第 2 章: プラットフォーム選択のアプローチ
公開日: 2004年9月7日
ID およびアクセス管理のためのプラットフォームを確立する場合には、組織の IT 機能に大きな影響を与えるいくつかの重要な決定を行う必要があります。組織で最初に決定しなければならないのは、単一ベンダ ソリューションか、統合可能な複数の "最善な製品の組み合わせ" による 1 つの完全なソリューションのどちらかを選択することです。
単一ベンダ ソリューションには、次の利点があります。
統合が容易
包括的な単一ソース サポート
値引き価格またはパッケージ ライセンスで購入可能
ベストオブブリード ソリューションには、次の利点があります (ただし、場合によっては利点にならない場合もあります)。
要件に応じて個々の製品を選択可能
必要な製品だけライセンスを受け展開可能
多くの組織はどちらのモデルの利点も活用しています。つまり、インフラストラクチャの重要な部分には単一ベンダ (通常はプラットフォーム ベンダ) を選択し、さまざまなベンダが提供するその他の製品でこの製品ベースラインを補強し、特定の機能上の欠陥を埋めています。組織がこの方法を選択した場合、プラットフォーム ベンダは、自社の提供するテクノロジが、さまざまなテクノロジ分野において他の多くのベンダと相互運用できることを証明することが重要です。
この章では、次のテクノロジ分野で単一プラットフォームまたはベストオブブリード製品を選択した場合に、それぞれ必要な選択事項を説明します。
ディレクトリ サービス
アクセス管理サービス
信頼メカニズム
ID ライフサイクル管理ツール
アプリケーション プラットフォーム
ディレクトリ サービスを選択する
ID およびアクセス管理プラットフォームを正しく運用するためには、アプリケーションおよび ID 情報を保管するための適切な場所が必要です。ユーザー情報を保管する方法は他にもありますが、業界では、この機能を実現するディレクトリ テクノロジの標準化が急速に進められています。現在最も普及しているディレクトリは、次のような機能の共通セットをサポートしています。
ITU (International Telecommunication Union) X.500 標準に基づいた、LDAP (Lightweight Directory Access Protocol) または DAP (Directory Access Protocol) あるいはこれら両方のプロトコルのサポート
X.520 標準に基づいて標準化された属性型
X.521 標準に基づいて標準化されたオブジェクト クラス
ディレクトリ オブジェクトの保管メカニズムやディレクトリのアクセス メカニズムはほとんどのディレクトリ間で比較的一貫しているため、ディレクトリ サービス製品は、次のような機能で差別化を図っています。
検索パフォーマンス
垂直方向の拡張 (スケール アップ) に対応した保管およびマルチプロセッサの効率性
水平方向の拡張 (スケール アウト) に対応したデータ複製のパフォーマンス
堅牢なフェールオーバー機能と復元機能
さまざまな種類のセキュリティ サービスとの統合
さまざまな種類のアプリケーションおよびシステム管理サービスとの統合
公開テクノロジ
オブジェクトおよび属性レベルでの正確なアクセス制御
ライセンス
サポート
ディレクトリ要件は、ディレクトリに実行が要求される役割によっても異なる場合があります。必要な機能は、それぞれの役割によって異なる場合があります。たとえば、多くの組織は次の役割を実行するためにディレクトリ サービスを展開する必要があります。
イントラネット (エンタープライズ) ディレクトリ
エクストラネット (境界) ディレクトリ
アプリケーション ディレクトリ
以降のセクションでは、これらの役割のディレクトリに関する考慮事項について説明します。
イントラネット ディレクトリ
ほとんどの組織は、現在自社のイントラネットで 1 つ以上のディレクトリ サービスを使用しています。イントラネット ディレクトリ サービスは、次の機能を提供する必要があります。
ユーザー アカウント用の中央リポジトリ
認証に使用される資格情報のセキュリティ保護された集中ストレージ
認証に使用される属性情報の集中ストレージ
ネットワーク リソース検索のための情報
ユーザーとグループ検索のための情報
これらの機能に加え、イントラネット ディレクトリ サービスがイントラネットで頻繁に見られるセキュリティ サービスと緊密に統合されていれば、非常に有益です。
エクストラネット ディレクトリ
