Pages

2014年8月28日木曜日

クラウドで始まるシングルサインオン(第3回 ID管理)


こんにちは、Be.Cloud通信戌亥です。

先日残暑見舞いをお送りしましたが、急に寒くなってきましたね(笑)。私のメッセージを今読まれている方は笑いながら読んでいることでしょう。これも、書いた時期と送信した時期がずれることで起きる現象です。こういうところからも、クラウドの重要性がわかりますね。

 さて、ここ2回ほどシングルサインオン(SSO)の話はおやすみしておりましたが、復活します。今日はID管理の話をさせていただきます。意外とSSOとID管理を「ごっちゃ」にしている人がいます。今日はその違いを明確にしたいと思います。

SSOというのは、1度ログインをすると複数のシステムにログイン無しで利用することができることを言います。しかし、IDが全てのシステムで同じものを利用することが出来れば、「第1回 今、何故シングルサインオン?」で話しました問題の半分は解決します。クラウドでは業者が違いますので、IDを全て同じにすることは無理ですが、仮定としてそれが出来ればということで聞いてください。つまり、「このシステムのIDはなんだっけ?」というのが無くなるわけです。ID管理とは、それをやります。

よく、当社のID管理はLDAPでやってますとか、ADでやってますとか、そういう話がありますが、それですね。全てのシステムを単一のLADP(ディレクトリサービス:DSといいます)に対応することが出来ればIDが統一されますし、パスワードも同じもので通ります。

しかし、単一のDSでやるというのも結構大変です。システムが分散化されている今日ではむつかしくなります。また、クラウドが入って来るとほぼ無理だと考えてください。そこで、パスワードはともかくとして、IDだけでも同じものにして、単一のDSでは無く、複数のDSを使いDS同士でレプリケーションをしょう、という考えですね。 この場合、ログインをしているのは、別の場所ですがIDは統合されます。あれ、ID管理ってそんなに簡単なものなの?と思われるかもしれません。実はID管理で最も重要でむつかしいのは、IDの統合ではないのです。一番むつかしいのが、「属性(attribute)」と呼ばれているものです。

属性ってなに?属性はそれぞれの人格を表すものですね。たとえば、部署だったり、性別だったりします。部長職や課長職というのもあります。また、xxプロジェクトという様な、人事に関連しないものもあります。システム的な属性もあります。この人は在庫システムを利用できるとか、在庫参照はできるけど引当は出来ない人というのもあるかもしれません。

その他、モバイルデバイスの利用許可を得ているとかいないとかというのもあります。期間で限定さらるものもあるかもしれません。2015.4.30までシステムを利用出るとかですね。つまり、この属性というのは、システム毎に共通で利用するもの、共通では利用しないものがあります。共通で利用するものに関しては、それぞれのシステムでメンテナンスすると、そのメンテナンスの負荷だけでも大変です。従って、それを何処かで管理をして、それを各システムに流し込むという仕組みを作ります。これがID管理です。

この中心になるものが統合ID管理と呼ばれており、その1箇所をメンテナンスすれば、共通項目は1箇所で管理出来ますね。ID管理という呼び名がわかりにくいですが、ID管理というのは、「IDに紐付く多くのシステムで利用される共通の属性を管理する」ことだと考えてください。 クラウドのシステムでも、組織とか役職など多くの共通項目が必要になります。

例えば、Office365で利用するContact情報に組織の情報などを入れたいとすれば、社内の組織情報との連携が必要になります。そうでないと、人事異動の時に社内とOffice365上で修正を2回しなければなりません。また、それぞれのシステムは前述したLDAPやADを利用しているとは限りませんので、簡単にレプリケーションが出来るわけではありません。洗練されたクラウドシステムでは、プロビジョニングAPIというAPIを設けており、プログラムで同期を取ることが出来ます。

しかし、多くのベンダーはCSVで登録する仕組みを作成しており、バッチでしか登録出来ないものもあります。統合ID管理では、そういったCSVの、フォーマットの作成が出来る様にしなければなりません。 「シングルサインオン」は1回のログインで複数のシステムを利用出来る仕組みで、それぞれのシステムのIDと属性を管理して同期する仕組みは、「ID管理」または「統合ID管理」と言います。

0 コメント:

コメントを投稿