Identity & Access Solutions

  • Article

皆さんもご存じのとおり、企業や大学のネットワーク上には多くのリソースが設置されています。多くの場合、それらは相互に連携していません。連携とは、「相互に認証しあったり、お互いの設定を引き継ぎあったり」といったことを指しています。そのため、利用者は複数のIDやパスワードを覚える必要がありますし、一方で管理者は複数のシステムのユーザーIDを準備し、かつリソースへのアクセス権を適切に設定しなければならないといった複雑な管理作業を強いられています。それらによるコストの増大やリスクは無視できないものとなっているわけです。

じゃ、こういう状況に対し、マイクロソフトはどう考えているのかといえば、こう考えています

効率的なユーザーIDの管理はビジネス上の最優先課題である

でもって、その課題を以下の5つに分類しています。

  • ユーザーID情報の自動管理

対応プロダクト:Identity Lifecycle Manager 2007 (ILM 2007)

ILM2007は、従来 Microsoft Identity Management Server 2003 と呼ばれていた製品の後継です。IM2007自身が中央のメタデータベースの役割を果たし、ルールやポリシーに従って周辺のディレクトリサーバやデータベース、アプリケーションサーバにID情報およびそれに関連したアクセス権情報を同期します。実際に同期を行うのは MA(Management Agent)と呼ばれるプログラムで、ILM2007が提供しているMAのほか、独自に作りこむこともできます。
ILM2007

  • データファイルの保護

対応プロダクト:Microsoft Windows Rights Management Services (RMS)

PPTをお客様に送りたいけど編集や印刷は行ってほしくない...と思ったことはありませんか?仕方なくPDFに変換して送るといったことは、お客様を担当されているSEや営業さんであれば1度はあるはずです。RMSを使用すると、Office Systemで作成したデータファイルを暗号化するとともに、アクセス権の設定によって不正なアクセスから保護することができます。また、アクセスの種類として印刷や複製を制限したり、有効期限を設定することも可能です。
RMS

INFORMATION AUTHOR

      1. 所有者はRMSからライセンス認証を受け証明書が発行される(初回)
      2. 所有者がデータファイルに対してアクセス権と使用条件を設定して暗号化する。このときアクセス権と使用条件が記載された「ライセンス」がコンテンツに付加される。
      3. ファイルの送信

Recipient

      1. 受け取ったファイルを開こうとすると、それに関連付いたアプリケーションはRMSクライアントモジュールを呼び出す。RMSクライアントはRMSサーバにアクセスし、ライセンス情報のチェックを行う。
      2. チェックが完了し、許可されたユーザーであれば、あらかじめ「ライセンス」に書き込まれている範囲でデータを取り扱うことができる。
  • 組織間のセキュアな連携

対応プロダクト:Microsoft Active Directory Federation Services (ADFS)

Federationとは、連合とか連盟という意味です。ADFSは組織内および組織間、さらには企業間で効率的で安全なリソース管理を行い、Single SignOnを実現するための技術です。いうなれば、NTドメインの「信頼関係」という考え方を、エンタープライズレベルに拡大可能とした技術とでもいいましょうか。MS独自技術ではなく、WSS1.0 として策定された業界標準であり、Sun Microsystems社やIBM社なども、本仕様の策定に関わっています。つまり、MS製品間のみを対象としているのではなく、広くマルチベンダー間でのWEBベースSSOの実現を目的としたものなのです。
ADFS

  • 強化された認証

対応プロダクト:Windows Certificate Services (CS)

おなじみの証明書発行サービスですね。Windowsが提供する証明書サービスを使用する利点は、Active Directoryと統合されているというところです。これにより、管理者はユーザーをキーとした各種属性に加え、証明書もActive Directoryで一元管理することができます。しかも、証明書の発行を自動化できたりもします。
Certification Service

    1. クライアントはADから証明書のポリシーを受け取る
    2. クライアントがポリシーにのっとって証明書の発行を要求する
    3. 証明書サービスはADからユーザー情報を受け取る
    4. 証明書サービスがデジタル署名された証明書をクライアントに返す
  • ユーザーやコンピュータの合理的な管理 

対応プロダクト:Active Directory

最後に提示されているのが、Active Directoryです。上記を使用するにはActive Dirctoryが必須となるわけですが、であるならば、いっそID情報の集中管理をActive Directoryに任せてみてはどうでしょう...という提案ですね。
AD