CA IdentityMinder ご紹介資料 - fujitsu.com · ・HP-UX ・IBMAIX … ... Oracle Database 10g...
Transcript of CA IdentityMinder ご紹介資料 - fujitsu.com · ・HP-UX ・IBMAIX … ... Oracle Database 10g...
Copyright 2013-2015 FUJITSU LIMITED
CA IdentityMinder™ r12.6 SP4ご紹介
2015年12月富士通株式会社
概 要
Copyright 2013-2015 FUJITSU LIMITED1
CA IdentityMinder 概要と特徴
Copyright 2013-2015 FUJITSU LIMITED
ワークフローによる社内承認業務の自動化
ワークフローによる社内承認業務の自動化
ID管理の一元化セルフサービスワークフロー
Key Point !!
企業におけるID統合管理基盤
ロール&ポリシーによるアカウント管理各システムやアプリケーションにおけるユーザアカウント管理の一元化
IDやパスワード関連のユーザセルフサービスの提供エンドユーザ自身によるパスワード更新、プロファイル管理
ワークフローによる社内承認業務の自動化組織の承認プロセスに適応可能なワークフロー
ロール&ポリシーによるアカウント管理各システムやアプリケーションにおけるユーザアカウント管理の一元化
IDやパスワード関連のユーザセルフサービスの提供エンドユーザ自身によるパスワード更新、プロファイル管理
ワークフローによる社内承認業務の自動化組織の承認プロセスに適応可能なワークフロー
アプリ利用申請ワークフロー
ユーザ登録ワークフロー
MS Exchange
LDAP
Portal
Oracle
システムA
MS SQL Server
システムB
ワークフローエンジン
プロビジョニングエンジン
グローバルユーザストア
ユーザ登録申請者
ユーザ登録承認者
ユーザ登録登録者
職務要件表
アプリ利用申請者
アプリ利用承認者
アカウント情報配信
アカウント情報配信
アカウント情報配信
アカウント情報配信監査ログレポート
CA IdentityMinder
ロール&ポリシーに従いアカウント更新情報を自動的に同期、反映
ロール&ポリシーに従いアカウント更新情報を自動的に同期、反映
ユーザアカウントの追加、変更、削除などユーザセルフサービスの提供
ユーザアカウントの追加、変更、削除などユーザセルフサービスの提供
ID統合管理基盤:全システムにまたがってID情報とアクセス権限を一元管理する基盤です。
Active Directory
2
アイデンティディ・アクセス管理(IAM) の課題と解決策
Copyright 2013-2015 FUJITSU LIMITED3
お客様の生の声
Copyright 2013-2015 FUJITSU LIMITED
> コンプライアンス要件充足のための、複雑かつ高コストな活動
「必要最低限の監査基準を満たすためですら、高コストで多くの手作業が必要となってしまう。しかも次の
監査までに再度同じ作業を繰り返さなければならない。」
> ヘルプデスクの過負担・非効率
「ヘルプデスクへの問合せ・依頼のうち30パーセントが単なるパスワード忘れによるものに過ぎない。」
> メンテナンスコスト、運用負荷の増大
「運用・管理要員を増やす余裕は無い。しかしユーザ数は増加する一方で、ビジネスの観点からもより多くの
顧客情報・パートナー情報を管理していきたい。」
> ゴーストアカウントの残存
「とうに退社した人のアカウントがシステムに残っているが、見直しをする手間を掛けられない。」
> 混沌とした、時には不適切な権限付与
「従業員やパートナーの部署役割が変化しているにも関わらず、新しい権限を付与するばかり。不要となった
権限を見直すことができていない。」
> 監査人の要求への対応
「内部監査人・外部監査人が、機密データ・財務データへのアクセスが十分にコントロールされているかを
チェックするだけ。彼らはそれがどれだけビジネスに負担となるか考慮していない。」
4
課題
Copyright 2013-2015 FUJITSU LIMITED
セキュリティ管理者
多数のユーザ>顧客>従業員>パートナー
多数のアプリケーション>調達・物流>財務>サービス>生産管理>CRM...
多数の管理タスク>多数のインシデント>ユーザ・パスワード管理...
