|
| |
| Sun Java System Identity Manager 2005Q4M3 管理ガイド | |
1
Identity Manager の概要
Sun JavaSystem Identity Manager システムを使用すると、アカウントおよびリソースへのアクセスをセキュアかつ効率的に管理することができます。Identity Manager は、定期的なタスクおよび日常のタスクを迅速に処理する機能とツールをユーザーに提供することで、内部および外部顧客に対する例外的なサービスを容易に実行できるようにします。
全体像今日のビジネスでは、IT サービスの柔軟性と機能性のさらなる向上が要求されます。これまで、ビジネス情報およびシステムへのアクセス管理には、限られた数のアカウントとの直接的な対話しか必要ありませんでした。ところが、アクセス管理は次第に、増大する内部顧客の処理のみならず、企業外のパートナーや顧客の処理も意味するようになってきました。
このようなアクセスニーズの増大によって生ずるオーバーヘッドは、膨大なものになる可能性があります。管理者は、ユーザー (企業内外の) が効果的かつセキュアに自分の任務を果たせるようにしなければなりません。さらに、最初のアクセスのあとには、パスワードの忘失、ロールやビジネス上の関係の変更、といった詳細な問題に次々に直面します。
Identity Manager は、動的な環境におけるこのような管理上の課題を解決する際に特に役立つように開発されました。Identity Manager を使用してアクセス管理のオーバーヘッドを分散させることにより、アクセスをどのように定義するか、定義したあとに柔軟性と管理をどのようにして維持するか、という主要な課題が解決しやすくなります。
セキュアでありながら柔軟な設計の Identity Manager は、企業の構造に適応し、これらの課題に対処するようにセットアップできます。Identity Manager オブジェクトを管理対象のエンティティー (ユーザーおよびリソース) にマップすることにより、操作の効率は飛躍的に向上します。
Identity Manager システムの目的
Identity Manager ソリューションの機能を次に示します。
- 多種多様なシステムおよびリソースに対するアカウントアクセスを管理する。
- 各ユーザーのアカウント配列に対する動的なアカウント情報をセキュアに管理する。
- ユーザーアカウントデータの作成および管理に対する委任された権限をセットアップする。
- 多数の企業リソースと、ますます増大するエクストラネット顧客およびパートナーを処理する。
- 企業情報システムへのユーザーアクセスをセキュアに承認する。Identity Manager では、組織内外でのアクセス特権の許可、管理、および失効の機能が完全に統合される。
- データを保存することなくデータの同期を維持する。Identity Manager ソリューションは、優れたシステム管理ツールで監視する必要のある 2 つの主要な原則をサポートする。
ユーザーアクセスの定義
拡張された企業内のユーザーとは、企業と関係を持つすべてのユーザーのことです。たとえば、従業員、顧客、パートナー、サプライヤ、買収者などです。Identity Manager システムでは、ユーザーはユーザーアカウントによって表されます。
ビジネスおよびほかのエンティティーとの関係に応じて、ユーザーは、コンピュータシステム、データベースに保存されたデータ、または特定のコンピュータアプリケーションなど、さまざまなものにアクセスする必要があります。Identity Manager では、これらをリソースと呼びます。
ユーザーは、アクセスするリソースごとに 1 つ以上の ID を持っていることが多くあるため、Identity Manager は、異種のリソースにマップされる単一の仮想 ID を作成します。これにより、ユーザーを単一のエンティティーとして管理できるようになります。
図 1 Identity Manager ユーザーアカウント | リソースの関係
多数のユーザーを効果的に管理するには、ユーザーをグループ化する論理的な方法が必要です。ほとんどの企業では、ユーザーは職務上の部署または部門にグループ化されています。通常、このような部署はそれぞれ、異なるリソースにアクセスする必要があります。Identity Manager では、このようなタイプのグループを組織と呼びます。
ユーザーをグループ化するもう 1 つの方法は、企業での関係または任務機能などの類似した特性でグループ化することです。Identity Manager ではこのようなグループ化をロールと呼びます。
Identity Manager システムでは、ユーザーアカウントにロールを割り当てて、リソースへのアクセスを効率的に有効化または無効化します。組織にアカウントを割り当てることにより、管理の役割の委任を効率的に行うことができます。
ポリシーを適用することによって、Identity Manager ユーザーを直接または間接的に管理することもできます。ポリシーは、規則およびパスワードと、ユーザー認証オプションをセットアップします。
管理の委任
ユーザーアイデンティティーマネージメントの役割の分散を成功させるには、柔軟性と管理の適切なバランスを取る必要があります。選択した Identity Manager ユーザーに管理者特権を与えて管理タスクを委任することにより、管理者のオーバーヘッドが軽減します。さらに、人事部長など、ユーザーニーズを熟知したユーザーに ID 管理の役割を与えることにより、効率が向上します。このような拡張特権を持つユーザーを、Identity Manager 管理者と呼びます。
ただし、委任はセキュアなモデル内でのみ有効です。適切な管理レベルを維持するために、Identity Manager 管理者に異なるレベルの機能を割り当てることができます。機能は、システム内でのさまざまなレベルのアクセスおよび操作を承認します。
