日立 IDシステムズ

日立

製品
Hitachi ID Systems Web Feeds Follow Us on Twitter Follow us on LinkedIn
certification

製品情報

日立 ID 管理スイート リリース 6.0 についての "よくあるご質問

  1. 日立 ID 管理スイート のバージョン6.0とはどんなものですか?

    2. バージョン6.0は、日立 ID 管理スイート の最新のリリースで2009年2月1日から日立 ID のお客様に提供されています。この製品は、企業/組織において、新規ユーザーの登録、離職するユーザーのアクセス解除、及び各ユーザーのライフサイクルを通してのアイデンティティと権限に関するデータの管理を行うソリューションを提供します。


  2. 日立 ID 管理スイート の主な機能はなんですか?

    3. 日立 ID 管理スイート は、企業や組織が、複数の企業アプリケーションやシステムに跨るユーザーライフサイクルをより安全に、より効率的に管理できるようにするための、一連のアイデンティティ(ID)管理ソリューションです。

    日立 ID 管理スイートは、中規模から大規模の企業/組織で、複数のアプリケーションに跨るユーザーオブジェクト、識別属性、セキュリティ権限の効率的な生成、管理、停止を行うように設計されています。これらは、自動化とセルフサービスの組み合わせによって実行されます。

    • 一つのシステムから他のシステムへの変更の自動伝播
    • ユーザー自身のプロフィールの完成や、変更の承認、ユーザーの状況と権限のレビューを行うためにワークフローがビジネスユーザーを導きます。
    • 統合化された管理により、セキュリティ要員がアプリケーションセントリックでなく、ユーザーセントリックでアクセスを管理することができます。
    • パスワード同期化とエンタープライズ・シングル・サインオンにより、ユーザーが記憶し、タイプしなければならないパスワードの数を減らすことができます。
    • 報告書機能により、監査者、セキュリティ責任者やシステム管理者が現在の状況を解析したり、履歴変更をレビューすることができます。

    豊富なコネクターのセットが含まれており、他の 70以上の種類のシステムやアプリケーションと容易に統合でき、また、パスワード、Q&A、生体認証、OTP機器、PKI認証や、スマートカードといった認証手段を管理することができます。

  3. バージョン 6.0では、日立 ID 管理スイートのどのコンポーネントが新しくなりましたか?

    4. バージョン 6.0 には、次のコンポーネントが含まれます。:

    1. 日立 ID アイデンティティ・マネージャー -- 自動化した新規登録、同期化、停止処理
    2. 日立 ID アクセス・サーティファイアー -- 定期的な権限レビューと整理
    3. 日立 ID グループ・マネージャー -- セルフサービスのADグループ管理
    4. 日立 ID オルグ・マネージャー -- 分散関係管理

  4. 日立 ID 管理スイート 6.0 のコンポーネントは、日立 ID パスワード・マネージャー に統合されていますか?

    5. 前述の質問でお答えしている通り、日立 ID 管理スイート 6.0 には、日立 ID 管理スイートのすべてのアイデンティティ管理のコンポーネントが含まれていますが、日立 ID パスワード・マネージャーを含むパスワード管理製品は、含んではおりません。

    日立 ID パスワード・マネージャー とのインテグレーションは、日立 ID 管理スイート 6.0でサポートしています。この統合機能では、リアルタイムに新しいユーザー及び削除されたユーザーとそのログインIDが日立 ID パスワード・マネージャーに通知されます。 これにより 日立 ID パスワード・マネージャーでは、新しいログインIDのパスワードを生成された直後から管理することができます。

    日立 IDでは、日立 ID 管理スイート での 日立 ID 管理スイート 6.0のプラットフォームを使った新しいバージョンのパスワード管理製品を2009年後半に出荷する計画です。

  5. バージョン 6.0 は、以前のリリースとどのように異なりますか?

    6. 新たに改善された機能

    日立 ID 管理スイート 6.0 は、製品のすべてのコンポーネントの変更を伴うメジャーリリースです。重要な変更には次のものがあります。:

    1. インフラストラクチャの変更:
      1. 内部データは、DBFファイルから、顧客の選択により、Oracle か、Microsoft SQL Serverに格納されます。
      2. ユーザーの識別子や属性でのUnicodeのサポート
      3. 組織は新規に用意されたワークフローAPIを使って、日立 ID 管理スイートが要求の承認、実行がトラックできるように、個別のアプリケーションを組み込むことができます。
    2. 自動プロビジョニング、アイデンティティの同期化、ディプロビジョニング:
      1. プログラムを必要としないアイデンティティ同期化エンジン、これにより組織は複数のシステムやアプリケーションに個人データを迅速に構成し同期を保つことができます。
      2. 新しい属性のプライオリティ機構、これにより統合されたシステムの各々は単にユーザープロフィールのサブセットとして定義されます。
      3. 全く新しい自動プロビジョニング/自動ディプロビジョニングシステム、これにより、ユーザーごとに変更が検知され、それらの変更に応じてビジネスロジックが実行されます。 この新しいシステム(ID-Track)は、以前の方式よりも構成が簡単です。
    3. ロールベースのアクセスコントロール(RBAC)とポリシーの実行:
      1. ユーザーへの永続的なロールの割り当て、
      2. 意図的なロール変更のサポート、
      3. 権限分離ポリシーは、組み込まれ、すべての変更要求に施行、
      4. 許可されたポリシー侵害をトラックする例外管理システム
    4. アクセス証明機構の再設計:
      1. 単一のロールチェックボックスで表現される複数のきめ細かな権限を見直し、ロール割り当てのあるユーザーの証明を簡易化、
      2. 新たなものと以前に許可された権限分離ポリシー違反の証明をハイライト
      3. 証明プロセスをより柔軟に、またよりユーザフレンドリーに
    5. 含まれるライセンス / 機能:
      1. 日立 ID オルグ・マネージャー 及び 日立 ID グループ・マネージャー は、日立 ID アイデンティティ・マネージャーの基本ライセンスに含まれました。

    更新された製品アーキテクチャ

    日立 ID 管理スイート バージョン 6.0の内部アーキテクチャは、完全に以前のものから変更されています。 ユーザーインターフェース画面、リポート、サービスプログラム及びコマンドライン/バッチプロセスを含むすべての 日立 ID 特権パスワード・マネージャー コンポーネントは、同じアーキテクチャを用いてデータベースをアクセスします。:

    1. クライアントコンポーネントがクライアント・ラッパー・ライブラリをコールします。
    2. クライアント・ラッパー・ライブラリは、IPCを用いて 日立 ID 特権パスワード・マネージャー データベースサービスと交信します。これは、シェアドメモリ(同じサーバー、高速)または、TCP/IPソケット(リモートサーバー、シェアドキーを使って暗号化通信)を使って成されます。
    3. 日立 ID 特権パスワード・マネージャー データベースサービスは、クライアントを認証し、データベースに対して読み書きする、どのストアードプロシジャの閲覧や実行が許されているかをチェックします。
    4. リレーショナルデータベースバックエンド(例、Microsoft SQL Server または Oracle Database Server)にインストールされているストアドプロシジャは、ローカルスキーマのデータをアクセスし、結果を返します。
    5. レコードの挿入、削除、更新を行うストアドプロシジャのコールは、データベースサービスによって複製のペアに送達され、各データベースの内容は最新のものとして保たれます。
    6. ストアドプロシジャからのデータのリターンは呼び出しプログラムに戻されます。

    このアーキテクチャは、次の理由により効果的です。:

    1. 直接のSQLコールを使うよりストアドプロシジャ使ったほうが、はるかに性能がよく、将来のスキーマ変更の可能性の余地も残すことができます。
    2. 物理的なデータベースのフロントエンドに日立 ID 特権パスワード・マネージャー データベースサービスを使うことによって強固なアクセスコントロールを実現するとともにデータベースの複製管理を容易にします。
    3. 暗号化されたプロトコルでデータコールをラッピングすることで、信頼できないネットワークセグメントの上での分散環境でも安全な構成を実現することができます。

    上記のデータアクセスアーキテクチャに加えて:

    1. 製品のソースコードは、全体が見直され、Unicode をサポートしています。
    2. ワークフローシステム全体で外部アプリケーションと連携できるよう、新規 SOAP API が用意されてます。
    3. 自動化プロセスに新たなインフラストラクチャを導入しています。 旧システム(ID-Compare)では、 二つのシステムでユーザーのリストを比較していましたが、新しいシステム(ID-Track)では、すべてのデータソースからユーザー毎の変更を検知し、それを蓄積し、変更のあったユーザー毎にビジネスロジックを実行します。 さらに ID-Track では、新規のワークフローAPIを用いて、ワークフローサービスに直接要求を出します。

  6. 日立 ID 管理スイート は、どのようなシステムでユーザー、アイデンティティデータ、権限、パスワードを管理できますか?

    7. 日立 ID 管理スイート には、70+ 以上の種類のシステムとのコネクターが備わっています。サポートしているターゲットシステムのリストは、次の通りです。:

    (2)

    ディレクトリー

    ファイル/プリント

    メインフレーム

    LDAP (any), Active Directory, Windows NT domains, Novell eDirectory, Novell NDS, Unix NIS and NIS+, Kerberos/DCE (any)

    Windows NT/2000/2003/2008, Novell NetWare, OS2 LanManager, Samba

    MVS / OS/390 / zOS, RACF, CA-ACF2, CA-TopSecret, VM/ESA, Siemens BS2000, Tandem NonStop, Unisys MCP

    Unix

    ミッドレンジ

    データベース

    AIX, DGUX, Digital Unix, HPUX, IRIX, Linux, NCR, OSF4, SCO OS, Solaris, SunOS, Tru64, UnixWare, Unisys, passwd, shadow, Trusted Computing Base

