
図4. コンテキストベースのアイデンティティ管理
HP IceWall SSOは大規模なインターネットからイントラネットまで、幅広いシステムや企業で実績を持っています。一方、HP OpenView Select Identityはアイデンティティ管理製品一般の機能(図4参照:プロビジョニング機能、ワークフロー機能、セルフサービス機能、通知機能、監査ログ・レポート機能など)を全て持ち合わせているだけでなく、より変化に富んだ環境下で素早く柔軟な対応が求められるエンタープライズ企業にも適用されている製品です。
HP IceWall SSOシステムにHP OpenView Select Identityを適用させることにより、エンタープライズ規模のシステムにおいて、ユーザのアイデンティティ&アクセス管理を統合的に実現することが可能となります。
■ HP OpenView Select IdentityのJCAコネクタを利用したHP IceWall SSOシステムの管理
コネクタとはSelect Identityがリソースに接続するためのコンポーネントで、JCA(J2EE Connector Architecture)に基づいて作られており、再利用性や汎用性(汎用のコネクタービルダーツールあり)にすぐれています。HP
OpenView Select Identityのサポートするコネクタは非常に多岐に渡ります。LDAPやMS Active Directoryはもちろん、HP-UX、SolarisなどのUnixシステム、OracleやDB2などの主要なRDBMS、SAP
HRやPeopleSoft HCMなどの人事系システムなどのコネクタが既成コネクタとして用意されています。また、J2EEに完全対応し、オープンスタンダード(XML、SPML)に基づき拡張が可能です。
HP IceWall SSOシステムにHP OpenView Select Identityのコネクタ群を組み合わせることにより、人事DBからユーザ情報を拾い出してHP
IceWall SSOの認証DBと同期することが可能となり、最終的には人事DBとHP IceWall SSOの認証DBを含む全アイデンティティ情報をHP
OpenView Select Identityで統合管理することも可能となります。
また、例えばHP OpenView Select Identityの拡張機能を使って、HP IceWall SSOのグループ設定ファイルであるcert.grpファイルに直接セキュアな形でプロビジョニングできるコネクタをJavaベースで作成することもできます。このコネクタを利用することにより、HP
OpenView Select IdentityのGUIインタフェースからHP IceWall SSOの設定ファイルであるcert.grpへも含めての統合ユーザ管理が可能となります。
■ SOAを採用したWebサービスアプリケーションによるアイデンティティ管理(コンテキストベースのアイデンティティ管理)
HP OpenView Select Identityによるユーザ管理は、従来のロールによるユーザ管理(その拡張であるルールによるユーザ管理)による煩雑な管理作業とは無縁です。
管理者は、あるユーザの情報(コンテキスト情報)を一つ変えるだけであらかじめ設定されていたサービスの中でユーザが使用している権限情報やポリシー、ワークフローなど、を変えることができます。また全ての管理はWebベースですので、関係会社や取引会社のユーザ、管理者との連携も可能です。
例えば、関係会社のテンポラリスタッフを新たにユーザ登録する際、その社員はHP OpenView Select Identityのセルフサービス機能を使ってセルフサービスによりユーザ自信の情報を事前に登録申請することができます。例えば「営業一課」に登録するには、Web画面から「シングルサインオンサービス」の「営業一課」(コンテキスト情報)に申請します。申請はワークフローで適切な管理者に承認され、HP IceWall SSOを含む必要なシステムへユーザ情報がプロビジョニングされます。何年か後、このスタッフが営業一課から本社一課に転属になったとします。管理者側で行う必要がある操作は、ユーザの情報「営業一課」を「本社一課」に変更するだけです。この変更を行うことによって、HP OpenView Select Identity側では自動的にこのスタッフの情報を営業一課のためのユーザ情報(権限やポリシー、ワークフローなど)から本社一課のためのユーザ情報(権限やポリシー、ワークフローなど)に変更します。HP IceWall SSOの認証DBやcert.grpの情報も自動的に変更され、アクセス権限情報も書き換えられます。(HP OpenView Select IdentityにはHP IceWall SSOを含む「シングルサインオンサービス」が登録されていて、「営業一課」「本社一課」などの区分で権限やワークフローが設定されています。サービス、区分の追加、変更もWeb画面により容易に可能です。)
このスタッフは新たな地ですぐに仕事を始めることができます。
このように、HP IceWall SSOとHP OpenView Select Identityとの組み合わせにより、近年の複雑な就業形態や迅速なビジネス上の変化に対応できるエンタープライズ規模のIAM環境の構築を実現します。 |