ほとんどの組織では、エクストラネット ディレクトリの機能上の要件は、イントラネット ディレクトリの要件と同じです。パートナー、顧客、および従業員が使用するアプリケーションをサポートする必要があるディレクトリを選択する場合は、次の追加要件があります。
何百万ものユーザーへの拡張が可能である。
費用対効果が高いライセンスを使用する。
インターネット互換の認証メカニズムのサポートが必要である。
区画化された複数のコミュニティまたは組織 (パートナーや顧客など) を単一ディレクトリ内に存在させることが可能である。
アプリケーション ディレクトリ
アプリケーション ディレクトリは、ディレクトリ サービス テクノロジがシナリオの要件を満たしているが、ディレクトリへのデータの保管が多くのユーザーまたはアプリケーションにとっては有効ではない組織に展開されます。通常、アプリケーション ディレクトリには組織レベルで使用されるディレクトリのサブセットがあり、管理性および運用性に関する追加の要件もあります。アプリケーション ディレクトリは、次の機能を提供する必要があります。
アプリケーション固有の情報用のストレージ
容易なセットアップおよび展開
シンプルな管理モデル
合理的な拡張機能およびフェールオーバー機能
低コストのライセンス
アクセス管理サービスを選択する
アクセス管理サービスを利用すると、組織のアプリケーションは、ユーザーを安全な方法で認証し、堅牢な認証を実行することができます。アクセス管理の選択を検討している場合は、ディレクトリ サービス製品と適切に統合できるテクノロジを選択します。
認証方法を選択する
認証メカニズムの要件および考慮事項は、シナリオによって大きく異なります。認証の実行方法を決定する一般的な要件は次のとおりです。
組織がユーザーに課すことができる要件
ユーザーをサポートするために確立および維持できるインフラストラクチャ
ユーザーにシングル サイン オン (SSO) 認証を受けさせるべきかどうか
ユーザーがアクセスする必要があるアプリケーションの種類
シナリオによって違いはありますが、イントラネットおよびエクストラネットの認証では、単一の方法でユーザーと適用可能な認証メカニズムを分類します。
イントラネット認証
イントラネット認証には、選択した認証メカニズムに影響する次の特性があります。
コンピュータ ユーザー (従業員) のネットワークの使用方法を管理する高度なレベルの制御 (ポリシーを使用)
ネットワーク環境およびサービスの可用性の完全な制御
ユーザー ワークステーションの構成の制御
複数のアプリケーション タイプ (クライアント/サーバー、Web ベースまたは Microsoft® Windows® Forms ベースなど)
これらの特性により、SSO 認証を提供する一方で高度なレベルのセキュリティを提供するイントラネットの認証メカニズムを選択することができます。ただし、これには、高度なインフラストラクチャ、構成、および特定のユーザーの動作の組み合わせが必要です。前述の特性にふさわしい認証テクノロジには、たとえば次のものがあります。
Kerberos Version 5 認証プロトコル
スマート カードの X.509 デジタル証明書
RSA SecurID などのハードウェア トークン
これらのテクノロジの詳細については、このシリーズの「イントラネット アクセス管理」文書を参照してください。
エクストラネット認証
VPN テクノロジを使用してインターネットでエクストラネット リソースにアクセスする従業員 (およびまれにパートナー) が存在するという例外は除き、Web ベースのエクストラネット アクセスの一連の特性は、以下の点がイントラネットと完全に異なります。
(ポリシーを使用した) 低レベルの制御で、コンピュータ ユーザー (顧客、パートナー) によるネットワークの使用方法を管理する。
境界領域のネットワークを越えたネットワーク環境およびサービスの可用性については、ほとんどまたは全く制御されない。
ユーザー ワークステーションの構成は制御されない。
アクセスには、主に Web ベースのアプリケーションを必要とする。
これらの特性により、エクストラネットの場合には、非現実的な要件をユーザーに課すことのない適切なレベルのセキュリティを提供する認証メカニズムを選択する必要があります。前述の特性にふさわしい認証テクノロジには、たとえば次のものがあります。
フォーム ベースの認証
従業員用の X.509 デジタル証明書
顧客およびパートナー用の Microsoft Passport サービス
