Skip to content

IGA 機能: アイデンティティライフサイクル管理

この記事は https://docs.evolveum.com/iam/iga/capabilities/lifecycle/ の翻訳です。

別名

  • ライフサイクル管理
  • アイデンティティライフサイクル

アイデンティティライフサイクル管理機能

  • アイデンティティライフサイクル状態モデル。 アイデンティティ状態、candidate、active、archived などの維持管理、状態 transition、on-boarding、off-boarding などの管理、ユーザー登録、プロファイル維持管理、データ消去 の handling。
  • アイデンティティ属性の維持管理Identity modelidentity attribute のスキーマと構造の維持管理。
  • 識別子管理。 アイデンティティへの識別子の割り当て、識別子の検証、一意性制約 の維持管理。
  • 認証情報管理。 パスワードやその他の認証情報、cryptographic key、biometric 情報などの管理。
  • 多様なアイデンティティ種別のサポート。 人物アイデンティティと非人物アイデンティティの両方をサポートし、異なるライフサイクルとポリシーを持つ複数のアイデンティティ種類を許容すること。
  • 組織構造。 組織上の単位とその構造に関する情報の維持管理。 組織上の単位におけるアイデンティティ割り当ての管理。
  • ペルソナ。 人物または他の entity の代替策アイデンティティのサポート。 同じ entity を表すペルソナ間の 関係 の維持管理。

概要

アイデンティティライフサイクル管理はデジタルアイデンティティの維持管理を扱います。 作成、変更、アーカイブ、削除など、さまざまなライフサイクル変更を通じてデジタルアイデンティティの状態を維持管理します。 デジタルアイデンティティは通常、多数の属性で構成される複雑データ構造です。 アイデンティティデータの構造と、他のアイデンティティ関連オブジェクトとの関係は アイデンティティモデル によって規定されます。 アイデンティティライフサイクル管理は アイデンティティモデル を維持管理し、属性を構造化され一貫した状態に保つ責任を負います。 これには、一意識別子値の作成と検証を含む識別子管理が含まれます。 アイデンティティライフサイクル管理には、パスワードや多要素認証の暗号鍵素材などの クレデンシャル 管理が含まれる場合もあります。

ライフサイクル状態モデルはアイデンティティライフサイクルの管理によく使われます。 アイデンティティは candidateactivedeprecatedarchived などの ライフサイクル状態 の集合を通じて遷移します。 状態モデルにおける遷移は、"on-boarding"、つまりユーザーが組織に加わること、"off-boarding"、つまりユーザーが組織を退職すること、といった "業務" 名で知られています。 このような状態 transition は、見かけより複雑であることが多いです。たとえば "re-boarding"、つまり以前退職した組織にユーザーが再び join する場合には、識別子の 再利用 が望まれることがよくあります。 たとえば退職プロセスは、アーカイブに似た 一方向プロセスと見なされがちです。 しかし retiree が組織に再 join するケースがあり、これは特殊な方法で handling しなければなりません。 さらに maternal 退職、sabbatical、長期休職 など、特殊な handling を必要とする業務関連の利用ケースもあります。 アイデンティティライフサイクルはしばしばポリシーとフルフィルメント対応に結びつき、新しい従業員のアカウント pre-provisioning、アカウントの 遅延ed 削除、データ保護 規制によるアーカイブ時のデータ消去 などの機能を作ります。 セルフサービス登録、つまりアイデンティティ記録の作成、セルフサービス削除、つまりユーザー主導のアカウント削除、その他の 類似 イベントもアイデンティティライフサイクル管理の一部です。

IGA システムは多くのアイデンティティ type、別名 種類 または archetype を扱います。 最も重要なアイデンティティ種類は通常、従業員、student、顧客、citizen などの人物アイデンティティです。 しかし包括的な IGA システムは、サービス、アプリケーション、組織、デバイス、"モノ" などの非人物アイデンティティ種類も日常的に扱わなければなりません。 各アイデンティティ種類は、属性、ポリシー、ライフサイクル状態など、独自の characteristic を持つ場合があります。 このバリエーションは、business-to-employee (B2E)、business-to-business (B2B)、business-to-user/citizen (B2C) など、さまざまな運用モードを実装するために使われます。 通常のアイデンティティ種類には次のものがあります。

  • 人物アイデンティティ (ユーザー):

