| エンタープライズ:ニュース | 2003/08/06 08:24:00 更新 |
非Windows環境の統合目指すBizTalk Serverは「Jupiter」への一里塚
「Microsoft Tech・Ed & EDC 2003 YOKOHAMA」の中では、BizTalk ServerやSharePoint Server、Active Directoryを活用し、全社的なシングルサインオン環境の構築を支援するというマイクロソフトのコンセプトが明らかにされた。
セキュリティ上の必要性はともかく、サーバごと、アプリケーションごとにアカウントを使い分けることがさして苦ではないというユーザーは滅多にいないだろう。同じように、多種多様なシステムにまたがり、多数のユーザーのアカウントとパスワード、アクセス権限を漏れのないよう管理するのを負担に感じない管理者もそうはいないはずだ。
こうした問題を解決する方策として注目されているのが、ユーザーアイデンティティの統合とシングルサインオンである。ユーザーの使い勝手を改善し、ひいては生産性の向上につながるうえに、管理者にとっては運用コストの削減をもたらす。またミスや設定し忘れといった事態を防ぎ、全体のセキュリティを高める役にも立つ。
マイクロソフトは8月5日、「Microsoft Tech・Ed & EDC 2003 YOKOHAMA」のセッションの中で、Active DirectoryとWindows Server 2003、さらにはBizTalk ServerやHost Integration Server、新製品のMicrosoft Identity Integration Serverといった製品群を組み合わせ、役割(ロール)ベースのコントロールとアイデンティティ管理を実現していくための道筋を説明した。主にActive Directoryをユーザーレポジトリとして活用し、確実な認証とポリシーに沿った管理を実現するというのがそのビジョンだ。
ミドルウェアとしてのBizTalk
BizTalk Serverというと、各種業務アプリケーションの統合やワークフローエンジンといった役割に焦点が当てられがちだ。だがアプリケーションの統合とは、ユーザーから見ればアクセスの統合であり、シングルサインオンも意味する。
米Microsoftのマット・ファングマン氏は、BizTalk ServerとBizTalk Adaptor、それにHost Integration Serverをミドルウェアとして用いることにより、非Windows環境やメインフレームといったバックエンドシステムと連携した、全社的なシングルサインオン環境――エンタープライズシングルサインオン――を構築する手法について説明した。
このBizTalk AdaptorはUNIXベースのシステムやAS/400、z/OSといったIBMのメインフレーム、さらにはSAPのような基幹系アプリケーションやSiebelなどのCRMアプリケーションとの間に立ち、クレデンシャル(資格を証明するもの:パスワードやトークンなど)情報を格納したデータベースに問い合わせを行いながら、認証チケットの関連付け・照合(マッピング)を行う。これにより、エンドユーザーから複数のシステムやアプリケーションに対するアクセスを透過的に処理する仕組みだ。
ファングマン氏の説明によると、BizTalk Adaptorは最初からすべてを導入する必要はなく、必要に応じて拡張することができる。またこのシステムは、シングルサインオンサービスどうしが連携することによって、複数の拠点に分散した環境もサポートする。つまり、東京にいるかそれとも北米にいるかなど、ログオンした場所に関わらず、統合されたシングルサインオンが利用可能という。
ただし、こうしたアプリケーションに対し、従来のユーザーロールだけでは対応できない。各組織ごとの階層構造ルールに沿った形で、レイヤー化されたマッピングを定義する必要があるという。
TrustBridgeがいよいよ実装へ
ファングマン氏は今後の展開の1つに、SharePoint Serverの開発チームとの連携を挙げた。フロントエンドを統合するSharePoint Serverと、バックエンドシステムを結びつけるBizTalk Serverが連携することにより、より便利なシングルサインオン環境が実現できるという。具体的には、SSLによる安全性の強化やクレデンシャルマッピングの簡素化などが、成果として考えられている。
並行して、Meta Directory/Microsoft Identity Integration Serverとの統合も進めていく方針だ。Host Integraion Serverの動向には触れられなかったが、次のバージョンでは、WS-Securityなどの標準に準拠した「TrustBridge」を組み込み、複数のドメイン、複数の組織にまたがる協調型シングルサインオンをサポートしていく方針という。これら一連の連携については、デイル・アキンサド氏による別のセッション(別記事参照)でも語られている。
ちなみに、「先日ニューオーリンズで行われた会議(注:WinHECと思われる)では、ビル・ゲイツがセキュリティ担当者らを集め、“シングルサインオンには、これからさらに力を入れていく”と語った」(同氏)ということだ。ファングマン氏はまた、一連の取り組みは、コードネーム「Jupiter」と呼ばれる新サーバソフトウェアのアーキテクチャを目指したものとも述べている。
「数多くのシステムが存在しており、マイクロソフトだけですべてを網羅できるわけではない。そこで、アプリケーションからホストまでの統合を可能にする、よりフレキシブルなソリューションが求められている」とファングマン氏は指摘したうえで、ぜひとも現在公開されているBizTalk Server 2004のベータ版に触れてみてほしいと述べた。
なおファングマン氏は、セッションの後、他社が提供するアイデンティティ統合/シングルサインオンソリューションとの違いについて次のように述べている。「例えばIBM/Tivoliが提供するのがバックエンドのみであるのに対し、マイクロソフトは、バックエンドからクライアントにいたる完全なソリューションを提供できる。第二の違いは、開発ツールの生産性だ。J2EEの開発ツールはまだ成熟しきっておらず、完全なクレデンシャルマッピングが行えない。マイクロソフトは完全に、XMLおよびWebサービスに特化している」(同氏)。
関連記事
企業のユーザー管理を容易に、Microsoftの新製品「MIIS 2003」Microsoft、「Jupiter」BizTalk Server 2004のβ1を公開Microsoft、SQL ServerおよびBizTalk Serverの最新バージョンを発表Microsoft、新ソフト「TrustBridge」でWebサービスセキュリティ推進Microsoft Tech・Ed & EDC 2003 YOKOHAMAレポートWindows.NETチャンネル関連リンク
Tech・Ed & EDC 2003 YOKOHAMAマイクロソフト[高橋睦美,ITmedia]
