ID・アクセス管理・Evidian Identity Governance & Administration

企業のセキュリティ情勢

企業の拡張、グローバル化、合併等は企業の情報システム複雑化にますます拍車をかけております。IT リソースの増加、従業員の流動化 （入社、異動、退職） が原因でユーザー アクセス権の管理はより複雑化しました。

「 会社で誰が何にアクセスできるか?」、「退職したユーザーのアカウント全てが本当に無効になっているか？」、「部署を異動したユーザーが必要とするアクセス権をきちんと割り当てられているか？」、「新たな情報システムのアクセス規程、責務、トレーサビリティ、監査に関連する規程をいかに現在の情報システムに適応させるか？」 等は企業のセキュリティまたはアクセス制御の大きな課題です。

情報はかつてないほど重要な価値を持っており、組織は、機密性の保持とアクセス制御の確保という 2 つの重要課題を、会社の柔軟性を損なわずに両立させなければなりません。これまでは （多くの企業は今でも）、アクセスを割り当てるための規則が電子化されていなかったため、その管理（労力）が大きな負担になっていました。

オール・イン・ワン ID 管理ソリューション

Evidian Identity Governance & Administration はオール・イン・ワン  ID 管理ソリューションとして、デジタル アイデンティティ管理機能、（拡張 RBAC モデルによる） ロール ベースのアクセス管理機能、承認ワークフロー機能、ユーザー向けのセルフ サービス機能、またはアカウント情報のプロビジョニング機能を提供しております。

Evidian Identity Governance & Administration の ID 管理ソリューションは以下のようなアプリケーションへのアクセス制御を補助する役割を持ちます。

• ユーザーが必要な情報によりすばやくアクセスできるようになります。
• IT 管理者が承認業務の管理から解放され、業務マネージャーに承認業務の権限が与えられます。
• 別サイトや別組織にあるデジタルユーザー ID を統合化、組織化します。
• 中央ポリシー下のアクセス権を自動、または手動で割り当ててシステムをスリム化します。
• アクセスポリシーの履行やアプリケーションの継続的な監視を自動化します。
• ユーザーアクセス権の監査を円滑化します。

オールインワン ソリューション

Evidian Identity Governance & Administration はオール・イン・ワン  ID 管理ソリューションとして、デジタル アイデンティティ管理機能、（拡張 RBAC モデルによる） ロール ベースのアクセス管理機能、承認ワークフロー機能、ユーザー向けのセルフ サービス機能、またはアカウント情報のプロビジョニング機能を提供しております。

アイデンティティとアクセスのライフサイクル管理

Evidian Identity Governance & Administration では、新しい社員が入社してから、部署を移動して、会社を退職するまでユーザーの ID とアクセスをすべて管理できます。

Evidian Identity Governance & Administration はデータ ベース ソースの変更を検出し、入社、異動、または退職等によるアイデンティティ管理の為のワークフロー プロセスを自動的に開始します。

このワークフロー プロセスでは、ユーザーの業務マネージャーにメールで承認リクエスト送信され、マネージャーは Request Manager のウェブ ページ経由でリクエストを認可また拒否できます。

リクエストを認可した上で、Policy Manager はロールに基づいてポリシーを提供し、職務分掌に違反していないかどうかを確認し、対象とするアプリケーションのアカウントを作成／修正／無効／削除します。

このロールはユーザーのアイデンティティ情報 （職務や部署など） に依存します。Policy Manager ではロール、または  （組織により自動的に割り当てる） ビジネス ルールを構成できます。

すべてのアクセス権限とアクティビティが集中的に監査可能となります。

組織構造に適応し、共に発展する柔軟性

Evidian Identity Governance & Administration は、簡単に実装できる標準の製品です。

• 既存のアプリケーションを変更する必要はありません。
• インフラストラクチャとの互換性が確保されています。
• 現在のユーザー データベースを変更する必要はありません。

Evidian Identity Governance & Administration は、組織構造に適応します。

• 業務マネージャーが理解できるロールとしてクライアント アプリケーションへのアクセスをモデル化できます。
• アクセス ポリシーのインベントリーと分析が提供されるため、リコンシレイション （「調整」） のプロセスによってアクセス ポリシーを実装できます。
• ワークフロー プロセスによって承認サイクルを自動化し、ポリシーが変更された場合も自動的に調整できます。

Evidian Identity Governance & Administration は、企業のすべての活動と発展をサポートします。

• "拡大" 企業の統合管理 （下請業者、顧客など）。
• 合併／買収時のインストールの拡張。

アイデンティティ マネジメント ソリューション ・ 統合されたアイデンティティ管理ソリューション （パンフレット）

今日の異機種混在環境に対して、統合されたアイデンティティ管理機能を提供する Evidian Identity Governance & Administration ( 旧製品名 : Identity & Access Manager ) には、人事データベースや派遣社員データベースなど、複数ソースの情報を統合し信頼できるアイデンティティ データベースを構築する ID 同期モジュール ID Synchronization 、ロールベースのアクセス管理などのセキュリティ管理モジュール Policy Manager 、ユーザー自身によるアクセス要求を可能とする承認ワークフロー モジュール Request Manager 、および、対象システム／アプリケーション上のユーザー アカウント情報をアップデートするユーザー プロビジョニング モジュール Builtin Connectors が含まれます。

