日立 ID アイデンティティ・マネージャー
概要:
日立 ID アイデンティティ・マネージャーは、多種のシステムにアクセスする、ユーザーのための日々のユーザ管理業務を自動化、簡略化する、一貫したユーザープロビジョニングソリューションです。企業等の組織は、社員や契約社員に安全、かつ効率的に必要なシステムや情報にアクセスできるような環境作りを、日立 ID アイデンティティ・マネージャーに任せることができます。
日立 ID アイデンティティ・マネージャー は、次のビジネスプロセスを実現し、管理システム上のユーザーやその資格を更新します。:
- 自動化: あるシステムから別のシステムに変更をコピーする。
- セルフサービス: 変更要求と許可をユーザーに委任する。
- 統合化: 管理者に複数のシステムを一度に管理できるようにする。
- 委譲: 部門や地域別管理者に限定した権限を与える。
- 実行: 他のシステムに 日立 ID アイデンティティ・マネージャー を介してユーザーを管理する機能を与える。
特徴:
日立IDアイデンティティーマネジャーはエンタープライズユーザープロビジョニングソフトです。この商品はユーザー管理上のコストを下げ、新規または、再任務されたユーザーが直ぐに業務に付けること、そしてアクセスの終結作業をすばやく間違いのないように行います。
ユーザープロフィール変更をレコードシステムから管理システムへの自動伝達、セキュリティー変更依頼のためのセルフサービスワークフロー、総合化、さらに委託化されたユーザー管理によって前記の効果を得えることができます。
- 自動プロビジョニングと自動解除:
日立 ID アイデンティティ・マネージャー は、ひとつ以上のシステム登録簿(通常人事アプリケーション)を監視し、新規採用や退職といった変更を検知します。これを検知したときに他のシステムに対し、新規従業員のためのログインアカウントの生成や、退職社員のアクセスの解除など、必要な変更を加えることができます。
- アイデンティティ同期:
日立 ID アイデンティティ・マネージャー は、異なるソースからのアイデンティティ情報を統合することができます。 (人事、コーポレートディレクトリ、e-mailシステムやその他から、組織のすべてのユーザーに関する主要な情報を持ったマスタープロフィールへ統合します。) さらに更新情報を、そのアイデンティティ属性が一貫性を保つように、統合システムに書き込むことができます。この機能は名前、電話番号、やアドレスなどを一つのシステムから他のシステムに自動的に伝播させるとにに用います。
- セルフサービス更新:
ユーザーは、日立 ID アイデンティティ・マネージャー のウェブユーザーインタフェースにサインインし、自分のプロフィールを変更することができます。これには、自身のコンタクト情報の変更や、アプリケーションや、シェア、フォルダーなどへの新規アクセスの申請などを含みます。
- 委譲管理:
マネージャー、アプリケーション所有者や、データ所有者などのビジネス関係者は、日立 ID アイデンティティ・マネージャー のウェブユーザーインタフェースにサインインし、セキュリティ権限の変更を申請することができます。例えば、マネージャーは、ある従業員のアプリケーションアクセスを要求したり、契約社員のプロフィールの解除を予約したりすることができます。
- アクセス保証:
ビジネス関係者に、定期的にその責任範囲におけるユーザーとセキュリティ権限の審査を要求することができます。彼らは、各ユーザー及びその資格について適当でありそのまま残すか、削除のためのフラグを立てるかにより保証します。アクセス保証は、これ以上必要のないセキュリティ権限を除去するための効果的な手段です。
- 承認ワークフロー:
日立 ID アイデンティティ・マネージャー により処理されたすべての変更申請は、自動プロビジョニングエンジンにより起動されたものか、セルフサービスプロフィール更新、委譲管理モジュールによるものかに関わらず、実行されるまえに承認プロセスに渡されます。組み込みワークフローエンジンは、次の手段でビジネスユーザーから確実に、信頼のおけるフィードバックを得るように設計されています。
- 申請を審査する複数ユーザーへの並行依頼の発行
- M人承認者中のN人による承認
- 自動リマ員だー
- 非応答承認者から他の代行者へのエスカレーション
- 承認責任の委譲
- ポリシー施行:
日立 ID アイデンティティ・マネージャー は、 ユーザーのセキュリティ権限の割り当てに関する各種のポリシー施行に用いることができます。それらには、次があります。
- ロールベースのアクセスコントロール、これは、セキュリティ権限をユーザーに割り当てるロールにグループ化します。
- 権限分離((SOD:Segregation of Duties)、これは、相互に排他的なセキュリティ権限の集合を定義します。
- テンプレートアカウント、これは、新規ユーザーに付与されるものを定義します。
- 新規IDの付与ルール、例えば、ログインID, e-mail アドレス、OUディレクトリの文字列構成等
- リポート:
日立 ID アイデンティティ・マネージャー には、各種の要求に応える豊富な組み込みリポートがあります。例えば:
- 権限Xを持つユーザーは?
