Microsoft Forefront Identity Manager 2010 について 計画ガイド 対象製品 : Microsoft® Forefront Identity Manager 2010 Release Candidate 1 Microsoft Corporation 発行日 : 2009 年 10 月 作成者 : Markus Vilcinskas、Lori Craw、Brjann Brekkan 編集者 : Femila Anilkumar 要約 このホワイト ペーパーでは、Microsoft® Forefront Identity Manager 2010 の戦略について概説し ます。Microsoft® Forefront Identity Manager 2010 RC1、およびマイクロソフトのアプローチに よって実現される機能と利点を重点的に取り上げます。 このドキュメントは、最終的な製品版の発売時に実質的に変更される可能性があるソフトウェア 製品のプレリリース版に適用されます。このドキュメントに含まれる情報は米国 Microsoft Corporation が所有する機密情報です。この機密情報は、受領者と米国 Microsoft Corporation と の間で締結された機密保持契約書に基づいて開示されるものです。このドキュメントに記載され た内容は情報提供のみを目的としており、明示または黙示に関わらず、これらの情報についてマ イクロソフトはいかなる責任も負わないものとします。このドキュメントに記載されている情報 (URL 等のインターネット Web サイトに関する情報を含む) は、将来予告なしに変更することが あります。お客様がこのドキュメントを運用した結果の影響については、お客様が負うものとし ます。別途記載されていない限り、ここで使用している会社、組織、製品、ドメイン名、電子 メール アドレス、ロゴ、人物、場所、出来事などは架空のものです。実在する商品名、団体名、 個人名などとは一切関係ありません。お客様ご自身の責任において、適用されるすべての著作権 関連法規に従ったご使用を願います。このドキュメントのいかなる部分も、米国 Microsoft Corporation の書面による許諾を受けることなく、その目的を問わず、どのような形態であって も、複製または譲渡することは禁じられています。ここでいう形態とは、複写や記録など、電子 的な、または物理的なすべての手段を含みます。ただしこれは、著作権法上のお客様の権利を制 限するものではありません。 マイクロソフトは、このドキュメントに記載されている内容に関し、特許、特許申請、商標、著 作権、またはその他の無体財産権を有する場合があります。別途マイクロソフトのライセンス契 約上に明示の規定のない限り、このドキュメントはこれらの特許、商標、著作権、またはその他 の無体財産権に関する権利をお客様に許諾するものではありません。 © 2009 Microsoft Corporation. All rights reserved. Active Directory、Microsoft、MS-DOS、Visual Studio、Windows、および Windows NT は、 Microsoft Corporation の商標です。 その他、このドキュメントに記載されている会社名、製品名には、各社の商標のものもあります。 目次 Forefront Identity Manager 2010 について ..........................................................................................5 概要 .....................................................................................................................................................5 公約の実現 ......................................................................................................................................5 ID 管理の価値の認識..........................................................................................................................6 ID の管理は、コスト効果が高く、効率的でなければならない ..................................................6 ID 管理はセキュリティを向上させなければならない .................................................................7 ID 