この第 1 部では、Directory Server Enterprise Edition の概要を示し、配備 (ソリューションライフサイクル) の計画に必要な手順を説明します。次の章で構成されています。
第 1 章「Directory Server Enterprise Edition 配備計画の概要」では、配備計画プロセスについて説明します。
第 2 章「Directory Server Enterprise Edition のためのビジネス分析」では、ビジネス要件について説明します。
配備計画プロセスの詳細は、『Sun Java Enterprise System 配備計画ガイド』を参照してください。
この章では、Sun Java System Directory Server Enterprise Edition の概要を示し、配備計画プロセスについて概略レベルでの説明を行います。
この章で説明する内容は次のとおりです。
Directory Server Enterprise Edition は、アイデンティティーデータを格納および管理するための、セキュリティー、高可用性、拡張性を備えたディレクトリサービスを提供します。Directory Server Enterprise Edition は企業のアイデンティティーインフラストラクチャーの基礎を形成します。この製品により、ミッションクリティカルなエンタープライズアプリケーションや大規模エクストラネットアプリケーションから、整合性と信頼性のあるアイデンティティーデータにアクセスできるようになります。
Directory Server Enterprise Edition は、アイデンティティープロファイル、アクセス特権、アプリケーションとネットワークのリソース情報を格納および管理するための集中リポジトリを提供します。Directory Server Enterprise Edition は、マルチプラットフォーム環境へのスムーズな統合が可能です。また、Microsoft Active Directory との間で、パスワード、ユーザー、およびグループをオンデマンドで安全に同期できます。
Directory Server Enterprise Edition 以前は、Sun はこれらの機能を Directory Server、Directory Proxy Server、Directory Server Resource Kit、および Identity Synchronization for Windows の 4 つの独立した製品で提供していました。これらを含む各製品は、現在では、1 つの包括的な統合型ソリューションのコンポーネントとなっています。
企業内でユーザーやアプリケーションの数が増加するにつれ、堅牢なディレクトリサービスはますます必要不可欠なものとなります。Directory Server Enterprise Edition では、次に示すサービス品質要件を提供することにより、急速に変化および拡大する企業が直面する課題を解決します。
可用性: システムのリソースやサービスにエンドユーザーがアクセスできる時間の指標であり、しばしばシステムの「稼働時間」として表現されます。
拡張性: 配備済みのシステムに、容量やユーザーを段階的に追加できる能力のことです。拡張は通常、システムにリソースを追加することによって行いますが、その際に配備アーキテクチャーの変更を必要としないことが理想的です。
セキュリティー: システムとそのユーザーの完全性を担保する各種要因の複合的な組み合わせです。セキュリティーを構成する要素には、ユーザーの認証と承認、データのセキュリティー、配備済みシステムへのセキュリティー保護されたアクセスなどがあります。
相互運用性: システムをほかのシステムと組み合わせて容易に運用できることを指します。
保守容易性: 配備済みシステムを容易に保守できることを指します。保守タスクには、システムの監視、発生した問題の修復、ハードウェアおよびソフトウェアコンポーネントのアップグレードなどが含まれます。
この章では、Directory Server Enterprise Edition の各種コンポーネントがどのようにしてサービス品質要件を満たすかについて簡単に説明します。個々の要件については、このマニュアルの次章以降で詳しく説明します。
Directory Server Enterprise Edition には、次に示す独立したコンポーネントが含まれます。
これらの各コンポーネントは、前出のサービス品質要件の 1 つまたは複数に関係します。この節では、これらのコンポーネントについて説明し、堅牢なディレクトリサービスを実現するためのコンポーネントの組み合わせ例を示します。
