技術参照モデル(TRM)に準拠した
認証基盤
5.12. 統合アカウント管理・認証・認可
マイクロソフト株式会社
パブリックセクター
アジェンダ
1. はじめに
2. TRMにおける認証基盤
3. 統合ディレクトリとしてのActive Directory
本資料がカバーする範囲
本資料はTRMの以下の章について準拠することを目的としたものです。
5.12. 統合アカウント管理・認証・認可
5.13. 統合ディレクトリ
章番号 機能・サービス 5.12.2 統合アカウント管理 5.12.3 ディレクトリ連携 5.12.4 OS アクセス制御 5.12.5 Web シングルサインオン 5.12.6 デスクトップシングルサインオン 章番号 機能・サービス 5.13.2 統合ディレクトリはじめに
認証基盤で抱える課題
認証基盤に対する職員のデータの登録が自動化されておらず、特に大量に
人事異動が発生する時期のメンテナンスが大変である。
また、メンテナンスに時間がかかるために、職員が異動後すぐにシステム
を利用できない。
業務システム毎に個別でIDの登録・変更・削除等のメンテナンスを行う必
要があり、同じような作業が重複して発生している。
GIMAをはじめとした外部との連携を視野に入れる必要が出てきたが、認証
基盤では拡張性がなく改修するとなると多くのコストが必要になる。
TRMではこれらの課題を想定し、検討を行った上で、最適な機能を有し
た認証基盤を定義しています。
TRMに準拠した認証基盤を構築することでこれらの課題を解決すること
が出来ます。
認証基盤を構成する要素
TRMに準拠した認証基盤は下記のコンポーネントで構成されています。
府省共通のコンポーネント
GIMA(職員等利用者用共通認基盤証):P5参照 全ての国家公務員を個人で識別するユニバーサルIDの発行および管理を実 施します。 府省共通業務アプリケーションに対する認証およびシングルサインオンを提 供します。各府省で構築する要素
統合ディレクトリ:P5、P6参照 府省内の職員に関する情報(氏名・職位等)を一元的に管理します。 格納された情報に応じて、各種業務アプリケーションからに認証の要求に応 答します。 ディレクトリ連携:P5(GIMAと統合ディレクトリの連携)、P6参照 統合ディレクトリに格納された情報を各種業務アプリケーションのデータベ ースに配信します。 → これにより、職員の情報を個別で登録をする必要がなくなり、業務効率の改 善を実現します。GIMAの最適化計画においては、将来像として統合ディレクトリ、およびディレ
クトリ連携の機能も全てGIMAと府省共通人事給与システムが連携して、中央で
実現することになっています。
しかし、人事給与システムのスケジュール、各府省における移行の問題、シス
テムの更改時期を考慮すると、TRMで示されているような各府省の基盤と連携
した中間の姿が必要となります。
ご参考:認証基盤の将来像
「職員等利用者認証業務の業務・システム最適化計画(案)概要」より各府省で構築する基盤構築の概要
ディレクトリ連携により、府省内の人事給与システム等から職員の情報を取得
し統合ディレクトリで管理
ディレクトリ連携により、統合ディレクトリの情報を府省内の業務アプリケー
ションへ配信
ディレクトリ連携により統合ディレクトリの情報をGIMAと連携
統合ディレクトリとディレクトリ連携で
省庁内のID管理をすべて一元化
グループウェア 文書管理 庁内の人事 給与システム その他の業務システム ディレクトリ連携(対府省内)GIMA
ディレクトリ連携(対GIMA) ディレクトリ連携Microsoftテクノロジーによる実現
TRMで必要とされる要素 実現するMicrosoftテクノロジー
統合ディレクトリ
Active Directory
ディレクトリ連携
ForeFront Identity Manager 2010
グループウェア 文書管理 庁内の人事 給与システム その他の業務システム
GIMA
統合ディレクトリ Forefront Identity Manager 2010 Active Directory ディレクトリ連携 ディレクトリ連携(対府省内) ディレクトリ連携(対GIMA)Active Directoryによる統合ディレクトリ
Active DirectoryはID一元化を支援します。
個人IDの実現
個人IDの実現は、職員個人にIDを採番することや各業務システムでそのIDを採 用することなど、システム以外の要素により大きく左右されます。また、その システム以外の要素は組織によって大きく異なっています。 従って、認証基盤のパッケージソフトウェアに求められる機能は、あらゆる状 況や技術要素に対応できることです。 Active Directoryは業界標準として、あらゆる機能を備え、多くのプロトコル に対応しているだけでなく、多くの他社製品がActive Directoryを共通認証基 盤として利用できるような対応を行っています。強固な認証基盤としてのActive Directory
Active Directoryに個人IDを作成し、職員の情報を格納することで、その情報 をあらゆる認証・認可に活用可能です。 パスワード以外の認証が必要な場合でも、あらゆる製品がActive Directoryに 対応しているため、Active Directoryの基盤が確立さえしていれば、容易に拡 張が可能です。Active Directoryで様々な認証を統合
Active Directory はあらゆるプロトコルに対応しています。
Active Directory
ドメインにログオン
柔軟な認証基盤
Kerberos v5/ LDAP X.509/Smartcard/PKI VPN/802.1x/RADIUS SSPI/SPNEGO Passport/ダイジェスト/基本 (Web)シングル サインオン環境
Windows ファイル & プリントサーバー Windows Server System390/AS400 (Host Integration Server) データベース (SQL Server)
Third-Party の Windows 認証アプリケーション IIS 認証機能を利用する Web アプリケーション
Exchange
Office SharePoint Server
ファイルサーバ
Windows に統合された アプリケーション
最初にドメインにログオンするだけで、 アプリケーションへ透過的にアクセス可能
Active Directoryにネットワーク認証も統合
ネットワーク機器の認証を統合
標準機能の IAS により Active Directory のユーザー・グループ情報を用