また、Identity Manager ワークフローモデルにも、特定の操作に承認が必要かどうかを確認する方法が含まれています。Identity Manager 管理者は、ワークフローを使用してタスクの管理権限を保有し、その進行状況を追跡できます。ワークフローの詳細については、『Identity Manager Workflows, Forms, and Views』を参照してください。
Identity Manager オブジェクトIdentity Manager オブジェクトとその操作の方法を明確に理解することは、システムの管理と導入を成功させるために不可欠です。オブジェクトには次のものがあります。
ユーザーアカウント
Identity Manager ユーザーアカウント
ユーザーアカウントのセットアッププロセスは動的です。アカウントのセットアップで選択したロールに応じて、アカウントを作成するためのリソース固有の情報が増減する可能性があります。割り当てられたロールに関連付けられたリソースの数とタイプによって、アカウント作成時に必要な情報が決まります。
ユーザーに管理特権を与えて、ユーザーアカウント、リソース、およびほかの Identity Manager システムオブジェクトとタスクを管理できます。Identity Manager 管理者は組織を管理し、管理対象の各組織内のオブジェクトに適用する一連の機能を割り当てられます。
ロール
ロールは Identity Manager ユーザータイプを表す Identity Manager オブジェクトであり、リソースのグループ化とユーザーへの割り当てを許可します。通常、ロールはユーザーの任務機能を表します。たとえば金融機関では、ロールは出納係、融資担当者、支店長、窓口担当、経理担当者、管理補佐などに対応します。
ロールは、ユーザーに対するリソースおよびリソース属性の基本的なセットを定義します。また、ほかのロールとの関係、たとえばほかのロールを含むか除外するかなども定義できます。
同じロールを持つユーザーは、リソースに共通のベースグループへのアクセスを共有します。各ユーザーに 1 つ以上のロールを割り当てることも、ロールを割り当てないこともできます。
図 2 ユーザーアカウント、ロール、リソースの関係
上の図に示すように、ユーザー 1 とユーザー 2 は、ロール 2 の割り当てによって同じリソースセットへのアクセスを共有しています。ただし、ユーザー 1 はロール 1 の割り当てによってほかのリソースにもアクセスできます。
リソースとリソースグループ
Identity Manager リソースには、アカウントが作成されるリソースまたはシステムへの接続方法についての情報が格納されています。Identity Manager がアクセスを提供するリソースは、次のとおりです。
各 Identity Manager リソースに格納されている情報は、次の主要なグループに分類されます。
Identity Manager ユーザーアカウントは、次の方法によってリソースにアクセスできます。
図 3 リソースの割り当て
関連する Identity Manager オブジェクトであるリソースグループを、リソースの割り当てと同じ方法でユーザーアカウントに割り当てることができます。リソースグループは、リソースを相互に関連付けて、アカウントを特定の順序でリソース上に作成できるようにします。
組織
組織とは、管理の委任を可能にするために使用される Identity Manager コンテナです。組織は、Identity Manager 管理者が管理するエンティティーの範囲を定義します。
また、組織は、ディレクトリベースのリソースへの直接のリンクも表します。これらは仮想組織と呼ばれます。仮想組織を使用すると、情報を Identity Manager リポジトリに読み込まずに、リソースデータを直接管理できます。Identity Manager では、仮想組織を使用して既存のディレクトリ構造とメンバーシップをミラー化することにより、セットアップタスクの重複と時間の浪費をなくします。
ほかの組織を含む組織は、親組織です。組織はフラットな構造に作成することも、階層構造内に作成することもできます。階層構造は、ユーザーアカウントを管理するための部署、地域、またはその他の論理的な部門を表します。
機能
機能、つまり権限のグループが割り当てられたユーザーは、Identity Manager の管理操作を実行できるようになります。機能によって、管理ユーザーはシステム内で特定のタスクを実行したり、さまざまな Identity Manager オブジェクトを操作したりすることができます。
通常、機能は、パスワードのリセットまたはアカウントの承認など、特定のジョブの役割に従って割り当てられます。個別のユーザーに機能と権限を割り当てることにより、管理の階層構造が作成され、データの保護をおびやかすことなく、対象を絞ったアクセスと特権を提供することができます。
Identity Manager では、一般的な管理機能用のデフォルト機能のセットを提供しています。また、特定のニーズを満たす機能を作成して割り当てることもできます。
管理者ロール
管理者ロールを使用すると、管理ユーザーが管理している組織を組み合わせて、その組み合わせごとに一意の機能セットを定義できます。管理者ロールに機能および管理する組織を割り当ててから、その管理者ロールを管理ユーザーに割り当てることができます。
機能および管理する組織は、管理者ロールに直接割り当てることができます。また、管理ユーザーが Identity Manager にログインしたときに、間接的 (動的) に割り当てることもできます。Identity Manager 規則によって、動的に権限が割り当てられます。
オブジェクトの関係
以下の表は、Identity Manager オブジェクトおよびオブジェクト間の関係を示しています。