    HP MPE, OS/400/iSeries, OpenVMS

    DB2/UDB, Informix, MSSQL, ODBC, Oracle, Sybase

    ERP

    メッセージング

    WebSSO

    SAP R/3 4.0+, PeopleSoft 7.5+, Oracle Applications 11i+, JDE OneWorld

    MS Exchange 5.5, MS Exchange 2000/03/07, Novell GroupWise, Lotus Domino/HTTP, Lotus Notes/ID files, HP OpenMail

    IBM TAM, RSA ClearTrust, Entrust getAccess, CA SiteMinder, Oracle COREid, SAP portal

    フレキシブルエージェント

    ハードウェアトークンとスマートカード

    その他

    API (application programming interface) integration, LDAP attributes, MQ Series, SQL commands, Telnet/TN3270/TN5250 sessions, Unix/Windows cmd-line integration, web forms, web services (SOAP, XML)

    RSA SecurID, Secure Computing SafeWord, Vasco Digipass, GemPlus, Precise Biometrics

    BMC Service Desk Express, Clarify eFrontOffice, Connected Backup, IBM OLAP, IBM Tivoli Access Manager, Local and cached Windows passwords, HP ServiceCenter, RADIUS (various), BMC Remedy ARS and Tivoli ADSM,

     



  7. バージョン 6.0 では、どんなバックエンドデータベースが使えますか?

    8. 日立 ID 特権パスワード・マネージャー の複製データサービスは、物理的なデータ格納を次のSQLデータベースエンジンを使って構成することが可能です:

    • Oracle 10g, Enterprise Edition, R2.
    • Microsoft SQL Server 2005, Enterprise Edition.
    • Oracle 10g, Express Edition, R2 ( http://oracle.com/からの無償ダウンロード).
    • Microsoft SQL Server 2005, Express Edition, with Advanced Services (http://microsoft.com/からの無償ダウンロード).

  8. 日立 ID 管理スイートで扱えるユーザー数の規模は?

    9. 日立 ID 管理スイート は、1,000人~500,000人規模の企業/組織の内部ユーザーの管理に最適なソリューションです。ここでは、企業内部展開で、各ユーザーは、沢山の識別属性(40+)を持ち、一般的なユーザーは、沢山のログインID(一般的に各々2~20くらい)を持っているのを前提にしています。

    エクストラネットの展開では、一般的にユーザープロフィールは小さく、日立 ID 管理スイート は、数百万人のユーザーを管理するのに使えます。ここでは、エクストラネットユーザーは一般的にLDAPディレクトリに一つのユーザーオブジェクトのみ持ち、20以下の識別属性を持つことを前提にしています。

  9. 日立 ID 管理スイートのコストはどのくらいですか?

    10. ライセンスモデル

    日立 ID 特権パスワード・マネージャー の価格はユーザー数に依存します(人数、ログインアカウント数ではなく)。 これには、すべての機能とすべてのターゲットシステムのサポートが含まれています。 ワンタイム購入は、顧客に永続的な 日立 ID 特権パスワード・マネージャーの使用権が与えられます。

    顧客は、時間経過とともに、追加費用なしに、 日立 ID 特権パスワード・マネージャーの展開を拡張し、新しいターゲットシステムを管理し、新しい機能を起動することができます。

    顧客は、高信頼性や冗長性、テスト/QA環境を提供するために、必要なだけ追加費用なしに、 日立 ID 特権パスワード・マネージャーサーバーを起動することができます。

    価格については、 日立 ID 営業にコンタクトして頂くか、次にメールしてください sales@Hitachi-ID.com 尚、価格は、ライセンスユーザー数によって異なります。

    全体のプロジェクトコスト

    日立 ID 特権パスワード・マネージャー の展開に際して、日立 ID customers は、次のプロジェクトコストを想定する必要があります。:

    1. 日立 ID 費用:
      1. 日立 ID 特権パスワード・マネージャー ソフトウェア・ライセンス・フィー、すべての機能とすべてのプラットフォームを含むワンタイムの永続的な使用権、ユーザー数に依存します。複数サーバーでの動作やバックアップコピーには、追加料金は掛かりません。
      2. 日立 ID 特権パスワード・マネージャー の年間サポート及び保守料、ライセンス時及びその後2年ないし、3年間。それ以降はオプションとなります。
      3. オプションの日立 IDが 日立 ID 特権パスワード・マネージャーのインプリメンテーションを請け負った際に掛かる固定費用のプロフェッショナルサービス料
    2. 他の直接 日立 ID customer 費用:
      1. 日立 ID 特権パスワード・マネージャーのためのサーバーハードウェアとオペレーシングシステム
      2. バックエンド・データベース・エンジン(Microsoft SQL Server または、Oracle)のライセンス
    3. 日立 ID customer ソフトコスト:
      1. プロジェクトの管理と製品と 日立 ID 特権パスワード・マネージャー のインプリメントと施行に掛かる内部リソース
      2. 安定稼動保守(最低)、及び新規機能とプラットフォームの追加に掛かる費用(通常必要)を含む、日立 ID 特権パスワード・マネージャー の管理のための継続コスト

  10. 有望なパートナーや見込み顧客はどのようにして日立 ID 管理スイート の評価コピーを入手できますか?