エクストラネット環境には非常に明示的な制限がありますが、エクストラネット ユーザーは、イントラネット ユーザーと同じように複数のアプリケーションで SSO 認証を受けるものと考えています。さらに、多くの組織では、異なるプラットフォームで実行されるさまざまなアプリケーション間で SSO ユーザー認証を実施する必要があります。強力なソフトウェア ベンダ (ISV) 市場は、異種プラットフォーム間での Web SSO の提供に関するこの問題を解決できるほど進んでおり、多くのベンダから適切なソリューションが多数提供されています。
これらのテクノロジの詳細については、このシリーズの「エクストラネット アクセス管理」文書を参照してください。
承認を実装する
ほとんどのプラットフォームは、ファイルやプリンタなどの静的オブジェクトにアクセス許可を与えるために、何らかの形態のアクセス制御リスト (ACL) をサポートしています。これらのオブジェクトへのアクセス権は、このオブジェクトに対するアクセスが明示的に許可されたユーザーまたはグループのメンバーになることで付与されます。
また、多くの組織は、何らかの形態のロール ベースのアクセス制御 (RBAC) を使用するかどうかを検討しています。RBAC はより直感的であるため、管理がしやすく、柔軟性に優れています。
RBAC メカニズムでは、承認ポリシーを定義するビジネス ルールを実装できる必要があります。たとえば、RBAC メカニズムは次の種類のビジネス ルールを適用できる必要があります。
"銀行の出納係" (bank teller) だけが、"午前 9 時~午後 4 時" の間に "口座預金" を処理できます。
組織は、静的オブジェクトに対する効率的な ACL ベースのアクセス制御だけでなく、直感的に管理でき、複雑なビジネス ルールをアクセス ポリシーとして表現できる堅牢で柔軟な RBAC メカニズムを提供するプラットフォームを選択する必要があります。
信頼メカニズムを実装する
ここまで説明したすべてのテクノロジの中でも、信頼の実装は、おそらく様々なプラットフォームを差別化する最も重要なテクノロジ分野です。最上位レベルの信頼とは、あるコンピュータが、ユーザーの ID をアサートする際に別のコンピュータまたはコンピュータ グループに対して置く信用です。信頼メカニズムの違いは、多くの場合コンピュータとユーザーが "信頼の輪" の一部となる方法にあります。
たとえば、ホスト ベースのシステムは、本質的に、自律的であり包含的でもあります。複数のメインフレームを持つ組織は少数ですが、そのような組織のコンピュータは、パスワードを明示的に共有しない限り相互に信頼する可能性が低くなります。
UNIX および Linux オペレーティング システムは通常スタンドアロン システム ("信頼の輪" のメンバーではない) であるか、ネットワーク情報サービス (NIS) または NIS+ グループの一部です。また、UNIX と Linux ワークステーションは、認証および承認に LDAP を使用するように構成できます。この場合、同じディレクトリ インスタンスを使用するように設定したワークステーションはすべて、この信頼の輪の一部になります。
効率的な ID およびアクセス管理を有効にするうえで真に有用なツールとなるために、プラットフォームは、組織全体だけでなく、組織間でも拡張できる信頼メカニズムを提供できることが必要です。信頼の輪を確立することで、階層型グループに編成して信頼関係を適切なレベルで簡単に管理することを可能にする基本コンポーネントが形成されます。
ID ライフサイクル管理ツールを選択する
ID ライフサイクル管理ツールを使用すると、ID に関連する次の基本タスクを管理できます。
ユーザー管理
資格情報管理
権限管理
すべてのプラットフォームには、管理者がこれらの基本タスクを実行する際に使用するツールとインターフェイスが付属していますが、これは強力な ISV 市場が、ユーザーにとって使いやすいクロスプラットフォームの管理機能を提供するために開発した別の領域です。多くの場合、これらのツールは Web ベースであり、"パートナー委任管理" (パートナー組織がユーザー管理の責務を負う) などのエクストラネット ID 管理シナリオに非常に適しています。
ここで説明するイントラネット シナリオ向けに設計されたプラットフォーム付属のツールが組織の要件を満たさない場合は、組織のシナリオに対してベストオブブリード ID 管理ツールの使用を検討する必要があります。
