IAMシステムはどのようなタスクを解決しますか？

IAMシステムはどのようなタスクを解決しますか？

用語

ほとんどの場合、ID管理（IdM）という用語に遭遇します。これは、ユーザーアカウントまたはユーザーの電子表現を管理することを意味します。 通常、アカウントだけでなくシステムへのアクセスも管理するには、IdMシステムが必要です。 したがって、通常IdMといえば、IDおよびアクセス管理を意味します。



アイデンティティおよびアクセス管理（IAM）とは、アカウントのライフサイクルを管理し、企業内のさまざまなシステムへのアクセスを制御するという課題を満たす一連のテクノロジーとソフトウェア製品を指します。 分析機関（Gartner、Forrester、KuppingerCole）およびIAMシステムの開発者は、IAM内の少なくとも2つの領域、ユーザー管理とプロビジョニング（UAP）およびIDとアクセスガバナンス（IAG）を識別します。 最新のIAMソリューションは、両方の領域で機能を提供する必要があります。



UAPソリューションは、ディレクトリサービスとの作業を自動化する手段として1990年代後半に登場しました。 UAPは、組織の情報システムでアカウントの作成、変更、削除を自動化する問題を解決し、ユーザーが作業する必要があるアプリケーションとリソースへのアクセスも提供します。

典型的なIAMタスク

UAPタスク

自動化されていない会社でITリソース（アプリケーション、データ、サービス）へのアクセスを整理するプロセスを想像してください。 人事部門を雇用した時点の従業員は1Cに貢献しています。 その後、彼に関する情報がIT部門に入ります。 IT部門は、Active Directoryディレクトリサービスにアカウントを作成します。 新しい従業員は、システム管理者またはサポートサービスに電子メールで連絡することにより、フォルダー、アプリケーション、メールへのアクセスを受け取ります。場合によっては、マネージャーまたはリソースの所有者の同意が必要です。 さらに、従業員は「アクセスを選択する」ことを決して要求せず、企業での長年の仕事でさまざまなシステムへのアクセスを「成長させる」ことができます。



小さな会社でのアクセスの組織が直接的なコミュニケーションによって決定され、新人が日中の仕事に必要なすべてにアクセスできる場合、500人以上の地理的に分散した会社では数日かかることがあります。

従業員は役職、電話番号、姓を変更できます。これらの変更は情報システムに反映される必要があります。 一部の企業には、契約労働者または季節労働者がいます。 契約またはポジションの変更が終了したら、リソースへのアクセスを終了する必要があります。



会社に複数の情報システム（文書管理システム、会計システム、外部ポータルなど）がある場合、パスワードを管理するタスクが表示されます。 各システムは異なる人々によって制御されます。 各システムのパスワードは個別に作成されます（つまり、個人パスワードが割り当てられます）。 ユーザーがいくつかのパスワードを覚えることは困難であり、これはそれらが紙に保存されるという事実につながります。 パスワードを変更する必要がある場合は、休暇中の可能性があるアプリケーションの所有者を見つける必要があり、アクセスが必要です。

出張中の従業員が携帯電話でメールへのアクセスを接続することを決定し、パスワードを入力するときに間違えた状況を想像してください。 誤ったデータを繰り返し入力しようとすると、彼のアカウントはブロックされ、自分でメールにアクセスできなくなります。



従業員が解雇された場合、会社のすべてのシステムへのアクセスをブロックする必要があります。1分以内にこれを行うことが重要な場合があります。

大規模な組織の規模でのこのようなプロセスは、IT部門から多くの時間を要し、必然的にエラーにつながり、その結果、経済的損失につながります。



インターネットでは、解雇された従業員がまだエンタープライズシステムにアクセスしているという事実に関連する訴訟について読むことができます。たとえば：

www.kuzbass85.ru/2012/04/11/uvolennyiy-sistemnyiy-administrator-udalil-chetyirehletniy-arhiv-buhucheta-byivshego-predpriyatiya



裁判所は、2011年7月、ケメロヴォ市の自宅にいたPrikhodkoが、以前勤務していた企業のメールサーバーに不正アクセスしたことを発見しました。 その後、2007年から2011年までの期間のプログラム「1C Enterprise」を削除しました。 その結果、プロコピエフスクにある3つの持株会社のサーバーの会計データが破壊されました。

