3 Oracle Identity Managerの概要

Oracle Identity Managerは、包括的なワークフロー・エンジンに統合された、ユーザー・プロビジョニング、アイデンティティ管理およびパスワード管理を自動化するアイデンティティ管理製品です。

ユーザー・アイデンティティのプロビジョニングの自動化によってインフォメーション・テクノロジ（IT）管理コストが削減でき、セキュリティが向上します。また、プロビジョニングは、法規制のコンプライアンスにおいて重要な役割を果します。Oracle Identity Managerの主な機能には、パスワード管理、ワークフローおよびポリシー管理、アイデンティティ・リコンシリエーション、レポート作成および監査、アダプタによる拡張性があります。

関連資料: アダプタの定義は、「クライアント・インタフェースおよびビジネス・ロジックの実装」を参照してください。

Oracle Identity Managerの機能

Oracle Identity Managerの機能は、次のカテゴリに分類できます。

• セルフサービスと委任管理

• ワークフローおよびポリシー

• パスワード管理

• 監査およびコンプライアンス管理

• 統合ソリューション

セルフサービスと委任管理

セルフサービス機能のデプロイおよび管理機能の委任により、企業はユーザーの生産性、ユーザー満足度、および業務効率を向上させることができます。

プロファイル管理

ユーザーは、Oracle Identity Managerのセルフサービス・インタフェースを使用して、自分のプロファイルの表示や編集ができます。これにより、管理オーバーヘッドが軽減され、ユーザーが自分のアイデンティティ・プロファイルを管理できるようになります。

リクエスト管理

セルフサービス・インタフェースにより、ユーザーはきめ細かな権限を使用して、リソースに対するプロビジョニング・リクエストを作成することもできます。業務の承認者（チーム・リーダー、ライン管理者および部長など）は、同じWebベースのインタフェースを使用して着信リクエストを検討し、承認できます。これにより、企業は労力とコストを削減できます。

ユーザーが構成できるプロキシ

Oracle Identity Managerは、任意のグループまたはユーザーへのほとんどの管理機能の委任をサポートする、柔軟性に富んだセキュリティ・フレームワークを特長としています。管理ポイントをできるかぎりユーザーに近づけることにより、企業は生産性を高めながら、緊密な管理とセキュリティの強化を実現できます。

ワークフローおよびポリシー

ビジネス・プロセスおよびITプロセスを自動化するためにワークフローとポリシーを使用することで、業務効率を改善し、セキュリティの強化を図ることができ、コンプライアンス追跡のコスト効率がさらに高まります。Oracle Identity Managerは、このカテゴリの次の機能を提供します。

• ポリシー管理

• ワークフロー管理

• 動的エラー処理

• 保証付きデプロビジョニング

• トランザクション統合

• リアルタイムのリクエスト追跡

ポリシー管理

Oracle Identity Managerを使用すると、きめ細かな権限によってリソースのプロビジョニングをポリシーベースで自動化できます。管理者は、任意のユーザー・グループに対してプロビジョニングされるリソースごとにアクセス・レベルを指定し、各ユーザーにジョブを完了するために必要なレベルのアクセス権のみを付与することができます。

これらのポリシーは、ユーザーのロールまたは属性によって決定できるため、ロールベースのアクセス制御および属性ベースのアクセス制御を実装できます。ロールベースのポリシーと属性ベースのポリシーを効果的に融合することが、スケーラブルで管理しやすい企業のプロビジョニング・ソリューションへの鍵となります。自動プロビジョニング・ポリシーに加えて、Oracle Identity Managerでは拒否ポリシーもサポートします。拒否ポリシーは、特定のリソースに対するユーザー・アクセスを明示的に拒否するために使用され、職務の分離などのセキュリティ・ポリシーまたはガバナンス・ポリシーを強制します。

ワークフロー管理

Oracle Identity Managerでは、承認とプロビジョニングのワークフローを分離できます。承認ワークフローにより、企業はリソースのアクセス・リクエストを管理するための望ましい承認プロセスをモデル化できます。プロビジョニング・ワークフローを使用すると、最も複雑なプロビジョニング手順を使用するリソースのプロビジョニングのためにITタスクを自動化できます。

この2つのワークフローの分離により、ビジネス・プロセスとITプロセスの所有者は、プロセス間の干渉を最小限に抑えて、効率的に管理できるようになります。また、企業はヘルプ・デスクやHRMSなどのシステムにすでにデプロイされている既存のワークフローを活用できるようになります。Oracle Identity Managerには、ワークフロー・ビジュアライザおよびワークフロー・デザイナが用意されています。ワークフロー・ビジュアライザにより、ビジネス・ユーザー、管理者および監査者は、タスクの順序や依存関係を視覚化して編集し、プロセス・フローを把握できます。また、ワークフロー・デザイナを使用すると、プロセス・フローの編集および管理ができます。

動的エラー処理

Oracle Identity Managerのエラー処理機能により、プロビジョニング中に発生する例外を処理できます。リソースの欠如などの頻繁に発生する問題によって、プロビジョニング・トランザクション全体が停止したり、失敗したりすることはありません。プロビジョニング・ワークフロー内に定義するビジネス・ロジックにより、Oracle Identity Manager実装内にカスタマイズされたフェイルセーフ機能を提供します。