Directory Server は、アイデンティティー情報を格納するための、拡張性がありパフォーマンスの高いデータストアを提供します。Directory Server は、標準規格ベースのアクセスのために、Lightweight Directory Access Protocol (LDAP) v3 および Directory Service Markup Language (DSML) v2 をネイティブでサポートします。HTTP または SOAP (Simple Object Access Protocol) 経由で LDAP および DSML を利用することにより、ネットワーク上のあらゆる場所のクライアントが、ディレクトリデータオブジェクトを安全に検索および更新できます。クライアントは、ほかのアプリケーションによって行われた変更を受信したり、ファイアウォール経由でユーザーまたはアプリケーションを認証することもできます。
Directory Server は、情報セキュリティーポリシーへの準拠を達成するためのさまざまなセキュリティー機能を提供します。これらの機能により、適切に承認されたユーザーのみが情報にアクセスできることが保証されます。
マクロレベルの動的なアクセス制御命令 (ACI): LDAP 属性のレベルに至るまでの、きめ細かなアクセス制御を定義するための手段を提供します。アクセス制御ポリシーは一度定義すれば、以後はディレクトリツリー全体で再利用が可能です。マクロ ACI を使用してディレクトリ内の ACI の数を最適化することにより、セキュリティーフレームワークの複雑さを軽減できます。
ロールベースのアクセス: ユーザーのエントリに含まれる情報に基づいて、アクセス権限を付与することができます。ロールはグループと同様に定義および管理されますが、アプリケーションに対してより効率的なグループ化機構を提供します。ACI 内でロールを使用して、データへのアクセスを制御できます。また、Directory Server の機能であるサービスクラス (CoS) では、ロールを使用することにより、多数のエントリに同時に適用できる仮想属性を作成できます。このような仮想属性は、エントリの記憶領域要件を軽減します。仮想属性を使用して、関連する多数のエントリを 1 回の変更で更新することもできます。
実行権限取得制御: 情報のセットに対してユーザーに付与するアクセス権限を決定するための手段を提供します。ディレクトリサービスのアクセスポリシーを保守する管理者は、ディレクトリのユーザーおよびアプリケーションのアクセス許可を監査することによってセキュリティーを強化できます。この機能を使用して、ユーザーの権限に応じて変化するインタフェースを持つアプリケーションを構築することもできます。
暗号化機構: ディスク上のデータや、通信チャネルを介して転送中のデータを保護します。Directory Server は、アクセス権限に基づいた分割レプリケーションやデータ非表示もサポートします。これらの機構は、EU およびその他の国際的なプライバシー規制に準拠する目的で使用できます。
複数のパスワードポリシー: ユーザー単位での定義や、特定グループのみを対象とした定義が可能です。これらのポリシーは、定期的なパスワード変更をユーザーに強制したり、アカウントへの未承認アクセスを確実にブロックするために役立ちます。
Directory Server は各種のアクセスプロトコルを標準でサポートし、分散環境での可用性の保証に役立つ、高い柔軟性と拡張性を備えたレプリケーション環境を提供します。
Directory Server のレプリケーションは、これらのプロトコルを使用してアイデンティティーデータにアクセスしているアプリケーションのシングルポイント障害を防ぎます。Directory Server は、ローカルエリアネットワークと広域ネットワークの両方をまたいでレプリケーションが行われる環境において、理論的には無制限の個数のマスターおよび読み取り専用コンシューマをサポートします。レプリケーションプロトコルの特殊な機能により、待ち時間の多いネットワーク経由でデータをレプリケートするときの最適化が可能になります。詳細については、「高可用性を実現するためのレプリケーションと冗長性の使用」を参照してください。
Solaris プラットフォームでは、Directory Server はクラスタ化をサポートします。これは、あらかじめパッケージ化された高可用性ハードウェアとソフトウェアのソリューションです。詳細は、「高可用性を実現するためのクラスタリングの使用」を参照してください。
Directory Server では、配備の大幅な再設計を必要としない、垂直的な拡張と水平的な拡張の両方がサポートされています。このレベルの拡張性は、配備の規模が上がるにつれてますます重要になります。
