【FIM 2010】ID同期の自動化だけが効率化のポイントではありません

  • Article

システムに複数のディレクトリ サービスが存在している場合、皆さんはどのような方法でサービス間の整合性を取りますか?

スライド2
現在のID同期プロセス

有史以来、管理者を悩ませ続けている ID 管理の負荷。中でも複数システムの ID 同期ほど負荷の高い作業はありません。実はマイクロソフトにも ID 同期を実現するソフトウェアがあることをご存知でしょうか? その名も「Identity Lifecycle Manager (ILM) 2007」です。その後継製品として 2010 年Q1にリリースを予定されているのが、「Forefront Identity Manager (FIM/フィム) 2010」 です。

図
FIM/ILM がハブとなってIDを同期する

ただし誤解しないでください!

FIM 2010 は単に「ユーザーID を同期」するためだけのものではありません。新たに実装された「ワークフロー機能」「セルフ・グループ管理機能」「セルフ・パスワードリセット 機能」は、Active Directory 単体の運用においても自動化の特効薬となるのです。では、これらの新機能について具体的にお話しましょう

■ コードレス=開発不要 な ワークフロー機能

マイクロソフトのID管理製品にも、やっとワークフローが実装されることになりました。しかしただのワークフローではありません。なんと「コードレス」なのです。FIM 2010 が用意している「部品」を使っていただければ、ワークフローのためのコーディングは必要なく、インフラ担当SEまたはお客様が自らワークフローを実装することができるのです!

たとえば、単純な例ですが、Active Directory に新たにユーザーを作成する場合を考えましょう。

通常は、管理者が人事部からユーザーリストを受け取り、それにしたがってバッチファイル等で作成することになるでしょう。ただし、「ITによる内部統制」という観点で考えれば、ユーザーID 作成にあたって、どのような承認を経たかを示す履歴を管理しておきたいところです。そこで必要になるのがワークフローです。

FIM 2010 では、Active Directory をはじめとするディレクトリサービスに変更を加える際のプロセスを、ワークフローとして定義することができます。その際、コーディングによって実装するのではなく、あらかじめ用意された部品を組み合わせてビジネスロジックを組み上げることができます。操作はブラウザから行います。

 image image
※RC版の画面例

 image
※RC版の画面例

もちろん、「一切のワークフローの開発をコードレスで」ということではありません。少なくとも、簡単なワークフローを新たに実装する場合や、既に開発が完了しているワークフローの一部のプロセスをちょっとだけ変更する、といった場合に十分使っていただけます(使いこむと、GUIだけでかなり複雑な処理を実装することができます!)。

承認処理は FIM 2010 のポータル画面から行うことも可能ですし、OUTLOOKから行うこともできます。

image
RC版の画面です

既に OUTLOOK をお使いの方はご存じの通り、OUTLOOKには「メールの受信者にアンケートを依頼し、回答結果を自動集計する」などのテンプレートが用意されています。

FIM 2010 も OUTLOOK 用のレンプレートを用意しており、各種の承認依頼をメールで受信し、OUTLOOK 上から直接 承認/拒否 を行うことができます。

image  
※RC 版の画面です

まとめ

  • Active Directory のユーザー管理に FIM 2010 を活用することで、IDの作成やロック解除、グループ参加等のためのワークフローを作成し、社内プロセスの履歴管理が行える
  • FIM 2010 のワークフローは、コードレスで組み上げることができるため実装完了までの時間を短縮できるだけでなく、プロトタイプを容易に作り上げることができる
  • OUTLOOK と併用することで、承認処理を電子メールを介して行うことができる

■セルフ グループ管理機能

ここで言うグループとは、Active Directory 上の「セキュリティグループ」または「配布グループ」を指しています。

管理者にとって面倒な作業の1つとして挙げられるのは「グループのメンバーシップ」管理でしょう。グループのメンバーシップを変更する代表的なシチュエーションとして、以下が挙げられます。

  • 人事異動による一括変更
  • 部門内ファイルサーバーのアクセス権の変更
  • メーリングリストのメンバーシップの変更
  • アプリケーションの利用権限の変更

前出のワークフローを使用すれば、人事異動によってActive Directoryに登録されている部署名が変更された場合、自動的に旧グループのメンバーシップを削除し、新しい部門のグループに所属するようなプロセスを組み上げることができます。承認処理を「自動承認」に設定しておけば、人事異動に伴う承認を自動化することもできます。

しかし、ここでいう「セルフ・グループ管理」とは、人事異動のような定例イベント以外でのグループ管理、すなわち上記4つのシチュエーションのうち後者3つを指しています。

部門内ファイルサーバーのアクセス権を変更したり、メーリングリストのメンバーシップを変更する、そしてアプリケーションサーバーへの利用権限を与える..といった作業は、サミダレ式に発生します。そのため、忙しいシステム管理者だけでなく、設定を依頼した当人にもストレスが加わりがちです。そこで使えるのが「セルフ・グループ管理機能」です。

