HP IceWall SSO

近年ではパソコンやWebサービスの普及により、派遣社員や委託先など多くのユーザが情報システムにアクセスする機会が増えていますし、誰でも簡単にアクセスできる環境となっております。そのため、ユーザに対する細かいアクセス制御の必要性が高まっております。
かつてのメインフレームの時代は、単一のシステムへ、限られたユーザのみがアクセス可能であっためにIAMを意識せずに、システムセキュリティを保持することが可能でした。ところが、現在の複雑なIT環境では、個別に分散されたシステムに対して人手で管理することに限界が出ており、アイデンティティ情報の統合が出来ない、きめ細かいアクセス制御の設定がタイムリーに出来ない、などの問題が多数発生しています。IAMの狙いは、これらの統合的な管理の仕組みを運用プロセスとして提供することであり、複雑なIT環境の現在にも対応できるセキュリティを実現することなのです。

次章からは、HP OpenView Select Identityの機能概要と共に、HP IceWall SSOとの連携により実現されるエンタープライズ規模のユーザ管理についてご紹介していきます。

ユーザ・プロビジョニングでは、リソースとユーザ情報（アカウントなど）との相関をどのようにまとめるかが重要な課題として考えられてきました。たとえば、新入社員用に新規アカウントを作成する場合、管理者がアカウント設定画面で当該アカウントを作成した際に、必要なリソースすべて（メールやサーバなど）にきちんと当該アカウントが自動生成されねばならないからです。
Select Identityでは、従来のロール&ルールベースのアイデンティティ管理ではなく、コンテキストベースのアイデンティティ管理（Contextual Identity Management）という最新ビジネスモデリング手法を採用しています。

従来のロール&ルールベースの１つのアプローチは「ボトムアップ型」と呼ばれる方法です（図1参照）。これは、各リソースへのエンタイトルメントに応じてITのロール（役割）を設定する方法です。リソースに対応しているので、設定は容易で大変シンプルでわかりやすいといえますが、この場合、ロールも必要数だけ設定しなければならず、リソースの増減でいちいち各ロール設定も変更しなければならないため、大変管理が面倒です。

図1.ボトムアップ型ロール&ルールベース アイデンティティ管理

この面倒さを解消するために登場したのが、「トップダウン型」とよばれる方法です（図2参照）。これは既存の企業組織をベースに、ビジネスプロセスに対応して、ユーザロールを設定するものです。ただし、組織に限らず、ユーザの職種や役職によってセキュリティ権限が異なったり、1人の管理職が複数の部署を担当しているなど、現実のセキュリティモデルに対応していない場合もあり、ロール設定後に組織構成が変化すると再度ロール設定しなければなりません。

図2. トップダウン型ロール&ルールベース アイデンティティ管理

これらの問題点を解消するために考案された新しいモデリング手法が「コンテキストベースのアイデンティティ管理」なのです（図3.参照）。このモデル論では、「トップダウン型」の長所を残しつつ、さらにユーザ権限などをサービスクラスとして細分化してまとめることによって、「トップダウン型」の短所を克服しています。さらに、サービスは既存のビジネスモデルに対応してマッピングされ、サービスには、プロセスの他、ポリシー、承認プロセス（ワークフロー）、ユーザのプロフィールデータ、書式などを包括しています。実際の構築では、従来のトップダウン型のアプローチと同様に、まずは組織別にサービスクラスを設定することからはじめて、次に、現実のセキュリティモデルに対応するよう詳細設定してゆくことで、アイデンティティ管理システムを完成してゆくべきでしょう。

図3. コンテキストベースのアイデンティティ管理

図4. コンテキストベースのアイデンティティ管理

HP IceWall SSOは大規模なインターネットからイントラネットまで、幅広いシステムや企業で実績を持っています。一方、HP OpenView Select Identityはアイデンティティ管理製品一般の機能（図4参照：プロビジョニング機能、ワークフロー機能、セルフサービス機能、通知機能、監査ログ・レポート機能など）を全て持ち合わせているだけでなく、より変化に富んだ環境下で素早く柔軟な対応が求められるエンタープライズ企業にも適用されている製品です。