表 1 Identity Manager オブジェクトの関係
Identity Manager の用語Identity Manager インタフェースおよびガイドでは、用語を次のように定義しています。
管理者ロール
一意の機能セット。管理ユーザーに割り当てられた組織の組み合わせごとに定義します。
管理者
Identity Manager をセットアップしたり、ユーザーの作成やリソースへのアクセスの管理などの操作タスクを実行する役割を持つ個人。
管理者インタフェース
Identity Manager の主要な管理ビュー。
承認者
アクセス要求を承認または却下する管理機能を持つユーザー。
Business Process Editor (BPE)
Identity Manager フォーム、規則、およびワークフローのグラフィカルな表示。
機能
ユーザーアカウントに割り当てるアクセス権限のグループ。Identity Manager で実行される操作を制御する、Identity Manager での最小レベルのアクセス管理です。
フォーム
Web ページに関連付けられたオブジェクトであり、ブラウザでユーザー表示属性をそのページにどのように表示するかについての規則が含まれています。フォームにはビジネスロジックを組み込むことができ、通常は、ユーザーに表示する前に、表示データを処理するために使用します。
ID テンプレート
ユーザーのリソースアカウント名を定義します。
組織
管理の委任を可能にするために使用する Identity Manager コンテナ。組織は、管理者が制御または管理するエンティティー (ユーザーアカウント、リソース、管理者アカウントなど) の範囲を定義します。組織は、主として Identity Manager を管理する目的で「どこで」というコンテキストを提供します。
ポリシー
Identity Manager アカウントの制限を設定します。Identity Manager ポリシーは、ユーザー、パスワード、および認証オプションを設定し、組織またはユーザーに関連付けられます。リソースパスワードポリシーとアカウント ID ポリシーは、規則、許可される単語、および属性値を設定し、個々のリソースに関連付けられます。
リソース
Identity Manager では、アカウントが作成されたリソースやシステムへの接続方法についての情報が保存されます。Identity Manager がアクセスを提供するリソースには、メインフレームセキュリティーマネージャー、データベース、ディレクトリサービス、アプリケーション、オペレーティングシステム、ERP システム、およびメッセージプラットフォームがあります。
リソースアダプタ
Identity Manager エンジンとリソースの間のリンクを提供する Identity Manager コンポーネント。このコンポーネントにより、Identity Manager は所定のリソースのユーザーアカウントを管理 (作成、更新、削除、認証、およびスキャン機能を含む) するほか、そのリソースをパススルー認証に利用することができます。
リソースアダプタアカウント
管理するリソースにアクセスするために、Identity Manager リソースアダプタが使用するクレデンシャル。
リソースグループ
ユーザーリソースアカウントを作成、削除、および更新を順序付けするために使用するリソースの集まり。
リソースウィザード
リソースパラメータ、アカウント属性、ID テンプレート、および Identity Manager パラメータのセットアップと設定を含め、リソースの作成および修正プロセスの手順を案内する Identity Manager ツール。
ロール
Identity Manager におけるユーザーのクラス用のテンプレートまたはプロファイル。各ユーザーには、1 つ以上のロールを割り当てることができます。ロールはアカウントによるリソースのアクセスとデフォルトのリソース属性を定義します。
規則
XPRESS、XML オブジェクト、または JavaScript 言語で作成された関数を含む Identity Manager リポジトリ内のオブジェクト。規則は、頻繁に使用されるロジックや、フォーム、ワークフロー、およびロール内で再利用される静的な変数を格納するためのメカニズムを提供します。
スキーマ
あるリソースに対するユーザーアカウント属性のリスト。
スキーママップ
あるリソースについての、リソースアカウント属性を Identity Manager アカウント属性にマップしたもの。Identity Manager アカウント属性は、複数のリソースへの共通リンクを作成し、フォームによって参照されます。
ユーザー
Identity Manager システムアカウントを所持する個人。Identity Manager では、ユーザーは特定の範囲の機能を持つことができます。拡張機能を持つユーザーは、Identity Manager 管理者です。
ユーザーアカウント
Identity Manager を使用して作成されたアカウント。Identity Manager アカウントと、Identity Manager リソース上のアカウントのいずれかを指します。ユーザーアカウントのセットアッププロセスは動的です。つまり、入力する情報またはフィールドは、ロールの割り当てによって直接または間接的にユーザーに提供されたリソースに応じて異なります。
ユーザーインタフェース
Identity Manager システムの制限されたビュー。特に管理機能を持たないユーザー用に調整したものであり、パスワードの変更や認証質問への回答の設定など、一連の自己管理タスクを実行できます。
ワークフロー
論理的で反復可能なプロセスであり、ドキュメント、情報、またはタスクが、ある関与者から別の関与者に渡されます。Identity Manager ワークフローは、ユーザーアカウントの作成、更新、有効化、無効化、および削除を管理する複数のプロセスで構成されています。