管理コストの膨張
手作業によるITプロセス
多数のアイデンティティ情報>Mainframe>RDBMS>LDAP>OS>ERP…
継続的なメンテナンスが困難
コンプライアンス保持に支障
セキュリティリスクの発生
乱立するセキュリティ管理対象
セキュリティ対策の不統一な
実施
アクセス権を管理しきれない
ヘルプデスクに要するコスト
がかさむ
5
解決策
Copyright 2013-2015 FUJITSU LIMITED
必要最低限に絞られたID> 管理の容易化> 管理コストの削減> 監査プロセスの改善による
コンプライアンス達成の容易化
一元化されるアイデンティティ/アクセス管理情報
> 管理コストの削減
> クロスプラットフォームで一貫した管理タスク
> ITプロセスの自動化
多数のユーザ 多数のアプリケーション
>シングルサインオン
>ユーザセルフサービス
>一元化されたセキュリティ
>開発負担を軽減
セキュリティポリシー
太字: CA IdentityMinderの対応範囲、それ以外は別製品(CA SiteMinder)での管理
セキュリティ管理者はアイデンティティ/アクセス管理を一元的に実施することができる。
セキュリティ管理者
6
IAMソリューション
Copyright 2013-2015 FUJITSU LIMITED
CA IdentityMinderでID情報の統合管理、CA SiteMinderでWebの認証基盤(SSO)を構築することができます。ID管理者はシームレスに複数のサーバのID情報を一元管理することができ、エンドユーザは複数のWebシステムのシングルサインオンを実現することが可能です。
CA IdentityMinder CA SiteMinder
エンドユーザID管理者
Web サーバID登録先サーバ
リポジトリ(ユーザ、ログ等)
IDの登録・変更・削除セルフサービス
(パスワードリセット等)Webアクセス
シングルサインオン
ID情報の統合管理
・IDや権限の基盤管理・セルフサービス
Webの認証基盤、SSO
・各Webアプリの認証基盤・利便性と生産性の向上
7
製品情報
Copyright 2013-2015 FUJITSU LIMITED8
アイデンティティ管理
Copyright 2013-2015 FUJITSU LIMITED
アイデンティティのライフサイクルを統合的に管理
多数の事例で証明されたスケーラビリティ(最大で数百万人規模)
アイデンティティ管理として、以下のような機能があります。
管理タスク・権限の適切な分掌
エンドユーザによるセルフサービス
承認と通知に特化したワークフロー
監査とレポート
利便性の高い画面
多彩なインターフェース
全システムにまたがってID情報とアクセス権限を一元管理可能です。
9
管理タスク・権限の適切な分掌
Copyright 2013-2015 FUJITSU LIMITED
「ユーザ 管理者」権限内容
> ID管理と権限設定業務を委譲
管理タスクや権限を 管理ロール として分掌
→ ID管理業務の分掌化・効率化
> 管理タスク例
ユーザの作成
グループの作成
ユーザの作成の承認
グループメンバの追加
プロビジョニングロールの付与
10
エンドユーザによるセルフサービス
Copyright 2013-2015 FUJITSU LIMITED
> ブラウザ上で、自身のアイデンティティ属性情報を変更可能
アプリケーションへのアクセス権限の変更、追加申請
パスワードの変更、パスワード忘れへの対応
パスワード忘れ対応用ダイアログ
11
承認と通知に特化したワークフロー
Copyright 2013-2015 FUJITSU LIMITED
各システムへのアクセスに必要となるユーザーIDの作成/各種権限の付与業務を、容易にかつ、より迅速に一貫性のある方式で提供します。
> アイデンティティワークフロー
CA IdentityMinderのタスクを
ワークフロープロセスでコントロール
画面レベルでの簡単な設定
汎用的に利用可能な二段階承認の
プロセスを、デフォルトで用意
フローのトラッキング
申請者や承認者へのメール通知
必要に応じ、デザイナーによって
ワークフロープロセスを定義
12
監査とレポート
Copyright 2013-2015 FUJITSU LIMITED
アイデンティティ情報の監査(ID情報の棚卸や不一致チェック等)を実施し、レポーティングします。
レポーティングツール
オブジェクトストア エンドポイント
レポート用DB
収集 収集
生成 出力
レポート
> レポートデータの収集 オブジェクトストアや管理対象システムから収集
– オブジェクトストア:ユーザ、権限情報など
– 管理対象システム:アカウント情報など
例: ユーザとアカウントの一覧 など
> RDBへのレポートデータの出力
> レポーティングツールによるレポート生成
13
利便性の高い画面
Copyright 2013-2015 FUJITSU LIMITED
> Web GUI による簡単な操作
• 権限設定からログ閲覧まで、IDライフサイクル管理に
必要な一連の機能を集約
• 各種コンポーネントの設定も集約
> 設定レベルでの変更
• 表示項目、入力フィールド、ボタン、の変更等々、
画面内のカスタマイズは設定レベルで可能
14
多彩なインターフェース
Copyright 2013-2015 FUJITSU LIMITED
> コマンドラインによるインターフェース
ユーザ情報の配信、管理対象システムからの
情報収集など、様々な機能を提供
> CSV によるインターフェース
CSVファイル内のユーザ情報を、画面から
マッピング可能
人事異動などで大量に変更されるユーザ情報を