管理はビジネス価値を高めなければならない.........................................................................7 コンプライアンスは重要................................................................................................................8 マイクロソフトの ID 管理アプローチ ..............................................................................................8 Identity Lifecycle Manager 2007 .......................................................................................................9 Identity Lifecycle Manager 2007 の機能と利点 ............................................................................9 ID の同期......................................................................................................................................9 証明書およびスマート カードの管理 ......................................................................................10 ユーザー プロビジョニング .....................................................................................................10 Forefront Identity Manager 2010.....................................................................................................10 Forefront Identity Manager 2010 で提供される拡張機能と利点 ...............................................12 ポリシー管理 .............................................................................................................................12 資格情報管理 .............................................................................................................................13 ユーザー管理 .............................................................................................................................14 グループ管理 .............................................................................................................................15 まとめ................................................................................................................................................16 Forefront Identity Manager 2010 について 概要 ID 管理に対するマイクロソフトの戦略は、Windows および異種環境間で ID、資格情報、および ID ベースのアクセス ポリシーを管理する包括的なソリューションを実現します。 現在、Microsoft® Identity Lifecycle Manager (ILM) 2007 は、ユーザー ID およびそれに関連付け られている資格情報のライフサイクル全体を管理するための総合的なソリューションを提供して います。このソリューションは、異種システム間で動作する単一ソリューションにおいて ID の 同期、証明書とパスワードの管理、およびユーザー プロビジョニングを提供します。これによ り、IT 組織は、ID を作成してからそれが使用されなくなるまでの ID 管理プロセスを定義および 自動化できるようになりました。 