CA IdentityMinder™ r12.6 SP4
ご紹介
2015年12月
CA IdentityMinder 概要と特徴
ワークフローによる 社内承認業務の自動化 ワークフローによる 社内承認業務の自動化 ID管理の一元化 セルフサービス ワークフロー Key Point !!企業におけるID統合管理基盤
ロール&ポリシーによるアカウント管理 各システムやアプリケーションにおけるユーザアカウント管理の一元化 IDやパスワード関連のユーザセルフサービスの提供 エンドユーザ自身によるパスワード更新、プロファイル管理 ワークフローによる社内承認業務の自動化 組織の承認プロセスに適応可能なワークフロー ロール&ポリシーによるアカウント管理 各システムやアプリケーションにおけるユーザアカウント管理の一元化 IDやパスワード関連のユーザセルフサービスの提供 エンドユーザ自身によるパスワード更新、プロファイル管理 ワークフローによる社内承認業務の自動化 組織の承認プロセスに適応可能なワークフロー アプリ利用申請 ワークフロー ユーザ登録ワークフロー MS Exchange LDAP Portal Oracle システムA MS SQL Server システムB ワークフロー エンジン プロビジョニング エンジン グローバル ユーザストア ユーザ登録 申請者 ユーザ登録 承認者 ユーザ登録 登録者 職務要件表 アプリ利用 申請者 アプリ利用 承認者 アカウント情報配信 アカウント情報配信 アカウント情報配信 アカウント情報配信 監査ログ レポート CA IdentityMinder ロール&ポリシーに従い アカウント更新情報を 自動的に同期、反映 ロール&ポリシーに従い アカウント更新情報を 自動的に同期、反映 ユーザアカウントの 追加、変更、削除 などユーザセルフ サービスの提供 ユーザアカウントの 追加、変更、削除 などユーザセルフ サービスの提供 ID統合管理基盤:全システムにまたがってID情報とアクセス 権限を一元管理する基盤です。 Active Directoryアイデンティディ・アクセス管理
(IAM) の課題と解決策
お客様の生の声
> コンプライアンス要件充足のための、複雑かつ高コストな活動 「必要最低限の監査基準を満たすためですら、高コストで多くの手作業が必要となってしまう。しかも次の 監査までに再度同じ作業を繰り返さなければならない。」 > ヘルプデスクの過負担・非効率 「ヘルプデスクへの問合せ・依頼のうち30パーセントが単なるパスワード忘れによるものに過ぎない。」 > メンテナンスコスト、運用負荷の増大 「運用・管理要員を増やす余裕は無い。しかしユーザ数は増加する一方で、ビジネスの観点からもより多くの 顧客情報・パートナー情報を管理していきたい。」 > ゴーストアカウントの残存 「とうに退社した人のアカウントがシステムに残っているが、見直しをする手間を掛けられない。」 > 混沌とした、時には不適切な権限付与 「従業員やパートナーの部署役割が変化しているにも関わらず、新しい権限を付与するばかり。不要となった 権限を見直すことができていない。」 > 監査人の要求への対応 「内部監査人・外部監査人が、機密データ・財務データへのアクセスが十分にコントロールされているかを チェックするだけ。彼らはそれがどれだけビジネスに負担となるか考慮していない。」課題
セキュリティ管理者 多数のユーザ >顧客 >従業員 >パートナー 多数のアプリケーション >調達・物流 >財務 >サービス >生産管理 >CRM... 多数の管理タスク >多数のインシデント >ユーザ・パスワード管理... 管理コストの膨張 手作業によるITプロセス 多数のアイデンティティ情報 >Mainframe >RDBMS >LDAP >OS >ERP… 継続的なメンテナンスが困難 コンプライアンス保持に支障 セキュリティリスクの発生 乱立するセキュリティ管理対象 セキュリティ対策の不統一な 実施 アクセス権を管理しきれない ヘルプデスクに要するコスト がかさむ解決策
必要最低限に絞られたID > 管理の容易化 > 管理コストの削減 > 監査プロセスの改善による コンプライアンス達成の容易化 一元化されるアイデンティティ /アクセス管理情報 >管理コストの削減 >クロスプラットフォームで一貫した 管理タスク >ITプロセスの自動化 多数のユーザ 多数のアプリケーション >シングルサインオン >ユーザセルフサービス > 一元化されたセキュリティ > 開発負担を軽減 セキュリティ ポリシー 太字: CA IdentityMinderの対応範囲、それ以外は別製品(CA SiteMinder)での管理 セキュリティ管理者はアイデンティティ/アクセス管理を 一元的に実施することができる。 セキュリティ管理者IAMソリューション
CA IdentityMinderでID情報の統合管理、CA SiteMinderでWebの認証基盤(SSO)を構築
することができます。
ID管理者はシームレスに複数のサーバのID情報を一元管理することができ、エンドユーザは
複数のWebシステムのシングルサインオンを実現することが可能です。
CA IdentityMinder CA SiteMinder エンドユーザ ID管理者 Web サーバ ID登録先サーバ リポジトリ (ユーザ、ログ等) IDの登録・変更・削除 (パスワードリセット等)セルフサービス シングルサインオンWebアクセス ID情報の統合管理 ・IDや権限の基盤管理 ・セルフサービス Webの認証基盤、SSO ・各Webアプリの認証基盤 ・利便性と生産性の向上アイデンティティ管理
アイデンティティのライフサイクルを統合的に管理
多数の事例で証明されたスケーラビリティ(最大で数百万人規模)
アイデンティティ管理として、以下のような機能があります。
