統合ディレクトリで3カ月に1度の人事異動に対応――リクルートエージェント：今、見直されるアイデンティティ管理（2/3 ページ）

[井上猛雄，ITmedia]

組織単位のポリシーによるアカウント管理

　現在、同社が構築に取り組んでいるシステム基盤に目を向けると、前述のように従来の環境では従業員・派遣社員の情報が各部門ごとに管理されており、人事マスター情報の管理も従業員と派遣社員は別のシステムで行われていた。まず、散在するこれらの情報を横断的に集約するために、「より所」となる統合ディレクトリ管理システムを構築する必要があった。そこで、統合ディレクトリ管理ツールとして選定したのが、京セラコミュニケーションシステム（KCCS）の「GreenOffice Directory」（以下、GOD）である。

　統合ディレクトリ管理製品を選定するにあたり、「海外製品の中では、アカウントを管理する際に一定の組織に入ることによって、決められた権限を付与するというコンセプトの製品があまり見当たらなかった」と石津氏は語る。

　同社では3カ月に1回、定期的な人事異動があり、組織改編が頻繁に行われる。そのため、「ある組織に個人が配属されたら、その組織（オブジェクト）にひも付けられた権限を自動で付与する仕組みにしたかった。つまりロールベースのほかに、ルールベースのポリシーで権限を設定できる点が選定のポイントとなった。GODでは、それが可能だった」と選定の決め手について、岡元正久氏（事業戦略支援ユニット 情報システム部 運用サービスグループ）は説明を加える。

事業戦略支援ユニット情報システム部運用サービスグループの岡元正久氏

　さらに、組織変更や人事異動に先立ち、データの確認やシミュレーションが可能な事前準備環境機能をGODが備えていた点も大きなポイントだった。「事前に組織の配置を視覚化し、その適用を確認できれば、何かミスがあったとしても未然に防ぐことができる」（石津氏）。

　例えば、プライマリとセカンダリのシステムを立て、セカンダリ側で確認をしてからプライマリ側にデータを反映させる方法もあるが、GODはこれを単体でまかなえる。実稼働状態のシミュレート結果を検証した後、本番システムに適用することが可能だ。

GreenOffice Directoryのログイン画面。WebからログインIDとパスワードを入力する

GreenOffice Directoryログイン後の画面メニュー。「準備環境」「本番環境」などの項目が並ぶ

　さらにもう1つ、GOD導入に踏み切った理由があった。それは、GODがもともとKCCS社内で使うために開発された製品であるという点。「アメーバ経営」で有名な京セラグループの実運用のノウハウが、このGODに凝縮されている点は大きかったという。

　次に、ディレクトリと連携先のサブシステムについてみてみよう（図1）。GODの配下には2つのサブディレクトリがある。1つは、Windowsシステムのログイン時に利用されるActive Directory（以下、AD）だ。これは、今回のID管理基盤を導入する以前から構築されていたもので、すでに2006年3月にはGODとの連携が完了している。さらに今回、ノベルのeDirectoryでディレクトリサービスを構築し、LDAP対応の各サブシステムと連携させることになった。

図1●リクルートエージェントの統合ID管理システムの構成。人事マスター情報は、CSVファイルでのみ一方通行でGOD側へ出力できる仕様だ。GODの配下にはAD、および今回新たに構築したNovell eDirectory、2つのディレクトリサービスがあり、LDAP対応のサブシステムの連携が行われる。基幹系システムの連携も予定

　「当初、オープンソースのOpenLDAPも候補の1つとして挙がったが、更新パフォーマンスやサポート面で、Novell eDirectoryを導入することになった」（GSX宮川氏）。これについては現在、図のようなスケジュール管理／設備予約システム、社内コミュニケーション／文書管理システム、情報系システム、社内ナレッジ共有システム、進捗管理システム、査定システムなど、10基以上のさまざまなサブシステムとの接続を検証中である。今期中には、すべてのシステムの連携が完了する予定だという。

　また、このようなメタディレクトリを構築する一方で、同社ではPC連動型入退管理システムを独自に構築しており、ICカード認証システムが採用されていた。従業員が入室すると初めてWindowsドメインへのログオンが可能になるシステムだが、採用した製品の仕様でパスワードが暗号化される上、そのアルゴリズムが公開されていないため、同時にGODとのパスワード連携が困難になってしまったという。

　したがって、最終的にすべての統合が完了した時点では、ADのパスワードのみ別管理となる予定だという。ID管理基盤を構築する上で、場合によってはセキュリティ製品の導入が運用に影響を及ぼすこともあり、参考にすべき点であろう。