

IT ロール、アプリケーション、およびアセットは、リソースの権利 (つまりアクセス権) をグループに編成します。ユーザーがリソースにアクセスできるようにするには、IT ロール、アプリケーション、およびアセットをビジネスロールに割り当てて、ジョブの実行に必要なリソースにユーザーがアクセスできるようにします。

IT ロール、アプリケーション、およびアセットは、必須、条件付き、オプションのいずれかにできます。必須ロールは、常にユーザーに割り当てられます。条件付きロールを割り当てるには、条件が true に評価される必要があります。オプションロールは個別に要求することができ、承認されるとユーザーに割り当てられます。

ロールは条件付きまたはオプションにできるため、職務内容が同じユーザーは、同じビジネスロールを持ちながらも、アクセス権が異なる場合もあります。この方法では、ビジネスロールのデザイナが、リソースへのアクセスを大まかに定義して法規制の順守をはかり、ユーザーのマネージャーに柔軟性を持たせて、ユーザーのアクセス権をきめ細かく調整できるようにします。この方法では、企業内のアクセスニーズの順列ごとにビジネスロールを新たに定義する必要がないため、「ロールエクスプロージョン」と呼ばれる問題が発生しません。

ユーザーには 1 つ以上のロールを割り当てることも、ロールを割り当てないことも可能です。

リソースとリソースグループ

Identity Manager は、リソースまたはシステムへの接続方法に関する情報を格納します。Identity Manager がアクセスを提供するリソースは、次のとおりです。

各 Identity Manager リソースが格納する情報の種類は、次のとおりです。

リソースをユーザーに割り当てるには、2 つの方法があります。リソースをユーザーに直接割り当てる (個別または直接の割り当てと呼ばれる) ことも、リソースをロールに割り当て、そのロールをユーザーに割り当てる (ロールベースまたは間接の割り当てと呼ばれる) こともできます。

関連する Identity Manager オブジェクトであるリソースグループを、リソースの割り当てと同じ方法でユーザーアカウントに割り当てることができます。リソースグループは、リソースを相互に関連付けて、アカウントを特定の順序でリソース上に作成できるようにします。また、複数のリソースのユーザーアカウントへの割り当てプロセスを簡素化します。

組織と仮想組織

組織とは、管理の委任を可能にするために使用される Identity Manager コンテナです。組織は、Identity Manager 管理者が管理するエンティティーの範囲を定義します。

また、組織は、ディレクトリベースのリソースへの直接のリンクも表します。これらは仮想組織と呼ばれます。仮想組織を使用すると、情報を Identity Manager リポジトリに読み込まずに、リソースデータを直接管理できます。Identity Manager では、仮想組織を使用して既存のディレクトリ構造とメンバーシップをミラー化することにより、設定タスクの重複と時間の浪費をなくします。

ほかの組織を含む組織は、親組織です。組織はフラットな構造に作成することも、階層構造として作成することもできます。階層構造は、ユーザーアカウントを管理するための部署、地域、またはその他の論理的な部門を表します。

ディレクトリジャンクション

ディレクトリジャンクションは、階層的に関連する一連の組織で、ディレクトリリソースの一連の実際の階層型コンテナをミラー化したものです。ディレクトリリソースは、階層型コンテナを使用して、階層的な名前空間を使用するリソースです。ディレクトリリソースの例には、LDAP サーバーおよび Windows Active Directory リソースがあります。

ディレクトリジャンクション内の各組織は、仮想組織です。ディレクトリジャンクションの最上位の仮想組織は、リソース内に定義されたベースコンテキストを表すコンテナをミラー化したものです。ディレクトリジャンクション内の残りの仮想組織は、最上位の仮想組織の直接または間接的な子であり、定義済みリソースのベースコンテキストコンテナの子であるディレクトリリソースコンテナのいずれかをミラー化しています。

Identity Manager ユーザーを、組織と同様の方法で仮想組織のメンバーにして、仮想組織から使用可能にすることができます。

機能

機能、つまり権限のグループが割り当てられたユーザーは、Identity Manager の管理操作を実行できるようになります。機能によって、管理ユーザーはシステム内で特定のタスクを実行したり、さまざまな Identity Manager オブジェクトを操作したりすることができます。

通常、機能は、パスワードのリセットまたはアカウントの承認など、特定のジョブの役割に従って割り当てられます。個別のユーザーに機能と権限を割り当てることにより、管理の階層構造が作成され、データの保護をおびやかすことなく、対象を絞ったアクセスと特権を提供することができます。

Identity Manager では、一般的な管理機能用の一連のデフォルト機能を提供しています。また、特定のニーズを満たす機能を作成して割り当てることもできます。

管理者ロール

Identity Manager 管理者ロールを使用すると、管理ユーザーが管理している組織を組み合わせて、その組み合わせごとに一意の機能セットを定義できます。管理者ロールに機能および管理する組織を割り当ててから、その管理者ロールを管理ユーザーに割り当てることができます。

機能および管理する組織は、管理者ロールに直接割り当てることができます。また、管理ユーザーが Identity Manager にログインしたときに、間接的 (動的) に割り当てることもできます。Identity Manager 規則によって、動的に権限が割り当てられます。

