この記事は、Microsoft Identity Lifecycle Manager "2" のプレリリース版に基づいています。ここに記載されているすべての情報は、変更される場合があります。

ID 管理

Identity Lifecycle Manager 2 の概要

Aung Oo

 

概要:

  • 新しいポータルで行うことができる作業
  • セルフサービス ツール
  • ビジネス プロセスの管理
  • コード不要のプロビジョニング

目次

ポータルで行うことができる作業
管理者
標準ユーザー
グループ管理
セルフサービス形式のパスワード管理
Office との統合
ビジネス プロセスの管理
コード不要のプロビジョニング
まとめ

Microsoft Identity Lifecycle Manager "2" (ILM "2") の新しいリリース (この記事の執筆時点では Beta 3 です) は、Microsoft Identity Integration Server 2003 (MIIS 2003) や ILM 2007 で提供される ID 管理機能を基盤として構築されています。この新しいリリースでは多くの新機能や機能強化が提供され、セルフサービス ツールを使用してコストを削減したり、ビジネス プロセス モデリング機能を使用してセキュリティ要件の遵守を強化したり、直感的な開発ツールを使用して開発にかかる時間を短縮したりできます。

この記事では、主な新機能と機能強化を紹介し、ILM "2" が組織にもたらすメリットについて説明します。具体的には、ILM "2" ポータルでのユーザー プロファイルやグループの管理、セルフサービス形式のパスワード管理、ビジネス プロセスやワークフローのデザイン、Microsoft Office との統合、およびコードを使用せずに同期規則を作成できる機能 (コード不要のプロビジョニングと呼ばれます) について説明します。最後に、これも重要なことですが、ILM "2" を実装するためのソフトウェア要件、ハードウェア要件、および暫定的なライセンス要件について説明します。

ポータルで行うことができる作業

Web ポータルは、ILM "2" で新たに導入される最も注目すべき機能の 1 つです。その理由は、マイクロソフトから提供される製品やサービスに、エンド ユーザーがセルフサービス機能を実行できる UI が組み込まれたのはこれが初めてだからです。この Web インターフェイスは、承認されたユーザーや管理者がユーザーやグループを管理したり、ビジネス ルールを定義したり、コード不要のプロビジョニングを使用してアカウントをプロビジョニングするためのエントリ ポイントを提供します。

ILM "2" では Windows 統合認証と Active Directory が使用されるので、組織では、Active Directory 内で既に定義されている既存のユーザーやグループを使用して新しいユーザーの認証や承認を行うことができます。管理者特権を持つユーザーは、エンド ユーザーが実行できるタスクだけでなく、プロセスのワークフローの定義や同期規則の構成などの管理機能も実行できます。

管理者

管理者特権を持つユーザーは、ポータルにログインすると、標準ユーザーよりも多くの機能にアクセスできます (図 1 参照)。たとえば、既存のレコードの表示や更新を行ったり、接続されたディレクトリ内にある新しい従業員用のアカウントを要求したりできます。

fig01.gif

図 1 ILM "2" ポータル

ポータル内で新しいユーザーを構成する場合、名前、表示名、電子メール アドレス、開始日、終了日など、そのユーザーの詳細情報を送信できます。ページ上のフィールドは、必要に応じて構成できます。また、オブジェクトの視覚化を使用してポータルのスキーマを拡張し、従業員の靴のサイズなど、ほぼどのような種類のデータでも要求できます。

同期エンジンによって、新しいレコード、およびポータルから加えられた変更が検出され、それに応じて、接続されたディレクトリ内にユーザー情報がプロビジョニングされます。同期エンジンを使用して、接続されたディレクトリ内にアカウントをプロビジョニングするときに実行される一連の処理は、ILM 2007 の場合と同じです。主な変更点は、管理者がポータルを通じて従業員情報の入力や更新を行うことができ、入力や更新が行われると同期エンジンが起動することです。これにより、接続されたディレクトリ内のユーザー情報をより柔軟な方法で収集および更新できるようになります。