保証付きデプロビジョニング

企業内でユーザーのアクセス権が不要または無効になった場合、Oracle Identity Managerでは、ロール・ベースまたは属性ベースのアクセス・ポリシーに従い、必要に応じて、または自動的にアクセス権を取り消します。つまり、ユーザーのアクセス権は、不要になると即座に停止されます。これにより、セキュリティ・リスクを最小限に抑えるとともに、データ・サービスなど、消費コストの高いリソースに対する無駄なアクセスを防ぐことができます。

トランザクション統合

Oracle Identity Managerでは、組込みの状態管理機能に基づいて、他のきわめて重要な企業システムで必要とされる高レベルのトランザクションの整合性を提供します。Oracle Identity Managerには、ロールバック機能とリカバリ機能を備えた状態エンジンが用意されています。プロビジョニング・トランザクションが失敗または停止した場合、システムは、事前定義済のルールに従って、最後に成功したときの状態にリカバリおよびロールバックするか、別のパスに再ルーティングできます。

リアルタイムのリクエスト追跡

すべてのプロビジョニング・プロセスに対してよりよい制御を維持し、可視性を向上させるために、Oracle Identity Managerを使用するとユーザーおよび管理者は、プロビジョニング・トランザクションのどの時点でもリクエスト・ステータスをリアルタイムに追跡できます。

パスワード管理

現在、パスワード管理は企業にとって最も重要な問題の1つです。パスワード管理ソリューションを実装すると、チケットの生成やヘルプ・デスクへのコールに関連するコストおよびオーバーヘッドが削減されます。この項で説明するOracle Identity Managerのパスワード管理機能は、この分野で企業を支援することを目的としています。

セルフサービスのパスワード管理

Oracle Identity Managerのセルフサービス機能により、ユーザーは管理リソース全体で自分のパスワードを管理できます。ユーザーがパスワードを忘れた場合、Oracle Identity Managerでは、カスタマイズ可能なチャレンジ質問を表示して、セルフサービスのアイデンティティ検証とパスワード取得を可能にします。調査によると、ヘルプ・デスクへのコールの大部分はパスワードのリセットとロックアウトに関連するものです。このセルフサービス機能により、必要なヘルプデスクへのコールが減少し、コストが削減されます。

高度なパスワード・ポリシー管理

ほとんどのベスト・プラクティスが購入後すぐに使用でき、直感的に操作できるユーザー・インタフェースを使用して構成できます。サポートされるパスワードの複雑性の要件には、パスワードの長さ、英数字および特殊文字の使用、大/小文字の使用、ユーザー名の全部または一部除外、パスワードの最小期間、および履歴パスワードが含まれます。Oracle Identity Managerでは、Microsoft Active Directoryの複雑なパスワードの要件を上回る、複雑なパスワード・ポリシーを定義できます。さらに、リソースごとに複数のポリシーを適用できます。たとえば、権限のレベルが低いユーザーを制約の緩いパスワード・ポリシーの対象とする一方で、権限を持つ管理者を制約の厳しいポリシーの対象とすることができます。

パスワードの同期化

Oracle Identity Managerでは、管理リソース全体でパスワードを同期化またはマップして、これらのリソース間でパスワード・ポリシーの相違を強制できます。さらに、企業がMicrosoft Windowsのデスクトップベースのパスワード・リセット機能を使用している場合は、Oracle Identity ManagerのActive Directory（AD）コネクタがADサーバーでパスワード変更を捕捉し、ポリシーに従って他の管理リソースにその変更を伝播できます。ディレクトリ・サーバーとメインフレーム用のほとんどのOracle Identity Managerコネクタには、同様の双方向パスワード同期化機能が装備されています。

監査およびコンプライアンス管理

アイデンティティ管理は、企業の監査およびコンプライアンス・ソリューションにおける重要な要素となります。Oracle Identity Managerを使用すると、企業はリスクを最小限に抑え、社内外のガバナンスおよびセキュリティ監査に必要なコストを削減できます。この項では、監査およびコンプライアンス管理カテゴリに示すOracle Identity Managerの機能について説明します。

アイデンティティ・リコンシリエーション

リコンシリエーションは、Oracle Identity Managerの重要な機能の1つです。リコンシリエーションのプロセスは、リコンシリエーション・エンジンによって実行されます。Oracle Identity Managerの制御範囲外の影響をもたらすアカウントやユーザーのアクセス権に対する変更が検出された場合、リコンシリエーション・エンジンは、変更の取消しや管理者への通知などの修正措置を即座に実行できます。また、Oracle Identity Managerを使用して、ターゲット・リソースで既存のアカウントを検出およびマップできます。これは、個々の従業員、パートナまたは顧客ユーザーについて、企業全体のアイデンティティおよびアクセス・プロファイルを作成する際に役立ちます。

