入社者–異動者–退職者プロセス
この記事は https://docs.evolveum.com/iam/iga/jml/ の翻訳です。
現代のエンタープライズは、システム、データ、サービスへのアクセスを付与するためにデジタルアイデンティティに依存しています。 入社者–異動者–退職者 (JML) プロセスは、onboarding から職位変更、最終的な departure まで、従業員、または任意のユーザーのアイデンティティライフサイクル全体を管理します。 概念は単純に聞こえますが、実際の実装では、さまざまな edge ケース、regulatory 要件、セキュリティ制御に対処しなければなりません。 この記事では、堅牢な JML ワークフローの business-level 考慮 を概説し、各 段階 で midPoint がどのように役立つかを示します。
JML プロセスの主なフェーズ
JML プロセスの各 フェーズ には、その 段階 で実行される 典型的 活動としての「技術的な」要件があります。 もう1つの側面は、典型的 活動に関する業務とセキュリティの懸念です。 IAM ソリューション構成の目的は、この2つの側面を調和させ、業務とセキュリティの必要性に従いながら要件を満たすことです。
JML プロセスの中核フェーズ
| Phase | Typical 活動 | 業務懸念 |
|---|---|---|
| 入社者 | * 信頼できるシステム、通常は HRIS で マスターアイデンティティを作成する。 組織上の単位、職位、マネージャー、雇用種類、開始日などの属性を設定する。 アイデンティティを IAM プラットフォーム、つまり midPoint に取り込み、ベースライン アクセス、ロール、グループ、エンタイトルメントを provision する。 |
* 新入社員が 初日から生産的 になれるよう、"right-first-time" プロビジョニングを確保する。 アクセスを 最小権限の原則 に合わせる。 監査対応メタデータ、つまり誰が申請し、誰が承認したかを記録する。 |
| 異動者 | * HR データの変更、新しい部門、役職、マネージャー、一時的な割り当てなどを検出する。 ロール 割り当て と エンタイトルメント を再評価する。 不要になった権限を削除し、必要な新しい権限を追加する。 |
* 異動後にレガシー権限が残る "権限の肥大化" を防ぐ。 矛盾する権限を避けるため、職務分掌 (SoD)を強制する。 Deputy、従業員 + 学生など、一時的な職位や兼務をサポートする。 |
| Leaver | * HRIS でアイデンティティを退職予定としてラベル付けする。解雇、辞職、退職、長期退職など。 接続されたシステム全体でアカウントをデプロビジョニング、つまり無効化または削除する。 GDPR のような業界や地域固有の規制のため、または本人が戻る可能性があるため、必要な記録だけを保持する。 |
* 速やかにアクセスを revoke して攻撃対象領域を減らす。 Legal retention 要件と個人データを削除する必要性の balance を取る。 監査人に適時のデプロビジョニングの証拠を提供する。 |
業務レベルのニュアンス
JML プロセスは一見単純に見えるかもしれませんが、さまざまな環境での導入の現実に触れると、そこにははるかに多くの要素があります。 従業員は単に会社に join し、部門 や職位を何度か変え、そして会社を退職するだけではありません。 Temporary 退職、seasonal occupation、academia 特有の事情があります。1人が同時に teacher、サーバー管理者、school の alumnus、そして student であることもあります。 そして「不規則性」のリスト は続きます。
複数の同時職務
Academia や research institution では、従業員が複数のロール、たとえばスタッフ + student を持つことは典型的です。 JML モデルは overlapping 属性集合を受け入れ、ポリシー constraint に違反せずに複合的エンタイトルメント "package" を生成できなければなりません。
長期休職
Maternity、sabbatical、medical 退職では、アカウント削除ではなく temporary suspension が必要になることがよくあります。 アイデンティティはシステム内に残り、過去のプロジェクトや認定などの履歴上の関係を保持しつつ、アクティブなアクセスをブロックします。 本人が退職から戻ったら、IAM ソリューションは、その人を退職前の職位に速やかに復帰させる必要があります。ただし、たとえば期限切れの認定に依存するアクセスは除きます。
再雇用と季節労働者
元従業員が戻る場合、システムは prior 記録を認識し、適切なエンタイトルメントを restore し、duplicate アイデンティティを避けるべきです。 季節スタッフは短期で反復される 契約を持つことがあり、迅速なプロビジョニングと デプロビジョニングサイクル が求められます。
規制とアーカイブ要件
特定の jurisdiction では、former 従業員、パートナーなどについて記録 retention、たとえば tax 文書やアクセス log が義務付けられています。 そのため組織は、無効化、つまり active アクセスがない状態と、削除、つまり個人データの完全削除を区別し、他の状況ではアイデンティティを完全に削除できる場合でも、legal guidance に従って適切な方法を適用しなければなりません。
職務分掌 (SoD)
異動をまたいだ権限蓄積 は、SoD 違反を生み出す可能性があります。たとえばユーザーが "create-payment" と "approve-payment" の両方の権限を得る場合です。 継続的な SoD 検証 は、特に異動者 transition 中に、権限蓄積 に関連するリスクを防ぐために不可欠です。 誰かが思い出したときに ランダムチェック を行うよりも、継続的な検証 の方がはるかに効果的です。