容易に一括反映
> Web サービスによるインターフェース
すべてのID管理タスクを、Webサービスとして
利用可能
外部のアプリケーション等から、ID管理タスクを呼び出し可能
15
アカウントのプロビジョニング
Copyright 2013-2015 FUJITSU LIMITED
企業内の全部門・全システムにおける、アカウント情報の登録/修正/使用停止/削除などを自動化
以下の機能により、複数のサーバのアカウントのプロビジョニングを自動化できます。
役割+条件ベースのプロビジョニング
多様な管理対象をサポートしたコネクタ
カスタムコネクタ作成ツール
パスワード管理
– 双方向パスワード同期など
16
役割+条件ベースのプロビジョニング
Copyright 2013-2015 FUJITSU LIMITED
> 条件ベース
特定の条件/ルールに合致した場合に
「アイデンティティ・ポリシー」を適用
→ ID管理業務の自動化
→ コンプライアンスの支援
> 役割ベース
アカウント作成タスクの集合体としての
役割(「プロビジョニングロール」)を定義
条件設定例
17
プロビジョニングイメージ
Copyright 2013-2015 FUJITSU LIMITED
新規ユーザーが配属された場合の、アカウントのプロビジョニングの流れです。ロール情報に従って、該当するアカウントテンプレートに所属した情報で各種サーバにアカウントが作成されます。
営業OU一般ユーザ
情報システムOUAdminグループ
salesグループrootグループ public
営業メンバーロール
db_owner
新規ユーザ(情報システム部)
アカウント作成
アカウント作成
アカウント作成
SQL ServerSQL ServerActive DirectoryActive Directory Red Hat LinuxRed Hat Linux
情報システムメンバーロール
アカウントテンプレート
アカウント管理システム
ロール
ロール付与
18
多様な管理対象をサポートしたコネクタ
Copyright 2013-2015 FUJITSU LIMITED
CA IdentityMinderCA IdentityMinder
オペレーティング システム・Windows Server・Windows Vista/7/8・Microsoft Active Directory・Oracle Solaris・RedHat Enterprise Linux・HP-UX・IBM AIX
…
オペレーティング システム・Windows Server・Windows Vista/7/8・Microsoft Active Directory・Oracle Solaris・RedHat Enterprise Linux・HP-UX・IBM AIX
…
データベース(RDBMS)・Microsoft SQL Server・Oracle
…
データベース(RDBMS)・Microsoft SQL Server・Oracle
…
グループウェア・Microsoft Exchange・IBM Lotus Notes Domino
Server・Microsoft Office 365・Microsoft Lync Server
…
グループウェア・Microsoft Exchange・IBM Lotus Notes Domino
Server・Microsoft Office 365・Microsoft Lync Server
…
SaaSアプリケーション・Salesforce・Google Apps・SCIM
SaaSアプリケーション・Salesforce・Google Apps・SCIM
LDAP・Microsoft ADAM・CA Directory・Sun Directory Server・Novell eDirectory
…
LDAP・Microsoft ADAM・CA Directory・Sun Directory Server・Novell eDirectory
…
Connector Xpressによるコネクタ・JDBC
- Microsoft SQL Server- Oracle
…・JNDI
- Sun Directory Server- Novell eDirectory
…
Connector Xpressによるコネクタ・JDBC
- Microsoft SQL Server- Oracle
…・JNDI
- Sun Directory Server- Novell eDirectory
…
各種OSからWebアプリケーションに至るまで幅広い管理対象システムに対して、豊富なコネクタを標準で提供します。
19
カスタムコネクタ生成ツール
Copyright 2013-2015 FUJITSU LIMITED
> DBテーブル用/LDAP用の、コネクタ生成ツールを標準で搭載
ウィザードにて、管理対象テーブル/ツリーのID, パスワード, 属性等をマッピング
コネクタ定義の後、ツールが自動デプロイ
コーディングによる作成が不要
→ 開発期間を大幅短縮
20
パスワード管理
Copyright 2013-2015 FUJITSU LIMITED
> OS, Active Directory, メインフレームとの双方向のパスワード同期
パスワード変更をフック → すべてのシステムに反映
> パスワードルールの適用
最少文字数、最多文字数の制限
使用文字の種類の制限
正規表現による制限
数字、英文字の繰り返しの禁止
etc
Active Directory システムA システムB
パスワード変更
パスワードの反映
CA IdentityMinderCA IdentityMinder