Directory Server は、ハードウェア構成にもよりますが、1 台のマシン上での毎秒 20,000 エントリの持続的な検索パフォーマンスと、毎秒数千件の検索を実行できる水平的な拡張性を提供できます。読み取りの拡張容易性を高めるための Directory Server の配備方法については、第 10 章「拡張配備の設計」を参照してください。
情報を絶え間なく格納または更新するという要件は、組織全体でシステムの利用が拡大するにつれて顕著となります。Directory Server では、リレーショナルデータベースの書き込みパフォーマンスに近い更新パフォーマンスを実現しています。書き込みの拡張容易性を高めるための Directory Server の配備方法については、第 10 章「拡張配備の設計」を参照してください。
Directory Server は、「キャッシュからの読み取り」操作に関して、最大 28 CPU までの直線的な CPU 拡張性を提供します。メモリー容量の上限までのアクセスが可能であり、高いパフォーマンスを提供します。これにより、大規模なディレクトリを単一システム上で運用して、ハードウェアから最大限の利益を引き出すことができます。
Directory Server は、ディレクトリサービス全体だけでなく個別のサーバーを管理するための豊富な管理ツール群を提供します。
集中化された Web ベースの管理コンソールを使用して、複数の Directory Server を設定および管理できます。インタフェースには、設定から監視までの日常的なサーバー管理やサービスを効果的に実施するために必要な、すべてのツールが含まれています。加えて、サーバーの実行中に、コマンド行ユーティリティーの dsadm および dsconf を動的に使用できます。これらの管理機能により、ディレクトリをオンラインにしたままでほとんどの管理操作を実行できるため、可用性が最大化されます。
管理の柔軟性は、多くの異なる環境へのディレクトリサービスの配備を簡略化します。コマンド行ユーティリティーにより、サービスがローカルのデータセンター内にある場合と同様の簡単さでリモート管理を実行できます。
Directory Proxy Server は、LDAP アプリケーション層プロトコルのゲートウェイです。この製品は、強化されたディレクトリアクセス制御、スキーマ互換性、および高可用性を実現するために設計されています。
Directory Proxy Server は、設定可能な負荷分散、フェイルオーバー、フェイルバックなどの機能を通じて、システムが必要なデータにアクセスできることを保証します。
Directory Proxy Server は Directory Server と連携して、信頼性を保証し、サービス妨害攻撃を防御します。Directory Proxy Server は要求を適切に経路指定し、Directory Server に対して、セキュリティー保護されたファイアウォールと同様のサービスを提供します。
ミッションクリティカルアプリケーションのシングルポイント障害を防ぐために、Directory Proxy Server は停止部位を検出し、影響を受ける領域を避けてトラフィックを経路指定し、システム間で要求負荷を効率的に分散します。影響を受ける領域が復元されて稼働を再開すると、Directory Proxy Server は復元されたサーバーを自動的に検出します。
詳細は、「冗長ソリューションの一部としての Directory Proxy Server の使用」を参照してください。
Directory Proxy Server は、多数のユーザーによるディレクトリアクセスに対応し、このレベルのアクセスを提供することに伴うセキュリティーリスクを最小にします。管理者はセキュリティー機能を利用して、要求の発行元を特定し、要求を許可するかどうかを決定し、必要な認証のタイプを指定します。検索要求の場合、要求が最低限の要件を満たしているかどうかを Directory Proxy Server で検証することもできます。
Directory Proxy Server ではグループを使用して、LDAP クラスの識別方法や、特定のグループに属するクライアントに適用する制限を定義します。グループはさまざまな基準を使用して定義できます。
非公開ディレクトリの情報を未承認アクセスから保護するために、Directory Proxy Server では、LDAP ディレクトリに対するきめ細かなアクセス制御ポリシーを設定できます。このポリシーでは、ディレクトリのさまざまな箇所に対して、どのユーザーがどのようなタイプの操作を実行できるかを制御できます。Directory Proxy Server では、特定のタイプの操作、たとえば、Web トローラや Web ロボットによる情報探索目的の検索操作から、ディレクトリを保護するための設定が可能です。
