アイデンティティガバナンスおよび管理の機能
この記事は https://docs.evolveum.com/iam/iga/capabilities/ の翻訳です。
アイデンティティガバナンスおよび管理 (IGA) は、業務上の要請と技術上の要請の両方によって形作られます。 組織はそれぞれ異なりますが、多くの組織で非常によく似た形で使われる要件や機能が多数あります。 この節では、IGA のケイパビリティを構造化された半形式的な形で説明し、ケイパビリティと機能の用語・説明を統一します。 これらの説明は、評価、ギャップ分析、成熟度モデルなどに役立ちます。
アイデンティティライフサイクル管理
別名: ライフサイクル管理, アイデンティティライフサイクル
機能: アイデンティティライフサイクル状態モデル, アイデンティティ属性の維持管理, 識別子管理, 認証情報管理, 多様なアイデンティティ種別のサポート, 組織構造, ペルソナ
アイデンティティライフサイクル管理はデジタルアイデンティティの維持管理を扱います。 作成、変更、アーカイブ、削除など、さまざまなライフサイクル変更を通じてデジタルアイデンティティの状態を維持管理します。
エンタイトルメント管理
別名: グループ管理, 権限管理
機能: エンタイトルメントライフサイクル管理, エンタイトルメント関連付けの維持管理
エンタイトルメント管理はアイデンティティとエンタイトルメントの関連付けを扱います。 エンタイトルメントはアイデンティティに割り当てられ、特定の資産または操作へのアクセスをアイデンティティに与えます。 通常これはグループ、権限、アクセス制御リストへの関連付け、低レベルのシステムロールなどです。 簡単に言えば、エンタイトルメント管理は「誰が何にアクセスできるのか」という問いを扱います。
フルフィルメント
別名: プロビジョニング/デプロビジョニング, 変更の伝播
機能: アイデンティティリソース管理, リモートシステムとの通信, フルフィルメント失敗の処理, アイデンティティ状態の追跡, 手動フルフィルメント操作の管理
簡単に言えば、フルフィルメントは対象システムへの変更の伝播を扱う機能です。 フルフィルメントはユーザーアカウントを作成、変更、削除します。 厳密に言えば、この機能はポリシーを満たします。たとえば、ポリシーによってアカウントが求められる場合にアカウントを作成します。
同期
別名: 照合, 相関付け
機能: データフィード管理, 照合, データ整合性管理, アイデンティティ相関付け, 孤立アカウント検知
同期機能は、接続されたすべてのシステム全体でアイデンティティデータの整合性を保つ機能を提供します。 フルフィルメントはアカウントがポリシーに従って作成されることを保証できますが、そのアカウントが常にポリシーに準拠であり続けることを保証するのは同期です。 このため同期は、あらゆる IGA プラットフォームにおいておそらく最も重要な基盤的な機能です。
ポリシーとロールの管理
別名: ロール管理, ロールガバナンス, オブジェクトガバナンス, ロールモデリング, ロールライフサイクル管理, ポリシー管理
機能: ロールベースのポリシー, ロール構造, ロールモデリングとガバナンス, 職務分掌, 自動ロール割り当て, 代理管理
アイデンティティガバナンスの中心はポリシーです。 ポリシーは、物事がどう あるべきか、すべてのシステムとデータの理想的な状態を規定します。 組織や規制はかなり複雑になりがちであるため、ポリシーも複雑になりがちです。 さらにポリシーは、規制や組織上の必要性の変化に反応して変わる傾向があります。 これらすべてにより、ポリシー管理は非常に難しいものになります。
アクセス申請
別名: ロール申請と承認, ロール申請プロセス, 承認
機能: アクセス申請ユーザーインターフェイス, 承認スキームの管理, 承認プロセスの実行, 承認に関する説明責任記録の維持管理, 承認済み申請の即時フルフィルメント
アクセス申請 は、ユーザー主導のロールとエンタイトルメントの割り当てを制御された形で行うプロセスです。 通常は、ロールをユーザーに割り当てる申請と承認プロセスとして実装されます。 ロールは通常、セルフサービスユーザーインターフェイスを使ってユーザーにより申請されます。 申請は一連の承認手順を通過します。 承認されると、ロールは自動的にユーザーに割り当てられます。
アイデンティティワークフロー自動化
別名: ワークフロー, アイデンティティワークフロー管理, 是正
機能: ポリシー違反の是正, ケース管理, プロセス管理, エスカレーション, 通知
アイデンティティ管理は自動化を目指しますが、アイデンティティ管理とガバナンスには依然として人間が行わなければならない作業があります。 それらは通常、自動的に判断できないもの、アルゴリズムによる説明を持たない作業、または作業の進行状況をユーザーに知らせる単純な通知です。
アクセス認定
別名: 再認定, 証明
機能: 完全な認定キャンペーン, マイクロ認定, ロール定義の認定
アクセス権限は増え、蓄積していく傾向があります。 権限を効率よく付与する方法は多数あります。正式な アクセス申請 プロセス、システム管理者による手動付与、さまざまな非公式の抜け道などです。 しかし、権限の蓄積はリスクです。人はしばしば、一度得た権限を永久に保持し続けるからです。 アクセス認定は、もはや必要でない権限を取り除くためのプロセスです。 アクセス認定プロセスでは、責任者が、ユーザーに付与された権限が今も必要であることを 確認 しなければなりません。
監査
別名: 監査証跡, 監査ログ
機能: 監査証跡の記録, 基本的な監査証跡アクセス, 複雑な監査レポート, 監査連携, メタデータの維持管理
監査機能は、アイデンティティ関連の操作とイベントの記録を担当します。 操作は 業務レベル で記録され、記録には業務上関連する情報が含まれます。 監査データはさまざまなレポートに使えます。 少なくとも、監査記録を検索して表示できる基本的なレポートエンジンは通常含まれます。
アイデンティティ分析とレポート
別名: アイデンティティ分析, IdA, アイデンティティ分析とインテリジェンス, アイデンティティインテリジェンス
機能: カスタマイズ可能なレポートと可視化, リスク評価, リスクベースのトリガー, 異常検知, コンプライアンス管理, シミュレーション, ロールマイニング
アイデンティティ分析とレポート機能の責任は、主にアイデンティティデータの分析、関連する情報の要約と抽出、レポートとダッシュボードの提供、アイデンティティ情報の可視化にあります。 アイデンティティ分析はデータを深く掘り下げ、アイデンティティデータを文脈の中で考慮し、複雑なモデルを使って情報を抽出します。 アイデンティティデータから抽出される最も重要な情報の1つは、リスクレベルの推定値です。 アイデンティティデータから抽出された情報は、是正プロセスの開始やマイクロ認定のトリガーなどの対応を開始するために使われます。
まとめ
IGA 機能は、市場にある個々の IGA 製品によってかなり異なります。 非常に限定された IGA 機能だけを提供する light IGA 製品という分野全体が存在します。 しかし、full IGA 製品の機能でさえ大きく異なります。