ID ライフサイクル管理とは

Identity Governance は、組織が生産性 ( 従業員が組織に加わったときなどに、必要なリソースにどれだけ早くアクセスできるようになるか ) とセキュリティ ( その従業員の雇用状態の変更などにより、そのアクセス権を時間の経過と共にどのように変更すべきか) の間のバランスをとるために役立ちます。

ID ライフサイクル管理は Identity Governance の基盤です。効果的なガバナンスを大規模に行うためには、アプリケーションの ID ライフサイクル管理インフラストラクチャの最新化が必要です。 ID ライフサイクル管理が目指すのは、デジタル ID のライフサイクル プロセス全体の自動化と管理です。

クラウド プロビジョニングの図

デジタル ID とは

デジタル ID は、1 つ以上のコンピューティング リソース (オペレーティング システムやアプリケーションなど) によって使用されるエンティティに関する情報です。 これらのエンティティは、人や組織、アプリケーション、デバイスを表す場合があります。 この ID は通常、それに関連付けられている属性 (名前や識別子など) とプロパティ (アクセス管理に使用されるロールなど) によって記述されます。 これらの属性は、システムで、だれが何にアクセスできるかや、だれがそのリソースの使用を許可されているかなどの判定を行うときに役立ちます。

デジタル ID のライフサイクル管理

デジタル ID の管理は複雑な作業です。デジタルな表現に、対応する実世界の物事 (組織の従業員としての人と組織との関係など) を関連付けるとなればなおさらです。 小規模な組織では、ID を必要とする個人のデジタル表現を維持することは、手動のプロセスになる可能性があります。 たとえば、だれかが採用されたり、請負業者が到着したりしたときは、IT スペシャリストがそのアカウントをディレクトリ内に作成し、必要なアクセス権を割り当てることができます。 一方、中規模および大規模な組織では、自動化を使用することで、スケーリングの効果を高め、ID を正確に管理することができます。

組織で ID ライフサイクル管理を確立するためのプロセスでは、通常、次のステップに従います。

  1. 記録システム (組織が信頼できるとして扱うデータ ソース) が既に存在するかどうかを判定します。 たとえば、組織で人事システムとして Workday を利用している場合は、それが、従業員とそのプロパティ (従業員の名前や部署など) の最新リストを確認する際に信頼できるシステムになります。 また、従業員のメール アドレスであれば、Exchange Online などのメール システムが信頼できるシステムと言えるでしょう。

  2. それらの記録システムを、アプリケーションによって使用されるディレクトリやデータベース (1 つまたは複数) に結び付けます。また、ディレクトリと記録システムとの間に不整合があれば解決します。 たとえば、あるディレクトリに、必要なくなった古いデータ (以前の従業員のアカウントなど) が存在する可能性があります。

  3. 記録システムが存在しない場合に、どのようなプロセスを使用すれば信頼できる情報を提供できるかを確認します。 たとえば、ビジターのデジタル ID が存在するが、組織にはビジターのためのデータベースがない場合は、ビジターのデジタル ID がいつ必要なくなるかを判定するための代わりの方法を見つけることが必要になる可能性があります。

  4. 更新が必要なそれぞれのディレクトリまたはデータベースに対し、記録システムや他のプロセスから変更がレプリケートされるように確認します。

従業員や組織と関係がある個人を表現するための ID ライフサイクル管理

従業員や、組織との関係を持つその他の個人 (請負業者や学生など) のための ID ライフサイクル管理を計画する場合、多くの組織は "入社、異動、退社" を次のプロセスとしてモデル化します。

  • 入社 - 個人がアクセス権を必要とするスコープに入るとき、これらのアプリケーションには ID が必要になるため、デジタル ID がまだ使用できない場合は新しい ID の作成が必要になる可能性があります。
  • 異動 - 個人が境界を越えて移動するとき、新たなアクセス承認をデジタル ID に追加したり、そこから削除したりする必要があります。
  • 退社 - 個人がアクセス権を必要とするスコープを離れるときは、アクセス権の削除が必要になる可能性があります。その後、監査またはフォレンジックス以外の目的でアプリケーションに ID が必要になることはなくなる可能性があります。

たとえば、組織に新しい従業員が入社し、その従業員は過去にその組織に所属したことのないとします。その場合、その従業員には、Azure AD 内のユーザー アカウントとして表現された新しいデジタル ID が必要になります。 このアカウントの作成が "入社" プロセスに該当します。これは、新しい従業員の始業日時を指定できる記録システム (Workday など) があれば、自動化することができます。 その後、組織内で、ある従業員が営業からマーケティングに異動することになったとしましょう。これは "異動" プロセスに該当します。 この異動では、営業組織で持っていた (必要なくなった) アクセス権の削除と、マーケティング組織内の (新しく必要になった) アクセス権の付与が必要になります。

ゲストのための ID ライフサイクル管理

同様のプロセスは、ゲストなど他のユーザーにも必要になります。 Azure AD エンタイトルメント管理では、組織のリソースへのアクセス権を必要とする組織外のユーザーと共同作業を行うために必要なライフサイクル管理が、Azure AD 企業間 (B2B) を利用して実現されます。 Azure AD B2B では、外部ユーザーはユーザー自身のホーム ディレクトリで認証を行いますが、こちらのディレクトリにユーザーの表現が存在します。 こちらのディレクトリ内のその表現により、ユーザーにこちらのリソースへのアクセスを割り当てることができます。 組織に属していない個人は、エンタイトルメント管理を通じてアクセス権をリクエストし、必要に応じて自分のデジタル ID を作成することができます。 ユーザーがアクセス権を失ったとき、それらのデジタル ID は自動的に削除されます。

Azure AD による ID ライフサイクル管理の自動化

Azure AD では現在これらの機能を提供しています。

次のステップ