Identity Management (IdM) and Modern Evergreen Music

Sun Java System Identity Auditor ってこんなソリューション

(Translate to English)

Friday Jan 20, 2006

新しい肩書が IdM エバンジェリストな山中さんから 「おまえも解説せよ」 との強い念を感じたので, ここらで先週報道発表を行なった Sun Java System (SJS) Identity Auditor を紹介.

まずはじめに書くべきは, SJS Identity Auditor は SJS Identity Manager 上に実装されているアプリケーションであるということ. つまり SJS Identity Manager の特長であるエージェントレス・アダプタやバーチャル・アイデンティティ, あるいは監査証跡管理によってアイデンティティ・ベースの監査を行なうのが SJS Identity Auditor であり, さらにワークフロー・エンジンによって是正処置 (リプロビジョニング) の自動化まで構築できる.

監査ポリシー編集ページのスクリーンショット. ここではユーザの Active Directory および Solaris におけるアクセス権限のスキャン (リソースからの抽出) を行い, Active Directory 上での管理者権限を持たないユーザが Solaris においては管理者権限を持っていた場合にこれを違反と判断して是正措置を行なう, というポリシーを設定している.

SJS Identity Auditor が管理している組織構造から特定の組織を選択し, 監査ポリシーのスキャンを実行する画面. スキャンはこのようにアドホックに行なうことも, スケジューリングして定期的に自動実行させることも可能.

アドホックに実行した監査ポリシー・スキャンの処理結果の画面. ポリシー違反が検知され, その違反に関して Standard Remediation (是正処理のひとつ) が実行されたことを示している.

是正処理の画面. ここではリソース・オーナーである ID: bhal2 に対し, 一般ユーザである ID: bhall のポリシー違反に関する是正リクエストが届いていることを示している. bhal2 はこれを受けてアクセス権限剥奪などの処置を行ない, 是正済みの記録を残すことになる.

レポート機能により, 監査ポリシー・スキャンにより検知された違反一覧を出力させたところ. ポリシー, 違反検知日, 是正日, 是正者の ID, リソース名, 違反したユーザの ID, 違反回数, 状態などが表示されている.

ポリシー違反の詳細を表示する画面. 違反一覧からドリルダウンすることにより, このように特定の違反に関する処置の履歴を確認することができる. ここでは, ID: bhall というユーザが Active Directory においてポリシー違反を繰り返しており, それに対し是正者である ID: bhall が是正処置を行なっていることが表示されている.

これまで, 上に書いた作業のほとんどは手作業で行なうしかなかった. つまりこんな感じ:

  • 担当者は複数の異種リソース (上記の例では Solaris と Active Directory) からユーザ一覧をそれぞれコマンドラインのツールやとか GUI アプリケーションを使って取り出したり, あるいは取り出し作業をリソース・オーナーに依頼する
  • 担当者は各ユーザに設定されているアクセス権限に矛盾が無いかを ユーザごとにリソース間で突き合わせる
  • 担当者がもし違反 (本来持っていてはならない権限が与えられていたなど) を発見したら, リソース・オーナー (この例では Solaris や Active Directory の管理責任者) に (電話とかメールとかヘルプデスク経由とかで) 通知する
  • リソース・オーナーが手動でコマンドラインのツールやとか GUI アプリケーションを使ってアクセス権限の剥奪を行なう
  • 担当者は再度複数の異種リソース (上記の例では Solaris と Active Directory) からユーザ一覧をそれぞれ取り出し突き合わせを行なって是正されたことを確認する
  • そして担当者はすべての作業を記録しておく

これらを自動化できるという意味でも, Sun Java System Identity Auditor は, システム間のアクセス権限の突き合わせを土日返上で紙ベースで行なうはめになっている内部統制システム担当者にとっての福音となるに違いない. また, 休日出勤手当や残業手当やムダ紙費用その他を増額するはめになっている経営層にも, わかりやすいソリューションだと思う.

Like this post? del.icio.us | furl | slashdot | technorati | digg
Posted at 08:20PM Jan 20, 2006 by Tatsuo Kudo in Identity Management
Tags:
Comments:

Post a Comment:
Comments are closed for this entry.
« 圧倒的な Sun Java System... | Main | Jonathan's Blog... »