Special
» 2016年08月22日 10時00分 UPDATE

はじめてID管理製品を導入する方へ:クラウドとオンプレミスの混在で複雑化するユーザーID管理の課題は「Unicorn ID Manager」で解決

クラウドサービスが当たり前のように利用されるようになり、ユーザーIDの管理に悩む企業が増えてきている。社内に閉じたシステムでは、手作業や自作のスクリプト、ID管理ツールで対応できた。だが、クラウドサービスが普及したいま、これまでの手法では十分に管理できなくなってきている。では、IT管理者はどうすればよいのか。解決策はあるのか。

[PR/@IT]
PR

クラウド時代にはユーザーIDの統合管理が必須に

 今、企業では、ユーザーIDの管理が大きな課題になっている。オンプレミスで利用するディレクトリサービスのIDだけでなく、クラウドサービスのIDも管理しなければならない状況になっているのだ。

 1つ目の課題は、管理の手間が格段に増えること。これは、ユーザー1人に対して複数のID管理が必要になることが原因だ。例えば、ユーザー1人に対し、メール用、スケジュール管理用、営業支援や顧客管理のアプリケーション用など、オンプレミス/クラウドサービスごとに異なるIDが必要になる。

 その上、IT管理者や役員、一般社員、臨時社員などの役割に応じたIDの割り当てや、異動や退職時のID発行や失効、パスワードを忘れたユーザーへの対応などをサービス別に行う必要がある。利用するオンプレミス/クラウドのサービスが増えれば増えるほど、管理負荷も増大することになる。

ALT オープンソース・ソリューション・テクノロジ 代表取締役 チーフアーキテクト 小田切耕司氏

 2つ目の課題は、どこにどんなユーザーがいるか把握しにくいことだ。「シャドーIT」という言葉があるように、ビジネス部門がIT部門を通さずにクラウドを利用するケースが増えた。また、一般ユーザーが勝手に自分のモバイルデバイスを社内システム/クラウドで利用することもある。IT部門がIDの存在自体を知らないため、万が一、事故が発生した場合の責任の所在も明確ではない。IT部門がIDの存在を知っていた場合でも、管理自体はビジネス部門が行っていることが多く、その場合は他のシステム/IDとの連携が難しくなる。

 3つ目の課題は、運用管理コストの増加だ。管理負荷を減らすためには、オンプレミス/クラウドの両方に対応したID管理ソリューションが必要だ。だが、こうしたソリューションはエンタープライズ環境向けに設計されたものが多い。承認機能やワークフロー、シングルサインオンなどの高度な機能を多数備えていることで、コストも高くなりがちだ。もし、そうした高度な機能を必要としない場合は、導入・運用コストは割高になってしまう。

 こうしたID管理の悩みは、どうすれば解消できるのだろうか。そんな観点から統合ID管理製品「Unicorn ID Manager」を提供しているのが、オープンソース・ソリューション・テクノロジだ。同社の小田切耕司氏(代表取締役 チーフアーキテクト)は次のように話す。

 「クラウド時代はID管理が必須と言っていい状況です。ただ、ID管理の必要性を感じ始めたばかりの企業にとって、大掛かりなID管理製品の導入は大きな負担になります。また、そうしたID管理製品は高価になりがちですし、既存の業務プロセスを見直したり、システムを改修したりする必要も出てくることがあります。ID管理でよく使う機能に絞り、既存環境を生かしながら、簡単に安く利用できないか。そこで開発したのがUnicorn ID Managerです」(小田切氏)

ID管理の負荷の軽減し、ユーザーの利便性も向上

 「Unicorn ID Manager(ユニコーンIDマネージャー)」は、オンプレミス/クラウドの複数システムで管理していたID情報を集中管理するオープンソースの統合ID管理製品だ。

 オンプレミスとクラウドが混在するシステムでは、Active Directoryをはじめ、OpenLDAP、SambaなどのLDAP製品、「Microsoft Office 365」「Google Apps」などのクラウドサービスなど、IDがそれぞれのシステムに分散されたままで管理されている場合が多い。