管理タスク・権限の適切な分掌
エンドユーザによるセルフサービス
承認と通知に特化したワークフロー
監査とレポート
利便性の高い画面
多彩なインターフェース
全システムにまたがってID情報とアクセス権限を一元管理可能です。
管理タスク・権限の適切な分掌
「ユーザ 管理者」 権限内容>
ID管理と権限設定業務を委譲
管理タスクや権限を 管理ロール として分掌
→ ID管理業務の分掌化・効率化
>
管理タスク例
ユーザの作成
グループの作成
ユーザの作成の承認
グループメンバの追加
プロビジョニングロールの付与
エンドユーザによるセルフサービス
>
ブラウザ上で、自身のアイデンティティ属性情報を変更可能
アプリケーションへのアクセス権限の変更、追加申請
パスワードの変更、パスワード忘れへの対応
承認と通知に特化したワークフロー
各システムへのアクセスに必要となるユーザーIDの作成/各種権限の付与業務を、
容易にかつ、より迅速に一貫性のある方式で提供します。
>
アイデンティティワークフロー
CA IdentityMinderのタスクを
ワークフロープロセスでコントロール
画面レベルでの簡単な設定
汎用的に利用可能な二段階承認の
プロセスを、デフォルトで用意
フローのトラッキング
申請者や承認者へのメール通知
必要に応じ、デザイナーによって
ワークフロープロセスを定義
監査とレポート
アイデンティティ情報の監査(ID情報の棚卸や不一致チェック等)を実施し、
レポーティングします。
レポーティング ツール オブジェクトストア エンドポイント レポート用DB 収集 収集 生成 出力 レポート>
レポートデータの収集
オブジェクトストアや管理対象システムから収集 – オブジェクトストア:ユーザ、権限情報など – 管理対象システム:アカウント情報など 例: ユーザとアカウントの一覧 など> RDBへのレポートデータの出力
> レポーティングツールによるレポート生成
利便性の高い画面
>
Web GUI による簡単な操作
•
権限設定からログ閲覧まで、IDライフサイクル管理に
必要な一連の機能を集約
•
各種コンポーネントの設定も集約
>
設定レベルでの変更
•
表示項目、入力フィールド、ボタン、の変更等々、
画面内のカスタマイズは設定レベルで可能
多彩なインターフェース
>
コマンドラインによるインターフェース
ユーザ情報の配信、管理対象システムからの
情報収集など、様々な機能を提供
>
CSV によるインターフェース
CSVファイル内のユーザ情報を、画面から
マッピング可能
人事異動などで大量に変更されるユーザ情報を
容易に一括反映
>
Web サービスによるインターフェース
すべてのID管理タスクを、Webサービスとして
利用可能
外部のアプリケーション等から、ID管理タスクを呼び出し可能
アカウントのプロビジョニング
企業内の全部門・全システムにおける、アカウント情報の
登録/修正/使用停止/削除などを自動化
以下の機能により、複数のサーバのアカウントのプロビジョニングを自動化できます。
役割+条件ベースのプロビジョニング
多様な管理対象をサポートしたコネクタ
カスタムコネクタ作成ツール
パスワード管理
–
双方向パスワード同期など
役割+条件ベースのプロビジョニング
>
条件ベース
特定の条件/ルールに合致した場合に 「アイデンティティ・ポリシー」を適用→ ID管理業務の自動化
→ コンプライアンスの支援
>
役割ベース
アカウント作成タスクの集合体としての 役割(「プロビジョニングロール」)を定義 条件設定例プロビジョニングイメージ
新規ユーザーが配属された場合の、アカウントのプロビジョニングの流れです。
ロール情報に従って、該当するアカウントテンプレートに所属した情報で各種サーバに
アカウントが作成されます。
営業OU 一般ユーザ 情報システムOUAdminグループ rootグループ salesグループ public
営業 メンバーロール db_owner 新規ユーザ (情報システム部) アカウント 作成 アカウント 作成 アカウント 作成 SQL Server SQL Server Active Directory
Active Directory Red Hat LinuxRed Hat Linux
情報システム メンバーロール アカウント テンプレート アカウント管理 システム
ロール
ロール 付与多様な管理対象をサポートしたコネクタ
CA IdentityMinder CA IdentityMinder オペレーティング システム ・Windows Server ・Windows Vista/7/8 ・Microsoft Active Directory ・Oracle Solaris・RedHat Enterprise Linux ・HP-UX ・IBM AIX … オペレーティング システム ・Windows Server ・Windows Vista/7/8 ・Microsoft Active Directory ・Oracle Solaris
・RedHat Enterprise Linux ・HP-UX ・IBM AIX … データベース(RDBMS) ・Microsoft SQL Server ・Oracle … データベース(RDBMS) ・Microsoft SQL Server ・Oracle … グループウェア ・Microsoft Exchange ・IBM Lotus Notes Domino
Server
・Microsoft Office 365 ・Microsoft Lync Server
…
グループウェア
・Microsoft Exchange ・IBM Lotus Notes Domino
Server
・Microsoft Office 365 ・Microsoft Lync Server