人材データベースには契約社員や臨時職員 (インターンの学生など) の情報は格納されていないことが多く、その場合、契約社員や臨時職員のアカウントを管理するのが困難になります。また、こうしたアカウントはさまざまなアプリケーションを使用して手動で作成されることが多く、その場合、必要に応じて手動でアカウントを削除することを忘れやすくなります。これが原因で、ユーザーが組織を去った後もアカウントが有効になっているというセキュリティ ホールが発生する可能性があります。

この問題に対処する 1 つの方法は、ILM "2" ポータルを使用して臨時職員のプロファイルをプロビジョニングおよび追跡することです。人材データベースは引き続き従業員や契約社員のレコードを参照するための信頼できるデータ ソースとして機能し、ポータルは単純にプロファイルの入力や更新を行う方法の 1 つとして人材データベースを補完します。

標準ユーザー

ポータルが提供されることにより、標準ユーザーにもある程度の権限が与えられます。ユーザーは自分の情報の一部を更新でき、ユーザーが情報を更新すると、情報は接続されたディレクトリに反映されます。この操作も ILM "2" の同期エンジンを使用して行われます。管理者は、ユーザーが更新できる属性を構成したり、ユーザーがフィールドに入力した情報の形式を検証したりできます。この方法は、さまざまなデータ ソース内のデータをより新しい状態に保つのに役立ちます。

これは、現在使用されている厄介な方法とはまったく対照的です。多くの組織では、ユーザーが自分の情報を更新できるように、サードパーティ製の電話帳ソリューションを使用したり、組織内で独自のソリューションを構築しています。また、情報を更新するために、ユーザーがヘルプ デスクに電話をかけたり、書類を提出しなければならない組織もあります。

どちらの方法にも、いくつかの深刻なデメリットがあります。サードパーティ製のアプリケーションや、組織内で独自に構築したソリューションは、多大な費用がかかり、保守しにくい場合があります。また、一般にこのようなソリューションでは、格納されている情報が更新されても、同期エンジンを使用して他の接続されたディレクトリが更新されることはありません。一方、情報を更新するためにユーザーがヘルプ デスクに電話をかける方法を使用すると、IT サポートのコストが大幅に増加したり、サポート スタッフが比較的重要度の低い作業に拘束されたりする場合があります。

グループ管理

管理者は、ユーザー属性の値や名前に基づいてメンバシップを分類するクエリを定義することによって、接続されたディレクトリ内のメンバで構成されるセキュリティ グループや配布リストをプロビジョニングできるようになりました。すべての操作は、Web ベースの単純な UI を使用して行うことができます。わかりやすいのは、明示的にユーザーを追加してグループをプロビジョニングする方法ですが、より複雑なシナリオがサポートされます。

望みどおりのメンバで構成されたグループをプロビジョニングできます。直属関係や特定の属性に基づくグループを作成することが可能です。この操作は、ワークフロー アクションを定義することによって行います。たとえば、管理者は、マーケティング部門の全ユーザーをグループ化するクエリを定義し、"マーケティング" という値をグループ名に含めることができます ("マーケティング部門の全ユーザー" など)。ILM "2" の同期エンジンによって、定義に基づいてグループがインポートされ、接続されたディレクトリ内にグループがプロビジョニングされます。また、複数の属性を参照するブール ロジックを使用して、複雑なクエリを非常に簡単に作成できます。

エンド ユーザーも、ポータルを通じて、配布リストを作成し、自分自身をそのリストに追加したり、そのリストから削除したりできます。また、承認された配布リストやユーザーだけをリストに含めることができるように、ワークフローの承認ロジックを実装することもできます。

