CA IdentityMinder r12.6 SP4 ご紹介 2015 年 12 月富士通株式会社
概要 1
CA IdentityMinder 概要と特徴 企業における ID 統合管理基盤 ID 統合管理基盤 : 全システムにまたがって ID 情報とアクセス権限を一元管理する基盤です ロール & ポリシーによるアカウント管理 各システムやアプリケーションにおけるユーザアカウント管理の一元化 ID やパスワード関連のユーザセルフサービスの提供 エンドユーザ自身によるパスワード更新 プロファイル管理 ワークフローによる社内承認業務の自動化 組織の承認プロセスに適応可能なワークフロー ユーザアカウントの追加 変更 削除などユーザセルフサービスの提供 ユーザ登録ワークフロー 職務要件表 アプリ利用申請ワークフロー ワークフローによる社内承認業務の自動化ロール & ポリシーに従いアカウント更新情報を自動的に同期 反映 Key Point!! ユーザ登録申請者 ユーザ登録登録者 ユーザ登録承認者 アプリ利用申請者 アプリ利用承認者 Active Directory MS Exchange グローバルユーザストア ワークフローエンジン 監査ログレポート プロビジョニングエンジン アカウント情報配信アカウント情報配信アカウント情報配信アカウント情報配信 LDAP Oracle Portal システム A ID 管理の一元化セルフサービスワークフロー CA IdentityMinder MS SQL Server システム B 2
アイデンティディ アクセス管理 (IAM) の課題と解決策 3
お客様の生の声 > コンプライアンス要件充足のための 複雑かつ高コストな活動 必要最低限の監査基準を満たすためですら 高コストで多くの手作業が必要となってしまう しかも次の監査までに再度同じ作業を繰り返さなければならない > 監査人の要求への対応 内部監査人 外部監査人が 機密データ 財務データへのアクセスが十分にコントロールされているかをチェックするだけ 彼らはそれがどれだけビジネスに負担となるか考慮していない > メンテナンスコスト 運用負荷の増大 運用 管理要員を増やす余裕は無い しかしユーザ数は増加する一方で ビジネスの観点からもより多くの顧客情報 パートナー情報を管理していきたい > 混沌とした 時には不適切な権限付与 従業員やパートナーの部署役割が変化しているにも関わらず 新しい権限を付与するばかり 不要となった権限を見直すことができていない > ゴーストアカウントの残存 とうに退社した人のアカウントがシステムに残っているが 見直しをする手間を掛けられない > ヘルプデスクの過負担 非効率 ヘルプデスクへの問合せ 依頼のうち 30 パーセントが単なるパスワード忘れによるものに過ぎない 4
課題 セキュリティ管理者 多数のアイデンティティ情報 >Mainframe >RDBMS >LDAP >OS >ERP 多数のユーザ > 顧客 > 従業員 > パートナー 多数のアプリケーション > 調達 物流 > 財務 > サービス > 生産管理 >CRM... 多数の管理タスク > 多数のインシデント > ユーザ パスワード管理... 継続的なメンテナンスが困難 アクセス権を管理しきれない 乱立するセキュリティ管理対象 管理コストの膨張 コンプライアンス保持に支障 セキュリティリスクの発生 ヘルプデスクに要するコストがかさむ セキュリティ対策の不統一な実施 手作業による IT プロセス 5
解決策 セキュリティポリシー セキュリティ管理者はアイデンティティ / アクセス管理を一元的に実施することができる セキュリティ管理者 必要最低限に絞られた ID > 管理の容易化 > 管理コストの削減 > 監査プロセスの改善によるコンプライアンス達成の容易化 多数のユーザ > シングルサインオン > ユーザセルフサービス 多数のアプリケーション > 一元化されたセキュリティ > 開発負担を軽減 一元化されるアイデンティティ / アクセス管理情報 > 管理コストの削減 > クロスプラットフォームで一貫した管理タスク > ITプロセスの自動化 太字 : CA IdentityMinder の対応範囲 それ以外は別製品 (CA SiteMinder) での管理 6
IAM ソリューション CA IdentityMinder で ID 情報の統合管理 CA SiteMinder で Web の認証基盤 (SSO) を構築することができます ID 管理者はシームレスに複数のサーバの ID 情報を一元管理することができ エンドユーザは複数の Web システムのシングルサインオンを実現することが可能です ID 管理者 エンドユーザ ID の登録 変更 削除 セルフサービス ( パスワードリセット等 ) Web アクセスシングルサインオン ID 情報の統合管理 ID や権限の基盤管理 セルフサービス Web の認証基盤 SSO 各 Web アプリの認証基盤 利便性と生産性の向上 CA IdentityMinder リポジトリ ( ユーザ ログ等 ) CA SiteMinder ID 登録先サーバ Web サーバ 7
製品情報 8
アイデンティティ管理 全システムにまたがって ID 情報とアクセス権限を一元管理可能です アイデンティティのライフサイクルを統合的に管理多数の事例で証明されたスケーラビリティ ( 最大で数百万人規模 ) アイデンティティ管理として 以下のような機能があります 管理タスク 権限の適切な分掌 エンドユーザによるセルフサービス 承認と通知に特化したワークフロー 監査とレポート 利便性の高い画面 多彩なインターフェース 9