- ユーザーYは、何の権限を持っているか?
- 誰がユーザーWの権限Zを承認したか?
- ユーザーAは、何時、権限Bを取得したか?
- ユーザーAの権限Bを誰が申請し、誰が承認したか?
- 所有者の不明なアカウントはどれか(孤立している)?
- アカウントのないユーザーはどれか(プロフィールが空)?
- 最近ログイン活動のあったアカウントは(ないものは休眠)?
- アクティブアカウントを持たないユーザーはどれか(休眠)?
- 自動化コネクターと人による施行:
日立 ID アイデンティティ・マネージャー は、豊富な付属コネクターを用いることにより、既存システムやアプリケーションに統合できます。これにより、共通に使われているシステムやアプリケーションに関してのアクセス権限の自動プロビジョン、更新、ディプロビジョンを自動的に行うことができます。
カスタムアプリケーションや業種別アプリケーションには、付属のフレキシブルコネクターを用いて日立 ID アイデンティティ・マネージャー との統合を図ることができます。また、組み込みの「実行者」ワークフローにより、人の管理者にそうしたシステムのユーザーと権限に関する変更を依頼することもできます。
- ロジカルアクセスとフィジカルアセットの統合管理:
日立 ID アイデンティティ・マネージャー には、在庫トラッキングシステムがあり、ロジカルアクセスと同様、フィジカルアセット(物理的な資産)への申請の管理を行うことができます。例えば、ビルへのアクセスバッジ、ラップトップPC, 電話等を日立 ID アイデンティティ・マネージャー を使って申請し、承認し、配送し、探索したりすることができます。
利点:
日立 ID アイデンティティ・マネージャー は、次の事項によりセキュリティを強化します。:
- ユーザーが組織を去ったときにすべてのシステムやアプリケーションから即座に確実にアクセス権を除去します。
- 孤立アカウントや休眠アカウントを探索し、整理を容易にします。
- ロールやルールを使い、新規や暫定ユーザーに標準のアクセス権をアサインします。
- 権限分離((SOD)に関するポリシーを施行し、すでに侵害しているユーザーを特定します。
- ユーザーの資格変更が常に実行されるまえに確実にしかるべく承認されるようにします。
- 関係者に定期的にユーザーの資格を審査し、適切にそれを確認するか除去するよう依頼します。
- システムやアプリケーションへのユーザーアクセスを管理するために必要な管理アカウントの数と範囲を削減します。
- すべての変更に関してだれが申請し、だれが承認したかを含む、現在と過去のセキュリティ資格に関する監査データへ即時アクセスを可能にします。
日立 ID アイデンティティ・マネージャー は、ユーザーとセキュリティ権限の管理コストの削減に寄与します。:
- 人事システムからのデータにより、自動プロビジョニングと自動解除が行われ、繰り返し行われる、マニュアルのユーザー設定や、削除をなくすことができます。
- セルフサービスは、ユーザー名称、電話番号やアドレスなどの簡単な更新についてITの関与を削減することができます。
- 委譲管理により、新規アプリケーションやフォルダーアクセスなどの共通の申請の発行や承認の権限を、ビジネスユーザーに移管することができます。
- アイデンティティ同期とは、ユーザー情報の修正を信頼できるシステム上で一度だけ行い、他のアプリケーションにはそれを自動的に伝播することを言います。
- 組み込みリポートは、「誰がこの日にこのシステムにアクセスしたか?」とか、「誰がこのユーザーにこの権限を承認したか?」といった監査上の疑問への回答を容易にします。