IAMのキホンを理解する--第3回:アイデンティティ管理

金子以澄(日本CA) 2008年03月18日 08時00分

  • このエントリーをはてなブックマークに追加

 さて、今回はアイデンティティ管理を詳しく見ていきたいと思います。

 これまでは、「『アイデンティティ管理』を実施していますか?」と尋ねると、「『ディレクトリ』でユーザを管理している」と答える方が多くいらっしゃいました。

 つまり、企業内にはユーザIDを管理するユーザストアが複数存在していたということです。ディレクトリでアイデンティティ管理を行っていなくても、データベースやフラットファイル、スプレッドシートで管理している場合もありました。現在でもそうした状況は続いています。

 昨今、アイデンティティ管理の導入と言えば、特に「統合アイデンティティ管理」を指すことがほとんどです。アクセス管理と同様、IT内部統制を実現するための対策として各企業が検討しているのは、正にこの「統合」がつく管理だと思います。

 そこで、この統合アイデンティティ管理を中心に基本機能、付加機能、考慮事項をご紹介します。

基本機能

統合管理
ユーザのアイデンティティを一元管理する、ポリシーを一元管理する、仮想的に一元管理する、あるいは物理的に一元管理するなど、実現の方式は様々だが、いずれにしても複数のユーザストアをひとつひとつチェックせずに一点からどのユーザが存在し、どのシステムにIDを持っているのかを把握する。
ライフサイクル管理
人『Person』の企業内での役割の変化に伴うメンテナンスを行い、変更履歴を保持する。ユーザIDは、登録されたらそれまででメンテナンスが不要という訳ではなく、アプリケーションプログラムの様に変更管理を行う必要があるため、入社時の新規登録、異動やプロジェクト参画による変更、出向による一時失効や退職による削除などを行う。
パスワード管理
パスワードを再設定したり、一カ所のシステムでパスワードを変更した際に、他のシステムにも変更情報を渡してパスワードを同期する。また、パスワード構成ルールを定義し、そのポリシーに則り運用を可能とする。
プロビジョニング/プロビジョニング解除
ユーザの登録/変更/削除に合わせて、必要なシステムに対してアカウント、リソース、特権を自動的に割り当てる。「ロール」「ルール」「タスク」などと呼ばれるポリシーの設定に基づいて必要なシステムを判断する。例えば、営業職の人には事前に設定されている「営業ロール」が与えられ、その設定に基づいてプロビジョニングが行われる。

 以上がベースとなる機能、言い換えればアイデンティティ管理導入を検討するユーザが必要としている機能といえます。

 それ以外に、商品化されている多くの製品が提供している付加機能があります。次ページでそれを見ていきましょう。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?