管理タスク 権限の適切な分掌 > ID 管理と権限設定業務を委譲 管理タスクや権限を管理ロールとして分掌 ID 管理業務の分掌化 効率化 > 管理タスク例 ユーザの作成 グループの作成 ユーザの作成の承認 グループメンバの追加 プロビジョニングロールの付与 ユーザ管理者 権限内容 10
エンドユーザによるセルフサービス > ブラウザ上で 自身のアイデンティティ属性情報を変更可能 アプリケーションへのアクセス権限の変更 追加申請 パスワードの変更 パスワード忘れへの対応 パスワード忘れ対応用ダイアログ 11
承認と通知に特化したワークフロー 各システムへのアクセスに必要となるユーザー ID の作成 / 各種権限の付与業務を 容易にかつ より迅速に一貫性のある方式で提供します > アイデンティティワークフロー CA IdentityMinder のタスクをワークフロープロセスでコントロール 画面レベルでの簡単な設定 汎用的に利用可能な二段階承認のプロセスを デフォルトで用意 フローのトラッキング 申請者や承認者へのメール通知 必要に応じ デザイナーによってワークフロープロセスを定義 12
監査とレポート アイデンティティ情報の監査 (ID 情報の棚卸や不一致チェック等 ) を実施し レポーティングします > レポートデータの収集 オブジェクトストアや管理対象システムから収集 オブジェクトストア : ユーザ 権限情報など 管理対象システム : アカウント情報など 例 : ユーザとアカウントの一覧など > RDB へのレポートデータの出力 > レポーティングツールによるレポート生成 オブジェクトストア レポーティングツール 収集 エンドポイント 収集 生成 出力 レポート レポート用 DB 13
利便性の高い画面 > Web GUI による簡単な操作 権限設定からログ閲覧まで ID ライフサイクル管理に必要な一連の機能を集約 各種コンポーネントの設定も集約 > 設定レベルでの変更 表示項目 入力フィールド ボタン の変更等々 画面内のカスタマイズは設定レベルで可能 14
多彩なインターフェース > コマンドラインによるインターフェース ユーザ情報の配信 管理対象システムからの情報収集など 様々な機能を提供 > CSV によるインターフェース CSV ファイル内のユーザ情報を 画面からマッピング可能 人事異動などで大量に変更されるユーザ情報を容易に一括反映 > Web サービスによるインターフェース すべての ID 管理タスクを Web サービスとして利用可能 外部のアプリケーション等から ID 管理タスクを呼び出し可能 15
アカウントのプロビジョニング 企業内の全部門 全システムにおける アカウント情報の登録 / 修正 / 使用停止 / 削除などを自動化 以下の機能により 複数のサーバのアカウントのプロビジョニングを自動化できます 役割 + 条件ベースのプロビジョニング 多様な管理対象をサポートしたコネクタ カスタムコネクタ作成ツール パスワード管理 双方向パスワード同期など 16
役割 + 条件ベースのプロビジョニング > 条件ベース 特定の条件 / ルールに合致した場合に アイデンティティ ポリシー を適用 ID 管理業務の自動化 コンプライアンスの支援 > 役割ベース アカウント作成タスクの集合体としての役割 ( プロビジョニングロール ) を定義 条件設定例 17
プロビジョニングイメージ 新規ユーザーが配属された場合の アカウントのプロビジョニングの流れです ロール情報に従って 該当するアカウントテンプレートに所属した情報で各種サーバにアカウントが作成されます 新規ユーザ ( 情報システム部 ) ロール付与 ロール 情報システムメンバーロール 営業メンバーロール アカウントテンプレート 情報システム OU Admin グループ 営業 OU 一般ユーザ root グループ sales グループ db_owner public アカウント作成 アカウント作成 アカウント作成 アカウント管理システム Active Directory Red Hat Linux SQL Server 18
多様な管理対象をサポートしたコネクタ 各種 OS から Web アプリケーションに至るまで幅広い管理対象システムに対して 豊富なコネクタを標準で提供します CA IdentityMinder オペレーティングシステム Windows Server Windows Vista/7/8 Microsoft Active Directory Oracle Solaris RedHat Enterprise Linux HP-UX IBM AIX データベース (RDBMS) Microsoft SQL Server Oracle LDAP Microsoft ADAM CA Directory Sun Directory Server Novell edirectory グループウェア Microsoft Exchange IBM Lotus Notes Domino Server Microsoft Office 365 Microsoft Lync Server SaaS アプリケーション Salesforce Google Apps SCIM Connector Xpress によるコネクタ JDBC - Microsoft SQL Server -Oracle JNDI - Sun Directory Server - Novell edirectory 19
カスタムコネクタ生成ツール > DB テーブル用 /LDAP 用の コネクタ生成ツールを標準で搭載 ウィザードにて 管理対象テーブル / ツリーのID, パスワード, 属性等をマッピング コネクタ定義の後 ツールが自動デプロイ コーディングによる作成が不要 開発期間を大幅短縮 20
