IdM, まずはパスワード管理から

Tuesday Nov 29, 2005

アイデンティティ管理システムが解決する問題は多岐にわたるが, そのうちどの分野からとりかかるべきだろうか? 以下の文章は METAspectrum 的には Challenger な某競合他社の資料からの引用なんだけど, 主張している内容にはおおむね同意できる.

Clearly, a simple deployment and short time-to-ROI means that password management should be activated early in an identity management project. Early deployment gives the organization early ROI, and gives the project visibility and credibility that it can leverage to carry out the business process discovery and design required to activate an user provisioning system.
Deploying password management before access management

いま動いているアイデンティティ情報同期のシステムやプロセスを捨てて, いきなり新しい仕組み (アイデンティティ・プロビジョニング: アイデンティティ情報のライフサイクル管理) に置き換えるのは, 導入効果は大きいが一方費用的・時間的なリスクも大きい. そうではなく, 既存の環境を維持したまま新しい仕組み (パスワード管理: パスワード同期およびパスワード・ポリシーの統一) を追加し, 投資対効果を早期に確保した上でアイデンティティ・プロビジョニングへと堅実に歩を進めるアプローチのほうが理にかなっている.

「既存の内製のデータ同期システムにもパスワード管理機能は入っている」 という場合もあるかもしれない. しかしそれははたして本当に 「パスワード管理機能」 と呼べる代物なのかどうか, 一度確認してみたほうがよい.

利用者からパスワードという属性を Web インタフェース経由で受け取り各リソースへ同期させる, という仕組みはすでに多くの組織内で実現されている. しかしパスワード・ポリシー, たとえば過去に設定したことのあるパスワードの再利用を拒否したり, 「数字を 1 文字, 特殊文字を 2 文字いれること」 のような規則を設定したり, 180 日後に失効させたりといったところまで, 現状のシステムには実装されているだろうか? そしてそれらの設定は, 要件の変化に応じて Web インタフェースなどから容易に変更できるだろうか?

Sun のアイデンティティ管理製品ラインではどうなっているかというと, パスワード管理機能は Sun Java System Identity Manager (SJS IDM) の一部としてワークフロー・エンジンやデータ同期と同列に, バーチャル・アイデンティティやエージェントレス・アダプタを活用するかたちで実装されている. これにより 「まず既存のリソースや ID データ同期の仕組みはそのままにパスワード管理を強化し, その後様子を見ながら徐々にライフサイクル管理を IDM に移行する」 かたちで基盤整備を進めていくことができる.

加えてパスワード・ポリシー機能もアイデンティティ・プロビジョニング製品の単なるオマケ的なものではなく,

• 長さ: パスワードの最小・最大文字数の制限
• 文字の種類: 各種文字 (英数字, 特殊文字) の最小および最大個数, 繰り返し・連続の制限など
• 辞書: 辞書の単語と照合
• パスワード履歴: 過去 n 回以内に用いたことのあるパスワードや文字の使用禁止
• 使用禁止単語: 特定の単語を禁止
• 使用禁止属性: 別の属性値 (氏名, ID など) と同じ値をパスワードに含めることの禁止

のように, ポリシーの要件を実装する上できめ細かい設定ができるようになっている.

また SJS IDM という単一のバイナリには, ライセンス体系が 3 種類設定されている:

• Web インタフェースを伴うワークフローやセルフサービスなどを含めた全機能を使うための full use ライセンス
• パスワード管理機能のみを使うための password management ライセンス
• データ同期機能のみを使うための data sync only ライセンス

後者の 2 種類の利用制限ライセンスは full use ライセンスよりも安価に設定されているから, まず password management ライセンスによって SJS IDM 導入コストを抑えつつパスワード管理を強化し, のちに full use ライセンスへアップグレードすることで, 導入した SJS IDM 運用環境をさらに有効活用することが可能となる. さきに書いた通りこれらのライセンスは使用許諾される範囲の違いだけであって, 提供されるバイナリは全く同一であるため, password management ライセンスで導入した IDM を full use にアップグレードする際に (某競合他社のアプローチとは違って) 他の製品やモジュールを追加インストールする必要はない.

ということで, 「パスワード同期からはじめる IdM」 を実践するには Sun Java System Identity Manager が技術的・価格的にもイケてるなーということを考えてたら, ちょうどイギリスでも同じようなことをスライドにしてる人がいた. こちらもあわせてどうぞ.

• Driving down costs through effective Identity Management

Like this post? | | | |

Posted at 10:48AM Nov 29, 2005 by Tatsuo Kudo in Identity Management
Tags: identitymanagement identitymanager passwordmanagement