シングルサインオンから「フェデレーション」へ、ID管理最前線

米Oracleのウィン・ホワイト氏は、単なるシングルサインオンを超えた「連携型ID管理」の重要性を説いた。

[垣内郁栄，＠IT]

　「アイデンティティ管理の次の波は『フェデレーション』（連携）だ」。米オラクルのセキュリティ＆アイデンディディ製品 シニア ディレクター ウィン・ホワイト（Winn White）氏はこう述べ、連携型ID管理を強化する方針を説明した。

　ホワイト氏は「連携型ID管理は企業改革法［サーベンス・オクスリー法：SOX法］準拠のための柱の1つになる」とも述べ、日本版SOX法への対応でも重要な要素になると考えを示した（関連記事）。

米オラクルのセキュリティ＆アイデンディディ製品 テクノロジー・マーケティング本部 シニア ディレクター ウィン・ホワイト氏

　連携型ID管理とは、イントラネットを超えて他社のシステムやアプリケーション、サービスとの間でシングルサインオンを実現する考え。セキュリティポリシーを組織を超えて適用することが可能で、SOAなどさまざまなシステムが混在する環境でもセキュアにアクセスできるようにする。ホワイト氏は「ヘテロジニアス環境のID管理を実現する」と説明した。

　オラクルで連携型ID管理を実現するのは、3月に買収したOblixの製品。Oblix製品は「COREId」の機能名でアイデンティティ管理製品「Oracle Identity Management」に追加され、既存のシングルサインオンやアクセスコントロール、アイデンティティの一元管理などの仕組みをSOA環境でも適用できるようにする。

　Oblix製品はIBM WebSphere、BEA WebLogicなど他社のアプリケーションサーバや、Microsoft Active Directoryなど他社のディレクトリサーバ、LDAPと連携することができる。Active Directoryのアイデンティティ情報を変更したら、Oracle Identity Managementのリポジトリにも反映されるなどアイデンティティ情報の配信（プロビジョニング）にも対応。ピープルソフトやリテック、シーベルなどさまざまなアプリケーションベンダーを買収し、製品の統合を進めているオラクルにとっては、連携型ID管理は欠かせない機能となる。

　ホワイト氏が「イントラネット内でのID管理は広く使われ、ユーザーはその便利さを実感している」というようにLDAPなどを使ったシングルサインオンは一般的だ。しかし、組織を超えてヘテロジニアス環境のシステム間でシングルサインオンやセキュリティポリシーの統一を行おうとすると、途端に手動の管理が必要になることが多い。ホワイト氏は連携型ID管理について「手動で行っているユーザーのアクセス権限のコントロールを自動化できる」と説明した。

　旧Oblix製品は現状、オラクル製品との相互運用性が確認され、オラクルが販売している。日本でも販売開始を検討している。Oblix製品は、Oracle Identity Managementの機能コンポーネントとして将来的に統合するとみられる。ホワイト氏は「段階的に（統合を）やっていきたい」と述べた。