ILM 2007 の後継である Microsoft® Forefront Identity Manager(FIM) 2010 では、ILM 2007 の 機能が拡張されます。Office や Windows に統合されたセルフサービス ツールなどの新機能がエ ンド ユーザーを支援します。IT 組織は、新機能を使用することで、堅牢な委任モデルおよびビ ジネス プロセス フレームワークを通じたきめ細かい制御ができるようになります。新機能に よって、ID のライフサイクルの共通の管理タスクが自動化され、ユーザーはセルフヘルプ ソ リューションを活用できるようになるため、運用効率も向上します。よりカスタマイズされた方 法を希望するまたは必要とする組織のため、マイクロソフトでは、FIM 2010 を、ワークフロー、 委任、Web サービス API、ログなどの機能を含むサービスの共通セット上に実装しています。 顧客およびベンダーはこれらのサービスを利用して、それぞれのニーズに合うように FIM 2010 の機能をカスタマイズし、拡張することができます。 このホワイト ペーパーでは、マイクロソフトの ID 管理の戦略について概説します。FIM 2010、 およびマイクロソフトのアプローチによって実現される機能と利点を重点的に取り上げます。 公約の実現 Microsoft Identity Integration Server (MIIS) 2003 の進化した形である ILM 2007 では、まず、従 来の ID 管理と、証明書およびスマート カード管理を 1 つの提供サービスに統合しました。ILM 2007 が登場するまで、顧客は、異なるベンダーから製品を購入し、2 つの提供サービスを手動 で統合しなければなりませんでした。 エンタープライズにおける包括的な ID およびアクセス管理を可能にする FIM 2010 は、異種シ ステム間での統合 ID 管理ソリューションを実現し、IT プロフェッショナル、エンド ユーザー、 および開発者にわたってサービスを提供することで、ID 管理における最新技術を一変させます。 5 現在の ID 管理ツールにはエンド ユーザー向けの便利なツールがなく、IT 部門やヘルプ デスク に過度の負担となっているという顧客からのフィードバックに応え、FIM 2010 では、ID 管理の 内容が大幅に変更されます。Office エンドユーザー向けには強力なセルフサービス機能、IT プロ フェッショナル向けには多機能な管理ツールと高度な自動化機能、開発者向けには .NET および Windows SharePoint Services ベースの拡張機能が用意されています。 FIM 2010 は、ユーザー アカウントおよびアクセス、パスワードおよび証明書ベースの資格情報、 さらに ID ベースのポリシーを、Windows 環境と異種環境全体にわたって管理する独自のソ リューションを企業に提供します。 FIM 2010 は、エンド ユーザー、IT プロフェッショナル、および開発者を支援することに重点を 置いた機能を提供します。統合、自動化、およびセルフサービスを通じてアジリティ (敏捷性) と効率を実現します。ポリシー管理、および強力な資格情報のより簡単な展開と管理のための ツールにより、セキュリティとコンプライアンスを強化します。 ID 管理の価値の認識 今日の IT エンタープライズは、効率的でコスト効果が高く、セキュリティで保護された ID およ びアクセス管理を行う必要があります。ユーザー、デバイス、およびサービスを管理し、セキュ リティで保護するプロセスの複雑さは、増加する一方です。規制の遵守によるものであれ、ビジ ネスの成長によるものであれ、ID 管理はますます複雑になり、通常は、ID 管理によってそれほ どビジネス上の利点が得られるわけではありません。このような状況における課題を克服するた めにマイクロソフトの戦略を活かすには、ID 管理に関する以下のビジネス上の課題および顧客 の悩みを考慮する必要があります。 ID の管理は、コスト効果が高く、効率的でなければならない ほぼすべての組織で、複数のディレクトリ ツリーやアプリケーション固有の ID ソースにわたっ て ID、資格情報、およびリソースを管理する必要があります。ID 管理が効率的でなければ、コ ストがかかり、組織にとっても非効率的です。 非効率的な ID 管理の影響: · 高コスト 手動または半自動化された ID 管理は、カスタマイズされた専用ソリューションやスクリプ トが含まれている場合は特に、コストがかかり、エラーが発生しがちです。ユーザーが自分 の ID を管理することができない場合、必要なリソースにアクセスできないと、ユーザーは これらの操作をヘルプ デスク、アプリケーション所有者、およびその他の IT 部門に戻しま す。 · カスタムコードのソリューションは、コストがかかり、柔軟性に欠ける 6 カスタムコードのソリューションは脆弱で、追加のエンジニアリング作業を行わなければ、 新規のビジネス需要に簡単に適応できない可能性があります。これらの管理は、IT 管理者が 学ぶ必要がある新しい専門システム、コンソール、ダッシュボード、およびアプリケーショ ンのため、ますます非効率的になります。 · IT アジリティ (敏捷性) の低下 管理およびコンプライアンス アクティビティで定期的な手動作業が必要な場合、IT 部門は、 より優れた IT 制御の実現やビジネス プロセスの最適化などの戦略的な取り組みに集中する ことができません。 ID 管理はセキュリティを向上させなければならない 何種類ものパスワード、パスワードのリセットなどの一般的な作業、およびヘルプデスクとのや り取りの多さにユーザーが直面している場合、許可されたユーザーのみがタイミング良くビジネ ス リソースにアクセスできるようにすることは、実現が困難で、コストもかかります。ID、資 格情報、ポリシーとアクセスの管理など、セキュリティのすべての側面を網羅した総合的なソ リューションが企業にある場合は、通常、ID 管理を行うことで、企業資産の保護レベルが向上 します。 過度に複雑なデータ保護の影響: · データ損失 データ損失は、すべての面に影響を及ぼすため、ビジネスに非常に大きな影響を与えます。 · 生産性損失 従業員がシステムから締め出された場合や、アクセスを付与してもらう必要がある場合、資 格情報のリセットやアクセスの要求が簡単に行えないと、業務を遂行できません。 · 信頼性損失 統合システムに関する今日のビジネス風潮としては、パートナーとの信頼関係を維持するた めには、有効なデータ保護が不可欠です。 ID 管理はビジネス価値を高めなければならない IT プロジェクトは、より多くのビジネスを処理できる能力に関して評価されます。ID 管理は、 ビジネス プロセスを自動化し、統合するために活用されるべきです。注文調達、顧客サービス、 または製品開発のいずれであっても、ビジネス プロセスは、ID 管理を通じて実現されるエンド ツーエンドのワークフロー制御および自動化の恩恵を受けます。たとえば、ID 管理への投資の 結果として、追加作業および生産性への影響を最小限に抑えながら、新しいシステムまたは従業 員をシームレスに企業に統合することができれば、この投資はビジネスの収益性を向上させます。 この場合、企業合併や企業買収であっても、より効率的に、より短期間で完了できます。 7 ビジネス アジリティ (敏捷性) を実現しないソリューションの影響: · 予算のプレッシャー ID 管理プロジェクトはコストを消耗するだけで、ビジネス上の利点がないと見なされます。 · 戦略上の影響 ID 管理プロジェクトは、戦略上必要なものというよりは、実務上必要なものと見なされ、結 果的にソリューションの効率を損ないます。 · プロセスの調整 ID 管理のシステムがビジネス プロセスの妨げとなっている場合、ビジネスにおいて最大限 の貢献を果たすことができません。 コンプライアンスは重要 規制コンプライアンスは、エンタープライズにおける ID 管理の重要な推進要因の 1 つです。企 業は、組織内でだれがどのデータにアクセスしているかを把握できるようにする必要があります。 統合された ID 管理ソリューションなしでは、組織は、規制への非準拠という新たなリスクを招 きかねません。 不十分なコンプライアンスの影響: · コストの増加 複数のシステムを手動で監査し監視することは、企業にとってコストのかかる試みとなりま す。 · 非準拠リスクの増大 監査を手動で行うと、エラーや、不注意による非準拠が起こる可能性も増えます。結果的に、 法的または財政上の問題に発展しかねません。 マイクロソフトの ID 管理アプローチ ILM 2007 および後継の FIM 2010 では、ID 管理に対して根本的に異なるアプローチが取られて います。ILM 2007 では、証明書およびスマート カードの管理機能が従来の ID 管理ライフサイ クルと統合されており、顧客は、ID および資格情報の共通の管理作業の効率を向上させること ができます。また、強力な資格情報の実装および管理を簡単にすることで、セキュリティおよび コンプライアンスを強化します。 企業における包括的な ID およびアクセス管理を実現することで、FIM 2010 は、ID 管理に関す る現在の先端技術をさらに前進させます。FIM 2010 は、エンドユーザーには Office との統合を 通じて強力なセルフサービス機能を提供し、IT プロフェッショナルには管理ツールと拡張された 8 自動化機能を提供し、開発者には .NET および Windows SharePoint Services ベースの拡張機能 を提供します。マイクロソフトのアプローチは、次の点に重点が置かれています。 · ユーザーの能力を強化。FIM 2010 は、適切なツールを適切なユーザーに用意することで、 エンド ユーザー、IT プロフェッショナル、および開発者の能力を強化します。FIM 2010 を 使用することで、エンド ユーザーは、Microsoft Office Outlook でセルフサービス タスクを 簡単に実行できます。同様に、FIM 2010 は、IT プロフェッショナル向けに SharePoint ベー スのポリシー管理コンソールを通じて ID 管理に必要なツールを提供し、開発者向けに は .NET および Windows SharePoint Services を通じて拡張機能を提供します。 · アジリティ (敏捷性) と効率性の実現。自動化およびセルフサービスの実現により、FIM 2010 は、現在 ID 管理の展開に関連している高コストおよびリスクを大幅に削減します。 FIM 2010 は、ディレクトリ、データベース、基幹業務アプリケーションなどの企業の異種 ID インフラストラクチャと、サードパーティの証明機関やワンタイム パスワード デバイス などの強力な異種認証システムを統合します。この異種システムを統合するアプローチは、 組織が既存の ID インフラストラクチャ投資を活用するうえで役立ちます。ID インフラスト ラクチャで使用される ID 管理機能を提供し、使い慣れた開発ツールおよびテクノロジと統 合することで、FIM 2010 は、新しいビジネス シナリオを簡単に実現できるようにします。 · セキュリティとコンプライアンスの強化。FIM 2010 には、ID 管理の監査とコンプライアン スを簡略化するポリシー管理機能が備えられています。ID、資格情報、およびリソースを管 理するために IT プロフェッショナルが使用するさまざまなツールを統合することにより、 FIM 2010 は、企業全体でポリシーを統合し、企業のセキュリティを強化できるよう支援し ます。さらに、FIM 2010 では強力な認証管理ツールが統合されているため、組織は、強力 な認証によるセキュリティ上の恩恵を簡単に享受できます。 Identity Lifecycle Manager 2007 ILM 2007 は、ID 管理の中でも最もコストのかかる面の一部を簡略化し、自動化するように設計 されており、今後の ID 統合および自動化の基本となる機能を提供しています。 Identity Lifecycle Manager 2007 の機能と利点 ILM 2007 は、統合された ID 同期、包括的な証明書およびスマート カード管理、および自動化 されたユーザー プロビジョニングを、1 つのセキュア ソリューションで実現します。 ID の同期 複数のディレクトリおよびシステムにわたる ID データを統合することで、自動化されたアカウ ント調整と、ユーザー アカウント、資格情報、および属性の一貫性のある管理が実現します。 これは、人事アプリケーションなどさまざまなディレクトリおよびその他のデータ リポジトリ 9 を抱える組織が ILM 2007 を使用すれば、システム間でユーザー アカウントを同期できるという ことを意味します。 また、ILM 2007 を使用することで、Microsoft Exchange 2000 Server、Exchange Server 2003 / 2007、Lotus Notes などの異なる電子メール システムで管理されている電子メール アドレスの リストを同期することもできます。複数の Active Directory® ドメイン サービスや Exchange Server を使用している組織では、ILM 2007 を使用して単一のアドレス帳を構築することができ ます。これにより、コラボレーションが簡略化され、IT による制御が向上するため、ID 統合の 価値が増します。 証明書およびスマート カードの管理 強力な認証は、価値のあるものとされ、多くの場合、ユーザーの ID を検証し、セキュリティで 保護するために必要なテクノロジにもなりつつあります。が、その一方で、デジタル証明書やス マート カードを管理するためのコストや複雑さのため、導入が遅れたり、顧客はセキュリティ のためにビジネス アジリティ (敏捷性) を犠牲にせざるを得ない状況になっています。 ILM 2007 は、Microsoft Windows をベースとする唯一の証明書管理ソリューションです。簡単に 展開することができ、完全に実装するためのカスタム開発作業は必要ありません。ILM 2007 は、 Microsoft Active Directory や Windows Server™ 証明書サービスなどのサービスを利用している 企業での、デジタル証明書およびスマート カードの展開も簡略化します。これにより、証明書 ベースのインフラストラクチャの展開、管理、および維持のコストを削減できます。 ユーザー プロビジョニング ILM 2007 を使用している組織では、ユーザー アカウント、メール ボックス、およびグループ メンバーシップを自動生成するポリシーを定義できるため、新しい従業員もすぐに生産性を発揮 できます。 組織内でのユーザーの役割が変わった場合、ILM 2007 は、異種ターゲット システムで必要な変 更を自動的に行い、アクセス権限を追加および削除します。たとえば、ユーザーが営業からマー ケティングの担当に異動した場合、ILM 2007 は、そのユーザーを営業固有のグループから削除 し、マーケティング固有のグループに追加して、ユーザーが各自の業務を遂行するうえで適切な アクセス権限を付与します。 Forefront Identity Manager 2010 ILM 2007 の後継である FIM 2010 は、ILM 2007 の機能を拡張し、ID のライフ サイクル全体の 管理に伴うコストをさらに削減し、効率を向上させます。 