Identity Synchronization for Windows は、Directory Server Enterprise Edition と Microsoft Active Directory の間での、アイデンティティーデータの基本的な同期機能を提供します。
Identity Synchronization for Windows は相互運用性の要件を満たします。パスワードなどの重要なアイデンティティーデータの同期により、ユーザーは、異なるアプリケーション認証機構に対してパスワードを何度も変更する必要がなくなります。
システムの動作に影響を及ぼすことなく重要なアイデンティティーデータを同期できる機能により、Active Directory サーバーにクライアントコンポーネントをインストールする必要がなくなり、保守にかかる時間と手間を削減できます。
Identity Synchronization for Windows の導入により、ユーザーはパスワードやその他のアイデンティティーデータを、Windows 環境と Web ベースのアプリケーション環境のどちらでも変更できるようになります。このようにして、Identity Synchronization for Windows は、Active Directory と Directory Server の間で同期を維持します。Active Directory と Directory Server の間で、無効化されたアカウントを同期することもできます。この同期により、アプリケーションやデータに対するアクセスポリシーの適合性が、Windows デスクトップと Web ベースアプリケーションの間で保証されます。
Directory Editor は、効率的で低コストなディレクトリデータ管理を実現する Java Web アプリケーションです。
Directory Editor は、ユーザーがディレクトリサービスの内部でアイデンティティーデータを管理できるようにすることで、保守容易性要件の充足に寄与します。管理者は、ユーザーが日常的なタスクを実行するために使用できるフォームベースの Web インタフェースを作成できます。Directory Editor は、インタフェースの強力なカスタマイズ、ブランド化、および埋め込みをサポートします。カスタマイズはコードを記述するのではなく、設定のためのフォームベースのインタフェースを使用して行います。データのセキュリティーとプライバシーを保証するために、組み込み型の承認コントロールで、メニューおよび操作の可視性を制限します。ユーザーには、アプリケーションの内部でそのユーザーへの表示が承認された要素のみが表示されます。
Directory Server Resource Kit は、Directory Server Enterprise Edition の配備、アクセス、チューニング、保守のためのツールおよびアプリケーションプログラミングインタフェース (API) を提供します。これらのユーティリティーは、より堅牢な LDAP ベースソリューションの実装および保守に役立ちます。
パフォーマンステストツールと容量計画ツールは、管理者が Directory Server Enterprise Edition のインストールに対してパフォーマンスを測定したり、容量計画を実施したりするために役立ちます。デバッグツールと保守ツールは、Directory Server Enterprise Edition の日常的な保守だけでなくトラブルシューティングにも役立ちます。配備ユーティリティーと配備ツールは、Directory Server Enterprise Edition の新規インストールの展開と新しいリリースへの移行を支援します。LDAP 生産性ツールには、Directory Server Enterprise Edition を使用して開発されたサンプル LDAP アプリケーションが含まれています。
また Sun は、テスト用の強力な負荷生成アプリケーションである SLAMD を開発しました。SLAMD には、Directory Server Enterprise Edition アプリケーションに対して徹底的なパフォーマンステストを実行するために必要なすべてのテストが含まれています。SLAMD は http://www.slamd.com から無償で入手できます。
配備する Directory Server Enterprise Edition コンポーネントの組み合わせは、組織の要件によって異なります。次の図は、以前に説明したコンポーネントを使用した一般的な配備シナリオを示しています。
配備計画は、Directory Server Enterprise Edition ソリューションの実装を成功させる上で重要なステップです。それぞれの企業には、その企業に独自の一連の目標、要件、および考慮すべき優先事項が存在します。計画の成功は、企業の目標を分析し、その目標を達成するためのビジネス要件を特定することから始まります。次に、ビジネス要件を技術要件に翻訳する必要があります。技術要件は、企業の目標を達成するシステムを設計および実装するための基礎として使用できます。
