midPointで学ぶ、アクセス要求による権限付与の申請、承認とワークフロー：midPointで学ぶIDガバナンス＆管理（IGA）の基礎（5）

「IDガバナンス＆管理」（IGA）についてOSS「midPoint」を利用したハンズオンで学ぶ連載。今回は、アクセス要求による権限付与の申請、承認とワークフローについてです。

[上杉啓恵, 五戸禎人，野村総合研究所／クラウドネイティブ]

　オープンソースソフトウェア（OSS）でありながら「IDガバナンス＆管理」（Identity Governance and Administration：IGA）機能を備えた「midPoint」を使って、ハンズオン的にIGAについて学ぶ本連載『midPointで学ぶ「IDガバナンス＆管理」（IGA）の基礎』。

　前回の連載第4回では人事異動のユースケースを基にロールを使って自動的にプロビジョニングしました。今回は自動化が難しい権限付与のユースケースに対するワークフローを使ったアクセス要求を紹介します。

アクセス要求とは

　連載第4回では、人事システムなどの源泉情報から権限を自動で付与しました。しかし、権限付与が必要な場面は他にもあります。具体例としては次の通りです。

1. 一時的に他部署の業務を行う場面
2. プロジェクト型組織への配属
3. 一時的な特権の利用

　こうしたケースに対応するために、midPointはワークフローを使った権限付与も可能です。本稿でハンズオンはしませんが、代理申請、期限付きの委任（代理承認）、多段承認についても実現可能です。

アクセス要求のハンズオン

　本稿では、「開発プロジェクトの工期を圧縮するために、運用2課の一般社員が『開発アプリケーション』ロールを申請し、開発ツール（PostgreSQL）のアクセス権限が付与される」というシナリオでハンズオンします。さらに「承認者が不在の自動承認の場合」「承認が必要な場合」の2つでシナリオを分けます。なお、承認が必要な場合、申請に対する承認者は「開発マネージャー」ロールが割り当てられている開発部部長です。

　ハンズオンでは下表のように申請者と承認者を設定します。

シナリオ	従業員番号	氏名	所属	役職
申請者	023	渡辺英輔	運用2課（1320）	一般社員
承認者	001	安藤ありす	サービス開発部（1200）	部長

事前準備

アクセス要求の設定

　今回のハンズオンは連載第4回で構築および設定した環境を前提としています。まだ環境を構築していない場合はリポジトリ（https://github.com/Hitachi/midpoint-sample-configuration.git）から取得してください。なお、本手順では新たなファイル取得は発生しません。

$ cd midpoint-sample-configuration
$ git pull

　midPointにおいて、ロールの初期状態は管理者による付与が原則となります。そのため、まずは申請者がロールを要求できるように設定変更します。midPointの管理画面から「ロール」→「すべてのロール」→「Development Application Role」（名前部分）を選択します。

　「基本情報」タブ→「プロパティー」の下部にある「空項目を表示する」を選択します。

　「要求可能」という項目があるので、「未定義」から「True」に変更してください。この操作で該当ロールは各メンバーがセルフで要求できるようになりました。

申請者の設定