IAMのキホンを理解する--第3回:アイデンティティ管理

金子以澄(日本CA)

2008-03-18 08:00

 さて、今回はアイデンティティ管理を詳しく見ていきたいと思います。

 これまでは、「『アイデンティティ管理』を実施していますか?」と尋ねると、「『ディレクトリ』でユーザを管理している」と答える方が多くいらっしゃいました。

 つまり、企業内にはユーザIDを管理するユーザストアが複数存在していたということです。ディレクトリでアイデンティティ管理を行っていなくても、データベースやフラットファイル、スプレッドシートで管理している場合もありました。現在でもそうした状況は続いています。

 昨今、アイデンティティ管理の導入と言えば、特に「統合アイデンティティ管理」を指すことがほとんどです。アクセス管理と同様、IT内部統制を実現するための対策として各企業が検討しているのは、正にこの「統合」がつく管理だと思います。

 そこで、この統合アイデンティティ管理を中心に基本機能、付加機能、考慮事項をご紹介します。

基本機能

統合管理
ユーザのアイデンティティを一元管理する、ポリシーを一元管理する、仮想的に一元管理する、あるいは物理的に一元管理するなど、実現の方式は様々だが、いずれにしても複数のユーザストアをひとつひとつチェックせずに一点からどのユーザが存在し、どのシステムにIDを持っているのかを把握する。
ライフサイクル管理
人『Person』の企業内での役割の変化に伴うメンテナンスを行い、変更履歴を保持する。ユーザIDは、登録されたらそれまででメンテナンスが不要という訳ではなく、アプリケーションプログラムの様に変更管理を行う必要があるため、入社時の新規登録、異動やプロジェクト参画による変更、出向による一時失効や退職による削除などを行う。
パスワード管理
パスワードを再設定したり、一カ所のシステムでパスワードを変更した際に、他のシステムにも変更情報を渡してパスワードを同期する。また、パスワード構成ルールを定義し、そのポリシーに則り運用を可能とする。
プロビジョニング/プロビジョニング解除
ユーザの登録/変更/削除に合わせて、必要なシステムに対してアカウント、リソース、特権を自動的に割り当てる。「ロール」「ルール」「タスク」などと呼ばれるポリシーの設定に基づいて必要なシステムを判断する。例えば、営業職の人には事前に設定されている「営業ロール」が与えられ、その設定に基づいてプロビジョニングが行われる。

 以上がベースとなる機能、言い換えればアイデンティティ管理導入を検討するユーザが必要としている機能といえます。

 それ以外に、商品化されている多くの製品が提供している付加機能があります。次ページでそれを見ていきましょう。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]