アーキテクチャ・ジャーナル

エンタープライズ IT 向けソフトウェア + サービスの消費に関する考慮事項

Kevin Sangwell
2008/09/22
Page1 Page2 Page3 Page4

ソフトウェア サービス : 統合に伴う新しい課題

 ソフトウェア サービスを導入すると、一連の課題であるサービスの配布とサポートは、プロバイダの責任になります。ただし、IT 部門は、新しいモデルの導入に伴う新しい課題に直面することになります ( 図 2 を参照)。

図 2 : ソフトウェア サービスの消費によって追加される新たな課題

 これらの新しい課題を無視することはできません。無視した場合、後で説明するとおり、直接コストと間接コスト、リソースやコンプライアンスに関する問題が生じる可能性があります。言い換えれば、ソフトウェア サービスの導入は、内部 IT 向け調達/ 統合のハイブリッド プロジェクトを意味します。統合は、次の 3 つの分野に大別して検討する必要があります。

  • 識別情報とアクセス管理
  • データ
  • 運用

 また、規制と法的義務についても検討する必要があります。

識別情報とアクセス管理

 識別情報とアクセス管理は、ヘルプ デスク コストからユーザー生産性、データ セキュリティに至る、IT のさまざまな側面に影響を与える長期的な問題です。また、企業の IT 部門がインターネットより優れたユーザー エクスペリエンスを提供すべき分野の 1 つでもあります。しかし、大半の企業が多数のユーザー ディレクトリを抱えているのが現状です。アナリスト組織の分析によると、ヘルプ デスクに対する問い合わせのうち、パスワード リセット要求は平均で 30% を占めています。

 完成型サービスとそれに対応する外部ディレクトリを追加するには、プロビジョニングとプロビジョニング解除のプロセスが、たとえヒューマン プロセスであっても、それを拡張することが必要です。たとえば、社員が辞職した場合に多くの組織が直面する問題は、内部アカウントを迅速にプロビジョニング解除または無効化することです。外部アプリケーションまたはサービスの場合、辞職した社員がアプリケーションとそのデータにアクセスするのを防ぐ企業ファイアウォールはないため、データ漏洩のリスクは甚大です。

 Active Directory (AD) であっても、Microsoft Identity Lifecycle Manager などのメタディレクトリ製品であっても、この問題を解決することはできません。AD は独自の仕様で、その信頼モデルの粒度は十分ではありません。また、メタディレクトリは広く普及しておらず、リアルタイムで稼動しません。外部アプリケーションまたはサービスとの統合に特に適した機能は、フェデレーションをはじめとした標準ベースの製品から提供されます。フェデレーションは、疎結合でありながら、スケジュールを介さずにリアルタイムで稼動するため、プロビジョニングとプロビジョニング解除を簡略化します。フェデレーションの信頼関係は粒度が高いため、コンシューマ組織は ( ルールに基づいて) ディレクトリの一部だけを公開できます。また、属性から " 要求" へのマッピングはリアルタイムで行われるため、内部ディレクトリを変更する必要性が緩和されています ( 図 3 を参照)。フェデレーションと ADFS の詳細については、「参考資料」を参照してください。

図 3 : 識別情報の統合機能を提供するフェデレーション

 SaaS とは対照的に、S+S アプリケーションでは、バックエンド サービスがファイアウォールの内側で実行されている場合があります。この場合は、エンタープライズまたはプロキシの単一の識別情報がクラウド内のサービスに渡されます。識別情報の統合は多くのエンタープライズ アプリケーションに共通の機能であるため、このバックエンド サービスは、Active Directory または一般的な LDAP ディレクトリとそのまま統合することが可能です。