たとえば部門内ファイルサーバーにアクセス権を与える場合のプロセスを考えてみましょう。およそ以下のような流れになるはずです。

  1. 利用者が利用申請をする(紙に書く or メール)
  2. ファイルサーバーのオーナー(内部統制上の承認者)が承認する
  3. 管理者がファイルサーバーにアクセス権を与える(グループに申請者のIDを加える)

これ、無駄だと思いませんか?特に3番目の処理。オーナーが承認したら、即座にメンバーシップに加えられたほうが、管理者の負荷も低くなりますし、申請者の待ち時間も短くなります。

かといって、オーナーがファイルサーバーのアクセス権変更を直接行う…なんてことになったら、あまりITに明るくない「部長」や「課長」といった管理職の方が作業しなければならず、そのたびに「詳しい人」が呼ばれて作業する…なんてことになりかねません。

そんな負荷を軽減してくれるのが、前出のワークフローです。

たとえば、ワークフローにより、以下のようなプロセスが実現できます。

  1. 利用者は OUTLOOK を使用してグループへの参加依頼をする
     image ※RC版の画面です
  2. 参加依頼はグループのオーナー(=ファイルサーバーのオーナー)にメールされる
  3. オーナーは OUTLOOK を使用して「承認/拒否」する
    image

いかがでしょう?誰にも「面倒な作業」や「テクニカルなスキルを必要とする作業」が要求されないことがわかりますし、管理者にも全く負荷がかかっていません。

ここでは OUTLOOK を使用していますが、OUTLOOKが無い場合でもFIM 2010のポータル画面から申請/承認することができます。

同じように、メーリングリストのメンバーを配布グループによって管理している場合や、App-V(マイクロソフトの仮想アプリケーション配信サーバー)といったアプリケーションサーバーの利用権限も同様に行えます。

ちなみに、このような機能は既にマイクロソフト社内にも導入されており、「AutoGroup」という名称で愛用されています。

まとめ

  • セルフグループ管理機能により、管理者の作業が軽減されるだけでなく、利用者のニーズに対して柔軟にかつ迅速に対応することができる
  • メンバーシップの変更に関するプロセスは FIM 2010 のワークフローを通過するため、アクセス権限付与等の履歴も残される

■セルフ・パスワードリセット 機能

これについては説明の必要はないかもしれません。俗にいう「秘密の質問」機能です。

これまで、Active Directoryに登録したユーザーのパスワードを忘れてしまった場合には、システム管理者にリセットを依頼する必要がありました。この作業は、管理者にとってストレスとなるだけでなく、利用者にとっても「業務が使えない!」「ログオンできない!」といったストレスになります。学校ならば、少数の学生がログオンできないために、授業を停止して情報センターにリセットを依頼する…なんてことが起きていたのではないでしょうか。

このようなストレスをすこしでも緩和するために用意されたのが、パスワードのセルフリセット機能です。

FIM 2010とともに提供されるエージェントを事前にインストール(グループポリシーを使用して配布することも可能)しておくと、利用者がはじめてログオンしたときに「秘密の質問」に答えるよう、特別な画面が表示されます。

「秘密の質問」は FIM 2010 のワークフローによって制御されており、「どのような質問をするか」「いくつ質問するか」「いくつ回答しなければならないか」等の項目が管理されています。

秘密の質問に対する回答を保存しておき、Windowsのログオン画面で「パスワードのリセット」をクリックすると、秘密の質問が表示されます。

 image image

秘密の質問は、用意されている質問からランダムに表示することも可能ですし、決まった質問を表示することもできます。もちろん回答しなければならない質問数を指定することもできます。

質問に正しく回答できれば、新しいパスワードを設定する画面が表示されるので、自分自身でパスワードをリセットすることができます。

まとめ

  • パスワードのセルフリセット機能により、パスワードを忘却した利用者が自らパスワードのリセットを行うことができる
  • FIM 2010の同期機能と併用すれば、他のディレクトリサービスへの同期も自動的に行われる

いかがでしょう。Active Directory 単体の運用であっても、FIM 2010 を使用することで、より高度な、より柔軟な、より迅速な運用ができそうな気がしませんか?是非とも OUTLOOK と併用いただき、面倒な承認/申請処理の負荷を軽減してください!

ここでご紹介したいずれの機能も、単に「負荷を軽減する」「コストを削減する」ことだけを目的としているわけではありません。FIM 2010 によって、Active Directoryによるセキュリティに守られた状態を維持しつつ「IT利用者のビジネス活動を停滞させない」柔軟な仕組みを作り上げることができるのです。

FIM 2010 を含む Forefront ブランド製品共通の合言葉は、Business Ready Security(ビジネスで使えるセキュリティ)です。セキュリティにより、管理者にも利用者にも、そして経営層にもメリットのある IT を目指していきましょう!

マイクロソフトのセキュリティ製品群 – Forefront  https://www.microsoft.com/japan/forefront/default.mspx
Microsoft Forefront 運用管理を含む企業向けセキュリティ製品