    11. 評価契約様式(Evaluation Agreement Form)を次のURLからダウンロードし、印刷し、サインした上でファックスで返送してください。:

    http://Password-Manager.Hitachi-ID.com/cgi-bin/evaluate

    この後、次にある評価要求様式(Evaluation Request Format)に記入してください。:

    http://Identity-Manager.Hitachi-ID.com/cgi-bin/evaluate

  11. 顧客は、日立 ID 管理スイート 6.0 を自分で展開できますか、または、サービスが常に必要ですか?

    12. 当社の支援なしの展開は可能ではありますが、ほとんどの 日立 ID のお客様企業は、オンサイトまたは、リモートコントロールによる全機能のインストールと初期展開に関わる支援作業を含む、提供展開内容を予め定義した、固定価格のサービスを購入されています。

    日立 ID サービス

    アイデンティティ管理 [IdM]製品は企業インフラストラクチャ全般に渡ってインストールされ、システム、ディレクトリ、アプリケーション、ユーザーサポート、人事、企業セキュリティ、監査全般に影響を及ぼします。 IdMソリューションの効果を現実のものとするため、企業/組織は製品技術とインテグレーションサービスの両方について、すべての利益享受者のニーズを満たすように、慎重に選択する必要があります。

    業界をリードする製品の提供に加えて、日立 IDは、顧客に対して、デザイン、インプリメンテーション及びトレーニングの各サービスを提供しています。日立 ID ソリューションは、数百の企業スケールのIdM展開経験により最適化された標準的手法で提供しています。当社の手法は、高価なコンサルティングに代えて、自動化とセルフサービスを極力用いることにより、日立 IDによる最も低コストのIdM展開を可能にしています。

    日立 IDサービスは、厳密に固定コスト、固定提供物をベースとしており、顧客が日立 IDに対して超過コストやリスクの移転を発生させないようにしています。

    日立 ID は、ご満足頂き、ご紹介可能な、沢山のお客様に裏付けられた、中規模~大規模の展開実績を誇りに思っております。 当社のサービススタッフは、豊富な技術的専門知識、製品に関する知識、インプリメンテーション経験を各々のお客様への展開に活かしております。

    日立 ID ソリューションのデリバリ手法により、迅速な展開と高いユーザーの導入率を確かなものに致します。 日立 ID プロフェッショナルサービスチームは、お客様と緊密に連携し、プロジェクトの開始時点から全面実働展開の完了までお付き合いさせていただきます。 実導入後は、日立 ID 技術サポートチームが代わって、お客様のすべての実働インストレーションに対して高品質な、的確な支援を行います。

  12. どこで、何時、アーキテクト、製品インストーラー、プロジェクト管理者のトレーニングを実施してもらえますか?

    13. 次のプロセスとツールが用意されており、日立 ID customer のスタッフにトレーニングとノレッジトランスファーが提供されます。

    • 管理者のための正式なトレーニングクラス
    • プロジェクトインストレーションと構成時に行われるインフォーマルなノレッジトランスファー
    • ユーザーに対するオンラインヘルプやアニメーションなどのCBT

    日立 ID アイデンティティ・マネージャーの入門編と上級編トレーニングを用意しています。 これらは、5日間コースで 日立 IDのカルガリーオフィスで定期的に行われており、また、顧客のロケーションでの設定も可能です。価格は、 受講者一人当たり$1,000です。複数の受講生が出席される場合はディスカウントが適用されます。これらのコースは年4回開催されます。

    オンサイトトレーニングも用意されています。

    過去のトレーニングセッションの録画も用意されており、 日立 ID顧客には無償で提供されます。

    入門編コースのトピックには次が含まれます。:

    • 概説
    • インストレーション
      • 日立 ID アイデンティティ・マネージャー のインストール
        • サーバーの準備
        • 日立 ID アイデンティティ・マネージャー のインストール
        • 新規システムのインストール
        • 既存システムの管理
        • 日立 ID アイデンティティ・マネージャー プロキシーサーバーのインストール
    • 中央コンソール
      • ターゲットシステム
        • ターゲットシステムの追加
        • グローバル企業のケーススタディ
        • PSUPDATE
        • 認証と識別リスト
        • グローバル企業ケーススタディ
      • ワークフロー
        • 概要
        • 初期構成
        • 承認者
        • グローバル企業ケーススタディ
        • ロケーション
        • タイプ
        • テンプレート
        • グローバル企業ケーススタディ
        • ロール
        • グローバル企業ケーススタディ
        • 属性
        • 概要
        • 要求属性
        • グローバル企業ケーススタディ
        • ターゲット属性
        • グローバル企業ケーススタディ
        • アカウントグループ
        • グローバル企業ケーススタディ
        • プラグインとメール
      • セキュリティ
        • コンソールユーザー
        • マニュアルユーザー
        • 認証
        • 認証と識別リスト
        • 認証方式
        • パスワードポリシー
        • グローバル企業ケーススタディ
        • アクセスコントロール管理
      • 保守
        • E-メール構成
        • サービス
        • データベースサービス (psgossipcb)
        • 要求処理サービス (idauth)
        • 自動プロビジョニング (pushid)
        • API (application programming interface) サービス (synchapi)
        • スケジューラーサービス (psscheduler)
        • スケジューラー
        • システムの更新
        • ユーザーのフィルター
        • ロックの解除
        • 更新 
        • 環境変数
        • オプション
    • アカウント管理コンソール
      • 概要
      • 新規ユーザー
      • 既存ユーザー
        • 概要
        • ユーザーの開始と停止
        • ユーザーの削除 
        • ユーザーの異動
        • グループメンバーシップ
        • ユーザー要求属性の更新
        • 新規ユーザーへのリソースの追加A (新規アカウント)
      • パスワードの変更
    • ワークフロー要求プロセス
      • 概要
      • 新規要求モジュール
        • 新規ユーザー
        • E-メール
        • その他
      • 要求トラッキングモジュール
      • 要求レビューモジュール
    • プラグイン
      • ログイン ID 生成プラグイン

    顧客は、以前の展開例からのトレーニング教材サンプルを受け取り、各自の目的に沿って変更することができます。

  13. どのような会社が 日立 ID ソフトウェアを利用していますか?

    14. 日立 ID ソリューションは、840 社以上の世界中の企業/組織、エンドユーザー数にして 10.4 million人以上のお客様に使われています。 日立 IDのお客様は、1000人程度の従業員を持つ中規模の企業や組織から、百万人規模のユーザーに関わる大規模なシステムまで幅広く利用されています。 日立 ID のお客様は、次に示すように、各業種、各国に渡っていらっしゃいます。:

    http://Hitachi-ID.com/ja/aboutus/customer/

  14. 日立 ID 管理スイートを利用することで、企業/組織にはどのようなメリットがありますか?

    15. 日立 ID 管理スイート は、次の具体的なビジネス価値を提供します。:

    • ユーザー生産性の向上: システムアクセスの新規設定や変更のための待
      ち時間を減らし、認証問題の発生を削減します。
    • セキュリティ管理費用の低減::ユーザー管理の大部分を自動化するか、
      ビジネスユーザーに委ねます。またパスワードリセットは、その必要を減
      らすか、セルフサービスで実行できるようにします。
    • セキュリティの強化: 不適切なアクセスを迅速に、確実に取り除きます。
    • 規定遵守: 全体的なアクセス権限の監査機能を持ち、適切なユーザーだ
      けが重要なシステムとデータにアクセスできることを確実にする。


  15. 日立 ID 管理スイート ワークフローエンジンへの API は用意されていますか?

    16. はい、バージョン 6.0 の重要な機能の一つが、高度なワークフローAPI の導入です。

    日立 ID 特権パスワード・マネージャーのワークフローAPIにより、次の処理を 実行します。:

    • 新規の変更要求を投入し、複数のシステム上のユーザーの生成、変更、有
      効化、無効化、削除などを行います。
    • 存在している変更要求を探索します。
    • 投入された要求を承認、拒否、または、キャンセルします。
    • 要求に対する承認者を追加、削除する。
    • 要求内容を更新する。
    • 選択基準にマッチするユーザーをアイデンティティキャッシュから探す。

  16. 日立 ID 管理スイート の性能指標はありますか?

    17. 日立 ID 特権パスワード・マネージャー は、各リリース前に広範なストレステストが行われています。 下記は、高度な計算を必要とするプロセス (ターゲットシステムにおける定期的なユーザー、グループ、グループメンバーシップの自動ディスカバリ)の実行時の高いスループットを示す性能指標です :

    下記テストは、コモディティであるインテルサーバーで実行されました。--単一CPU, デュアルコア、2GB RAM, SATA ディスク。 ターゲットシステムは、Microsoft Active Directory 及び SunONE LDAPです。内部データベースは、 日立 ID 特権パスワード・マネージャーのサーバーに搭載されたOracle 10g, エンタープライズエディション です。

    ユーザー数:

    10,000

    100,000

    管理グループ数:

    10,000

    100,000

    ターゲットシステム数:

    2

    2

    ログインID数/ユーザー:

    2

    2

    総計ログインID数:

    20,000

    200,000

    ID属性数/ログインID:

    40

    20

    搭載属性総数:

    800,000

    4,000,000

    グループメンバーシップログインID数の平均:

    50

    25

    搭載グループメンバーシップ総数:

    1,000,000

    5,000,000

    上記データのリストと日立 ID 特権パスワード・マネージャー内部 データベースへのローディングに掛かる時間:

    20 分

    4.5 時間

     

    この実行時間から、顧客は自動ディスカバリの実行を夜間に行うのが現実的で、推奨されることを意味します。

  17. 日立 ID 管理スイート は、競合製品とどのように違いますか?