以前のバージョンの ILM でも Web インターフェイスを通じてグループを管理できましたが、それには別途プログラムをダウンロードする必要がありました。このプログラムは、Microsoft Identity and Access Management Series に含まれる、プロビジョニングとワークフローに関するセクションの一部として提供されていました。このソリューションは管理者専用で、エンド ユーザーがこのソリューションを使用してグループに参加したり、割り当てられたグループから抜けたりすることはできませんでした。

Web ポータル上で実行できる管理機能もあります。注目すべき管理機能は、次のとおりです。

  • 接続されたディレクトリ内にプロビジョニングされるオブジェクトの種類に優先順位を付ける (これにより、特定のオブジェクトを同期サイクル全体よりも短い期間でプロビジョニングできるようになります)。
  • ユーザー プロファイル ページのスキーマを変更する (ユーザー情報を収集するページのスキーマを拡張して、組織の要件に応じたフィールドを追加できます)。
  • ユーザー アカウントの状態を更新する。
  • サイトの外観や動作を変更する (これにより、各組織の基準に合わせてポータルをカスタマイズできるようになります)。

セルフサービス形式のパスワード管理

ILM "2" で新たに導入されるその他の重要な機能の 1 つは、セルフサービス形式のパスワード管理ソリューションです。ILM 2007 に含まれる 2 つのパスワード管理ソリューション (Web ベースのソリューションとパスワード変更通知サービス) で提供されるセルフサービス機能は限られています。どちらのソリューションでも、ユーザーがパスワードをリセットするには古いパスワードを入力する必要があります。このため、パスワードを忘れた場合はどちらのソリューションもまったく役に立ちません。パスワードを忘れた場合、ユーザーはヘルプ デスクに電話をかける必要があります。

ILM "2" では、この問題に対処することを目的として、ユーザーが Windows のログオン UI からアクセスできるチャレンジ応答の質問を使用して、パスワードをリセットできるようになりました。この機能は間違いなく、ヘルプ デスクのコストを削減するのに役立ちます。

パスワード管理アプリケーションが展開された後、ユーザーが初めてログオンすると、一連の質問 (最初に購入した車、出身地など) に回答することを求める画面が表示されます。図 2 は、このパスワード リセット用ダイアログを示しています。

fig02.gif

図 2 パスワード リセット用の画面

管理者は、使用する質問の種類と数を指定できます。また、ゲートの数も指定できます (各ゲートには一連の質問が含まれます)。また、管理者は、ユーザーがパスワードをリセットしたり次のゲートに進んだりするために正解する必要がある質問の数も構成できます。

適切なレベルのセキュリティを確保するには、ゲートの数やユーザーが正解する必要がある質問の数を Active Directory のセキュリティ グループと結び付けるとよいでしょう。たとえば、役員セキュリティ グループのユーザーは、3 つのゲートを通過し、各ゲートですべての質問に正しく回答する必要があるでしょう。一方、マーケティング セキュリティ グループのユーザーは、1 つのゲートを通過し、3 つの質問のうち 2 つに正しく回答するだけでよい場合があります。ユーザーが Windows ログオンからパスワードをリセットできることが望ましくない場合は、パスワードをリセットするための Web UI を提供することもできます。

Office との統合

ILM "2" では、Office との統合により、ユーザーが Microsoft Office Outlook 内からグループ メンバシップを管理できます (図 3 参照)。このため、配布リストへの参加や配布リストからの除外、グループに対する他のユーザーの追加と削除 (これを行うには Outlook 2007 以降が必要です) などの一般的な作業を馴染みのある方法で行うことができます。

fig03.gif

図 3 Outlook との統合

ユーザーは、グループに参加することを選択したり、グローバル アドレス一覧を参照したり、参加するグループを選択したり、グループから自分を削除した後、要求を送信できます。配布リストの所有者はその要求を電子メールで受け取り、Outlook 内から要求を承認または拒否できます。グループの所有者が要求を承認したら、ILM の同期エンジンが起動し、処理が実行されます。