ID 統合を実装する
ID 統合ツールは、独立した、高度で複雑な製品であることがよくあります。これらのツールは、確立された組織内の多くの既存 ID ストア間で、デジタル ID (属性) を説明する情報を統合および同期できます。これらの製品の一部は、"メタディレクトリ製品" とも呼ばれます。
ID 統合製品を評価する場合に考慮する機能は次のとおりです。
接続先の ID ストアが何種類あるか。
各 "コネクタ" は、接続先のシステムにフットプリント (ユーザー アカウントまたは追加のテーブル) が必要かどうか。
ID ストア間の属性フローを管理するルールはどの程度堅牢であるか。
製品に付属のルールを拡張するための開発環境とはどのようなものか。
ストア間でユーザー パスワードを同期または伝達できるかどうか。
状態ベース (オブジェクトの現在の状態に基づく) とイベント ベース (接続先の ID ストア内の変更に基づく) の両方の処理をサポートするかどうか。
組織で選択したプラットフォーム ディレクトリ サービスと適切に統合するかどうか。
プロビジョニングとプロビジョニング解除
複数の ID ストアでユーザー アカウントをプロビジョニングおよびプロビジョニング解除する機能は、ID 統合製品に組み込まれている場合と、スタンドアロン製品に実装できる場合があります。プロビジョニング製品を評価するときに考慮する機能は、ID 統合製品の場合と類似しています。さまざまなレベルのワークフローをサポートできるかどうかも、プロビジョニングにとって重要な特徴です。
アプリケーション プラットフォームを選択する
アプリケーション開発環境は、これまで独自のプラットフォームとは適切に統合してきましたが、他のプラットフォームとは適切に統合されていません。このような理由から、組織でのアプリケーション プラットフォームの選択は、たいていの場合環境内のアプリケーション サーバーのインフラストラクチャ プラットフォームの選択に依存します。
多くの組織は、2 つ以上のプラットフォームでアプリケーションを開発または維持することを選択しています。このような組織にとって、共通のプロトコルを使用したり、共通のインフラストラクチャ サービスを利用して異種アプリケーションを相互運用する方法を理解することは重要です。他のプラットフォームと適切に統合または相互運用できないアプリケーション プラットフォームは選択すべきではありません。アプリケーション プラットフォーム ベンダは、相互運用性を確実に証明し、相互運用性の実現に関連する標準作業をサポートする必要があります。
Microsoft ID およびアクセス管理プラットフォーム
以降では、マイクロソフトの ID およびアクセス管理プラットフォームを構成するコア製品とテクノロジ、およびそれらを組織で利用した場合にもたらされる利点について説明します。
ディレクトリ サービス
Microsoft Windows Server™ 2003 には、Microsoft Active Directory® ディレクトリ サービスと、ADAM (Active Directory Application Mode) と呼ばれるアプリケーション ディレクトリ サービスのサポートが組み込まれています。次の図は、Active Directory が果たす主要な役割と、Active Directory とその他のマイクロソフトおよび ISV テクノロジとの統合を示しています。
.gif)
.gif){kind=link}
図 2.1 Active Directory と他のネットワーク コンポーネントとの統合
Active Directory
Active Directory には次の機能があり、イントラネットおよびエクストラネット ディレクトリ サービスの両方の役割に適しています。
中央からのネットワーク管理および管理権限の委任: 管理者は、すべてのネットワーク ユーザー、デバイス、およびリソースを表すオブジェクトへのアクセス権を持ち、管理を簡素化するためにオブジェクトをグループ化して、セキュリティとグループ ポリシーを適用できます。
ネットワーク リソースへのユーザー アクセス向け情報セキュリティと SSO: セキュリティと緊密に統合することで、システム間での認証および承認のためにアカウントを追跡するコストを削減できます。ユーザー名とパスワードの単一の組み合わせだけで、各ネットワーク ユーザーを識別でき、この ID を使用してネットワーク全体でユーザーを追跡できます。