    • 従業員またはスタッフ。 組織に雇用されている人々。 このようなアイデンティティは通常、mid-term または長期ライフサイクルを持ちます。
    • 外部 workers, 請負業者。 組織のために働くが、full employment status は持たない人々。 このようなアイデンティティは通常、より短いライフサイクルを持ちます。
    • Consumers。 私たちが作っている製品のユーザー。 製品を購入したりサービスを利用したりする個々の顧客。 大量のアイデンティティが想定されることがよくあります。 アイデンティティプロファイルの維持管理は主にセルフサービスに依存します。
    • Citizens。 状態または municipality の citizen。 大量のアイデンティティが想定されることがよくあります。 アイデンティティプロファイルの維持管理は、政府が管理する登録簿に依存することがよくあります。
    • Students。 School、university、または類似組織の student。 中〜大規模のアイデンティティ volume が想定されます。 アイデンティティ情報の維持管理は通常、信頼できるデータとユーザー-provided データの組み合わせです。 On-boarding/off-boarding は通常、年次に大きな batch で行われます。
    • Retirees/alumni。 過去に組織と affiliation を持っていた従業員、student、その他の人物。 これらのアイデンティティは 法的要件、退職者の場合、またはコミュニティ構築などその他の理由により、引き続き管理されます。 Retiree/alumni は通常、やり取り intensity が非常に低いアイデンティティです。 このようなアイデンティティは通常、規則的ライフサイクルの終了時に従業員、student、または類似アイデンティティから "converted" されます。
    • Community。 Fan や volunteer など、組織の活動に interest を示した人々。 Community アイデンティティは通常 self-registered であり、セルフサービスユーザーインターフェイスを使ってユーザープロファイルを維持管理します。
    • Suppliers, サポートスタッフ, supplier/パートナー組織の従業員。 他の組織で働き、組織にサービスを提供する contr実際の obligation を持つ人々。 彼らは仕事をするためにシステムへのアクセスを必要とします。 このようなアイデンティティは通常、contract に基づき、組織内の designated スタッフによって enrolled されます。 Supplier アイデンティティは、supplier アイデンティティの維持管理に責任を持つ内部アイデンティティ、つまり従業員である sponsor に link されることがあります。

  • 非人物アイデンティティ:

    • アプリケーション, クラウドサービスを含む。 データ、特にアイデンティティデータをストアしプロセスするソフトウェアシステム。

    注記: アプリケーションは 対象/ソースシステム、つまり アイデンティティリソース と同じものではありません。 IGA プラットフォームはアプリケーションへの直接接続 を必要としない場合があります。 アプリケーションはディレクトリ、LDAP や Active Directory、またはアイデンティティプロバイダーの背後に隠れていることがあります。 それでも IGA プラットフォームは、たとえばエンタイトルメント ownership 管理のためにアプリケーションアイデンティティを維持管理する必要があります。

    • デバイス と "モノ"。 Mobile デバイス、プリンター、スマートビルディング 構成要素、その他の "モノ" は通常、重要なデータをストアし、データへのアクセスを必要とします。
    • Division、部門、節などの 組織上の単位、さらにチーム、プロジェクト、アドホックワークグループ。 組織構造はほぼ常にポリシーの不可欠構成要素です。 そのため、ほぼすべての IGA 導入は組織上のアイデンティティと構造を維持管理する必要があります。 一部の組織上のアイデンティティは階層的、部門、部門、節であり、一部は flat、チーム、プロジェクトです。 理想的には組織上のアイデンティティは信頼できるデータソースから同期されるべきです。 しかし、そのようなソースが常に利用できるわけではないため、アイデンティティは IGA プラットフォームで手作業で維持管理されます。
    • パートナー/顧客組織。 業務では、管理が必要な組織間のやり取りが多数あります。 組織間関係 は長期に維持管理されることが多い一方、組織内の人々は変わることがあります。 そのため、パートナー組織におけるユーザーアイデンティティ維持管理のために delegated 管理 scheme が存在することがよくあります。
    • エンタイトルメント。 エンタイトルメントは 第一級アイデンティティとして管理されることがあります。 たとえばアプリケーションロールは Active Directory グループと同期され、グループを実質的に "アイデンティティ" として扱うことがあります。

複雑アイデンティティモデルには、特定の文脈で使うために設計された人物の代替策 表現である persona 概念が含まれる場合があります。

組織構造の partial 管理はアイデンティティライフサイクル管理に含まれる場合があります。 組織構造管理は、それ自体としてはアイデンティティガバナンスおよび管理の責任ではありませんが、ポリシーは組織構造に結びついていることがよくあります。 その場合、IGA システムはポリシーを評価できるよう、組織構造をプロセスできなければなりません。 IGA システムが必要とする組織構造管理の depth は、理論上は非常に浅いものですが、実際の IGA 導入では想定よりずっと深くなることがよくあります。下記の note を参照してください。

アイデンティティライフサイクル管理には、ほぼ常に管理ユーザーインターフェイスが含まれます。これによりアイデンティティ管理者はシステムで管理されるアイデンティティを見直したり、手作業で管理したりできます。 一般ユーザー向けのセルフサービスインターフェイスも通常存在し、ユーザーがユーザープロファイルの一部を維持管理する手段を提供します。

アイデンティティライフサイクルに関連する IGA 機能には、複数の機能の協力を必要とするものがあります。 アイデンティティ merge/split は同期/相関付け機能に関連しますが、ワークフロー機能のサポートを必要とする場合があります。 同様に、progressive profiling、セルフサービス登録、invite、その他の 類似 機能は、ワークフロー機能の一部、または専用のインターフェイスを必要とします。

関連項目