ALT オープンソース・ソリューション・テクノロジ 技術取締役 武田保真氏

 Unicorn ID Managerは、こうしたオンプレミス/クラウドに散在するID情報を連携、統合管理することで、管理業務を効率化して運用負荷の軽減を実現する。また、パスワードリセットやユーザー情報のセルフサービスでの変更機能などを提供し、一般ユーザーのID管理の利便性を向上させる。

 2016年8月には最新版となる「Unicorn ID Manager バージョン3」の提供を開始。価格は60万円/1ノード(税別、永続ライセンス)、サポート料金は1システム24万円/年(税別、アップデート版の提供含む)。ID管理に最低限必要な機能をシンプルかつ低コストで利用できる製品とあって、「エントリー向けのID管理製品」として高く評価されているという。

 技術取締役の武田保真氏は、Unicorn ID Managerに対する企業のニーズについて次のように説明する。

 「特にニーズが高いのは、Office 365やGoogle Appsなどのクラウドサービスを、社内のActive DirectoryやOpenLDAPと統合して管理したいというものです。Unicorn ID Managerでは、社内の既存システムには手を加えず、クラウドサービス側でも特殊な設定を行わずに、オンプレミス/クラウドに散在する複数のIDを統合的に管理できるようになります。また、パスワードを忘れたユーザーがユーザー自身でパスワードの再設定を行うパスワードリセットも、ユーザーからのニーズが高い機能です。ログインパスワードやOffice 365などの関連する全てのシステムのパスワードをIT管理者の手を借りずに、ユーザー自身で再設定できるようになります」(武田氏)

 Unicorn ID Managerの一般的なシステム構成例は、クラウドサービスとオンプレミスのIDを社内で統合して新しいID管理システムとして構築するケースだ(図1)。Windows系システムを管理するActive DirectoryやSambaとUNIX/Linux系システムを管理するOpenLDAP、クラウドサービスのID配布をUnicorn ID Managerに集約し、一括管理できるようにする。武田氏が説明したように、既存システムの改修は必要ない。

図1 図1 Unicorn ID Managerの一般的なシステム構成例《クリックで拡大します》

 また、既に構築された既存のID管理システムに統合することもできる。例えば、既存のID管理システムがクラウドサービスとのID連携に対応していない場合など、間にUnicorn ID Managerを置くことで、既存のID管理システムでクラウドサービスのID管理が可能になるという。この他、業務アプリケーションからREST APIを使って、クラウドサービスのID情報を編集したり、ID連携プロトコル変換アダプターを使ってActive Directoryの情報を編集したりすることも可能だ。

 武田氏は「既存のID管理システムやクラウドサービスとの連携では、APIやスクリプトの知識とスキルが求められます。既存システムや新しいクラウドサービスごとに、それらを習得していくことはIT管理者の大きな負担になります。Unicorn ID Managerを利用することで、高度なシステムもGUI上で簡単に連携、操作できるようになります。そのことが管理作業を大幅に効率化できるのです」とメリットを強調する。

APIやシェルスクリプトによる運用自動化も可能

ALT オープンソース・ソリューション・テクノロジ 技術部 エンジニア 亀井裕氏

 それでは、Unicorn ID Managerでは具体的にどのような機能が提供されているのか。技術部エンジニアの亀井裕氏は、一般ユーザー向けとIT管理者向けの機能ポイントを幾つか紹介してくれた。

 まず、一般ユーザー向けでは「パスワードの変更」「パスワードのリセット」「セルフメンテナンス」の3機能が注目される。パスワードに関する作業は、ID管理の中でも担当者泣かせの作業といえる。パスワードを忘れるユーザーは日々発生し、そのたびに新しいパスワードを発行してシステムの設定を更新していく必要がある。ユーザーのパスワードリセットに多くの時間がとられ、本来の作業に支障が出るケースも少なくない。

