IAMのキホンを理解する--第3回：アイデンティティ管理

　さて、今回はアイデンティティ管理を詳しく見ていきたいと思います。

　これまでは、「『アイデンティティ管理』を実施していますか？」と尋ねると、「『ディレクトリ』でユーザを管理している」と答える方が多くいらっしゃいました。

　つまり、企業内にはユーザIDを管理するユーザストアが複数存在していたということです。ディレクトリでアイデンティティ管理を行っていなくても、データベースやフラットファイル、スプレッドシートで管理している場合もありました。現在でもそうした状況は続いています。

　昨今、アイデンティティ管理の導入と言えば、特に「統合アイデンティティ管理」を指すことがほとんどです。アクセス管理と同様、IT内部統制を実現するための対策として各企業が検討しているのは、正にこの「統合」がつく管理だと思います。

　そこで、この統合アイデンティティ管理を中心に基本機能、付加機能、考慮事項をご紹介します。

基本機能

統合管理

ユーザのアイデンティティを一元管理する、ポリシーを一元管理する、仮想的に一元管理する、あるいは物理的に一元管理するなど、実現の方式は様々だが、いずれにしても複数のユーザストアをひとつひとつチェックせずに一点からどのユーザが存在し、どのシステムにIDを持っているのかを把握する。

ライフサイクル管理

人『Person』の企業内での役割の変化に伴うメンテナンスを行い、変更履歴を保持する。ユーザIDは、登録されたらそれまででメンテナンスが不要という訳ではなく、アプリケーションプログラムの様に変更管理を行う必要があるため、入社時の新規登録、異動やプロジェクト参画による変更、出向による一時失効や退職による削除などを行う。

パスワード管理

パスワードを再設定したり、一カ所のシステムでパスワードを変更した際に、他のシステムにも変更情報を渡してパスワードを同期する。また、パスワード構成ルールを定義し、そのポリシーに則り運用を可能とする。

プロビジョニング/プロビジョニング解除

ユーザの登録/変更/削除に合わせて、必要なシステムに対してアカウント、リソース、特権を自動的に割り当てる。「ロール」「ルール」「タスク」などと呼ばれるポリシーの設定に基づいて必要なシステムを判断する。例えば、営業職の人には事前に設定されている「営業ロール」が与えられ、その設定に基づいてプロビジョニングが行われる。

　以上がベースとなる機能、言い換えればアイデンティティ管理導入を検討するユーザが必要としている機能といえます。

　それ以外に、商品化されている多くの製品が提供している付加機能があります。次ページでそれを見ていきましょう。