拡張性: Active Directory には、それぞれ 1 つ以上のドメイン コンローラを持つ 1 つ以上のドメインが含まれているので、ディレクトリをネットワーク要件に合わせて拡張できます。
柔軟性が高いグローバルな検索: ユーザーおよび管理者は、デスクトップ ツールを使用して Active Directory を検索します。既定では、検索はグローバル カタログで管理されます。グローバル カタログは、フォレストワイドな検索機能を提供します。
アプリケーション データの保管: Active Directory では、アプリケーション間で共有するデータや、Windows ベースのネットワーク間でデータを分散する必要があるアプリケーションを中央で保管できます。
ディレクトリ更新の体系的な同期: ドメイン コントローラ間で安全かつ費用対効率の高い複製を行うことで、ネットワーク全体に更新を分散できます。
リモート管理: 管理ツールがインストールされているどの Windows ベースのコンピュータからでも、リモートでドメイン コントローラに接続できます。または、リモート デスクトップ機能を使用してリモート コンピュータからドメイン コントローラにログオンできます。
変更および拡張が可能な単一スキーマ: スキーマとは、Active Directory オブジェクトの構造要件を指定するオブジェクトおよびルールのセットです。このスキーマを変更して、新しいタイプのオブジェクトまたはオブジェクト プロパティを実装できます。
オブジェクト名とドメイン ネーム システム (DNS)、インターネット標準のコンピュータ検索システムの統合: Active Directory では DNS を使用して IP ベースのネーム システムを実装しているので、Active Directory サービスおよびドメイン コントローラを、イントラネットとインターネットの両方で、標準の IP で検索できます。
LDAP のサポート: LDAP (Lightweight Directory Access Protocol) は、業界標準のディレクトリ プロトコルです。このプロトコルにより多くの管理およびクエリ アプリケーションが Active Directory にアクセスできるようになります。Active Directory は LDAPv3 と LDAPv2 をサポートします。
Active Directory Application Mode (ADAM)
ADAM (Active Directory Application Mode) には次の機能があり、アプリケーション ディレクトリ サービス ロールに適しています。
展開の容易さ: 開発者、エンド ユーザー、および ISV は、ADAM を軽量ディレクトリ サービスとして大半の Windows Server 2003 プラットフォームおよび Microsoft Windows® XP Professional を実行しているクライアントに簡単に展開できます。ADAM アプリケーション ディレクトリは簡単にインストール、再インストール、削除できるため、アプリケーションと共に展開するには理想的なディレクトリ サービスです。
インフラストラクチャ コストの削減: ネットワーク オペレーティング システム (NOS) とアプリケーション ディレクトリの両方のニーズに単一のディレクトリ テクノロジを使用することで、全体的なインフラストラクチャ コストを削減できます。アプリケーション ディレクトリのトレーニングや管理のための追加の投資は不要です。
標準化されたアプリケーション プログラミング インターフェイス (API): LDAP、ADSI (Active Directory Service Interfaces )、および DSML (Directory Services Markup Language) は、ADAM と Active Directory のどちらにも実装されています。これらの機能を使用すると、ADAM でアプリケーションを構築してから、ほとんど変更を行わなくても、必要に応じてそれらを Active Directory に移行することができます。
強化されたセキュリティ: ADAM は、Windows セキュリティ モデルと統合されているため、ADAM を使用して展開されるすべてのアプリケーションは、エンタープライズ全体で Active Directory に対するアクセスを認証できます。
