主要ベンダーのIDM、セキュリティや監査を含む包括型が主流に：今、見直されるアイデンティティ管理（1/4 ページ）

ID管理の大手ソフトウェアベンダーは、基本機能だけにとどまらず、内部統制やセキュリティコントロールまでを含む包括的なソリューションを提供し始めた。一方で、ネットワーク層のIDを専門に管理する新しいコンセプトのアプライアンス製品も登場している。現在、市場に出回る主なID管理製品を紹介する。

[井上猛雄，ITmedia]

本記事の関連コンテンツは、オンライン・ムック「今、見直されるアイデンティティ管理」でご覧になれます。

　ベンダーが提供するID管理製品にはさまざまな種類がある。これまでのオンライン・ムックで紹介してきたように、アイデンティティ管理（IDM）製品を機能面で分類した場合に、その基本要素として「プロビジョニング」「パスワード管理（連携）」「ポリシー管理」などが挙げられる。最近では、このような機能に加え、ID発行の承認を自動化する「ワークフロー処理」や、ID管理に関する操作ログを分析したりレポーティングする「監査」といった機能も重要になってきている。

主要ベンダー7社のID管理製品

　特に大手の主要ベンダーでは、セキュリティや運用管理も含めた包括的なソリューションとしてID管理製品を提供するケースが多く、内部統制の強化やJ-SOX施行をにらんだ監査機能までを標準でサポートするようになってきた。

　また、構成要素からID管理製品を分類すると、IDMのコアにディレクトリを採用しているか、もしくはデータベースを採用しているかで大きく分けられるだろう。前者には「Novell Identity Manager」や「Microsoft Identity Integration Server 2003」など、後者には「Sun Java System Identity Manager」「Oracle Identity Access Management Suite」などがある。ディレクトリベースの製品は即時同期性に優れるというメリットがある。しかしその半面、スケジュール同期を取るタイマー処理には不向きな側面も持つ。また、ワークフロー処理などは、データベースのほうが優れているといえるだろう。いずれにしても、製品によって一長一短があるため、自社のシステム要件に合った製品を選びたい。

　以下、このようなIDM関連製品を提供する主要ベンダー7社のソリューションを中心に紹介しよう。

■日本アイ・ビー・エム

　日本アイ・ビー・エムは、メタディレクトリ製品として「Tivoli Directory Integrator」を、ID管理製品として「Tivoli Identity Manager」（TIM）を提供している。前者のDirectory Integratorの新バージョン6.0では接続性が強化され、SAP、Siebel、PeopleSoft、Domino Change Detection、Webサービス、Tivoli Identity ManagerへのERPコネクタなどがあらかじめ用意されている。また、Java APIにより、未対応の外部アプリケーションとの連携も可能だ。

　ディレクトリサービス製品「Tivoli Directory Server」は、Tivoli Directory Integratorに同梱される。DB2のUDBをデータベースエンジンとして採用し、パフォーマンス、高可用性などのメリットが引き継がれている。

　一方、後者のID管理製品については、さまざまなITリソースとユーザー情報を集中管理し、適切なアクセス環境を構築しながら、ユーザー情報のライフサイクル全般にわたる管理を行う。Webベースでパスワードを含むユーザー自身の個人情報を自動変更したり、ユーザーからのアクセス権追加要求などの申請を、メールを利用したワークフロー処理によって承認できる。事前にマスターを更新し、システムへのデータ適用をスケジューリングすることも可能だ。

　また、シングルサインオン（SSO）ソフトとしては「Tivoli Federated Identity Manager」（TFIM）がある。TFIMは、SAML/Liberty Allianceなどの仕様に対応しており、企業間の異なるシステムをまたぐSSO環境を実現できる。

最新バージョン、Tivoli Identity Manager4.6のプロビジョニング設定画面。プロビジョニングやポリシーの定義を行い、スケジューリングする

ワークフローの定義画面。ダイアグラム形式でワークフローを視覚的にデザインできる

■ノベル

　ノベルは、ディレクトリサービス製品「eDirectory」と、ID管理製品「Novell Identity Manager 2」などを提供している。最新版のeDirectory 8.8では、FHS（Filesystem Hierarchy Standard）、LSB（Linux Standard Base）をサポートした。ツリー検索での性能、大規模環境での運用性、セキュリティに関連する機能が強化され、マルチインスタンスへの対応や、ディレクトリツリーの整合性を確認するヘルスチェック機能などを搭載する。

　Identity Manager 2は、eDirectory上で動作するメタディレクトリサーバ、Webベース管理ツールを動作させるアプリケーションサーバ、各システムや特定アプリケーションに接続するドライバで構成される。Active Directory、Exchange、Lotus Notes/Domino、Oracleなど多数の標準コネクタが用意されている。

　Identity Managerでは、すべてのシステム上のユーザーIDのライフサイクル全般を管理することができる。主な機能として、ユーザープロビジョニング、パスワード管理、ユーザーセルフサービス、ロールベースの管理、システム全体の監査レポートなどの機能を備える。パスワードやプロフィールをユーザー自身で修正して最新情報に維持するセルフサービス機能や、強力なパスワード管理機能は有用だ。今夏、ワークフロー機能と開発環境を強化した「Novell Identity Manager 3」がリリースされる予定である。また、SSO機能を実現する製品として「iChain」が用意されている。

最新版のIdentity Manager 3（現在ローカライズ作業中）で、連携ドライバを適用している画面。視覚的に連携先のオブジェクトが生成され、コンテキストメニューから簡単に適用できる

組織階層からユーザーを検索しているところ。ワークフローもこの組織階層を利用して、承認経路とすることができる