ビジネス プロセスの管理

ビジネス プロセスやワークフローの管理は、ILM "2" のあらゆる主要なシナリオに不可欠です。さいわい、ビジネス プロセスやワークフローのロジックは、各組織の要件に合わせてカスタマイズできます。たとえば、システム内で特定のイベントが発生したときに、自動化された一連の処理が実行されるように指定できます。この処理はプロセスと呼ばれます (図 4 参照)。

fig04.gif

図 4 ワークフロー プロセスを構成する

管理者は、イベントを認証、承認、アクションという 3 つのプロセスの種類のいずれかと関連付けることができます。たとえば、認証というプロセスの種類を選択すると、所有者は、グループへの参加またはグループからの削除を希望するすべての要求を承認できます。承認ワークフローを選択した場合は、承認者の名前、承認者の数、および有効な承認状態を継続する日数を定義することもできます。

グループからの削除操作を実行するために管理者の承認を受けること、およびチャレンジ応答の認証プロセスでユーザーを認証することを要求する、複雑なワークフローを定義できます。管理者を含むすべてのユーザーは、最初の登録時に登録した本人確認用の質問に回答して、認証プロセスを完了する必要があります。

認証プロセスが完了したら、グループからの削除要求は、承認を受けるために承認者に送信されます。承認プロセスでは、削除操作を要求する権限がユーザーに与えられていることが確認されます。最後に、承認者が要求を承認し、ILM によって削除操作が実行されます。

組み込みのツールを使用して複雑なワークフローをデザインできるようになったことは、ILM の重要な機能強化です。以前、このようなソリューションでは、MIIS リソース ツール キットに含まれるシングル ステップのプロビジョニング ワークフローや、サードパーティ製のソリューションを使用する必要がありました。現在では、Web サービス API も使用できるので、独自のワークフローをカスタマイズして、そのワークフローを ILM "2" と統合する、一歩進んだ処理を行うことができます。

コード不要のプロビジョニング

IT プロフェッショナルは、コード不要のプロビジョニングを使用することによって、以前はコードの作成を必要とした作業のほとんどを行うことができます。ILM 2007 では、接続されたディレクトリ内の属性やオブジェクトを変換するために、Microsoft Visual Studio を使用してルール拡張やプロビジョニング コードを作成する必要がありました。

ILM "2" では、Web UI から、オブジェクトの種類、フィルタ ルール、プロビジョニングの状態、メタバースとコネクタ スペースとの間のオブジェクト関係、削除ルール、およびデータ フローを定義できます。管理エージェント デザイナ内で定義されているデータ フロー マッピングがすべて表示され、受信フローと送信フローの両方で、マッピングを編集して属性フローの連結や形式設定を行うことができます。コーディングを行う場合は、ILM "2" 用の拡張ルールやプロビジョニング ルールを作成することによって機能を開発することもできます。

まとめ

ILM "2" では、管理を単純化し、ヘルプ デスクのコストを削減するのに役立つさまざまな新機能が提供されます。管理者とエンド ユーザーは、作業を単純化し、ユーザーの生産性を向上させる新機能 (要望の多かった新しいポータルおよびセルフサービス機能から、コード不要のプロビジョニングに至るまで) からメリットを得ることができるでしょう。また、他にも、証明書ライフサイクル管理機能の強化、管理エージェントの増加によって実現された接続や拡張性の強化など、魅力的な機能強化が提供されます。

ILM "2" は、2009 年の前半にリリースされる予定です。詳細については、マイクロソフトの Identity Lifecycle Manager "2" Web サイトを参照してください。

Aung Oo は、Microsoft Consulting Services (MCS) で ID 管理に関する業務を専門に担当しています。Aung は、Microsoft ID 管理の初回リリース以降、営利企業と政府機関の両方の顧客を対象とした、企業規模のディレクトリおよび ID 管理ソリューションを設計、開発、および展開してきました。