ソニー生命のWebポータルを支えるID管理基盤、J-SOX対応も視野に：今、見直されるアイデンティティ管理（2/3 ページ）

[井上猛雄，ITmedia]

スケジュールによるディレクトリ同期で大幅な組織改変にも対応

　uPシステムでは、ID管理とSSOの関係は密接不可分なものとなっており、またディレクトリサービスの安定稼働も重要な要件となっていた。そのため、uPシステムを構築する際の基盤選定では「連携性を考慮して、最終的にノベル製品で統一することにした」（斉藤氏）という。そして、ID管理基盤には「eDirectory」および「DirXML」（現Nsure Identity Manager）、SSO認証基盤には「iChain」が選定された。またSIerは、ノベル製品を使ったシステム構築で実績と経験のあるアクシオが担当することになった。

　eDirectoryは、ユーザー情報をはじめ、拠点／会社／グループ／部署／役職／職種といった組織データの属性情報などを階層構造のディレクトリに格納でき、ユーザー認証によるアクセス制御の設定が容易に行えるID管理システムだ。また、DirXMLと組み合わせて、ほかのディレクトリサービスとの連携が可能になる。これにより、複数のディレクトリ同士が自動的に同期するメタディレクトリを構成する。

　ID管理に関する具体的なシステム構成は図1のとおり。アカウントの連携先は、ポータル、社内アドレス帳、メール、ワークフロー、ドキュメント管理、Windows認証、SSO、ホストなど、合計10個の「サブシステム」となっている。これらを仲介する専用ドライバの開発など、詳細の案件についてはSIerのアクシオ側で対応している。

図1●uPのシステム構成図。メタディレクトリを構成するeDirectory側（マスター側）のディレクトリに反映された情報は、DirXMLと専用ドライバを介して、各サブシステムに即時反映される。さらにスケジュールによってユーザー情報が同期できるように、事前登録データのディレクトリをオブジェクトとして生成する仕組みも用意した

　「DirXMLとサブシステムを仲介するドライバは、標準でサポートされるもの以外に、お客様が必要とするシステムのカスタム要件に合わせて別途開発する必要がある。特にこの部分に開発工数が掛かった」（アクシオ 技術部ソリューションG プロジェクトマネージャの三浦和喜氏）

　例えば本件の場合は、LDAPなどによる標準的なプロトコルベースでの連携以外に、ドキュメント管理やメールなどのサブシステムにおいてXMLやCSVによるファイルベース（テキスト形式）での連携が必要になっている。

　また図1のように、マスター側のeDirectoryのほかに、さらにもう1つ別のeDirectoryが用意されている。これは、事前登録ユーザー用として利用されるオブジェクトだ。数週間後に一括してデータを反映させたい場合などに利用される。「定期的な人事異動などによる大きな変更では、あらかじめ更新データをファイルとして用意しておかなければ作業が追いつかない」（斉藤氏）という理由によるものだ。事前データ登録の仕組みについて、三浦氏は次のように説明する。

　「マスター側のディレクトリではカレント情報しか対応できないため（即時更新のみ対応）、事前に登録したい情報をどのように受け取るかという点が課題となった。そのため、更新する事前登録データのディレクトリをオブジェクトとして生成しておき、更新したいタイミングに合わせて、スケジューラでマスター側の本ディレクトリに反映させるようにした。この辺りの仕組み作りにはとても苦労した」

　一方、SSOによる認証では、Webポータルへの初期ログイン画面からユーザーIDとパスワードを入力し、各アプリケーションの認証に遷移することになる。アプリケーション間の認証の受け渡しも、iChainが代行する仕組みだ。したがって、ユーザーは1度ログインしてしまえば、uPのポータルでリンクされている各メニューをクリックするだけで、認証を意識せずに各アプリケーションを利用できるようになる。

初期ログイン画面。ユーザーIDとパスワードを入力すると、iChainのSSO機能によって初期画面から各アプリケーションをシームレスに利用することができる

　ただし、パスワードを変更した場合は、LDAP経由で各サブシステムに即時連携されるため、前述のメールやドキュメント管理などのLDAP未対応システムに関しては、パスワード変更画面から直接APIを呼び出して変更を加えるよう工夫を凝らしている。