2018年8月14日火曜日

IDaaSとは、何か? (2) 〜IDの一元的な保存について考える〜

前回の記事では、[IDaaSとは、何か(1)」として、文字通り、どういうものを表すものなのかを探りました。今回からは、IDaaSが備える機能について、より掘り下げて見てみます。前回、IDaaSには、以下の機能があるとご紹介しました。

  • 保存:Identityに関する情報を保存・管理する。
  • 認証:利用者が誰なのかを管理する。
  • 認可:利用者が許可されているサービスやリソースを管理する。
  • プロビジョニング: 利用者が許可されているサービスに対して、アカウントを管理する。

今回は「保存」です。



「何を」保存するのか

機能そのものを見る前に、まず、その対象となる「Identityに関する情報」とは、何かをはっきりさせておきます。実例を挙げてみましょう。一般的な情報としては、

  • 氏名
  • メールアドレス
  • 所属部署
  • 所属グループ
  • 役職

のような情報です。更にIDaaSでは、後に考察する「認証」や「認可」の機能で参照される以下のような情報も持っています。
  • あるサービスのアカウントID
  • あるサービスでの組織

例えば、G Suiteであれば、アカウントIDは、メールアドレスです。ただし、G Suiteで利用しているドメインのメールアドレスということになります。必ずしもIDaaSが保持するメインのメールアドレスと同一とは限りません。組織は、G Suite側で用意されている組織のどれに所属しているかを示すことになります。
サービスによっては、より付加的な情報を利用できる場合があります。G Suiteであれば、電話番号や予備のメールアドレスなどがあります。
これらが、「Identityに関する情報」と言えるでしょう。ここで挙げた例以外にも多くの情報がありますが、全部を網羅することが目的ではないので割愛します。

「保存」とは何か。一元管理の重要性

では、これらの情報を「保存」するというのはどういうことでしょうか。より分かりやすく表現するならば、保存してあるだけでなく、

Identityに関する情報を一元的に保存、管理し、問い合わせに対して、回答する

ということになります。Identityに関する情報が、一元的に保持されていない場合、情報の参照や更新が非常に煩雑になります。例えば、氏名、所属部署は人事部のDBに保持されていて、氏名、メールアドレスは、情シスが管理してるというようなケースです。結婚により氏名が変わったり、転籍により別ドメインのメールアドレスを追加するということはよくあります。
こういうイベントが発生した時、それぞれの保存場所の更新が必要になります。Identityに関する情報は、すべての情報システムに必須な情報であるため、それぞれで持っていることが往々にしてあります。ただ、情報の更新漏れがあった場合には、思わぬセキュリティリスクとなります。退職した社員のメールアドレスが無効になっていなくて、退職後もMLのメールが送信されていたというような事は起こり得ます。
しかし、一元的に管理されていて、その情報を必要としているサービスの側からの問い合わせに応える仕組みがあれば、一箇所を変えれば良いだけです。更新漏れの心配はありません。情報の更新タイミングも同一ですので、まだこっちのシステムには反映されてないというような不整合も起こりません。Identity情報は、みんなが必要とする情報ですが、分散して保存されているべきではなく、一箇所で管理されているべきです。

今、情報が分散している場合

情報が一元管理されていることの重要性が理解できました。では、今運用中の仕組みで、Identityに関する情報が分散していて、これを取りやめることが出来ない場合は、どうしたら良いのでしょうか。
理想としては、既存の情報も含めて、全ての情報を一箇所に集めて、既存システムはこれを参照するようにするのが良いでしょう。ただ、既存システムの回収が困難な場合も多いです。そのような場合でも、様々な手法で、「一元的に参照できる」ようにすることは可能です。
例えば、弊社が提供するGluegent Gateでは、既存のADを源泉として、情報を同期するオプションを提供しています。あるいは、CSVで毎日出力される情報を同期するような方法もとれます。本当に必要なのは、IDaaSに情報を問い合わせれば、常に正しいIdentity情報が得られるということです。統合できない情報が外部にあったとしても、それと連携が自動化されていれば、IDaaSとしての役割は、十分です。

一元的に保存管理されている情報は何に使われるのか

今回は、どのような情報が、どのように保存されるのかを見てみました。では、保存されている情報は何のために使われるのでしょうか。次回は、その利用のされ方を見てみたいと思います。


   Gluegent Gate