 |
特集 Windows Server 2003完全ガイドADとメタディレクトリ・サービスが切り開く次世代の組織内ID管理 1.ID管理の重要性と難点Michael Cherry2003/10/30 Copyright (C) 2003, Redmond Communications Inc. and Mediaselect Inc. |
|
|
| 本記事は、(株)メディアセレクトが発行する月刊誌「Directions on Microsoft日本語版」 2003年10月15日号 p.27の「最新ID管理アーキテクチャを分析 企業内ID管理を大幅改善」を、許可を得て転載したものです。同誌に関する詳しい情報は、本記事の最後に掲載しています。 |
ID管理、すなわち人間に関する変化の多いデータ(氏名や役職、住所など)を複数のディレクトリやアプリケーション間で維持するプロセスは、大きな組織にとって依然として難題である。Microsoftは、顧客のID管理の取り組みを支援するために、Microsoft Identity Integration Server(MIIS)2003(旧称Metadirectory Server)とActive Directory Application Mode(ADAM)をリリースし、Directory Services Markup Language(ディレクトリ情報を記述するためのXMLベースの仕様)の最新版をサポートする*1。これらのツールは組織のID情報の統合に大いに役立つが、BtoB(企業間)ID情報共有の総合的サポートは今後の課題である。
| *1 編集部注:Windowsメタディレクトリの基礎とMIISについては別稿の「Windows技術解説:Windowsメタディレクトリ入門」を参照されたい。 |
企業におけるID管理の重要性
IDデータは、ある人物に関するアトリビュート(氏名、電子メール・アドレス、物理アドレス、電話番号、役職、ユーザー・アカウント、パスワードなど)で構成される。ID管理は、IDデータを必要とする、独自に維持されている多数のシステム間でのIDデータの保守という問題に取り組むものだ。システム例として次のようなものがある。
-
OSとそのディレクトリ:WindowsとActive Directoryなど、IDデータを用いてファイルやアプリケーションそのほかのリソースへのアクセスを判断するもの
-
人を追跡するための主要アプリケーション:人事および顧客関係管理システム
-
コミュニケーション・ディレクトリ:Exchangeなどのアプリケーションのための企業の電話ディレクトリや電子メール・ディレクトリなど
-
企業のイントラネットとエクストラネット:アクセス・コントロールとパーソナリゼーションにIDを使用するもの
これらのシステムは、多くの場合、使用するIDデータ用の独自のデータベースやストアを備えている。
ID管理における重要な課題は「プロビジョニング」と「同期」の2つで、その目的はIDデータの単一ビューの提供とパスワード管理のサポートにある。
■プロビジョニング
プロビジョニングには、IDデータの作成と削除が伴う。例えば、従業員が採用されたときの新規IDデータの追加と、従業員が解雇されたり退職したりしたときに不要になったIDデータを削除することである。
■同期
同期には、IDデータに加えられた変更の管理が伴うが、このデータは変化しがちである。というのは、人間が置かれる状況は、移転や結婚、離婚、新組織への加入、組織内での役割変更、退職などと頻繁に変わるからだ。こうしたイベントはいずれも格納されたIDデータの変更につながる可能性がある。そして1つのストアで情報が変更されるたびに、ほかのすべてのストアではデータが古くなる。従って、IDデータに加えた任意の変更は、すべてのデータ・ストアで同期させる必要がある。
■単一のID情報ビュー
複数のIDデータ・ストアでは、個々のデータ・ストアが各ユーザーについて同じアトリビュートを持っていても、それらを同じフォーマットで保持しているとは限らない。例えば、名字と名前は別々の値として保持することも、組み合わせて1つの氏名の値とすることもできる。従って、すべてのIDデータ・ストアの中にある1人の人間に関する各種のIDアトリビュートやデータ片を組み合わせて単一の一貫性のあるビューを作るのは難しい。
■パスワード管理
ユーザーがアクセス権限のあるすべてのシステムで同じ認証を使いたければ、アカウント名とパスワードのセットは複数のデータ・ストア間で同期すべきもう1つのIDデータ・アトリビュートとなる。さらに、多くの企業が強力なパスワードを要求し、パスワードの有効期限の設定と失効後のユニークなパスワードの使用を強制するのに伴い、忘れたパスワードのリセットは時間と経費のかかる管理活動となりつつある。
