CA IdentityMinder ご紹介資料 - fujitsu.com · ・HP-UX ・IBMAIX … ... Oracle Database 10g r2/10g r2 RAC/11g r1/11g r2/11g r2 RAC/12c/12c RAC Microsoft SQL Server 2005 SP4/2008

Copyright 2013-2015 FUJITSU LIMITED

CA IdentityMinder™ r12.6 SP4ご紹介

2015年12月富士通株式会社

概要

Copyright 2013-2015 FUJITSU LIMITED1

CA IdentityMinder 概要と特徴


ワークフローによる社内承認業務の自動化

ワークフローによる社内承認業務の自動化

ID管理の一元化セルフサービスワークフロー

Key Point !!

企業におけるID統合管理基盤

ロール＆ポリシーによるアカウント管理各システムやアプリケーションにおけるユーザアカウント管理の一元化

IDやパスワード関連のユーザセルフサービスの提供エンドユーザ自身によるパスワード更新、プロファイル管理

ワークフローによる社内承認業務の自動化組織の承認プロセスに適応可能なワークフロー

ロール＆ポリシーによるアカウント管理各システムやアプリケーションにおけるユーザアカウント管理の一元化

IDやパスワード関連のユーザセルフサービスの提供エンドユーザ自身によるパスワード更新、プロファイル管理

ワークフローによる社内承認業務の自動化組織の承認プロセスに適応可能なワークフロー

アプリ利用申請ワークフロー

ユーザ登録ワークフロー

MS Exchange

LDAP

Portal

Oracle

システムA

MS SQL Server

システムB

ワークフローエンジン

プロビジョニングエンジン

グローバルユーザストア

ユーザ登録申請者

ユーザ登録承認者

ユーザ登録登録者

職務要件表

アプリ利用申請者

アプリ利用承認者

アカウント情報配信



アカウント情報配信監査ログレポート

CA IdentityMinder

ロール＆ポリシーに従いアカウント更新情報を自動的に同期、反映

ロール＆ポリシーに従いアカウント更新情報を自動的に同期、反映

ユーザアカウントの追加、変更、削除などユーザセルフサービスの提供

ユーザアカウントの追加、変更、削除などユーザセルフサービスの提供

ID統合管理基盤：全システムにまたがってID情報とアクセス権限を一元管理する基盤です。

Active Directory

2

アイデンティディ・アクセス管理（IAM) の課題と解決策


お客様の生の声


> コンプライアンス要件充足のための、複雑かつ高コストな活動

「必要最低限の監査基準を満たすためですら、高コストで多くの手作業が必要となってしまう。しかも次の

監査までに再度同じ作業を繰り返さなければならない。」

> ヘルプデスクの過負担・非効率

「ヘルプデスクへの問合せ・依頼のうち30パーセントが単なるパスワード忘れによるものに過ぎない。」

> メンテナンスコスト、運用負荷の増大

「運用・管理要員を増やす余裕は無い。しかしユーザ数は増加する一方で、ビジネスの観点からもより多くの

顧客情報・パートナー情報を管理していきたい。」

> ゴーストアカウントの残存

「とうに退社した人のアカウントがシステムに残っているが、見直しをする手間を掛けられない。」

> 混沌とした、時には不適切な権限付与

「従業員やパートナーの部署役割が変化しているにも関わらず、新しい権限を付与するばかり。不要となった

権限を見直すことができていない。」

> 監査人の要求への対応

「内部監査人・外部監査人が、機密データ・財務データへのアクセスが十分にコントロールされているかを

チェックするだけ。彼らはそれがどれだけビジネスに負担となるか考慮していない。」

4

課題


セキュリティ管理者

多数のユーザ>顧客>従業員>パートナー

多数のアプリケーション>調達・物流>財務>サービス>生産管理>CRM...

多数の管理タスク>多数のインシデント>ユーザ・パスワード管理...

管理コストの膨張

手作業によるITプロセス

多数のアイデンティティ情報>Mainframe>RDBMS>LDAP>OS>ERP…

継続的なメンテナンスが困難

コンプライアンス保持に支障

セキュリティリスクの発生

乱立するセキュリティ管理対象

セキュリティ対策の不統一な

実施

アクセス権を管理しきれない

ヘルプデスクに要するコスト

がかさむ

5

解決策


必要最低限に絞られたID> 管理の容易化> 管理コストの削減> 監査プロセスの改善による

コンプライアンス達成の容易化

一元化されるアイデンティティ／アクセス管理情報

> 管理コストの削減

> クロスプラットフォームで一貫した管理タスク

> ITプロセスの自動化

多数のユーザ多数のアプリケーション

>シングルサインオン

>ユーザセルフサービス

>一元化されたセキュリティ

>開発負担を軽減

セキュリティポリシー

太字： CA IdentityMinderの対応範囲、それ以外は別製品（CA SiteMinder）での管理

セキュリティ管理者はアイデンティティ／アクセス管理を一元的に実施することができる。

セキュリティ管理者

6

IAMソリューション


CA IdentityMinderでＩＤ情報の統合管理、CA SiteMinderでＷｅｂの認証基盤（ＳＳＯ）を構築することができます。ＩＤ管理者はシームレスに複数のサーバのID情報を一元管理することができ、エンドユーザは複数のWebシステムのシングルサインオンを実現することが可能です。