パスワード管理 > OS, Active Directory, メインフレームとの双方向のパスワード同期 パスワード変更をフック すべてのシステムに反映 > パスワードルールの適用 最少文字数 最多文字数の制限 使用文字の種類の制限 正規表現による制限 数字 英文字の繰り返しの禁止 etc パスワード変更 CA IdentityMinder パスワードの反映 Active Directory システム A システム B 21
動作環境 種類 / 用途 IdentityMinder アプリケーションサーバ (IdentityMinderが動作) Runtime Store(*2) 動作 OS/ 環境 Microsoft Windows Server 2008 (*1) Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 (*1) Oracle Solaris 10 Red Hat Enterprise Linux 5/6 (for Intel64) 動作 OS が Windows/Linux の場合 : Interstage Application Server Standard-J Edition V10(64bit) Interstage Application Server Enterprise Edition V10(64bit) Interstage Application Server Standard-J Edition V11 (64bit) Interstage Application Server Enterprise Edition V11 (64bit) 動作 OS が Solaris の場合 : Interstage Application Server Standard-J Edition V11 (64bit) Interstage Application Server Enterprise Edition V11 (64bit) Microsoft SQL Server 2005 SP4/2008 SP2/2008 R2 SP2/2012 SP1 Oracle Database 10g r2/10g r2 RAC/11g r1/11g r2/11g r2 RAC/12c/12c RAC (*1) CA IdentityMinder 付属のレポーティングツールを除く (*2) CA IdentityMinder が管理するユーザー情報を格納するリポジトリ 22
動作環境 種類 / 用途 User Store(*3) コネクタ ( 管理対象サーバ ) Webコンソール 動作 OS/ 環境 CA Directory r12 SPx( 本製品に同梱しています ) Oracle Sun Java System Directory Server (iplanet) v6.3/7.0 Microsoft Active Directory 2008 SP2/2008 R2 SP1/2012/2012 R2 Microsoft ADAM/LDS 2008 SP2/2008 R2 SP1/2012 IBM Directory Server 6.x Novell edirectory 8.8.x Oracle OID 10g/10g r3/11g r1 Oracle Database 10g r2/10g r2 RAC/11g r1/11g r2/11g r2 RAC/12c/12c RAC Microsoft SQL Server 2005 SP4/2008 SP2/2008 R2 SP2/2012 SP1 Red Hat Directory Server 8.2 Oracle Directory Server EE 11g(11.1.1.5) 多様な管理対象をサポートしたコネクタ を参照 (*4) Internet Explorer 10x/11x ( デスクトップ版での利用が可能です ) Mozilla Firefox (*5) Google Chrome (*5) (*3)CA IdentityMinder が管理するポリシー情報 動作ログなどを格納するリポジトリ (*4) 詳細なアプリケーション / システムについては弊社営業 /SE にお問い合わせください (*5) バージョンについては弊社営業 /SE にお問い合わせください 23
登録商標 Systemwalker Interstageは 富士通株式会社の登録商標です CA IdentityMinder CA SiteMinderは 米国およびその他の国における米国 CA Inc. またはその子会社の商標または登録商標です Windows Vista Windows 7 Windows 8 Windows Server 2008 Windows Server 2012 Internet Explorerは 米国 Microsoft Corporationの米国およびその他の国における登録商標または商標です UNIXは 米国およびその他の国におけるオープン グループの登録商標です OracleとJavaは Oracle Corporation およびその子会社 関連会社の米国およびその他の国における登録商標です 文中の社名 商品名等は各社の商標または登録商標である場合があります Oracle Solarisは Solaris Solaris Operating System Solaris OSと記載することがあります Red Hat Shadowman logo JBossは米国およびそのほかの国において登録されたRed Hat, Inc. の商標です Linux は Linus Torvalds 氏の登録商標です その他 本資料に記載されているシステム名 製品名等には必ずしも商標表示 (TM ) を付記しておりません 24
25