統制外アカウントおよび孤立アカウントの管理

統制外アカウントとは、「プロセス外」すなわちプロビジョニング・システムの制御範囲外で作成されるアカウントです。孤立アカウントとは、有効なユーザーがいない、使用可能なアカウントです。このようなアカウントは、企業にとって深刻なセキュリティ・リスクとなります。Oracle Identity Managerでは、統制外アカウントや孤立アカウントを継続的に監視できます。このようなアカウントが検出された場合、アクセス拒否ポリシー、ワークフローおよびリコンシリエーションを組み合せることで、企業は必要な修正措置を実行できます。

また、Oracle Identity Managerでは、管理者アカウントとも呼ばれる特殊なサービス・アカウントのライフ・サイクルも管理できます。このようなアカウントには、単一の割当済ユーザーのライフ・サイクルを越えて、複数の割当済ユーザーのライフ・サイクルに渡る、特別なライフ・サイクル要件があります。サービス・アカウントを適切に管理することにより、孤立アカウントを生み出す可能性があるもう1つの原因を排除できます。

包括的なレポートおよび監査機能

Oracle Identity Managerでは、プロビジョニング環境の過去と現在の両方の状態についてレポートを作成します。Oracle Identity Managerで取得されるアイデンティティ・データには、ユーザー・アイデンティティ・プロファイルの履歴、ユーザー・グループのメンバーシップ履歴、ユーザーのリソース・アクセスおよび詳細な権限の履歴などがあります。また、Oracle Identity Managerのワークフロー、ポリシーおよびリコンシリエーション・エンジンによって生成されるデータも取得されます。そのデータをアイデンティティ・データと組み合せると、企業は、アイデンティティおよびアクセスに関連する監査の照会処理に必要なデータをすべて入手できます。

アテステーション

アテステーション（再証明とも言います）は、Sarbanes-Oxley法に対するコンプライアンスの中核であり、強く推奨されるセキュリティのベスト・プラクティスです。企業は、スプレッドシート・レポートや電子メールに基づいた手動プロセスを使用して、これらのアテステーション要件をほぼ満たしています。このような手動プロセスは、断片化する傾向があり、管理が困難で管理コストは高額です。また、データの整合性と監査能力がほとんどありません。

Oracle Identity Managerには、短時間でデプロイでき、レポートの自動生成、自動配信および自動通知を提供する企業全体のアテステーション・プロセスが可能なアテステーション機能があります。アテステーション・レビューアは、きめ細かな認証、却下、拒否および委任のアクションをサポートする対話型のユーザー・インタフェースで、詳細なアクセス・レポートを検討できます。すべてのレポート・データおよびレビューアのアクションは、将来の監査要求のために保存されます。Oracle Identity Mangerのワークフロー・エンジンを構成することにより、レビューアのアクションから修正措置をトリガーすることも可能です。

統合ソリューション

スケーラブルで柔軟な統合アーキテクチャは、企業のプロビジョニング・ソリューションのデプロイを成功させるうえで非常に重要です。Oracle Identity Managerでは、実績がある統合アーキテクチャおよび事前定義済コネクタを提供し、迅速で低コストのデプロイを実現します。

アダプタ・ファクトリ

プロビジョニング・システムと管理リソースとの統合は、簡単ではありません。独自システムとの接続は、困難な場合があります。アダプタ・ファクトリにより、このような接続の作成や管理が簡単になります。Oracle Identity Managerに用意されているアダプタ・ファクトリは、コード生成ツールで、Javaクラスを作成できます。

アダプタ・ファクトリは、商用システムやカスタム・システムとの迅速な統合を実現します。ユーザーは、アダプタ・ファクトリのグラフィカル・ユーザー・インタフェースを使用して、統合を作成または変更できます。プログラムやスクリプトを作成する必要はありません。コネクタが作成されると、その定義はOracle Identity Managerリポジトリで管理され、自己文書化ビューが作成されます。これらのビューを使用して、コネクタの拡張、メンテナンスおよびアップグレードを行います。

事前定義済コネクタ

Oracle Identity Managerには、広く使用されている商用アプリケーションと他のアイデンティティ認識システムのための、事前定義済コネクタの豊富なライブラリがあります。これらのコネクタを使用することで、企業はアプリケーション統合において有利なスタートを切ることができます。各コネクタでは、多種多様なアイデンティティ管理機能をサポートします。これらのコネクタは、独自のものであろうと、オープン・スタンダードに基づいたものであろうと、ターゲット・リソースに対して推奨される最適な統合テクノロジを使用します。これらのコネクタにより、一連の異種ターゲット・システムとOracle Identity Managerの間ではデフォルト設定のままの統合が可能です。これらのコネクタには、もともとアダプタ・ファクトリを使用して開発されたコンポーネント・セットが用意されているため、アダプタ・ファクトリを使用してさらに変更し、各企業固有の統合要件を実現できます。

汎用テクノロジ・コネクタ

カスタム・コネクタの作成にアダプタ・ファクトリのカスタマイズ機能が不要の場合、Oracle Identity Managerの汎用テクノロジ・コネクタ機能を使用してコネクタを作成できます。

関連資料: 汎用テクノロジ・コネクタの詳細は、『Oracle Identity Manager管理およびユーザー・コンソール・ガイド』の第II部「統合ソリューション機能」を参照してください。