| エンタープライズ:ニュース | 2003/08/06 04:06:00 更新 |
ADAMで進化するActive Directory――シングルサインオン環境の実現に向けて
5日に開幕した「Microsoft Tech・Ed & EDC 2003 YOKOHAMA」が開幕した。新しいActive Directoryが可能にする企業内のアイデンティティ管理の形が垣間見えた。
「Microsoft Tech・Ed & EDC 2003 YOKOHAMA」初日の午後に行われたプログラムでは、Microsoftが考えるシングルサインオンのセッションとして「シングル サイン インの神話とエンタープライズディレクトリ:マイクロソフトのアイデンティティ管理戦略」が開催された。
同セッションでは、Microsoftのマイクロソフトコンサルティングサービス コンサルタントのデイル アキンサド(Dele Akinsade)氏が担当した。同氏の講演は、これまでのアイデンティティ管理の軌跡を「種の起源」と称し、簡単に振り返えるところからスタートした。
同氏によると、初期の頃は、エンドユーザーがある種のプロトコル経由で認証・承認という過程を経た後、ユーザーデータやリソースにアクセスするという、いわゆるPC-Based Computing」であったという。その後、ネットワークOSという考えが生まれ、プリンタやファイルなど、いくつかのリソースについては、ローカルPCで認証・権限付与を行うことで、透過的にアクセス可能となった。しかし、メールやCRMなどいくつかの部分に関しては依然としてIDとパスワードを統合できなかった。
こうした状況では、いくつかのID、パスワードを覚えておく必要があり、その結果、IDやパスワードを書いた付箋をモニターの端に貼っておくなど、エンドユーザー側の管理が煩雑になりがちである。また、ユーザーデータの一貫性が保ちにくくなるなどの問題点も生じてきた。
こうした中、Microsoftが1997年に発表したディレクトリシステムが「Active Directory」だ。LDAPサーバとしての機能のほか、Windowsのユーザー/グループ情報、システムコンフィグレーション、DNSを含むネットワークサービスなどさまざまな機能を提供するものだった。とはいえ、これまでのActive Directoryでシングルサインオンが完全に実現されたかというとそうではないという。ほかのベンダーが提供するLDAPディレクトリとは、そのデータのDumpを作成し、それをインポートして利用するなど、プロビジョニングがアドホックな対応となっていると述べた。
しかし、Windows Server 2003のActive Directoryは、そうした部分が大きく改善されたという。とくに、開発後の柔軟さが増したことと、スケールやパフォーマンスの向上が顕著で、ドメイン名のリネームやオブジェクトを定義するスキーマの再設定などがサーバーを停止せずに行えるほか、グループあたり5000ユーザー以上のサポートなどが挙げられる。また、Windows NT 4.0やWindows 2000からの移行ツールも用意されるという。
Active Directory Application Mode(ADAM)は、Windows Server 2003で利用できるディレクトリサービスの新機能で、この機能によってアプリケーションは、そのアプリケーションと同じサーバー上にあるローカルのディレクトリサービスにのみ関連する「プライベート」なディレクトリデータを、Active Directoryに構成の追加をすることなく格納できる。ポータルアプリケーションにのみ関連し、広範囲にレプリケーションされる必要のないユーザーデータは、ADAMディレクトリにのみ格納されるという。
このソリューションによって、ネットワークとドメインコントローラ間のレプリケーションにかかるトラフィックを減少させることが可能となるほか、ネットワーク上にディレクトリ対応の新しいアプリケーションが導入されるたびに、エンドユーザーのIDやパスワードが増えることを防ぐことができるという。
バックエンドシステムとのシングルサインオンについても、ADAMを使ってメタディレクトリとのマッピングを行うLDAP Bind Redirectや、バックエンドとのマッピングを行うBizTalk Server 2002を用意し、フロントエンドにはSharePoint Portal Server(SPS) 2003またはADAMにつながるWebアプリケーションを配置すれば簡単に行えると話す。
そのほか、承認、監査に特化したソフトとして「Authorization Manager」、「Microsoft Audit Collection System(MACS)」が紹介された。Authorization Managerは、オブジェクトに適用されるセキュリティ記述子の一部分であるACL(Access Control List)ではなく、ユーザーの役割情報を基にアクセス権限を決定することで、エンタープライズ用途における柔軟な管理が可能となっている。MACSは、ネットワーク管理者の監査が必要なセキュリティイベントを監査する。同ソフトはセキュリティイベントをSQLサーバーに収集し、リアルタイムでの監査が可能だという。こちらのリリースは、Windows Server 2003のSP1のリリースと同時期を予定しているという。
同氏は最後に、Active Directoryを使ったシングルサインオン環境に移行していくためのアプローチとして、月並みではあるが、専任の担当者を配置し、新規に導入するアプリケーションには積極的に検証を行い、既存のアプリケーションはシングルサインオンに移行可能かどうか調査する。その後、メタディレクトリ、パスワード管理のデプロイなどに進んでいくのが望ましいと述べ、講演を締めくくった。
関連記事
Microsoft Tech・Ed & EDC 2003 YOKOHAMAレポートWindows .NETチャンネル関連リンク
Tech・Ed & EDC 2003 YOKOHAMAマイクロソフト[西尾泰三,ITmedia]