    18. 特徴的機能

    日立 ID 管理スイート に備わっている革新的な機能の多くは、他のアイデンティティ管理製品にはないものです。:

    • セルフサービス・ログイン ID ・リコンサイレーション

      最初に 日立 ID パスワード・マネージャー で導入され、後に 日立 ID 自動検出 (ID-Discover) で製品化された、自動ディスカバリとユーザーが非標準のログインIDを照合によって企業ワイドのプロフィールに結合する管理登録プロセスのコンビネーションで特許申請中です。

      非標準のログインIDがある組織では、セルフサービス・ログインID・リコンサイレーションは、企業全体のアイデンティティ管理システムの展開において、ヶ月に渡る時間削減とコスト削減を実現します。

    • 権限モデルを持たないユーザー・プロビジョニング

      現実の世界のユーザーの資格権限は、一般にモデル化しにくいものです。ロールとルールは、いくつかの権限の集合がほんの少数のユーザーや特定の個人に与えられたときに破綻してしまいます。

      日立 ID アイデンティティ・マネージャー は、形式的な権限モデルを持ちいることなく、機能し、価値を提供し、セキュリティを向上するようにユニークに設計されています。 企業/組織が複数年に渡ってロールエンジニアリングプロジェクトを進行中でも、他のユーザープロビジョニングシステムで経験するように、展開を保留する必要はありません。

    • アクセス保証

      形式的な権限モデルなしに、中断もなく、ある権限がユーザーにとって不要で、無効とすべきと判断するのは難しいです。前述したように、形式的な権限モデルは、ベストに構築することはチャレンジングであり、ユーザープロビジョニングの展開を、無限でなくても、何年も遅らせる結果につながります。

      これにより、次の問題が発生します。:ユーザーは、過去には適切だったけれども、現在の責任範囲とは一貫性のない権限をずっと持ち続ける。

      日立 ID アクセス・サーティファイアー は、日立 IDのユニークなソリューションで、定期的にビジネスの利益受益者、つまり管理者、アプリケーション所有者、グループ所有者、にユーザー権限の詳細をレビューを促し、不適切な権限に削除のためのフラグを立てさせます。 日立 ID アクセス・サーティファイアーは、規制準拠の観点からの IT サポートのキーとなります。

    • ダイナミックワークフロー

      ユーザープロビジョニングの展開は、何百ものターゲットシステム、何千もの管理グループや属性を含む規模になり、あらゆるセキュリティ関連要求に対応するのに、別のワークフローを定義するのは、現実的ではありません。 フローチャート/描画ツールは、デモにはすばらしいですが、大規模な、管理しやすいユーザープロビジョニングシステムには必要ありません。

      日立 ID アイデンティティ・マネージャー のワークフローエンジンは、こういったレベルの複雑さに対応するために設計されています。個々の変更承認プロセスは、日立 ID アイデンティティ・マネージャーに的確に組み込まれ、お客様は、絵を書く必要はなく、真のビジネス判断をすればよいようになっています。

      この変更にはだれの承認が必要か? ユーザーの属性は有効で一貫性があるか? どのログインIDがこのアカウントに割当てられるべきか? どのリソースがユーザーの属性に与えられるべきか? 承認者は、どのくらいの頻度でリマインドされるべきか? レスポンスが無い場合、どの承認者を喚起すべきか?

      これらは、ユーザープロビジョニングを展開する上でビジネス上意味のある質問です。 日立 ID アイデンティティ・マネージャー のダイナミックワークフローエンジンは、これらの質問に極力一般的な方法で、組織が答えればよいようにするユニークなものです。独立のワークフローは、過去のものです。

    • セルフサービス・オルグチャート・構築

      ほとんどの企業/組織では、セキュリティ変更は、部分的にあるいは全体をマネージャーによって承認されています。ユーザープロビジョニング・ワークフロー・エンジンを展開するのに、システムが正しい承認者を識別するために、すべてのユーザーを最低一人のマネージャーに関連つける必要があります。 ユーザー / マネージャーの関係は、エスカレーションやアクセス保証にも使われます。

      ほとんどの企業/組織では、質の劣る、不完全で、時間の経ったオルグチャート(組織図)を持っています。 日立 ID 管理スイートに組み込まれ、日立 ID アクセス・サーティファイアーにバンドルされている 日立 ID オルグ・マネージャー は、組織が、こうしたデータの収集と更新のための多大なコストとプロジェクト遅延を排除し、マネージャーにデータの定期的な構築と保守を委任するユニークなプロセスを自動化します。