アクセス制御

 権限の承認とアクセス管理もまた、考慮する必要がある側面の 1 つです。多くの場合、アプリケーションが提供する機能はユーザーごとに異なります。たとえば、費用管理アプリケーションで、マネージャは 4,000 ドル以下の要求を承認することが許可されており、4,000 ドルを上回る要求はディレクタの承認を必要とする場合が考えられます。今日、企業ファイアウォール内の多くのアプリケーションでは、個々のユーザーに対してアクセス許可が設定されています。そのため、ユーザーとその承認のマッピングがアプリケーションに格納されます。その一方で、多くの組織が、ユーザー ベースの承認からロール ベースの承認に移行し始めています。管理コストの削減、ロール内の承認の一貫性、透過的なコンプライアンスなど、ロール ベースの承認がもたらすメリットは明白です。

 完成型サービスに複数レベルの承認がある場合は、2 つの選択肢があります。1 つは、組織内のだれかにユーザーを手動で承認レベルに割り当てさせることで、もう 1 つは、内部のロール ベース モデルを外部アプリケーションに拡張することです。前者の方法は、ヘルプ デスクに負担がかかります。つまり、完成型サービスの導入に伴う潜在的なコストです。内部のロールを外部アプリケーションに割り当てるという後者の方法では、フェデレーションを使用できます。たとえば、Active Directory グループのメンバシップを、外部アプリケーションによって使用される Cookie 内の名前/ 値のペアに割り当てることができます。

 ビルディング ブロック サービスまたはアタッチ サービス ( ハイブリッド ソフトウェア + サービス) における承認は、フェデレーション モデルに基づいて行われます。このアプローチには、統合がサービス プロバイダで緊密に管理され、コンプライアンスが促進されるという利点があります。S+S のモデルが柔軟性を増すと、外部サービスに対する要求が発行される前に、ローカル サーバーによって承認できるようになります。ポリシーの適用をローカルで制御できるようになると、組織はビジネス関連の変化に迅速に対応できるようになります。また、統合が簡略化されるため、企業はベンダ アプリケーションのオンサイト部分の構成を環境に合わせて変更することができます。

識別情報とアクセス管理に関する考慮事項の要約
  • 外部サービスがユーザー識別情報に依存する場合 (SaaS で可能性が高く、S+S でも可能性あり) は、プロビジョニングとプロビジョニング解除の各プロセスを拡張する必要があります。統合はテクノロジによって行うことも、手動プロセスで行うこともできますが、いずれの場合もコスト関連の問題が生じます。
  • サービス プロバイダのユーザー アカウント ポリシーを内部ポリシーと照らし合わせて評価する必要があります ( パスワードの複雑さ、ロックアウトなど)。


 INDEX
  [アーキテクチャ・ジャーナル]
  「SaaS」と「ソフトウェア+サービス」は何が違うのか?
    1.ソフトウェア+サービスの背景
  2.ソフトウェア サービスにおける課題(識別情報とアクセス管理)
    3.ソフトウェア サービスにおける課題(データ、運用)
    4.ソフトウェア サービスにおける課題(規制と法的義務)/まとめ

インデックス・ページヘ  「アーキテクチャ・ジャーナル」


Insider.NET フォーラム 新着記事
  • 第2回 簡潔なコーディングのために (2017/7/26)
     ラムダ式で記述できるメンバの増加、throw式、out変数、タプルなど、C# 7には以前よりもコードを簡潔に記述できるような機能が導入されている
  • 第1回 Visual Studio Codeデバッグの基礎知識 (2017/7/21)
     Node.jsプログラムをデバッグしながら、Visual Studio Codeに統合されているデバッグ機能の基本の「キ」をマスターしよう
  • 第1回 明瞭なコーディングのために (2017/7/19)
     C# 7で追加された新機能の中から、「数値リテラル構文の改善」と「ローカル関数」を紹介する。これらは分かりやすいコードを記述するのに使える
  • Presentation Translator (2017/7/18)
     Presentation TranslatorはPowerPoint用のアドイン。プレゼンテーション時の字幕の付加や、多言語での質疑応答、スライドの翻訳を行える
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Insider.NET 記事ランキング

本日 月間