銀行や保険会社はそのような事件を宣伝しないことを好むので、私たちはそのような多くの事例については知りません。

次に、自動化されたプロセスがどのように見えるかを見てみましょう。



人事システムにアカウントが表示されると、UAPソリューションは接続システムにアカウントを自動的に作成し、ユーザー属性（役職や部門など）およびグループに基づいてアクセスを許可します。 UAPシステムを使用すると、ルールのコンプライアンスについて属性の値を確認し、特に空の投稿で「不正なレコード」の作成を禁止できます。 変更が1か所で行うのに十分な場合-そして、それらはすべての接続システムに自動的に反映されます。 そのため、たとえば、ADでパスワードを変更するユーザーは、すべてのシステムで同じパスワードを自動的に受け取ります。 従業員を異動または解雇する場合、システムはすべてのシステムへのアクセスをほぼ瞬時に選択します。



UAPは当初、ユーザーおよびリソース管理のためのIT部門の日常的なタスクを解決することを目的としていたことに注意することが重要です。 ただし、このようなソリューションは、システムへのアクセス制御を整理することを目的としておらず、非ITユーザーを対象としていませんでした。 つまり、UAPシステムは自動的にアクセスを許可して選択しましたが、ユーザーが現在どのリソースにアクセスできるかという質問には答えられませんでした。 また、ユーザー（リソース、アプリケーション、データ、サービス）、およびマネージャー（またはリソース所有者）へのアクセスを独立して要求する機会をユーザーに提供して、要求時にアクセスの適格性を確認し、特定のリソースに誰がアクセスできるかを確認するための認証を編成することも重要でした。



最初は、これらのニーズはUAP製品の一連の拡張機能でカバーされていましたが、そのようなタスクには新しいソリューションが必要であることは明らかでした。

IAGタスク

2000年代半ばに、専門のIAG提案が現れ始めました。 IAGシステムは、アプリケーション、データ、およびサービスへのアクセスの要求、確認、認証、および監査のタスクを解決し、アカウントの作成、これらのレコードの管理、およびこれらのレコードがアクセスにどのように使用されたかのプロセスの制御とビジネスインテリジェンスも提供します。 システムの権利がアカウントに直接結び付けられているUAPとは異なり、IAGソリューションは企業の組織構造に関連付けられた役割で動作します。 UAPソリューションでは、IT部門がアクセスの発行を担当し、IAGシステムがアクセス制御の手綱をビジネスユーザーに返したと言えます。



IAGソリューションの使用の具体例を見てみましょう。 職場のコンピューターでAdobe Photoshopを使用するとします。 最初に、ユーザーはテクニカルサポートサービスにリクエストを送信します。 その従業員は、通信に追加されるヘッドの確認を待っています。 その結果、ユーザーはインストールされたアプリケーションを受け取り、数日を費やします。 複数の人が調整に参加することがあります（新しいラップトップを入手するには、ヘッドとディレクターからの確認が必要です）。



IAGソリューションは、リソースを要求できるWebポータルを使用してこのようなプロセスの自動化を提供し、「非表示」プロセスが起動されます。必要に応じて、ヘッドの確認を要求し、それを受け取った後、必要な変更を自動的に行います。



IAGシステムにより、スーパーバイザーまたはセキュリティ担当者は、ユーザーがアクセスできるシステムを確認し、このアクセスを管理することもできます。





「計算された」ルールに基づいてアクセスを許可することもできます。つまり、従業員が特定のプロジェクトで働くように割り当てられ、適切な役割を持っている場合、必要なドキュメントに自動的にアクセスし、「手動承認」を回避します。



ユーザーにロールに対応しない追加の権限（たとえば、Active Directory管理者がユーザーをグループに追加した）がある場合、セキュリティサービスはこれに関する通知を受信し、例外を確認するか、例外を排除するための措置を講じます。

役割管理プロセスの重要な部分は、職務分離（SoD）ポリシーまたは権限の分離です。 これらのポリシーは、特定の役割の組み合わせを禁止しています。 たとえば、注文を作成する従業員は金融取引に参加してはいけません。

