OpenIDMによるプロビジョニング、ライフサイクル管理OSSによるアイデンティティ管理(5)(2/3 ページ)

» 2014年10月16日 18時00分 公開

OpenIDMの主要な機能

 OpenIDMは、プロビジョニング、ライフサイクル管理を実現するために、以下のような機能を実装しています。

パスワード管理

 パスワード管理は、全てのアプリケーションとデータストアの間で、ユーザーのパスワードの均一性を確保するための機能です。OpenIDMでは、OpenDJとActiveDirectoryのプラグインを提供していて、ディレクトリ側からのパスワード変更を検知し、同期することができます。また、ユーザーのパスワードリセット機能や一元的なパスワードポリシーの強制により、運用管理者の作業を省力化、自動化し、大幅に管理コストを削減します。

ワークフロー

 OpenIDMは、ワークフロー駆動型のプロビジョニングによる作成、更新、削除機能をサポートしています。ワークフローやビジネスプロセスの定義を簡略化するために、埋め込まれたActivitiモジュールは、モデリング、テスト、デプロイで使用することができます。

同期(Synchronization)

 OpenIDMは、接続されたシステム間のユーザー、ロール、グループなどのデータを同期(synchronize)する機能を持っています。これらの機能は、複数のシステム間でアイデンティティ情報に一貫性があることを確かにするために重要です。OpenIDMの同期機能には、以下の3種類の方式があります。

方式名 方式の概要
Reconciliation(リコンシリエーション) 差分を比較して同期する方式です。同期元と同期先のデータを分析して変更点を把握し結果を反映するため、大規模なデータを扱う場合は処理が遅くなる可能性があります
LiveSync ポーリングにより、外部ディレクトリサーバーの変更を検知して、同期する方式です。差分をチェックする必要がないので軽量ですが、一部のリポジトリ(現時点ではOpenDJやActive Directory)にしか対応できていません
Automatic Sync LiveSyncとは逆に、OpenIDM内部の変更を外部ディレクトリサーバーにプッシュして同期する方式です
表2 OpenIDMが提供する同期の方式

監査ログ出力

 OpenIDMは、接続するシステムに関連する全ての操作をログに記録することができます。アクセスの詳細を記録するアクセスログや、システム内外のオブジェクトに対する操作を記録するアクティビティログ、リコンシリエーションの結果を含むリコンシリエーションログを出力します。これらのログはCSVに出力することもRDBMSに登録することもできるので、出力したログからレポートを生成するといったことも可能です。

"_id","action","ip","principal","roles","status","timestamp","userid";
"6527533b-5c3d-492d-9238-862e9ecd2fee","authenticate","0:0:0:0:0:0:0:1","anonymous","[openidm-reg]","SUCCESS","2014-09-26T08:56:32.903Z","anonymous";
"2905d96b-c2bb-44fa-9e0b-aa2320741efe","authenticate","0:0:0:0:0:0:0:1","admin","","FAILURE","2014-09-26T08:56:40.897Z","";
"815410bc-3167-4f7c-9aba-9cad62477a44","authenticate","0:0:0:0:0:0:0:1","openidm-admin","[openidm-admin, openidm-authorized]","SUCCESS","2014-09-26T08:56:51.675Z","openidm-admin";
アクセスログの例(CSV形式)

クラウドサービスとオンプレミスとの連携

 OpenIDMは既存のオンプレミスのアプリケーションだけでなく、Workday、Google Apps、およびSalesforce.comなどのクラウドサービスプロバイダーとも連携できます。OpenIDM 3.0から提供されるGroovyコネクターを使えば、クラウドサービスにREST APIを使用してプロビジョニングすることもできます。

デベロッパーフレンドリーなAPI

 OpenIDMは、各種データのCRUD操作や同期、リコンシリエーションのために、RESTfulなインターフェースやJavaのAPIを提供しています。他のプログラムやシステムとの連携、カスタマイズがしやすいというメリットがあります。

各種コネクターの提供

 OpenIDMは、一般的なLDAPサーバーだけでなく、Active DirectoryやRDBMS、XML/CSVファイルなど多くのサーバーやファイルと連携できるようになっています。コネクターはOpenICFというプロジェクトで開発されており、そこで公開されている他のコネクター(Google AppsコネクターやOracle ERPコネクターなどがあります)を使うこともできます。また、APIが規定されているので、独自に実装して組み込むこともできます。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。