… SaaSアプリケーション ・Salesforce ・Google Apps ・SCIM SaaSアプリケーション ・Salesforce ・Google Apps ・SCIM LDAP ・Microsoft ADAM ・CA Directory
・Sun Directory Server ・Novell eDirectory
… LDAP
・Microsoft ADAM ・CA Directory
・Sun Directory Server ・Novell eDirectory … Connector Xpressによる コネクタ ・JDBC - Microsoft SQL Server - Oracle … ・JNDI
- Sun Directory Server - Novell eDirectory … Connector Xpressによる コネクタ ・JDBC - Microsoft SQL Server - Oracle … ・JNDI
- Sun Directory Server - Novell eDirectory
…
各種OSからWebアプリケーションに至るまで幅広い管理対象システムに対して、
豊富なコネクタを標準で提供します。
カスタムコネクタ生成ツール
>
DBテーブル用/LDAP用の、コネクタ生成ツールを標準で搭載
ウィザードにて、管理対象テーブル/ツリーのID, パスワード, 属性等をマッピング
コネクタ定義の後、ツールが自動デプロイ
コーディングによる作成が不要
→ 開発期間を大幅短縮
パスワード管理
>
OS, Active Directory, メインフレームとの双方向のパスワード同期
パスワード変更をフック → すべてのシステムに反映
>
パスワードルールの適用
最少文字数、最多文字数の制限
使用文字の種類の制限
正規表現による制限
数字、英文字の繰り返しの禁止
etc
Active Directory システムA システムB
パスワード変更
パスワードの反映 CA IdentityMinder CA IdentityMinder
動作環境
種類/用途 動作OS/環境
IdentityMinder
Microsoft Windows Server 2008 (*1) Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2 (*1) Oracle Solaris 10
Red Hat Enterprise Linux 5/6 (for Intel64)
アプリケーションサーバ (IdentityMinderが動作)
動作OSがWindows/Linuxの場合:
Interstage Application Server Standard-J Edition V10(64bit) Interstage Application Server Enterprise Edition V10(64bit) Interstage Application Server Standard-J Edition V11 (64bit) Interstage Application Server Enterprise Edition V11 (64bit) 動作OSがSolarisの場合:
Interstage Application Server Standard-J Edition V11 (64bit) Interstage Application Server Enterprise Edition V11 (64bit)
Runtime Store(*2)
Microsoft SQL Server 2005 SP4/2008 SP2/2008 R2 SP2/2012 SP1
Oracle Database 10g r2/10g r2 RAC/11g r1/11g r2/11g r2 RAC/12c/12c RAC
(*1) CA IdentityMinder付属のレポーティングツールを除く。
動作環境
種類/用途 動作OS/環境
User Store(*3)
CA Directory r12 SPx(※本製品に同梱しています。)
Oracle Sun Java System Directory Server (iPlanet) v6.3/7.0
Microsoft Active Directory 2008 SP2/2008 R2 SP1/2012/2012 R2 Microsoft ADAM/LDS 2008 SP2/2008 R2 SP1/2012
IBM Directory Server 6.x Novell eDirectory 8.8.x
Oracle OID 10g/10g r3/11g r1
Oracle Database 10g r2/10g r2 RAC/11g r1/11g r2/11g r2 RAC/12c/12c RAC
Microsoft SQL Server 2005 SP4/2008 SP2/2008 R2 SP2/2012 SP1 Red Hat Directory Server 8.2
Oracle Directory Server EE 11g(11.1.1.5)
コネクタ (管理対象サーバ) 「多様な管理対象をサポートしたコネクタ」を参照 (*4) Webコンソール Internet Explorer 10x/11x (デスクトップ版での利用が可能です。) Mozilla Firefox (*5) Google Chrome (*5) (*3)CA IdentityMinderが管理するポリシー情報・動作ログなどを格納するリポジトリ (*4)詳細なアプリケーション/システムについては弊社営業/SEにお問い合わせください (*5)バージョンについては弊社営業/SEにお問い合わせください