midPoint が JML ワークフローを支援する方法
必要であると示唆してきたすべての measure は midPoint で利用できます。 できるだけ少ない手作業作業で安全性とコンプライアンスを保つために midPoint 導入をどう設定するかは、状況と必要性によって決まります。
MidPoint 機能 supporting the JML プロセス 側面s
| JML Aspect | midPoint 機能 | 業務効果 |
|---|---|---|
| 信頼できるソース統合 | midPoint は コネクター を使って HRIS などの信頼できるシステムに接続し、豊富な属性集合を持つアイデンティティを取り込みます。 | 信頼できる唯一の情報源を保証し、手作業データエントリの誤りを減らします。 |
| 自動化されたロール割り当て | 組織単位、職位、マネージャー、専用式に基づくロール対応付け。 | 「初回から正しい」プロビジョニングを可能にし、アクセスを業務階層に合わせます。 |
| 異動者の再評価 | 照合作業 は最新の HR データと既存割り当てを比較し、ポリシールール がロール調整をトリガーします。 | 権限の肥大化を排除し、ロール変更後も一貫したアクセスを強制します。 |
| SoD 強制 | ポリシー制約 は相互排他的なロール、つまり権限を伴うロールを定義し、違反は 対応可能なアラート を発生させます。 | 継続的なコンプライアンス監視を提供し、危険な権限組み合わせを防ぎます。 |
| 退職と停止の処理 | フォーカルオブジェクト の ライフサイクル状態 はアイデンティティの状態を反映し、自動アカウント無効化と復帰を引き起こします。 | 履歴データを失わずに退職シナリオをサポートし、再有効化を単純化します。 |
| 再雇用の検知 | 退職者のフォーカルオブジェクトは停止状態となり、マネージャー、組織単位、エンタイトルメントなどとの関係を保持します。これにより、新規採用と同じプロセスを使って記録を重複作成する代わりに、迅速な復帰が可能になります。 | 元従業員のオンボーディング時間を短縮し、重複記録を避けます。 |
| レポート & 監査 | 組み込みの 監査証跡、コンプライアンスレポート、エクスポート可能なログ。 | 内部見直しと外部監査の証拠を提供します。 |
結論
よく設計された JML プロセスは、安全で効率的なアイデンティティガバナンスの backbone です。 入社者–異動者–退職者 flow を自動化することで、手作業労力を減らし、権限の肥大化 を排除し、規制上の要求 を満たすことができます。
常に、信頼できるシステム、たとえば HRIS を信頼できる単一ソース (SSoT) として扱い、IAM ソリューション、たとえば midPoint が変更に自動的に反応するようにし、システム全体でアカウントを定期的に同期して drift を早期に修正するべきです。 アイデンティティライフサイクル状態は、現実、つまり組織とアイデンティティの 関係 が実際にどの状態にあるかを反映するようモデル化してください。たとえば active、suspended、terminated です。
プロビジョニングとデプロビジョニングの対応について、何を、誰に、なぜ行ったのかの記録とともにログ記録し、プロセス 透明性 を維持します。 オンボーディング、つまり入社者フェーズ で一度だけ確認するのではなく、継続的 SoD 検証 を実装します。
MidPoint は、動的ロール対応付けからライフサイクル管理、SoD 強制、監査まで、堅牢な JML プロセスを構成し維持するために必要なツールをすべて提供します。 これらの機能を活用することで、"right-first-time" アクセスを提供し、厳格なセキュリティ 態勢 を維持し、低いオーバーヘッドでコンプライアンスを達成できます。
関連項目
- https://docs.evolveum.com/connectors/
- アイデンティティプロビジョニング
- IGA はアカウント同期だけではない
- https://docs.evolveum.com/midpoint/architecture/concepts/inducement-assignment-entitlement/
- https://docs.evolveum.com/midpoint/reference/concepts/object-lifecycle/
- https://docs.evolveum.com/midpoint/reference/misc/notifications/
- https://docs.evolveum.com/midpoint/reference/misc/notifications/use-cases/use-case-threshold-based-governance/
- https://docs.evolveum.com/midpoint/reference/roles-policies/policies/gradual-policy-enforcement/
- https://docs.evolveum.com/midpoint/reference/roles-policies/policies/policy-rules/
- https://docs.evolveum.com/midpoint/reference/roles-policies/policies/segregation-of-duties/
- https://docs.evolveum.com/midpoint/reference/schema/focus-and-projections/
- https://docs.evolveum.com/midpoint/reference/security/audit/
- https://docs.evolveum.com/midpoint/reference/tasks/synchronization-tasks/