退職者が機密データを見れる状態じゃない? midPointによる「アクセス認定」で定期的な権限の棚卸し:midPointで学ぶIDガバナンス&管理(IGA)の基礎(6)
「IDガバナンス&管理」(IGA)についてOSS「midPoint」を利用したハンズオンで学ぶ連載。今回は、「アクセス認定」による定期的な権限の棚卸しについてです。
オープンソースソフトウェア(OSS)でありながら「IDガバナンス&管理」(Identity Governance and Administration:IGA)機能を備えた「midPoint」を使って、ハンズオン的にIGAについて学ぶ本連載『midPointで学ぶ「IDガバナンス&管理」(IGA)の基礎』。
前回の第5回は自動化が難しい権限付与のユースケースに対するワークフローを使ったアクセス要求/承認を行いました。今回は、付与した権限を定期的に棚卸しする「アクセス認定」を紹介します。
midPointにおける棚卸しの考え方
連載第3回では人事システムなどの信頼できる源泉情報を使用した「IDライフサイクル管理」「フルフィルメント」、第4回は同じく源泉情報に基づいた「エンタイトルメント管理」を紹介しました。これらにおいては、ユーザーの削除や権限の剥奪がシステムによって自動化されるので、常にシステムが適切な状況に保たれます。
一方で、第5回のような人手を介した権限付与においては、権限付与時こそ承認者によって適切に判断されるものの、その後、退職や異動などのイベントで権限が不要になった場合でも、そのイベントを契機として人手によって判断されず、権限が残り続ける不適切な状況となってしまいがちです。
そこで、定期的に権限付与が適切なのかどうかを確認する必要があります。midPointはこの考え方に基づき「アクセス認定」機能を提供しています。これは、管理者などに対して現在のアクセス権限付与状況が正しいかを定期的に確認させる機能です。
midPointでは、「キャンペーン」を定義してアクセス認定を実施します。キャンペーンは次のリストを設定したものです。
- スコープ定義:何を棚卸しするのか。例えば、「ユーザーに対するロールのアサインを棚卸しするのか」「組織に対するロールのアサインも棚卸しするのか」など
- ステージ定義:スコープに対する棚卸しの各段階を「ステージ」という。それぞれのステージで棚卸しする「レビュアー」などを設定する
スコープ定義での棚卸し対象や、ステージ定義でのレビュアーの選択は、柔軟に設定できます。
アクセス認定の流れは下図の通りです。
Example社における権限棚卸しシナリオ
第5回では、運用2課の一般社員が開発アプリケーションロールを申請し、サービス開発部の部長が承認することで、開発ツール(PostgreSQL)のアクセス権限が付与されるシナリオでした。
具体的には、下表のような登場人物でした。
シナリオ | 従業員番号 | 氏名 | 所属 | 役職 |
---|---|---|---|---|
申請者 | 023 | 渡辺英輔 | 運用2課(1320) | 一般社員 |
承認者 | 001 | 安藤ありす | サービス開発部(1200) | 部長 |
今回のハンズオンでは、プロジェクトが終了して手動付与した権限が不要になった後、サービス開発部部長の安藤ありすさんがアクセス認定機能で、渡辺英輔さんに手動付与した権限を棚卸し(権限剥奪)するシナリオにします。
midPointでは、アクセス認定の権限を持つ人物を「レビュアー」というので、まず安藤さんを承認者兼レビュアーに設定します。その後システム管理者がキャンペーン定義を設定し、キャンペーンを開始し、安藤さんがキャンペーンを実施します。
事前準備
ここからはハンズオンを実施します。まずは事前準備です。
ハンズオンの前提環境
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 特権アクセス保護/特権ID管理の本質、歴史、ID管理基盤/IDaaS(ID as a Service)との違い
古くて新しい「特権アクセス保護」について技術的内容を分かりやすく解説する連載。今回は、特権アクセス保護(PAM)の歴史と本質、具体的にどのように機能するのか、ID管理基盤/IDaaS(ID as a Service)との違いなどについて解説する。 - IDaaS分野のリーダーとされるOktaが日本に本格上陸
「IDaaS」と呼ばれるクラウド統合認証基盤の分野における有力企業であるOktaが日本法人を設立した。「クラウド」「デジタルトランスフォーメーション」「ゼロトラスト」をキーワードに、日本でのビジネス展開を本格化する。 - マイクロサービス時代のSSOを実現する「Keycloak」とは
本連載では、近年注目されている認証プロトコル「OpenID Connect」をサポートするオープンソースのシングルサインオン(SSO)ソフトウェア「Keycloak」の活用方法を解説していきます。第1回目は、APIにおける認証/認可の仕組みとKeycloakの概要を紹介します。