 Unicorn ID Managerでは、Web画面を通じて、ユーザー自身がパスワードを変更したり、パスワードを忘れた場合にリセットしたりできる(画面1)。パスワードの変更では、文字数や英数字、記号の有無、ランダムパスワード作成など、パスワードポリシーに沿った設定を強制することも可能だ。

画面1 画面1 一般ユーザー向けのパスワード変更画面《クリックで拡大します》

 パスワードリセットでは、Web画面からリセットを申請し、登録したメールアドレスに変更リンクの通知を受け取ることで再設定が可能になる。通知は登録したメールアドレスのみ有効で、パスワード変更リンクは一定期間のみ有効となる。また、セルフメンテナンスでは、ユーザー自身が氏名や表示名といった自分の情報を変更することができる。

 これまでIT管理者が行ってきたユーザーのパスワード変更に関する作業をユーザー自身に任せることで、IT管理者が本来の業務に集中できるようになるのは大きなメリットだ。ユーザーもわざわざIT管理者に頼まず、すぐに自分の業務に戻ることができる。

 管理者向け機能としては、まず、Web画面を通じて複数システムにまたがるIDの登録や更新、パスワードの一括同期変更などのID管理操作を簡単に行うことができる点がポイントだ(画面2)。ユーザーの一覧表示や検索、グループによる一括管理もできる。

画面2 画面2 管理者用向けの操作メニュー《クリックで拡大します》

 Unicorn ID Managerがユニークなのは、その上で、REST APIとシェルスクリプトを使った自動化にも対応していること。亀井氏は次のように説明する。

 「APIやスクリプトを活用すると、個別管理による操作漏れや複数システム間のID情報の不整合を自動でチェックして防止できるようになります。また、ユーザーの異動に併せてクラウドサービスの利用アプリケーションや権限設定を変えたり、退職時に自動でクラウドサービスのアカウントを無効化したりすることも可能です」(亀井氏)

 また、CSVファイルをアップロードしてユーザーを一括登録したり、ID情報を編集したりといった機能もID管理の自動化に利用できる(画面3画面4)。

画面3 画面3 CSVファイルによるユーザー一括操作メニュー《クリックで拡大します》
画面4 画面4 操作の実行結果確認画面《クリックで拡大します》

 「開発の現場では、chefやansibleといった構成管理ツールを使って、インフラの運用管理を含めて作業を自動化する流れが進んでいます。設定ファイルを読み込んでID管理の運用業務を効率化する方法は、こうした昨今の流れにも合っていて、アプリケーション開発と連携したID管理が実現できます」(亀井氏)

「ビジネスを支えるIT」への第一歩としてのID管理

 もちろん、Unicorn ID Managerの一番の魅力は、エントリー向けID管理製品として、必要な機能が簡単に使えることにある。小田切氏は「IDを徹底的に管理したい人というよりも、できるだけ管理はしたくないという人に向いていると思います」として、次のように、製品の強みを説明する。

 「当社は、統合認証基盤、シングルサインオン、ID管理のソリューションをオープンソースで提供することを強みにしています。認証をキーワードとして、ベンダー中立な立場から、さまざまな製品やサービスと連携を図っていくことができます。Unicorn ID Managerは、ID管理の統合に向けた第一歩となる製品です。まずはID管理を楽にしていただく。その上で、必要に応じてシングルサインオンなどと連携した統合認証の世界に拡大していってほしいと思います」(小田切氏)

 実際、最新版となるバージョン3では、各種ID管理製品だけでなく、「MySQL」や「PostgreSQL」といったオープンソースのデータベースとの連携機能も強化されている。また、クラウドサービスについても、APIやアダプターベースでの連携先をさらに拡充していく方針だ。

 クラウド時代になり、ID管理の重要性は増すばかり。管理性や生産性という点だけでなく、いかにユーザーのセキュリティを担保していくか、いかにビジネスを支える基盤を構築、整備していくかといった視点からもID管理製品は重要になってくる。Unicorn ID Managerはその第一歩としても注目できるだろう。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.


提供:オープンソース・ソリューション・テクノロジ株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年9月21日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。