Active DirectoryとID管理
Microsoftは当初、Active Directory(AD)が組織の単一のIDストアとなることを望んでいた。
ADは、Windowsサーバーベースのネットワーク上の人やコンピュータ、そのほかのオブジェクトに関するデータを論理的・階層的に整備するための基盤として、構造化されたデータ・スキーマを提供する。Microsoftアプリケーション(SQL ServerやExchangeなど)とサードパーティ・アプリケーションは、ADのIDデータを利用してユーザーを認証し、リソース(メールボックスやデータベース・テーブルなど)へのアクセスをコントロールできる。こうして、ADは複数のアプリケーションの共有IDストアとして機能することが可能になる。
Microsoftは、ADがいかに優れていようと、組織は恐らく常に複数のIDデータ・ストアを備え、どんなIDデータ・ストアも決して組織のすべてのID管理ニーズを満たせないことに気付いた。Microsoftはこれを考慮し、Microsoft Identity Integration ServerをリリースしてADのID管理機能を向上するとともに、ADAMを提供してIDデータの管理を支援している。
複数ID管理をサポートするMIIS 2003
Microsoftの最大のID管理ツールであるMetadirectory Serverは、もともとは1999年のZoomit Corporation買収の一部として取得された。2003年8月にMicrosoft Identity Integration Server(MIIS)2003と改称してリリースされたバージョン3は、企業が複数のIDデータ・ストアを管理できるように支援する新機能を搭載している。これにより、管理者はIDデータの提供、同期、ID情報の単一ビューの取得、Webベース・インターフェイス経由でのユーザーのパスワード管理を簡略化できる。
MIIS 2003の新機能
MIIS 2003の最大の変更点は、Microsoft SQL ServerをIDデータの基本ストレージ・エンジンとして採用したことだ(MIIS 2003の概要については、コラム「MIISのアーキテクチャ」を参照)。MIIS 2003のほかの改良点としては、カスタム拡張機能のサポート、データ系列、パスワード管理、IDデータ分析の改善などがある。
■カスタム拡張機能
開発者は、.NET Frameworkをサポートする言語(Visual
Basic .NETやC#など)を使用して、管理エージェントやメタバース(異なるストアのIDデータを、ある個人に関する読み取り可能な情報を備えた単一のビューに統合するMIIS内のデータベース・テーブル一式)の機能を拡張できる。例えば、カスタム拡張機能は、ある例外や問題の場合に特定の行動を起こしたり、従業員番号のチェックサムやハッシュ値が正しいかどうかを確認したりして、IDデータ・アトリビュートの値を確認できる。
■データ系列
MIISの本バージョン*2は、すべての変更を記録するため、管理者はIDデータの由来とそれに加えられた変更を追跡できる。
| *2 編集部注:MIISには、製品版として販売されるMIISと、無償提供されるIdentity Integration Feature Packの2種類がある。 |
■パスワード管理
MIISにより、ヘルプ・デスク・オペレータや管理者は、内部のWebアプリケーションからユーザー・パスワードを設定できる。このWebアプリケーションは、忘れたパスワードや失効したパスワードの効率的なリセットと、関連するすべてのIDデータ・ストア(AD、ADAM、Sun
One Directory 5.1、Netscape Directory 6.1、Windows NT 4.0、Lotus Notes 4.6および5.0など)でのパスワード変更の同期を可能にする。
■IDデータ分析
MIISは、組織が複数ソースのIDデータ同士の関係を調査できる新ツールを提供する。これにより、「組織内に何名の副社長が存在するか?」といった即席のクエリーに答えるためのデータ処理が簡略化される。
 |
| INDEX | ||
| [特集]Windows .NET Server 2003完全ガイド | ||
| ADとメタディレクトリ・サービスが切り開く次世代の組織内ID管理 | ||
 |
1.ID管理の重要性と難点 | |
| コラム:MIISのアーキテクチャ | ||
| 2.Windows Server 2003の最新ADテクノロジ | ||
 |
||
 |
Windows Server 2003完全ガイド |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