ベースとオプション機能

ビジネス ニーズと利用シナリオに応じて、適切なオプションを選択できます。

Evidian Identity Governance & Administration ソリューション （ IGA ） はベースとして以下のモジュールを含んでいます。

• Policy Manager
• Request Manager
• ID Synchronization
• Builtin Connectors

オプションとして複雑なワークフローであっても、自由にカスタマイズ可能な Workflow Editor などがあります。

Policy Manager モジュール機能: ロール ベースのアクセス権限管理

• 企業構造を反映したロールと組織の定義
• テクノロジーに依存しない明確なビジネス指向に基づく権限として、アプリケーションのアカウント、アクセス権限と管理者権限を設定
• ビジネス指向に基づく権限をロール、組織、または直接ユーザーに関連付け
• ユーザーへロールを自動的に関連付けるビジネス ルールを作成
• 業務リスクを特定し、容易に職務の分離を実現
• リコンシレイション エンジンにより、組織のポリシーとユーザーへ設定された権限のギャップを評価し、ビジネス ルールに基づいたロールとアクセス ポリシーを適切に設定
• すべてのアクセス権限とアクティビティを集中的に監査

Request Manager モジュール機能: プロセス管理とセルフサービス

•  以下のアクションに対しセルフ サービスを可能とするシンプルな Web インターフェースを提供
  • ユーザー管理
  • ホワイト ページ、イエロー ページ
  • アクセス権限の要求管理
  • その他の追加カスタムアクション
• パーソナライズ可能な承認ワークフロー
• Eメール ベースのエージェントレスなユーザー プロビジョニングを実現

ID Synchronization: デジタル アイデンティティ同期

• 様々なデータ ソースをサポート （LDAP ディレクトリ、SQL データベース、Web サービス、CSV、XML）
• 複数のアイデンティティ ソース からデジタル アイデンティティの統合ビューを作成
• ４つの基本的なルールを使用した同期ストリーム （結合、属性マッピング、オブジェクト作成、オブジェクト削除）
• 統合／追加される組織、子会社等のアイデンティティソースを容易に統合可能

IGA は、アイデンティティ ソースの変更を検出し、入社、異動、または退職等によるアイデンティティ管理の為のワークフローを自動的に開始します。

Builtin Connectors: プロビジョニング

様々なアプリケーションにプロビジョニング／デプロビジョニングが可能です。また IGA で管理されている権限情報と実際の IT リソース上に設定されている権限情報を照合し、権限相違が生じている場合には、手動、または自動処理で是正が可能です。

• LDAP コネクター： Microsoft Active Directory、Microsoft Exchange、Novell eDirectory、Oracle Internet Directory、Fedora Directory Server、389 Directory Server、OpenLDAP、Sun ONE Directory Server、IBM Domino Server、IBM Directory Server、NEC Directory Server、Siemens DirX
• SQL コネクター： Microsoft SQL Server、Oracle、MySQL、PostgreSQL、IBM DB2、Informix、Sybase、その他 （ODBC ドライバが提供するデータベース）

• Unix ／ Linux コネクター： IBM AIX、Linux Red Hat、Sun Solaris
• Lotus Notes コネクター： Lotus Notes ／ Domino
• SAP コネクター： SAP R／3、SAP ECC 6.0
• CSV コネクター： CSV ファイル
• RACF コネクター： RACF z／OS 1.6、RACF z／OS 1.9
• TMF615 コネクター： NetAct OSS5.2、NetAct OSS5.3
• GCOS7  コネクター： GCOS7
• ジェネリック コネクター： カスタマイズ可能なコネクター

User Access Services との組み合わせ

Evidian User Access （Evidian Authentication Manager、Evidian Enterprise SSO、Evidian Web Access Manager） との組み合わせで、強力なエンド ツー エンド セキュリティを実施することができます。

• Evidian Enterprise SSO ／ Evidian Web Access Manager へアカウント情報を即時にプロビジョニング
• 強化されたパスワードは安全で、エンド ユーザーによる認識は不要

問題

近年の技術の発展は、企業がその活動を拡大するための新たな可能性をもたらしました。インターネットとクラウド コンピューティングの急速な拡大と、情報へのアクセス方法の多様化により、物理的に "建物内" に区切られる従来の技術環境の境界を越えた活動やプロセスが実現可能になっています。たとえば、国際的な金融機関、病院グループ、または流通企業が、支店、さまざまな営業所、および構内から安全にアクセスできる、集中管理された共有サービスを提供することができます。しかし、提供するサービスへのアクセスの安全性、利便性、および追跡可能性を、管理の負担を増やさずに確保する必要があります。そのため、ローカル ユーザーの管理を中間マネージャーに委譲したり、エンド ユーザーが （要求が十分な根拠に基づいていることを確認するために必要な検証プロセスをトリガーして） アクセス要求を行えるようにしたりできる必要があります。

ソリューション

Evidian IAM Suite （特に Identity Governance & Administration と Web Access Manager） を使用すると、集中管理された Web サービスをセットアップする一方で、ユーザー管理を直属の上司に委譲して、簡単かつ安全なアクセスを確保することができます。ある専門機関では、5,000 社の会員企業とその 100,000 人の従業員に 1 つのポータルでサービスを公開できました。各会員企業のマネージャーに認可が委譲され、委譲された認可に従ってアクセス制御が確保されます。