ID管理／SSO認証基盤でセキュリティ向上とコスト削減を両立――日産ディーゼル：今、見直されるアイデンティティ管理（2/3 ページ）

[井上猛雄，ITmedia]

ローコストのLDAP ManagerをID管理基盤に採用

　同社のID管理・認証基盤システムの構成は図1のとおりである。「ユーザー情報管理サーバ」「LDAPサーバ」「認証サーバ」「リバースプロキシサーバ」という4つのシステムから構成されている。利用できるWebシステムは現在のところ、前述の新部品表システムのほかに、新車の原価管理システム、開発時に必要な法規情報の参照システム、サプライヤーに対する生産・購買などの情報提供システム（現在開発中）である。

図1●Webアプリケーション用のユーザー情報を一元管理するユーザー情報管理サーバ、認証に必要なユーザー情報を管理するLDAPサーバ、各種Webアプリケーションの認証を行う認証サーバ、サプライヤーや関連会社などの外部ユーザーからのアクセスを中継するリバースプロキシサーバで構成

　ID管理のキーポイントとなるユーザー情報管理サーバは、源泉情報となる人事マスターから人事情報を取り込み、認証に利用するユーザー情報を整形した形で一元的にデータを管理している。新部品表などのWebシステムは、社内だけでなく、外部のサプライヤーや関連会社でも利用される。外部情報は人事マスター側で管理していないため、現状ではマニュアルで登録・変更・削除が行われている。

　これらのデータをLDAPサーバ側に蓄積し、認証サーバと連携することで、各種Webシステムをユーザーごとの権限に従って利用できる仕組みだ。またセキュリティの観点から、サプライヤーや関連会社からの外部アクセスについては、リバースプロキシサーバを介して中継する方式を採用している。

　中核となる具体的なシステムをみてみよう。ID管理を行うユーザー情報管理サーバ側には、エクスジェン・ネットワークスのディレクトリ連携ツール「LDAP Manager」が採用されている。LDAP ManagerをID管理製品として選定した理由を、須藤氏は次のように説明した。

　「ID管理の第一ステップにおいて、まずユーザー情報を一元管理できるシステムを低コストで構築する点に着目した。そこから必要であれば、LDAPディレクトリやNotes、Active Directoryなどに連携させようと考えた。そして、まず手始めにLDAPサーバを連携させることになり、データソースを投入する手段として、このLDAP Managerを採用することになった。したがって現状では、CSV形式のファイルからLDAPに連携させる機能のみを利用している」

LDAP Managerの画面。CSV→LDAPのメンテナンス設定。CSVファイルからLDAPサーバへユーザー情報を投入する。属性単位で暗号化の設定も行える

実際にCSVファイルのデータをLDAPに反映させているところ

　LDAP Managerは、CSV形式のファイルを介し、ユーザー情報データベース（Oracle）とLDAPサーバ側（SUN ONE Directory Server）のユーザー／グループ情報を直接連携させながら、タイムリーなメンテナンスが行える。必要に応じて連携先のモジュールをプラグインとして追加購入することが可能なため、システム構築要件によっては、他社製品と比べて低コストでID管理基盤を構築できるというメリットがある。

　また認証サーバ側には、ブランドの信頼感や実績を考慮してRSAセキュリティの「ClearTrust」を導入しており、煩雑なパスワード管理を解消するSSO（シングルサインオン）の基盤作りに一役買っている。ClearTrustは、静的または動的なユーザープロファイルに基づいて、Webへのアクセス／ユーザー権限に関するポリシーを組織や属性単位で定義できるため、大きな組織変更や人事異動にも容易に対応できる点が長所だ。

RSA ClearTrustの初期ログイン画面。リソース定義からアクセスの承認、ユーザー管理、委任管理までが行える