IAM開発のいくつかの領域

IAMソリューションは急速に開発されており、コンテンツベースのデータ管理、モバイルデバイス管理、リスクベースの承認など、新しい分野をカバーしています。



ご覧のとおり、既存のIAMソリューションにより、集中リソースへのアクセスを制御できます。 ただし、現代の企業では、ユーザーのコンピューターのネットワークフォルダーに大量の非構造化データが保存されています。 ユーザーは、貴重なデータを自分のコンピューターに簡単にコピーして、制御不能に配布することができます。



この問題を解決するために、IAM製品にはモジュールが表示され、ドキュメントのコンテンツと属性に従ってデータを分類し、ユーザーが提供するデータ（ユーザーとユーザーが使用するデバイス）およびドキュメントの分類データ（ドキュメントに含まれるデータ）の比較に基づいてアクセスを提供できます。



別の有望な分野は、管理とモバイルデバイスとの対話です。 現代の企業では、ユーザーはデスクトップコンピューターだけでなく、スマートフォンやタブレットも使用しています。 多くの場合、これらは企業のデバイスではなく、個人のデバイスです。 BYODポリシー（独自のデバイスを持ち込むか、デバイスを持ち込む）は、インフラストラクチャのサポート、デバイスの購入にかかる会社のコストを削減することで人気を集めています。 このポリシーの普及により、新たな課題が浮上しています。 デバイスに保存されている企業データを保護すると同時に、従業員の個人情報の整合性を尊重する方法は？



ログインとパスワードを使用して会社のリソースにアクセスする技術は長い間批判されてきましたが、価値のある代替品を提供できる人はいませんでした。 2要素認証方法（たとえば、従来の方法とSMSの組み合わせ）は広く使用されていません。 現在、IAMソリューションプロバイダーは、リクエストの送信元のユーザー、デバイス、アプリケーションに関するコンテキストデータに基づく認証に移行しています。 これらのデータが分析され、ユーザーのIDが決定されます。 このような仕事のアルゴリズムは、一部のソーシャルネットワークに存在します。 そのため、他の国からログインを入力するときに、追加データ（電話番号など）を指定するオファーを取得できます。

適切なIAMシステムを選択する方法

IAMソリューション市場

IAM市場は活発に発展しており、合併や買収が行われています。 IAMシステムの複雑さは毎年著しく増加しています。 最新のIAM提案の評価には、情報技術の分野だけでなく、ビジネス分析の分野でも真剣な専門知識が必要です。



IAMソリューションの研究と比較に特化したいくつかの分析機関があります：Forrester、KuppingerCole、Gartner。 原則として、彼らはIAMソリューション市場に関する年次報告書を発行するだけでなく、業界の動向に関する個別の文書、最適なシステムの選択に役立つアンケートを発行します。 ソリューションプロバイダーのWebサイトで年次レポートを見つけることができる場合、通常、専門のドキュメントには数百から数万ドルの費用がかかります。



年次報告書では、各機関が独自の比較方法論と結果の視覚的表現を持っています。



そのため、たとえば、ガートナーはIAMサプライヤをビジョンスケール（市場の発展と発展のビジョン、革新能力）と「実装能力」（市場シェアを占有してシステムを販売する能力）で評価します。





KuppingerColeレポートには、IAMベンダーが単一のスケールでランク付けされているいくつかの図があります（下のスクリーンショットの全体的な製品評価）。





このようなレポートは、対象分野、市場動向、およびIAM市場の主要なプレーヤーの一般的な考え方の理解を提供します。



多くのシステムがロシア市場ではまったく代表されていないことを理解することが重要です。 また、ロシア市場で非常に成功しているが、世界ではあまり普及していないローカルソリューションもあります。

システム選択基準

同じアプリケーションとビジネスプロセスのセットを持つ2つの同一の企業は存在しないため、万能で最高のIAMシステムはありません。 各IAMシステムには、固有の機能セット、ターゲットシステムへのコネクタ、機能を拡張するためのフレームワークがあります。



所有コスト（ライセンスのコスト、数年間の実装とサポート）、ライセンスポリシー、同様の企業/業界で成功したプロジェクトの存在、ロシアの実装とサポートのスペシャリストの可用性などの正式な要件から選択を開始できます。



技術要件も役立ちます：企業で使用される一般的なシステムへのコネクタの存在、ビジネスユーザーのWebインターフェイス、ビジネスプロセスの自動化（承認など）、認証メカニズム、機能のオープンな拡張の要件（システムを製造元なしで拡張できる場合） 。



