midPointによる「IDライフサイクル管理」「フルフィルメント」でアカウント管理のコスト削減:midPointで学ぶIDガバナンス&管理(IGA)の基礎(3)
「IDガバナンス&管理」(IGA)についてOSS「midPoint」を利用したハンズオンで学ぶ連載。今回は、源泉からの取り込みと連携先へのアカウント情報連携をmidPointで試します。
オープンソースソフトウェア(OSS)でありながら「IDガバナンス&管理」(Identity Governance and Administration:IGA)機能を備えた「midPoint」を使って、ハンズオン的にIGAについて学ぶ本連載『midPointで学ぶ「IDガバナンス&管理」(IGA)の基礎』。第2回では、midPointのハンズオン環境を構築しました。
今回はこのハンズオン環境を使って、「IDライフサイクル管理」および「フルフィルメント」を体験していきます。
IDライフサイクル管理とは
第1回でも説明されていますが、IDライフサイクル管理とはIDの登録から破棄までのライフサイクルを管理する機能です。IDのライフサイクル管理では下記のように、ユーザーの状態に合わせた作業が必要です。
- 入社時に、全従業員が利用するサービスのIDを作成する
- 異動に伴い、一部のサービスへのアクセス権限を削除/付与する
- 昇進に伴い、サービスの管理権限を付与する
- 退社の際に、全サービスへのアクセス権を削除する
IGAでは、これらの状態管理を自動化したり、別のシステム(例えば人事システム)と連動して状態を変更したりするといった機能も提供されています。
midPointにおけるIDライフサイクル管理
midPointでは、IDライフサイクルを図のように定義しています。
midPointでは、IDの登録と破棄をそれぞれ「Provisioning」「Deprovisioning」と表現し、昇進や配置転換、プロフィールの変更といったさまざまなID状態のライフサイクルを想定しています。
ここからはハンズオン環境を用いて、IDライフサイクル管理を説明していきます。
入社時のアカウント情報作成 - ID情報の取り込み/有効化 -
ここでは「従業員の入社時に人事システムに登録された情報から、新規アカウントを作成する」というユースケースを説明します。人事システムからの情報は図のようにCSV形式で提供され、その情報を基にmidPointでアカウント情報を作成、有効化します。
取り込み対象のCSVはハンズオン環境のリポジトリに含まれています。組織情報、従業員情報はそれぞれ下記の通りです。
| orgno | name | parent |
|---|---|---|
| 1000 | Example社 | |
| 1100 | 人事部 | 1000 |
| …… | …… | …… |
| empno | firstname | lastname | password | orgnum | title |
|---|---|---|---|---|---|
| 001 | ありす | 安藤 | qwe123 | 1200 | 部長 |
| 002 | 蛍 | 佐島 | qwe123 | 1210 | 課長 |
| …… | …… | …… | …… | …… | …… |
これらの情報をmidPointに取り込むために、コネクターの設定、組織情報および従業員情報のインポートを行います。
midPointコネクターの設定
midPointでは、源泉からの情報取り込みや他システムとの連携のために、複数のコネクターが用意されています。CSVファイルからmidPointに情報を読み込むにはCSVコネクターを使用します。コネクターの設定はmidPointのウィザードでも可能ですが、今回は設定済みの定義ファイル(「resources/chapter-3/resource-csv-hr.xml」「resources/chapter-3/resource-csv-org.xml」)を用意しているのでこちらを利用します。
まずはmidPointの管理コンソールから「リソース」→「リソース定義のインポート」にアクセスします。この画面から、CSVコネクターの設定ファイル(resource-csv-hr.xml、resource-csv-org.xml)を選択し、オブジェクトをインポートします。コネクターが正常にインポートされると、「すべてのリソース」に2つのリソース「HR System」(従業員情報)、「HR System - Org」(組織情報)が表示されます。
表示されたリソースをクリックすると、リソースの詳細情報が表示されます。この状態ではまだコネクターが接続されていないので、「接続テスト」をクリックして接続をテストします。接続が成功すると、CSVから情報が読み込まれます。
組織情報、従業員情報のインポート
関連記事
特権アクセス保護/特権ID管理の本質、歴史、ID管理基盤/IDaaS(ID as a Service)との違い
古くて新しい「特権アクセス保護」について技術的内容を分かりやすく解説する連載。今回は、特権アクセス保護(PAM)の歴史と本質、具体的にどのように機能するのか、ID管理基盤/IDaaS(ID as a Service)との違いなどについて解説する。
IDaaS分野のリーダーとされるOktaが日本に本格上陸
「IDaaS」と呼ばれるクラウド統合認証基盤の分野における有力企業であるOktaが日本法人を設立した。「クラウド」「デジタルトランスフォーメーション」「ゼロトラスト」をキーワードに、日本でのビジネス展開を本格化する。
マイクロサービス時代のSSOを実現する「Keycloak」とは
本連載では、近年注目されている認証プロトコル「OpenID Connect」をサポートするオープンソースのシングルサインオン(SSO)ソフトウェア「Keycloak」の活用方法を解説していきます。第1回目は、APIにおける認証/認可の仕組みとKeycloakの概要を紹介します。
Copyright © ITmedia, Inc. All Rights Reserved.