HP IceWall SSOシステムにHP OpenView Select Identityを適用させることにより、エンタープライズ規模のシステムにおいて、ユーザのアイデンティティ＆アクセス管理を統合的に実現することが可能となります。

■ HP OpenView Select IdentityのJCAコネクタを利用したHP IceWall SSOシステムの管理

コネクタとはSelect Identityがリソースに接続するためのコンポーネントで、JCA（J2EE Connector Architecture）に基づいて作られており、再利用性や汎用性（汎用のコネクタービルダーツールあり）にすぐれています。HP OpenView Select Identityのサポートするコネクタは非常に多岐に渡ります。LDAPやMS Active Directoryはもちろん、HP-UX、SolarisなどのUnixシステム、OracleやDB2などの主要なRDBMS、SAP HRやPeopleSoft HCMなどの人事系システムなどのコネクタが既成コネクタとして用意されています。また、J2EEに完全対応し、オープンスタンダード（XML、SPML）に基づき拡張が可能です。
HP IceWall SSOシステムにHP OpenView Select Identityのコネクタ群を組み合わせることにより、人事DBからユーザ情報を拾い出してHP IceWall SSOの認証DBと同期することが可能となり、最終的には人事DBとHP IceWall SSOの認証DBを含む全アイデンティティ情報をHP OpenView Select Identityで統合管理することも可能となります。
また、例えばHP OpenView Select Identityの拡張機能を使って、HP IceWall SSOのグループ設定ファイルであるcert.grpファイルに直接セキュアな形でプロビジョニングできるコネクタをJavaベースで作成することもできます。このコネクタを利用することにより、HP OpenView Select IdentityのGUIインタフェースからHP IceWall SSOの設定ファイルであるcert.grpへも含めての統合ユーザ管理が可能となります。

■ SOAを採用したWebサービスアプリケーションによるアイデンティティ管理（コンテキストベースのアイデンティティ管理）

HP OpenView Select Identityによるユーザ管理は、従来のロールによるユーザ管理（その拡張であるルールによるユーザ管理）による煩雑な管理作業とは無縁です。 管理者は、あるユーザの情報（コンテキスト情報）を一つ変えるだけであらかじめ設定されていたサービスの中でユーザが使用している権限情報やポリシー、ワークフローなど、を変えることができます。また全ての管理はWebベースですので、関係会社や取引会社のユーザ、管理者との連携も可能です。
例えば、関係会社のテンポラリスタッフを新たにユーザ登録する際、その社員はHP OpenView Select Identityのセルフサービス機能を使ってセルフサービスによりユーザ自信の情報を事前に登録申請することができます。例えば「営業一課」に登録するには、Web画面から「シングルサインオンサービス」の「営業一課」（コンテキスト情報）に申請します。申請はワークフローで適切な管理者に承認され、HP IceWall SSOを含む必要なシステムへユーザ情報がプロビジョニングされます。何年か後、このスタッフが営業一課から本社一課に転属になったとします。管理者側で行う必要がある操作は、ユーザの情報「営業一課」を「本社一課」に変更するだけです。この変更を行うことによって、HP OpenView Select Identity側では自動的にこのスタッフの情報を営業一課のためのユーザ情報（権限やポリシー、ワークフローなど）から本社一課のためのユーザ情報（権限やポリシー、ワークフローなど）に変更します。HP IceWall SSOの認証DBやcert.grpの情報も自動的に変更され、アクセス権限情報も書き換えられます。（HP OpenView Select IdentityにはHP IceWall SSOを含む「シングルサインオンサービス」が登録されていて、「営業一課」「本社一課」などの区分で権限やワークフローが設定されています。サービス、区分の追加、変更もWeb画面により容易に可能です。）
このスタッフは新たな地ですぐに仕事を始めることができます。

このように、HP IceWall SSOとHP OpenView Select Identityとの組み合わせにより、近年の複雑な就業形態や迅速なビジネス上の変化に対応できるエンタープライズ規模のIAM環境の構築を実現します。

・日本ヒューレット・パッカード テクニカルコンサルティング統括本部 シェアードサービス本部 インフラストラクチャソリューション部
  ITスペシャリスト 梅村　学

【OpenView製品問い合わせ先】
ソフトウェア統括本部 第四営業部 村上 哲志（03-5780-7504）