「IDライフサイクル管理」とは
IDライフサイクル管理(ILM:Identity Lifecycle Management)とは、ユーザーIDの「作成」「更新」「削除」などの継続的かつ適切なメンテナンスアクションの実行を指します。
IDライフサイクル管理は、エンドユーザーがアクセスするすべてのアプリケーション(サービス)に直接結びついているため、IAM戦略全体の中でも非常に重要とされています。
「IDライフサイクル管理」の目標
IDライフサイクル管理の目標は「組織環境全体におけるIDプロセスの自動化」にあります。
自動化により、組織内の異種システム全体において、IDが信頼できるソースと一致する状態になります。
ILMエンジンがなく自動化できていない状態では、IDの変更を手動で処理および管理し、適切なアクションを確実に実行しなければならないため、維持管理は非常に困難となります。
「IDライフサイクル管理」の自動化レベル
「IDライフサイクル管理」の自動化レベルについては、以下のように、おおまかに5段階でレベル設定されています。
レベル0:手動
レベル0は「アカウントのプロビジョニングは完全に手動」「アドホックベースまたは事後対応ベースで完了」の段階です。
各ユーザーアカウントは個別に手動で処理されるため、アカウントデータには人為的エラーが発生しやすくなります。
新入社員入社などの時期には、大量の手動処理が発生するために、多くの時間とコストが必要となります。
レベル1:スクリプトベース
レベル1は「スクリプトベースによる一部自動化」の段階です。
この段階では、アドホックリクエストを解決するために、システム単位でスクリプトが作成され運用されるケースが多いため、システム間連携のためのスクリプトも必要となります。
また、組織内の他部門では、別スクリプトによる異なる運用が実施されているため、全社レベルの完全性は低いものとなります。
レベル2:オンボーディング自動化
レベル2は「オンボーディング自動化」の段階です。
ベンダー提供のツールなどを利用して、オンボーディング(プロビジョニング)を実施することで、新しいユーザーアカウントを作成します。
ただし、この段階では、ユーザーが組織を離れた場合の「ID削除処理」や「部門間異動処理」などの機能はありません。
レベル3:IDロジックエンジン
レベル3は「IDロジックエンジン」の段階です。
このレベルでは、すべてのILM機能を一元化し、IDオンボーディングだけではなく、多数イベントで構成されるライフサイクルプロセス全体を統合的に管理できるIDロジックエンジンを利用できます。
そのため、ユーザーが組織を離れた場合には、IDは簡単に削除できます。
また、どのユーザーがどのアプリケーションやリソースにアクセスできるかを示せるため、監査プロセスが簡素化されます。
レベル4:API駆動型ILM
レベル4は「API駆動型ILM」の段階です。
これは、既存システムが新しいシステムにID情報をプッシュする方法を設計する必要がなく、新しいシステムがAPIでID情報を取得します。
RESTfulAPIを提供することは、システム間の統合またはデータ同期を可能にするための事実上の標準になりつつあります。
ILM実装の複雑さを軽減するために、業界がAPI主導の方向に向かっていることを示す多くの標準が公開されています。
「IDライフサイクル管理」における主な課題
①IDデータ設計
IDデータ設計の課題としては以下のようなものがあります。
・ユーザー情報について信頼できるソースは何か?
・複数ソースがある場合、それらの間でデータを同期するにはどうすればよいか?
・どのようにして一意の「ユーザー名」と「メールアドレス」を作成するか? など
②アドホック手動ID処理タスク
ITチームは、以下の理由で、手動IDタスクによって頻繁に圧迫されます。
・アプリ所有者やビジネスユニット管理者が「誰からのアクセスを許可するか?」を決定する
・各部門で高度にカスタマイズされたビジネスロジックを実装している など
③アクセス許可管理
リモート作業環境の大幅増加が、新しいデジタルコラボレーションリソースの需要を押し上げていることにより、従来にはなかったアクセス許可に関するタスクが増大しています。
ID管理クラウドサービス「Keyspider」とは?
Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。
「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。
参考元サイト