いた RADIUS 認証ができるので、ワイヤレス・有線 LAN ・ダイヤルアッ
プ・インターネットVPN などのネットワーク認証を Active Directory に
統合可能です。
Internet Authentication Service
統一的なポリシーによる認可
有線 LAN
Routing And Remote Access Service Active Directory ドメインサービス 一元的なネットワーク認証 証明書の発行も可能 ワイヤレス ダイヤルアップ RADIUS通信 パスワード、証明書、 スマートカードなどの 各種認証に対応
4.ディレクトリ連携としての
必要とされるディレクトリ連携を実現
FIM2010はTRMで求められているディレクトリ連携機能を提供
統合ディレクトリと個別業務システム間において、IDおよびそれに属する
情報(氏名、職位、パスワードなど)の同期を実現します。
ID管理の自動化
システムごとで個別で実施していたID管理業務の効率化を実現します。
セキュリティの強化
人事異動に伴うアクセス権管理、退職した職員のアカウントの削除等、ID
管理を確実に実施することでセキュリティレベルの向上を実現します。
SAP Notes Oracle 人事マスタ その他の業務システム エンドユーザー & 管理者 システム間の ID 同期 統一された ID で システムを利用 ID 同期FIMのID同期機能のアーキテクチャ
各接続先のデータ(コネクタ スペース) 単一のマスタデータ(メタ バース) 証明書・スマートカード管理情報SQL Server
(NT サービス)
FIM
管理ツール
…
MA : Management Agent (管理エージェント) 接続先毎に、接続情報、同期方法を設定Text File
MA
Active Directory
MA
iPlanet Directory
MA
Lotus Notes
(Notes Client)
MA
XXXXXX
MA
コーディングで任意の 同期方法を実装可能 コーディングで任意の 同期方法を実装可能FIMによるアカウントの同期
システムごとに管理されているユーザー情報をFIMに集約し、各システム
で必要なデータを反映します。
FIM2010
ユーザー ID higuchi 職員番号 20001 氏名 樋口竜太 ローマ字氏名 Higuchi Ryota メール アドレス ryotahiguchi@ microsoft.com 役職 係長 ユーザー ID higuchi_r 職員番号 20001 メール アドレス ryotahiguchi@ microsoft.com 役職 係長 ユーザー ID higuchi 職員番号 20001 氏名 樋口竜太 ローマ字氏名 Higuchi Ryota メールアドレス ryotahiguchi@ microsoft.com 役職 係長 ユーザー ID ryota-h 職員番号 20001 メール アドレス ryotahiguchi@ microsoft.com 役職 係長Active
Directory
グループ
ウェア
データ
ベース
大量の人事異動処理を自動化
例として、人事給与システムから定期的に出力される CSV ファイルに従
ってアカウント管理の処理を自動化します。
CSV ファイル ①登録処理の内容 ②人事異動処理の内容 ③退職処理の内容 Active Directory[Hire] OU にユーザーを作成 [Develop ] OUにユーザーを移動 [Fire] OU にユーザーを移動 [HR Group] のメンバーに登録 [Develop Group] のメンバーに登録 部署属性に「HR」を設定 部署属性に「HR」を設定 部署属性に「Develop」を設定 アカウントを無効化
[HR Group] のメンバーから削除 [Develop Group] のメンバーから削除
グループ ウェア [ユーザー] にユーザーを作成 [Develop Group] のメンバーに登録 アカウントを削除 (物理削除) [HR Group] のメンバーに登録 所属名属性に「Develop」を設定 所属名属性に「HR」を設定 [HR Group] のメンバーから削除 データ ベース テーブルにユーザー (行) を作 成 属性 (列) に「Develop」を設定 アカウントを削除 (物理削除) 属性 (列) に「HR」を設定 Active Directory データベース グループウェア
FIM2010
CSV ファイル CSV ファイル①登録処理
②人事異動処理
③退職処理
カスタムのコーディングで一意 なユーザー ID の作成や初期パス ワードの設定なども実施ディレクトリ
Active Directory ドメイン サービス / NT4 ドメイン AD LDS (ADAM)
Sun Directory Server(Netscape / iPlanet / SunONE) 4.12 / 4.13 / 5.0 / 5.1 / 5.2 / 6.x Netscape Directory Server 4.1 / 6.11
Novell e Directory 8.6.2 / 8.7 / 8.7.3
IBM Tivoli Directory Server 4.1 / 5.1 / 5.2 on Windows Server 2003 or Windows 2000 Server
メインフレーム
IBM Resource Access Control Facility Computer Associates eTrust ACF2
Computer Associates eTrust Top Secret
グループウェア & ERP パッケージ
Exchange 2000 / 2003 / 2007 GAL Exchange 5.5
Lotus Notes 5.0 / 6.x / 7.x
SAP R/3 4.7 / mySAP 2004 (ECC 5.0)
データベース
SQL Server 7.0 / 2000 / 2005 / 2008 Oracle 8i / 9i / 10g
IBM DB2 7 / 8.1 on Windows Server 2003 , 8.1 on Linux, 5.1.5 on OS /400
ファイル
DSML (Directory Services Markup Language) 2.0 LDIF (LDAP Directory Interchange Format)
CSV(カンマ区切りテキストファイル) 固定長テキスト ファイル 属性と値の組 (Attribute-Value Pair) のテキストファイル ※ 補足 ・MA SDK で任意のシステムとの同期を実装可能