最適なサプライヤを選択すると、自動化が必要な主要かつ最も重要なシナリオでシステムがどのように機能するかを確認できます。



通常、これらは従業員のライフサイクルのシナリオです：雇用、別の部門またはオフィスへの異動、休暇、解雇。 一連のアクセス制御シナリオも重要です。要求に応じて、自動的に、または会社またはプロジェクトの役割に基づく合意により、システムへの一時的および永続的なアクセスを発行し、スケジュール（認証）および要求に応じたアクセス制御を行います。



アカウントデータを使用するときは、その正確性（たとえば、電話番号の形式）を確認し、同期中にデータを変換することが重要です。特に、人事システムとActive Directoryを同期するときに名前を音訳します。



原則として、コネクタは、ターゲットシステムのユーザーのライフサイクルを自動化するために使用されます。 これらは、外部システムとやり取りし、アカウントを作成、変更、削除し、IAMシステムのロールをターゲットシステム（グループなど）が理解できる一連の権限に転送することでアクセスを提供する専用のIAMモジュールです。 コネクタは、多くの場合、ターゲットシステムの変更により変更されます。 IAMは新しいバージョンの1CまたはSalesForceをサポートしますか？ コネクタの完成はどれくらい高価ですか？



IAMシステムはボックス製品ではなく、ほとんどのプロジェクトではサービスのコストがライセンスのコストよりも数倍高くなる可能性があることを理解することが重要です。 IAMオファリングの制御下にあるターゲットシステムは絶えず変化しており、再構成、更新、または改訂が必要なため、IAMプロジェクトは終了しません（失敗したプロジェクトを除きます）。 したがって、システムの拡張性は非常に重要な選択基準です。 変更ごとにサプライヤのスペシャリストを引き付ける必要がありますか？それとも、顧客の管理者とビジネスユーザーはこれに対処できますか？

IAMシステムを評価するためのサンプルシナリオ

採用



シナリオ：人事部門が人事システム（たとえば、1C）に新しい従業員のアカウントを作成した後、従業員はn分以内に自分の役割に応じてすべてのシステムでアカウントと権限セットを受け取る必要があります。

結果：

従業員は、自分の役割の範囲内ですべてのシステムを使用できます。



リソースアクセスリクエスト



シナリオ：従業員がWebポータルを介してリソースを要求した後、n時間以内に応答を受け取る必要があります。 リソースへの一時的なアクセスは、手動調整によって規制されます。 つまり、リクエストはリソースの所有者および/またはその代理人によって受信されます。 要求が指定された時間未回答のままである場合、エスカレーションが発生します。



結果：

a）従業員はリソースにアクセスできます。

b）従業員は拒否されます。



認証



シナリオ：リソースの所有者は、月に一度、リソースにアクセスできる人のリストを認証します。 リストのメンバーごとに、彼はアクセスを延長または終了します。



結果：認証が実行され、所有者が確認した従業員のみがリソースにアクセスできます。



休暇



シナリオ：休暇中の従業員のアクセスは、不在中に自動的に終了する必要があります。 アクセスを終了するには、手動でのアクションは不要です。



結果：休暇中、従業員は会社のシステムにアクセスできません。



解雇



シナリオ：従業員は、Webポータルのリーダーによるプロセスの開始からn分以内に、企業のすべてのシステムへのアクセスをキャンセルする必要があります。



結果：従業員は会社のシステムにアクセスできません。



権力の分離



シナリオ：スーパーバイザーは、既存の役割と互換性のない役割を従業員に割り当てます。 従業員は相互に排他的な役割を組み合わせることはできません。



結果：システムは変更を拒否し、ポリシー違反をキャプチャします。



パスワードリセット



シナリオ：従業員がパスワードを忘れました。

彼はWebサイトにアクセスし、そこでシステムの質問に答えた後、パスワードのリセットを開始し、SMSの形式で新しいパスワードを受け取ります。 新しいパスワードは、接続システムに自動的に同期されるはずです。



結果：従業員は新しいパスワードを受け取ります。このパスワードは、アクセスできるすべてのシステムで使用できます。



これは記事の最初の部分であり、継続されます...



投稿者Alexander Tsvetkov、Dellソフトウェアエンジニア