アイデンティティ管理製品が提供している様々な機能
- ワークフロー
- アイデンティティ/ロールの作成、削除、変更の承認/通知プロセスに関連する処理の管理および委託などを行う(事前に登録した手順に則り自動的にプロセスが実行される)。
- 管理の委譲
- たとえ一元管理といえども、何十万というユーザを一カ所でひとつの組織が管理すると言うのは無理がある。ユーザ一元管理の元、事業部やグループ等のレベルで担当を置き、その管理下のポリシー登録や資格の認定などの権限を委譲する。
- セルフサービス
- システム担当者やサービスデスク担当者を介さずに、ユーザ自身がパスワードのリセットや、個人情報の更新を実施できるようにする。
導入や製品選定で考慮すべき事項
先に紹介した「基本機能」、それから必要に応じて「付加機能」が提供されている製品を選択することはもちろんですが、アイデンティティ管理の導入では、他にも考慮すべき点があります。
- 既存のITシステムとの統合
- システムに管理を取り込めるかどうかは、基本要素だが実際に一番問題となる事項でもある。製品カタログのみの判断は危険であり、メーカーにより様々な対策を持っているので、実際に問い合わせてみることが望ましい。
- 業界標準のサポート
- アイデンティティ管理に関わる業界標準(SPML、関連のWebサービス標準など)をサポートしているかどうか。現在必要でなくても、今後の必要性を検討するべきである。
- 拡張
- 管理導入の第一段階では、1つまたは2つの優先度の高い限られたエリア(パスワード管理、限られたシステムへのアカウントプロビジョニング、セルフサービスなど)から実施されることが多く、適用範囲は限られる。その後、管理エリアが拡張され全展開された際に、スケーラビリティや可用性などの課題に対処できるかどうかを考慮すべきである。今後の「グループ企業の追加」「消費者ユーザの追加」「ユーザの増加」「アプリケーションの新規追加」といった拡張の必要性も視野に入れる必要がある。
- ポリシー設定の柔軟性
- プロビジョニングをする際にベースとなるのが、「ロール」や「ルール」あるいは「タスク」と呼ばれるもの。企業では所属部署や役職、また特別プロジェクトへの参画などにより、同じ部署内の人間であっても役割が異なる場合がある。ロールが一人にひとつしか付けられない、ルールがひとつしかユーザに付けられない、思ったような詳細な管理ができない、簡素な管理をしたいのに製品が複雑すぎるなどの制限がなく、各企業の求めるレベルに見合った機能が提供されているかどうかはチェックポイントのひとつと言える。
各企業が求めるレベルはそれぞれ異なるので、自身の企業がどこまで必要としているのか、どこから手を付けるべきなのかをまず分析し、新たな製品が必要なのか、それとも現状のシステムでプロセスを徹底することで対応できるのかどうかを見極めましょう。
しかしながら、IT依存率が高く、莫大な数のユーザを保持している企業であれば、アイデンティティ管理は「技術」を用いなければ実現困難ではないでしょうか。昨今では、単に運用コストだけではなく、監査対応コスト、つまり監査対応時に必要な情報を迅速に提供するためのコストも視野に入れなければならない時代です。