成功する配備計画は、入念な準備、分析、および設計の成果として得られるものです。計画プロセスのどこかで発生した誤りや失敗により、多くの問題を内包したシステムが生まれてしまう可能性があります。不十分な計画から生まれたシステムは、あとから重大な問題を引き起こす可能性があります。たとえば、システムに期待したパフォーマンスが出ない、保守が難しい、運用コストが高い、拡張性がない、などの問題が顕在化する可能性があります。
配備計画の原則については、『Sun Java Enterprise System 配備計画ガイド』で詳しく説明します。このガイドでは、明確に定義されたステップで配備計画を扱う「ソリューションライフサイクル」について言及します。
次の図に示すソリューションライフサイクルは、Java Enterprise System をベースとしたエンタープライズソフトウェアソリューションの計画、設計、および実装のステップを描いたものです。ライフサイクルは、配備プロジェクトを適切な状態に維持するための便利なツールです。ソリューションライフサイクルについては、『Sun Java Enterprise System 配備計画ガイド』で詳しく説明します。
ソリューションライフサイクルのビジネス分析フェーズで、ビジネスの問題を分析することにより、ビジネス目標を定義します。次に、これらの目標を達成するためのビジネス要件およびビジネス制約を特定します。
この章で説明する内容は次のとおりです。
ビジネス分析では、まずビジネス目標を記述します。次に、解決しなければならないビジネス問題を分析し、ビジネス目標を達成するために満たさなければならないビジネス要件を特定します。目標を達成する能力を制限するビジネス制約を検討します。ビジネス要件とビジネス制約の分析の成果物は、一連のビジネス要件ドキュメントです。
成果物として得られた一連のビジネス要件ドキュメントは、技術要件フェーズで技術要件を導出するための基礎として使用します。ソリューションライフサイクル全体を通して、計画およびソリューションの成功の度合いを、ビジネス分析フェーズで実施した分析に従って測定します。
ビジネス要件を識別するための単純な公式は存在しません。ビジネス要件を特定する上でベースとなるのは、アイデンティティー管理ソリューションを必要としている利害関係者との共同作業、対象のビジネス領域についての知識、そして創造的な応用思考です。『Sun Java Enterprise System 配備計画ガイド』では、ビジネス分析プロセスについて詳しく説明しています。このガイドでは、ビジネス要件およびビジネス制約を定義するときに考慮すべき要因を示しています。この節では、堅牢なディレクトリサービスの必要性の動機となるビジネス要件について簡単に説明します。
ある企業では、次のような状況下で、堅牢なディレクトリサービスが必要とされています。
重要なビジネス情報およびビジネスアプリケーションをユーザーが利用できるようにする必要があります。ユーザー数は増加傾向にあり、入れ替わりも頻繁です。
ここでいう「ユーザー」には、社内の従業員だけでなく、顧客、ベンダー、その他のビジネスパートナーなどの外部ユーザーも含まれます。
ディレクトリサービスは、効果的なアイデンティティー管理インフラストラクチャーのための、高可用性、拡張性、管理性、統合性、セキュリティーを備えた基礎を提供することによってこれらのニーズに応えます。ディレクトリサービスが提供する一連の機能により、ユーザーのアイデンティティーデータや、Web サービスアーキテクチャーのための補助データを格納する集中データストアを実現できます。
ディレクトリサービスは、効果的なアイデンティティー管理インフラストラクチャーを提供することによって、企業にとって重要な要件の達成に寄与します。その要件とは、ユーザーに対して、またユーザーが各自の業務を行うために利用するアプリケーションに対して安定したサービスを提供できることです。
そのような要件には、次のものが含まれます。
大規模で入れ替わりが頻繁なユーザーのグループに対し、開かれたアクセスを提供する
セキュリティーを高め、情報の適正な利用と共有、および機密情報の保護を保証する
ユーザーおよびアプリケーションに対し、アクセス信頼性と高いサービス品質を一貫して提供する
ビジネスニーズの変化やユーザー要件の増加に左右されることなく、情報やサービスを効率的にユーザーに提供する
高可用性、信頼性、セキュリティー、パフォーマンスに優れたディレクトリサービスは、ビジネスの主たる原動力、すなわちセキュリティー、サービス品質、およびコスト効率の向上に寄与します。