強化された柔軟性: アプリケーション所有者は、組織全体のディレクトリ スキーマに影響を与えずに簡単にディレクトリ対応アプリケーションを展開すると同時に、組織の NOS ディレクトリに保管されている ID 情報や資格情報を継続して使用することができます。
信頼性と拡張性: ADAM を使用するアプリケーションの信頼性、拡張性、およびパフォーマンスは、NOS 環境内に Active Directory を展開した場合と同じです。
ADAM の詳細については、Microsoft.com の次の URL にあるホワイト ペーパー「Active Directory in Application Mode の紹介」を参照してください。
https://download.microsoft.com/download/6/6/8/668b964f-f126-4a96-88db-25d842a7113f/adam.doc
セキュリティ サービス
次のセキュリティ サービスは、Windows アプリケーション サーバー、Windows クライアント オペレーティング システム、Windows 2000 Server と Windows Server 2003 をドメイン コントローラとして実行しているコンピュータと緊密に統合されています。
Kerberos Version 5 プロトコルは、クライアント/サーバー アプリケーションで使用する API、および Active Directory と統合される Kerberos キー配布センター (KDC) などの認証をサポートします。
Microsoft セキュリティ サポート プロバイダ インターフェイス (SSPI) は、認証、メッセージの整合性、メッセージのプライバシーに対する統合されたセキュリティ サービス、および任意の分散アプリケーション プロトコルに対するサービスのセキュリティ品質を得られる明確な共通 API です。
Windows Server に組み込まれた X.509 ベースの公開キー証明書サーバーを使用すると、組織は、商用証明機関 (CA) サービスに依存しなくても、認証用の公開キー証明書をユーザーに発行できます。
SSL (Secure Socket Layer) および TLS (Transport Layer Security) は、クライアント/サーバー X.509 デジタル証明書を使用して、強力な相互認証とセキュリティ保護された通信をサポートします。
スマート カードは、秘密キー、アカウント番号、パスワードなどの個人情報の保護に対応した改ざん防止ストレージを提供します。スマート カードは、マイクロソフトが Windows® プラットフォームに統合した公開キー基盤 (PKI) のキー コンポーネントです。
Microsoft Passport は、組織のエクストラネット アプリケーションに対する顧客認証のための SSO ユーザー認証を提供します。
静的リソースに対するアクセス制御リスト (ACL)。Microsoft Windows Server™ のオブジェクト ベースのセキュリティ モデルを使用すると、管理者はユーザーにアクセス権を付与したり、特定のオブジェクトにアクセスできるユーザーを管理するグループ権を付与できます。
承認マネージャは、カスタム アプリケーションで RBAC をサポートします。
注: 承認マネージャは Windows Server 2003 に組み込まれていますが、Windows 2000 Server で承認マネージャを使用する場合は、Microsoft.com の次の URL にある「Windows 2000 Authorization Manager Runtime」ページから承認マネージャをダウンロードし、インストールする必要があります。
https://www.microsoft.com/download/details.aspx?FamilyID=7edde11f-bcea-4773-a292-84525f23baf7&displaylang=jaセキュリティ監査では、セキュリティ イベント ログを通じてレポートされるディレクトリ オブジェクトやアクセス イベントを変更することができます。
ID 統合サービス
Microsoft Identity Integration Server 2003, Enterprise Edition (MIIS 2003) には、組織全体で ID およびアクセス管理を簡素化する際に役立つ次の機能が組み込まれています。
異種 ID ストア間での ID の統合、同期、およびプロビジョニング