ILM 2007 で利用可能な証明書管理プロセス、ユーザー アカウント プロビジョニング、および ID 統合に基づいて構築された FIM 2010 は、管理環境を、組織内の IT プロフェッショナルまた はビジネス ユーザーの役割に最も適したシステムおよびプロセスに合わせます。 10 たとえば、エンド ユーザーは、Microsoft Outlook® 内から自分のグループ メンバーシップを簡 単に管理できます。IT 管理者は、集中化されたシステムでポリシーを設定したり、セキュリティ およびワークフローを監視したりできるので、今まで以上の生産性で作業できます。 FIM 2010 のハイライト: ポリシー管理 · ポリシーの作成、適用、および監査のため の SharePoint ベース コンソール · 拡張的な FIM Service API および Windows Workflow Foundation ワークフロー · 異種の ID 同期および整合性 資格情報管理 · サード パーティの証明機関のサポートによ る異種の証明書管理 · Windows ログオンと統合されたセルフサー ビスでのパスワード リセット ユーザー管理 · ID、資格情報、およびリソースの統合プロ ビジョニング · 自動化された、宣言型のユーザー プロビ ジョニングおよびプロビジョニング解除 · セルフサービス ユーザー プロファイル管 理およびホワイトページ グループ管理 · Office ベースで機能豊富なセルフサービス グループ管理ツール · Office Outlook でのオフライン承認 · 自動化されたグループおよび配布リストの 更新 11 Forefront Identity Manager 2010 で提供される拡張機能と利点 FIM 2010 は、メタディレクトリ、証明書ライフ サイクルの管理、ユーザー プロビジョニングな どの ILM 2007 の機能を基本とし、さらに優れた管理環境が追加されています。これは、統合さ れたユーザー管理、総合的な資格情報管理のためのセルフサービス機能、グループ管理、基本的 なポリシー管理、拡張された接続性などの機能です。 ポリシー管理 FIM 2010 は、企業のすべてのシステムが同じ企業ポリシー セットを使用して稼働するように、 ID 管理の自動化と統合のためのフレームワークを提供します。これは、以下の機能によって実 現されます。 · 集中化されたポリシー作成、適用、および監査 FIM 2010 リリースの一部として、直感的に操作できる SharePoint ベースのユーザー イン ターフェイスが提供されます。これを使用すると、システム設計者、IT 管理者、およびエン ド ユーザーは、自然言語記述子および簡単に使えるメニュー式のコントロールで、ユーザー やグループを管理するルールを作成できます。ポリシー管理ツールを使用すると、ビジネス 所有者および IT 部門は、FIM 2010 で処理されたイベントおよびビジネス ルールに関するレ ポートを生成したり、自動でこれらの情報に対応したりすることもできるようになります。 これにより、コンプライアンスの状態を把握できると同時に、コンプライアンスをサポート するビジネス ルールを適用するメカニズムが提供されます。 · 拡張可能な Windows Workflow Foundation ベースのワークフロー FIM 2010 には、Windows Workflow Foundation に基づいた多機能で視覚的なワークフロー 管理機能があります。この機能により、IT プロフェッショナルは、ID 管理ポリシーを簡単 に定義し、自動化し、適用できるようになります。IT プロフェッショナルは、アカウントの 作成やタスクの削除など、アクションを承認または拒否するプロセスで、統合されたワーク フローを使用できます。その他の拡張機能やカスタマイズ機能については、FIM 2010 には、 プラットフォーム レベルとソリューション レベルの両方に関してカスタマイズを可能にす る Web サービス API が含まれる予定です。FIM 2010 は Windows Workflow Foundation (WF) ワークフローを使用しているため、既存の WF ベースのワークフローを FIM 2010 でイ ンポートし、再利用できます。 · 異種の ID 同期および整合性 FIM 2010 は、さまざまなネットワーク オペレーティング システム、電子メール、データ ベース、ディレクトリ、アプリケーション、およびフラットファイル アクセスとの統合機能 を提供します。FIM 2010 のサポート対象には、Active Directory、Novell、Sun、IBM、Lotus Notes、Microsoft Exchange Server、Oracle データベース、Microsoft SQL Server™ データ ベース、SAP などに対するコネクタが含まれます。このため、組織は、自社内にある大量の 12 異なる ID 情報ソースに接続し、同期することができるようになります。