本サイトでは、「ID管理の基礎の基礎」として、ID管理システムの必要性やメリット、機能の概要について紹介しました。
ID情報を適切に管理することで、管理者の負担を抑え、情報漏えいなどのセキュリティリスクを低減することができます。煩雑で非効率な ID管理を見直すにあたって有効となる ID管理システムの具体的な機能と、製品を選定する際の留意点について触れます。

ID管理システムの機能

1.ユーザー情報の連携

IDの数が多くなればそれだけ管理が煩雑化します。それを解消するため、ID管理システムは、ユーザー情報をシステム内に「取り込み」、ユーザー情報を一元的に管理し、組織で利用するシステムやサービスに「連携」する機能を持っています。

人事データベースや人事管理台帳などに登録されているユーザー情報(源泉情報といいます)は、以下の機能を用いて ID管理システムに取り込みます。以下は取り込み機能の一例です。

CSVファイルのインポート
人事データベースや人事管理台帳などから出力されたCSVファイルをもとに、ユーザ情報やグループ情報、組織情報などをID管理システムに取り込みます。

ODBCを用いた情報取得
ODBC経由でデータソースにアクセスし、データベースに登録されている情報を直接 ID管理システムに取り込みます。
※ ODBCとは:Open Database Connectivityの略称で、データベース管理システム(DBMS)にアクセスするための仕組みです。DBMSに登録されているデータの取得や書き込み、操作を行うことができます。

LDAPを用いた情報取得
LDAPサーバーに登録されている情報を ID管理システムに取り込みます。
※ LDAPとは:Lightweight Directory Access Protocolの略称で、ユーザー情報を保持するディレクトリサービスにアクセスするための通信手段です。

SCIMを用いた情報取得
SCIMインターフェースを実装したアプリケーションの情報を ID管理システムに取り込みます。
※ SCIMとは:System for Cross-domain Identity Managementの略称で、複数のドメイン間でユーザー情報を自動的にやり取りする際に利用される規格です。

ID管理システムに保存されたユーザー情報やグループ情報、組織情報は、連携先のシステムに反映します。以下の機能を用いて連携します。以下は連携機能の一例です。

ID管理システムが用意した連携機能を利用
Active Directory や Microsoft Entra ID、サイボウズガルーン や Desknet’s など各種グループウェアに合わせた連携機能を使って、連携先システムに反映します。

ID管理システムで連携先システムの取り込み用ツールを実行させる方法
連携先システムで用意されている取り込み用ツールをID管理システムで実行する方法です。ID管理システムでCSVファイルを出力しツールを実行することで、連携先システムに反映します。

2.人事イベントとの連携

上記の「ユーザー情報の連携」を管理者が手動で実行することも可能ですが、業務効率を上げる機能として IDライフサイクル管理機能やワークフロー機能があります。お客様の運用に合わせて自動化が可能です。
また、利用者のユーザー情報を利用者自身でメンテナンスさせる機能もあります。

IDライフサイクル機能
社員が入社した際のID情報の登録や、組織変更や人事異動などの変更、社員の退職に伴う無効化・削除といった「IDライフサイクル」に従って、連携先システムに自動で連携する機能です。

ワークフロー機能
ID情報を連携させる際に、稟議・申請・承認の一連の業務手続きが完了した段階で、連携処理を実行する機能です。

セルフメンテナンス機能
利用者が ID管理システムに登録されている自分自身の情報のみを変更し、連携先システムに自動で連携する機能です。

3.監査関連

システムで何が起こっているのか、誰がいつどこで何をしたかを特定するための重要なログとして監査ログがあります。ID管理を行う際にも、これらは必要です。ID管理システムでは操作したログを記録し、その情報をもとにレポート化する機能を備えるものもあります。

ログの記録と確認
誰がどの情報を更新したかなど、管理者や利用者の操作ログを記録し、確認します。

レポート
事前に定義した内容のレポートを出力する機能を利用することで、IDおよびその権限のたな卸しや認証に必要なパスワードの最終変更日時などを把握できます。

ID管理システムを選定する際の留意点

ID管理システムを選定する際は、以下の点に留意しましょう。

1.ユーザー情報の連携

一元管理が可能か
ID管理システムの管理情報として、クラウドサービスとオンプレシステムの両方を一元的に管理できる製品か確認しましょう。

利用しているシステムと連携できるか
社内で利用しているクラウドサービスやオンプレシステムへのプロビジョニングなど、ID管理システムが連携できるか確認しましょう。
※プロビジョニングとは:「提供」や「供給」という意味を表す英語で、ITインフラを事前に準備・設定することを指します。

拡張性があるか
将来的なユーザー数や連携先システムの増加に対応できるかどうかを確認しましょう。

2.人事イベントとの連携

会社のIDライフサイクルとの相性が良いか
人事異動後の権限の変更や保持、データ同期などのニーズに対応できるかを考慮しましょう。要件定義の段階で、ID管理システム導入後の運用方法についても事前に検討しておくことが大切です。

3.監査関連

ログの追跡が可能か
IDのライフサイクルは正しく設定されているか、誤った権限の割り付けはないかなど、事象が発生した際に追跡が可能か検討が必要です。発行した IDが利用される際、不審な動作や異常なログインに対して監査を行うなどの検討も必要で、不正が確認されたときには即座に通知させるアラート機能があることも望ましいです。
また、ID管理システム自体のセキュリティが保たれているかの確認も必須です。ID管理システムは、全てのユーザー情報を一元管理しています。不正アクセスが発生しないように、堅牢なパスワードポリシーの設定や多要素認証システムとの連携などの検討が必要です。

まとめ

今回は、ID管理システムの仕組みと選定にあたっての留意点を紹介しました。上記のポイントを考慮して、組織のニーズに最適な ID管理システムを選定し、効果的に導入することが重要です。

弊社では、認証の対象となる IDを管理するシステムも長年取り扱っておりますので、ご興味ある方は是非お問い合わせください。

 

※記載の製品名は、各社の商標または登録商標です。