複数の ID ストアに接続するための管理エージェント (ディレクトリ サービス、データベース、電子メール システムなど)
パスワード リセット用のセルフサービス Web アプリケーション
接続先 ID ストアにはコネクタ フットプリントが不要
イベント ベースまたは状態ベースの同期処理
Microsoft Visual Studio® .NET プログラミング環境を使用した容易な拡張性
Identity Integration Feature Pack for Active Directory という名前の縮小機能セット バージョンには、次の機能があります。
- Active Directory、ADAM、およびグローバル アドレス一覧 (GAL) 同期のための管理エージェント
クライアント オペレーティング システム
Windows XP Professional で標準化を行う組織は、次の利点を得ることができます。
ファイル、印刷、および Web アプリケーション サービスに対する SSO を実現するための、プラットフォーム サービスでの Windows 統合認証のサポート
セキュリティを強化するためのドメイン レベルのグループ ポリシー
Windows Credential Manager による、パスワード、X.509 デジタル証明書、および Microsoft Passport アカウントを使用するさまざまなな組織間での SSO 機能の追加
開発プラットフォーム
Microsoft Visual Studio.NET および .NET Framework では、次のことを実行できます。
Microsoft ID およびアクセス管理プラットフォームの機能を使用する ID 認識アプリケーションの開発
アプリケーション開発コストの削減
プラットフォームの利点
以降の章で説明するソリューションに Microsoft ID およびアクセス管理プラットフォームを実装すると、Contoso は次の利点を得ることができます。
単一の、セキュリティ保護された信頼性の高い ID 情報のソース: 管理者は、すべてのアプリケーションとシステムだけでなく、すべてのユーザーおよびその権限を信頼性の高い最新のビューで確認できます。
シームレスなアプリケーションの統合: マイクロソフト開発プラットフォームは、セキュリティ保護された、標準ベースの認証、承認、およびデータ保護メカニズムを提供します。
改良されたセキュリティおよびプロビジョニング: 従業員、顧客またはパートナーと組織との関係が終了するとすぐに、組織内の複数のシステムでの従業員、顧客またはパートナーの ID が削除されます。
簡素化された管理と削減される管理コスト: 管理者は、デジタル ID および権限の追加、変更、および削除を中央で迅速かつ簡単に実行できます。
詳細なアクセス制御: 管理者は、ユーザーがアクセスできるリソース、それらのリソースで実行できる処理、およびユーザーとリソースへのセキュリティ ポリシーの適用方法を、詳細なレベルでより正確に制御できます。
使用するパスワード数の削減とより効率的なパスワード管理: ユーザーによるアプリケーションへのアクセスがより便利になり、ヘルプデスク担当者はパスワード問題の管理にかかる時間を短縮できます。
ID システムおよびオペレーティング システム間の相互運用性: このソリューションが提供する、標準ベースのアクセス メカニズムと認証メカニズムによる相互運用性により、複数のシステムの統合や管理にかかる時間を短縮できます。
セキュリティ保護された、信頼性の高い監査: 監査では、ネットワークを介してリソースにアクセスしたユーザー、内容、日時、場所、および方法を説明するために必要な記録を提供します。
ローカルの資格情報管理: Windows Credential Manager を使用してローカルに保存されたパスワード資格情報を強力に保護します。
プラットフォームは、ID およびアクセス管理に必要なコア サービスを提供しますが、上記の利点をすべて実現するためには、プラットフォームにいくつかのソリューションを実装する必要があります。「第 4 章: インフラストラクチャを設計する」では、これらのソリューションについて説明します。
目次
- 第 1 章: 「プラットフォームおよびインフラストラクチャ」の紹介
- 第 2 章: プラットフォーム選択のアプローチ
- 第 3 章: 問題点と要件
- 第 4 章: インフラストラクチャを設計する
- 第 5 章: インフラストラクチャを実装する
- 第 6 章: インフラストラクチャを運用する
- 謝辞