ほとんどの場合、 ターゲット システムにソフトウェアをインストールする必要はまったくありません。場合に よっては、特定の組織に固有のカスタム アプリケーションやレガシ アプリケーションに接 続しなければならないこともありますが、FIM 2010 の拡張可能なエージェント機能を使用 すれば、Microsoft Visual Studio® 開発環境でカスタム エージェントを作成することで、こ れらのアプリケーションの ID を統合し管理できるようになります。 資格情報管理 FIM 2010 には、管理者とエンド ユーザーの観点から統合された方法で、複数の資格情報を管理 する機能があります。IT プロフェッショナルは、1 つのソリューションで、ユーザー ポリシー を表示したり、ポリシーを定義したり、スマート カードのテンプレートや PIN をリセットする プロセスを定義したりすることができます。FIM 2010 では、エンド ユーザーのエクスペリエン スは非常に直感的なものになります。エンド ユーザーのための資格情報管理のアクティビティ は、使い慣れたアプリケーションに埋め込まれ、精通しているツールに統合されます。これによ り、組織が ID 管理を展開するコストが削減され、簡単かつ迅速な導入が可能になります。これ らの目的を達成できるように、FIM 2010 は次の機能を提供します。 · 資格情報のライフサイクル管理とプロビジョニングの統合 FIM 2010 では、ユーザー アカウントと資格情報のプロビジョニング プロセスを管理するポ リシーを定義できます。つまり、FIM 2010 のワークフローは、ユーザー アカウントのプロ ビジョニング、初期パスワードの設定、およびユーザー スマート カードとデジタル証明書 を発行するプロセスの開始を自動で行うように構成できるということです。たとえば、FIM 2010 では、新規ユーザーの Active Directory アカウントを発行してメールボックスをセット アップするほか、スマート カードをアクティブにするために 1 回だけ使用できる PIN を新 規ユーザーに発行する、ユーザー プロビジョニング プロセスを管理できます。 · サードパーティの証明機関 (CA) およびワンタイム パスワード (OTP) などの複数の資格情報 の管理 FIM 2010 は、リソースをセキュリティで保護するために組織が使用するさまざまな資格情 報を管理することができます。ILM 2007 で導入されていた証明書およびスマート カード管 理機能が拡張され、サードパーティの CA や OTP デバイスの管理など、さらに強力な認証 要素を集中管理できるようになりました。これには、パートナー ソリューションも含まれま す。 · Windows ログオンと統合されたセルフサービス パスワード FIM 2010 を使用すると、ユーザーは、Windows のデスクトップ ログインから自分のパス ワードおよびスマート カードの PIN の変更やリセットを実行できます。 · セルフサービス パスワード リセットのための、構成可能な認証ゲート 13 FIM 2010 には、構成可能な質問と答えの認証ゲートが含まれています。また、他の種類の ゲートを構築することもできます。たとえば、スマート カード ゲートや、携帯電話に送ら れたコードの入力が必要なゲートなどです。認証ゲートの登録プロセスは、ログイン時に登 録を要求するなど、組織内のすべてのユーザーが登録するように構成できます。 · システム全体のパスワードの同期によりサインオンを簡略化 重要なことには、FIM 2010 は、ID 同期機能を通じて、簡略化されたサインオン エクスペリ エンスを提供しており、これにより、異種システム間でパスワードを同期することができま す。 ユーザー管理 開発者の観点およびビジネスの観点からマイクロソフトが実現している最も重要な機能の 1 つは、 自動化された、コードレスなユーザー プロビジョニングです。FIM 2010 には、企業アプリケー ション全体で統合されたユーザー管理およびセルフサービスのためのツールがあります。この ツールを使用すれば、ビジネス ルールを別途コーディングしたり、ターゲット システムで再 コード化したりする必要はありません。これらの自動化および集中化されたユーザー管理ツール には、次のようなものがあります。 · 宣言型のユーザー プロビジョニング FIM 2010 では、以前のバージョンのようにカスタマイズしたコードを記述する必要がなく、 プロビジョニングを構成するためのユーザー インターフェイスが用意されています。自動化 されたプロビジョニングにより、企業に新しいユーザーを追加し、そのユーザーが自動的に 適切なアプリケーションにアクセスできるようにするためのプロビジョニング ワークフロー を簡単に定義できます。 · ID、資格情報、およびリソースの統合プロビジョニング FIM 2010 で提供される管理ツールを使用して、適切なアカウント、リソース、および資格 情報を準備するためのポリシーを作成し、ユーザーに関連付け、適切なワークフローがプロ セスに統合されるようにすることができます。これは、高度にシームレスな方法で実行され ます。