ポリシー


注	Identity Manager オブジェクトに名前を付けるときは、次の文字を使用しないでください。 ' (アポストロフィー)、. (ピリオド)、\| (パイプ)、[ (左角括弧)、] (右角括弧)、, (カンマ)、: (コロン)、$ (ドル記号)、" (二重引用符)、¥ (円記号)、= (等号)。また、_ (下線)、% (パーセント記号)、^ (キャレット)、および * (アスタリスク) の使用も避けてください。

アカウント ID、ログイン、およびパスワードの特性に関する制約をポリシーとして設定することによって、Identity Manager ユーザーに関する制限事項を設定します。アイデンティティーシステム アカウントポリシーは、ユーザー、パスワード、および認証ポリシーのオプションと制約を設定します。リソースパスワードとアカウント ID ポリシーは、長さ規則、文字タイプ規則、許容される単語や属性値を設定します。辞書ポリシーを使用すると、Identity Auditor は単語データベースと照合してパスワードをチェックすることができ、単純な辞書攻撃から保護することができます。

監査ポリシー

ほかのシステムポリシーとは異なり、監査ポリシーは特定のリソースのユーザーグループのポリシー違反を定義します。監査ポリシーは、1 つまたは複数の規則を設定し、これによってユーザーのコンプライアンス違反を評価します。これらの規則は、リソースによって定義された 1 つまたは複数の属性に基づく条件によって決まります。システムがユーザーをスキャンする場合、そのユーザーに割り当てられた監査ポリシーで定義された条件を使用し、コンプライアンス違反が発生しているかどうかを判断します。

オブジェクトの関係

表 1-1 は、Identity Manager オブジェクトおよびオブジェクト間の関係を示しています。

表 1-1 Identity Manager オブジェクトの関係
Identity Manager オブジェクト	説明	適用対象
ユーザーアカウント	Identity Manager および 1 つ以上のリソース上にあるアカウント。ユーザーデータをリソースから Identity Manager に読み込むことができます。特別なユーザークラスである Identity Manager 管理者は拡張特権を持ちます。	ロール通常、各ユーザーアカウントには 1 つ以上のロールが割り当てられます。組織ユーザーアカウントは、組織の一部として階層構造に配置されます。Identity Manager 管理者は、さらに組織を管理します。リソース個別のリソースを、ユーザーアカウントに割り当てることができます。機能管理者には、自分が管理する組織に対する機能が割り当てられます。
ロール	ビジネスロールは、組織内で類似のタスクを実行するユーザーがジョブの遂行に必要なアクセス権をグループに編成します。アプリケーションおよび IT ロールはリソースをグループに編成し、ビジネスロールを使ってリソースをユーザーに割り当てられるようにします。ロールベースのリソース割り当てにより、大規模な組織でのリソース管理が簡単になります。	リソースとリソースグループリソースとリソースグループは、アセット、アプリケーション、および IT ロールに割り当てられます。ユーザーアカウント類似した特性を持つユーザーアカウントは、ビジネスロールに割り当てられます。アセット、アプリケーション、および IT ロールアセット、アプリケーション、および IT ロールは、ビジネスロールに割り当てられます。
リソース	アカウントが管理するシステム、アプリケーション、またはほかのリソースについての情報を格納します。	ロールリソースはアプリケーションおよび IT ロールに割り当てられ、これらのロールはビジネスロールに割り当てられます。ユーザーアカウントは、ビジネスロールの割り当てからリソースアカウントをゆるやかに「継承」します。ユーザーアカウントリソースをユーザーアカウントに個別に割り当てることができます。
リソースグループ	順序付けされたリソースのグループ。	ロールリソースグループにはロールが割り当てられます。ユーザーアカウントは、ビジネスロールの割り当てからリソースアクセスを「継承」します。ユーザーアカウントリソースグループをユーザーアカウントに直接割り当てることができます。
組織	管理者により管理されるエンティティーの範囲を階層構造で定義します。	リソースある組織内の管理者は、すべてまたは一部のリソースにアクセスできる可能性があります。管理者組織は、管理特権を持つユーザーによって管理 (制御) されます。管理者は 1 つ以上の組織を管理できます。ある組織内の管理特権は、子の組織にも継承されます。ユーザーアカウント各ユーザーアカウントは、Identity Manager 組織および 1 つ以上のディレクトリ組織に割り当てることができます。
ディレクトリジャンクション	階層的に関連する一連の組織で、ディレクトリリソースの一連の実際の階層型コンテナをミラー化したものです。	組織ディレクトリジャンクション内の各組織は、仮想組織です。
管理者ロール	管理者に割り当てられた組織の組み合わせごとに、一意の機能セットを定義します。	管理者管理者ロールは管理者に割り当てられます。機能と組織機能と組織は、直接的または間接的 (動的) に管理者ロールに割り当てられます。
機能	システム権限のグループを定義します。	管理者機能は管理者に割り当てられます。
ポリシー	パスワードおよび認証の制限を設定します。	ユーザーアカウントポリシーはユーザーアカウントに割り当てられます。組織ポリシーは組織に割り当てられるか、継承されます。
監査ポリシー	ユーザーのコンプライアンス違反を評価する規則を設定します。	ユーザーアカウント監査ポリシーはユーザーアカウントに割り当てられます。組織監査ポリシーは組織に割り当てられます。

前へ目次索引次へ
Sun™ Identity Manager 8.0 管理ガイド