    • ネットワーク・リソース・アクセス管理

      大規模は組織では、何百ものファイルサーバ、何千ものシェア、何万もの共有フォルダーを操作しています。 これらのシェア、フォルダーを、メイル配布リストやプリンターと共にアクセスコントロールするために、通常、何千ものネットワークセキュリティグループがあります。

      日立 ID グループ・マネージャーは、企業/組織で、ITの介在なしに、ほとんどセットアップに要する工数をゼロとして、リソースアクセス要求と承認全体をユーザーに委ねる、ユニークなソリューションです。 ユーザーはグループについの理解は必要ありません。--シェアとフォルダーをブラウズするだけです。 承認者は、手作業での構築は不要--グループ所有者は、自動的に承認者と認識されます。 日立 ID グループ・マネージャーは、セキュリティ管理者から日常の変更管理の負担を取り除きます。

    • セキュア・キオスク・アカウント

      セルフサービス・パスワード・リセット[SSPR]システムの展開における主要な課題の一つは、、日立 ID パスワード・マネージャーでもそうであるように、パスワード問題のほとんどの部分は、ワークステーションのログインプロンプト時にあるということです。 ユーザーは、自身のパスワードを忘れ、ロックアウトを誘発し、ログインできなくなってしまい、セルフサービスアプリケーションにアクセスするウェブブラウザの起動が出来なくなってしまいます。

      日立 ID パスワード・マネージャー では、パスワードリセットボタンや関連要素を含むログインスクリーンを備えるクライアントソフトウェアを持ちません。 Windows 2000 とWinsows XP [GINA DLL チェーンを変更しない]には、GINA拡張サービスが提供されます。 Vista ワークステーションには、Credential Providerインフラストラクチャを使った同様なオプションが提供されます。 電話でのパスワードリセットのためのIVRソリューションも用意されています。 

      ほとんどの企業/組織では、しかしながら、ロックアウトユーザーの問題解決にクライアントソフトウェアを全く配布しないですむ方法を好みます。

      日立 IDは、セキュリティキオスクアカウント[SKA]の先駆者で、これにより、企業/組織に、SSPRアプリケーションへのアクセスだけを行うネットワークユーザー [例えば、パスワードを持たないhelpというID] を作って、実現します。 SKAは、ロックアウトユーザーの問題をクライアントソフトウェアを広く配布する方策を用いることなく、セルフサービスでユニークに解決しできます。

    • ステートレス・シングル・サインオン

      多くの企業/組織では、内部ユーザのために、サインオンの削減あるいは、"シングル"サインオンに興味を持っています。 現実には、E-SSO製品は、Windowsデスクトップ上の”スクリーンスクラッピング”ログイン応答で動作し、すべてのユーザーに属するすべてのアカウントについてのアプリケーションログインIDとパスワードのデータベースアクセスを必要とするために展開が難しいものです。 証明データベースの取得と保守は、膨大なコストがかかりまたセキュリティリスクも大きく、従って、E-SSOの展開は、部分的に限られています。

      日立 ID ログイン・マネージャー 製品は、同じ機能要求を--Windowsデスクトップ上のスクリーンスクラッピングを介したリーストデュースサインオン--で実現していますが、証明データベースを必要としません。 その代わり、日立 ID パスワード・マネージャー で提供されるパスワード同期化サービスに依存しています。 証明ストレージ(及びスクリプティング)を必要とせず、日立 ID ログイン・マネージャー は、ユニークな、管理コストが低く、安全で拡張性の高い方法になっています。

    拡張性(スケーラビリティ)

    [link] では、日立 ID 特権パスワード・マネージャー のアークテクチャと他のアイデンティティ管理システムの一般的なアーキテクチャの違いを示しています。 この図に示してあるように、日立 ID 特権パスワード・マネージャー では、最適化を用いることにより、ターゲットシステムにおける多数のユーザーに対する自動ディスカバリのようなプロセスを他の製品に比べて、10倍から100倍早く処理することができます。

    figure

        他のIdMソリューションアークテクチャの性能 (3)

    この図では、:

    1. "最適化" アーキテクチャで 日立 ID 特権パスワード・マネージャー のコンポーネントを表しています。 この図では、:
      1. ユーザーはウェブブラウザを使ってシステムをアクセスし、HTTPSプロトコルを使ってウェブサービスにつながっています。これは、ウェブUIを使うすべての製品に共通です。
      2. 日立 ID 特権パスワード・マネージャー のユーザーインタフェースは、ネイティブにコンパイルされたIA86コードを使ってインプリメントされており、とても早く実行します。
      3. ビジネスロジックは、スクリプトコードとしてシステムに追加されたます。--他のアイデンティティ管理製品や最近の製品に共通するアプローチ
      4. データベースサーバーは、すべてのデータを保持します。:ポリシー、アイデンティティ、ワークスロー要求、トランザクション履歴、等、
      5. ストアドプロシジャは、ユーザーインタフェースとIdMサービスからデータベースを独立に切り離し、また、その処理を極力データベース内で実行することによりシステムを加速するように作用します。
    2. "典型的" アーキテクチャで他のほとんどの競合する製品のコンポーネントを表しています。 このアーキテクチャは、次の相違により日立 ID 管理スイート より性能が劣ります。:
      1. UI と IDM サービスは、Java(J2EE)か、.NET で記述されています。 Java一般的にネイティブコードより10倍、.NETは、通常ネイティブコードより2倍遅くなります。
      2. IdMロジックは、UI と IDM サービスの両方で、データベースに直接アクセスします。 SQLコールをデータベースに直接発行するということは、探索と更新は、データベース内部で実行することによって加速されますが、その代わり、遅いネットワークトラフィックを引き起こすことになります。
    3. "遅い" アーキテクチャは、一つか二つの競合する製品を表しています。 このアーキテクチャでは、高性能リレーショナルデータベースがLDAPディレクトリの複雑なXMLオブジェクトに取って代わっています。 IDMシステムがユーザープロフィールデータや、ある検索条件にマッチしたユーザーを探すときに、XMLパーサーが各ユーザー及びすべてのユーザープロフィールに適用されてしまいます。 これは、性能に非常にインパクトを与えるだけでなく、固有のリポートを作成するために流通ツールを使うことを不可能にしてしまいます。

  18. 日立 ID 管理スイート のバージョン6.0の、インプリメンテーションはどのように工夫されていますか?

    19. 日立 ID 管理スイート 6.0のエンハンスのいくつかは、ソリューションの迅速な展開をサポートしています。:

    1. アイデンティティ同期化は、プログラムをを書くことなく、実現できます。
      1. プロフィール属性は、あらかじめ定義され、ターゲット属性にマッピングされています。
      2. プロフィールとターゲット属性には、優先番号が与えられます。
      3. 日立 ID アイデンティティ・マネージャー がプロフィールとターゲット属性の変更をモニターするためのフラグがセットされます。
      4. アイデンティティ同期イベントのために要求者が構成されます。
      上記の事項が構成されると--ウェブUIを用いて--アイデンティティ同期化が夜間に行われる自動ディスカバリの一環で自動的に実行されます。
    2. 自動プロビジョニングと自動ディアクティベーションが新規のイベントドリブンモデルを使って実現されます。
      1. ID-Compare は、ID-Trackと置き換えられました。
      2. ID-Track は、すべてのユーザープロフィールごとに検知された変更を合わせて、これらの変更を実行するために一つの機能を呼び出します。
      3. 顧客は、検知された変更を理解し、対応するアクションをワークフローエンジンに指示するビジネスロジックを記述します。
      4. 利用例としては、:
        1. 個人の識別属性に対する変更、例えば、人事情報の新しい電話番号を検知し、同じユーザーに関連する他のログインIDの新しい属性に伝播するなど、(i.e.上記のアイデンティティ同期)
        2. 承認されていない変更、例えば、Active Directoryの管理者グループへのユーザーの追加、を検知し、それをキャンセルするワークフロー要求の提示
        3. 人事データなどのシステムレコードとして新たに生成されたユーザーの生成し、他のシステムやアプリケーションに対して同じユーザーのためのログインIDを生成するロールベースの要求を提示
        4. 人事データなどのシステムレコードからユーザーの削除を検知し、ワークフローエンジンに対し、そのユーザに対する"すべてのアクセスを停止”の要求を提示
    3. ワークフローAPIは、ビジネスロジックで直接用いることができます。

      個別要求フォームの開発を望む顧客は、好みの開発ツールを用いて、簡単に開発できます。フォームからは、SOAP APIを用いて、直接ワークフローサービスに要求を提示することができ、日立 ID アイデンティティ・マネージャーは、それらの要求を検証、承認、実行を通して追跡することが可能です。 

      APIは、また、DBCMD等のツールを用いて直接データベースを参照するビジネスロジックの必要性を大幅に削減します。

    4. 多くのコネクターは、エンハンスされ、以前より柔軟性を持たせています。
      1. SSHエージェントは、エンハンスされよりスクリプト記述が容易になっています。
      2. 新たな、XML/ウェブサービスエージェントが追加されており、ウェブサービス上で管理APIを用いるアプリケーションのインテグレーションがより容易になりました。
      3. スクリプトできるデータベースエージェントは更新され、よりフレキシブルで構成が容易になりました。
    5. ご要求により、リファレンスインプリメンテーションの提供が可能です。

      日立 IDは、日立 ID 管理スイートのリファレンスインプリメンテーションを開発しました。これは、ADとExchangeターゲットシステムとして、検証と承認要求フォーム、新規ユーザーのためにホームディレクトリサーバーとメールボックスサーバーを選択するための、テーブルドリブンロジックを含みます。 お客様は、ご自身のインプリメンテーションを開始するまえに、このシステムがどのようにして動作するかを検証することができます。