つまり、企業に新しいユーザーが加わったときに、新しいユーザーに対して、自動化 され統合されたプロセスを提供できるということです。これにより、ユーザーは初日から生 産性の高い作業を行えます。退職するユーザーのプロビジョニング解除も集中化され、複雑 さが軽減されています。これにより、プロビジョニング解除を確実に完了し、将来のコンプ ライアンス監査に対応することが簡単になります。 · セルフサービス ユーザー プロファイル管理 FIM 2010 の新機能により、ユーザーは自分の ID 情報を管理できるようになります。IT プロ フェッショナルは、FIM 2010 を使用して、これらのユーザーが行った変更に対する承認や 通知などのワークフローを必要とするようにポリシーを設定できます。たとえば、携帯電話 の番号の管理をエンド ユーザーに委任するように指定できます。ユーザーは、FIM 2010 の 14 ポータルを使用して、この情報を更新できるようになります。これは、ユーザーが業務の過 程で簡単に問い合わせできるように、携帯電話の番号などの ID データを常に最新にしてお くうえで役立ちます。 グループ管理 FIM 2010 には、エンド ユーザーの生産性を高め、IT プロフェッショナルを繰り返し作業から解 放し、セキュリティとコンプライアンスを向上させるうえで役立つ、すぐに使用できる強力な機 能があります。たとえば、次のようなものです。 · 機能豊富なセルフサービス グループ管理ツール FIM 2010 は、FIM 2010 Web ポータルでセルフサービス グループおよび配布リスト管理機 能を提供します。Outlook との統合により、エンド ユーザーは自分のグループ メンバーシッ プ要求を、使い慣れたコラボレーション ツールを使用して管理できるため、最小限の追加ト レーニングで、最大の生産性を得られます。たとえば、メンバーシップ要求を承認または拒 否するために Outlook で提供されている、承認と拒否のボタンにより、ユーザーは、IT 組織 の助けを借りずにグループのメンバーシップを管理できます。FIM 2010 のエンド ユーザー は、新しい仮想チームのための配布リストを作成し、他のユーザーからの配布リストへの参 加要求を管理することができます。 · Office 経由のオフライン承認 FIM 2010 では、グループ メンバーシップを管理する機能が Outlook に統合されました。こ れにより、ユーザーは、Outlook を使用して、たとえばグループのメンバーシップを要求し たり、オフラインで承認を管理したりすることが可能になります。 · 自動化されたグループおよび配布リストの更新 グループ メンバーシップのセルフサービスでの管理に加え、FIM 2010 は、リソースの特性 に基づいたグループ メンバーの動的な計算もサポートしています。この機能を使用すると、 グループへのユーザーの追加およびグループからのユーザーの削除が自動的に行われます。 たとえば、IT プロフェッショナルは、あるチームのリソースへのアクセスを制御するために 使用されるグループを構成して、マネージャーと直属の部下のみがメンバーとなるようにす ることができます。この場合、FIM 2010 は、ユーザー リソースのマネージャー属性に基づ いてグループ メンバーシップを計算します。メンバーがチームに加わったり、チームから外 れたりするなどの構造的な変更があった場合、グループ メンバーシップは自動的に更新され ます。動的なグループ メンバーシップは、リソースを効果的に保護するために必要な手動で の作業の削減に役立ちます。 15 まとめ このホワイト ペーパーで取り上げた戦略および優先事項は、お客様がマイクロソフトのインフ ラストラクチャを活用すると同時に、IT 組織の効率を上げ、制御を容易にするうえで役立つこと を目的としています。マイクロソフトは、各種ユーザーに最適なツールを使用した多機能な管理 環境を提供することで、障害や複雑さを排除すると同時に、ID 管理に伴うコストの削減を実現 します。 最適なビジネス ポリシーに基づいてすべてのユーザーとユーザーのアクセス許可が統合されて いるようすを想像してみてください。また、問題が発生しなければ気が付かないような手動での プロビジョニング プロセスが不要になったらどうでしょうか。入社する従業員の数が突然増え たとしても、他のカスタマー サービス レベル アグリーメントに悪影響を与えることなく、プロ ビジョニング プロセスをスケーリングできることがわかっていれば、安心ではないでしょうか。 ユーザーのアカウント、資格情報、およびリソースは、企業内の異種ディレクトリおよびアプリ ケーションにおいて自動的にプロビジョニングされるため、ユーザーは、入社したその日から生 産性のある作業ができます。 ユーザーに追加アクセスが必要な場合、決定をサポートするワークフローも自動化することがで き、アクセスを付与するかどうかの決定は適切な承認者が行えます。適切なツールを適切なユー ザーに提供することで ID 管理をより簡単にすることが、マイクロソフトの ID 管理戦略です。 16
© Copyright 2024 Paperzz