21
動作環境
種類/用途 動作OS/環境
IdentityMinder
Microsoft Windows Server 2008 (*1)Microsoft Windows Server 2008 R2Microsoft Windows Server 2012Microsoft Windows Server 2012 R2 (*1)Oracle Solaris 10Red Hat Enterprise Linux 5/6 (for Intel64)
アプリケーションサーバ
(IdentityMinderが動作)
動作OSがWindows/Linuxの場合:Interstage Application Server Standard-J Edition V10(64bit)Interstage Application Server Enterprise Edition V10(64bit)Interstage Application Server Standard-J Edition V11 (64bit)Interstage Application Server Enterprise Edition V11 (64bit)
動作OSがSolarisの場合:Interstage Application Server Standard-J Edition V11 (64bit)Interstage Application Server Enterprise Edition V11 (64bit)
Runtime Store(*2)
Microsoft SQL Server 2005 SP4/2008 SP2/2008 R2 SP2/2012 SP1
Oracle Database 10g r2/10g r2 RAC/11g r1/11g r2/11g r2 RAC/12c/12c RAC
(*1) CA IdentityMinder付属のレポーティングツールを除く。(*2) CA IdentityMinderが管理するユーザー情報を格納するリポジトリ
Copyright 2013-2015 FUJITSU LIMITED22
動作環境
種類/用途 動作OS/環境
User Store(*3)
CA Directory r12 SPx(※本製品に同梱しています。)Oracle Sun Java System Directory Server (iPlanet) v6.3/7.0Microsoft Active Directory 2008 SP2/2008 R2 SP1/2012/2012 R2Microsoft ADAM/LDS 2008 SP2/2008 R2 SP1/2012IBM Directory Server 6.xNovell eDirectory 8.8.xOracle OID 10g/10g r3/11g r1Oracle Database 10g r2/10g r2 RAC/11g r1/11g r2/11g r2
RAC/12c/12c RACMicrosoft SQL Server 2005 SP4/2008 SP2/2008 R2 SP2/2012 SP1Red Hat Directory Server 8.2Oracle Directory Server EE 11g(11.1.1.5)
コネクタ
(管理対象サーバ)「多様な管理対象をサポートしたコネクタ」を参照 (*4)
WebコンソールInternet Explorer 10x/11x (デスクトップ版での利用が可能です。)Mozilla Firefox (*5)Google Chrome (*5)
Copyright 2013-2015 FUJITSU LIMITED
(*3)CA IdentityMinderが管理するポリシー情報・動作ログなどを格納するリポジトリ(*4)詳細なアプリケーション/システムについては弊社営業/SEにお問い合わせください(*5)バージョンについては弊社営業/SEにお問い合わせください
23
登録商標
Systemwalker、Interstageは、富士通株式会社の登録商標です。
CA IdentityMinder、CA SiteMinderは、米国およびその他の国における米国CA Inc.またはその子会社の商標または登録商標です。
Windows Vista、Windows 7、 Windows 8、Windows Server 2008、 Windows Server 2012、 Internet Explorerは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。
UNIXは、米国およびその他の国におけるオープン・グループの登録商標です。
OracleとJavaは、Oracle Corporation およびその子会社、関連会社の米国およびその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。
Oracle Solarisは、Solaris、 Solaris Operating System、 Solaris OSと記載することがあります。
Red Hat、Shadowman logo、JBossは米国およびそのほかの国において登録されたRed Hat, Inc. の商標です。
Linux は、Linus Torvalds氏の登録商標です。
その他、本資料に記載されているシステム名、製品名等には必ずしも商標表示(TM・ ®)
を付記しておりません。
Copyright 2013-2015 FUJITSU LIMITED24
Copyright 2013-2015 FUJITSU LIMITED25