CA IdentityMinder CA SiteMinder

エンドユーザID管理者

Web サーバID登録先サーバ

リポジトリ（ユーザ、ログ等）

IDの登録・変更・削除セルフサービス

（パスワードリセット等）Webアクセス

シングルサインオン

ID情報の統合管理

・IDや権限の基盤管理・セルフサービス

Webの認証基盤、SSO

・各Webアプリの認証基盤・利便性と生産性の向上

7

製品情報


アイデンティティ管理


アイデンティティのライフサイクルを統合的に管理

多数の事例で証明されたスケーラビリティ（最大で数百万人規模）

アイデンティティ管理として、以下のような機能があります。

管理タスク・権限の適切な分掌

エンドユーザによるセルフサービス

承認と通知に特化したワークフロー

監査とレポート

利便性の高い画面

多彩なインターフェース

全システムにまたがってID情報とアクセス権限を一元管理可能です。

9

管理タスク・権限の適切な分掌


「ユーザ管理者」権限内容

> ID管理と権限設定業務を委譲

管理タスクや権限を管理ロールとして分掌

→ ID管理業務の分掌化・効率化

> 管理タスク例

ユーザの作成

グループの作成

ユーザの作成の承認

グループメンバの追加

プロビジョニングロールの付与

10

エンドユーザによるセルフサービス


> ブラウザ上で、自身のアイデンティティ属性情報を変更可能

アプリケーションへのアクセス権限の変更、追加申請

パスワードの変更、パスワード忘れへの対応

パスワード忘れ対応用ダイアログ

11

承認と通知に特化したワークフロー


各システムへのアクセスに必要となるユーザーIDの作成/各種権限の付与業務を、容易にかつ、より迅速に一貫性のある方式で提供します。

> アイデンティティワークフロー

CA IdentityMinderのタスクを

ワークフロープロセスでコントロール

画面レベルでの簡単な設定

汎用的に利用可能な二段階承認の

プロセスを、デフォルトで用意

フローのトラッキング

申請者や承認者へのメール通知

必要に応じ、デザイナーによって

ワークフロープロセスを定義

12

監査とレポート


アイデンティティ情報の監査（ＩＤ情報の棚卸や不一致チェック等）を実施し、レポーティングします。

レポーティングツール

オブジェクトストアエンドポイント

レポート用DB

収集収集

生成出力

レポート

> レポートデータの収集オブジェクトストアや管理対象システムから収集

– オブジェクトストア：ユーザ、権限情報など

– 管理対象システム：アカウント情報など

例：ユーザとアカウントの一覧など

> RDBへのレポートデータの出力

> レポーティングツールによるレポート生成

13

利便性の高い画面


> Web GUI による簡単な操作

• 権限設定からログ閲覧まで、ＩＤライフサイクル管理に

必要な一連の機能を集約

• 各種コンポーネントの設定も集約

> 設定レベルでの変更

• 表示項目、入力フィールド、ボタン、の変更等々、

画面内のカスタマイズは設定レベルで可能

14

多彩なインターフェース


> コマンドラインによるインターフェース

ユーザ情報の配信、管理対象システムからの

情報収集など、様々な機能を提供

> CSV によるインターフェース

CSVファイル内のユーザ情報を、画面から

マッピング可能

人事異動などで大量に変更されるユーザ情報を

容易に一括反映

> Web サービスによるインターフェース

すべてのID管理タスクを、Webサービスとして

利用可能

外部のアプリケーション等から、ID管理タスクを呼び出し可能

15

アカウントのプロビジョニング


企業内の全部門・全システムにおける、アカウント情報の登録/修正/使用停止/削除などを自動化

以下の機能により、複数のサーバのアカウントのプロビジョニングを自動化できます。

役割＋条件ベースのプロビジョニング

多様な管理対象をサポートしたコネクタ

カスタムコネクタ作成ツール

パスワード管理

– 双方向パスワード同期など

16

役割＋条件ベースのプロビジョニング


> 条件ベース

特定の条件/ルールに合致した場合に

「アイデンティティ・ポリシー」を適用

→ ID管理業務の自動化

→ コンプライアンスの支援

> 役割ベース

アカウント作成タスクの集合体としての

役割（「プロビジョニングロール」）を定義

条件設定例

17

プロビジョニングイメージ


新規ユーザーが配属された場合の、アカウントのプロビジョニングの流れです。ロール情報に従って、該当するアカウントテンプレートに所属した情報で各種サーバにアカウントが作成されます。

営業OU一般ユーザ

情報システムOUAdminグループ

salesグループrootグループ public

営業メンバーロール

db_owner

新規ユーザ（情報システム部）

アカウント作成



SQL ServerSQL ServerActive DirectoryActive Directory Red Hat LinuxRed Hat Linux

情報システムメンバーロール

アカウントテンプレート

アカウント管理システム

ロール

ロール付与

18

多様な管理対象をサポートしたコネクタ


CA IdentityMinderCA IdentityMinder

オペレーティングシステム・Windows Server・Windows Vista/7/8・Microsoft Active Directory・Oracle Solaris・RedHat Enterprise Linux・HP-UX・IBM AIX

…

オペレーティングシステム・Windows Server・Windows Vista/7/8・Microsoft Active Directory・Oracle Solaris・RedHat Enterprise Linux・HP-UX・IBM AIX

…

データベース(RDBMS)・Microsoft SQL Server・Oracle

…

データベース(RDBMS)・Microsoft SQL Server・Oracle

…

グループウェア・Microsoft Exchange・IBM Lotus Notes Domino

Server・Microsoft Office 365・Microsoft Lync Server

…

グループウェア・Microsoft Exchange・IBM Lotus Notes Domino

Server・Microsoft Office 365・Microsoft Lync Server

…

SaaSアプリケーション・Salesforce・Google Apps・SCIM

SaaSアプリケーション・Salesforce・Google Apps・SCIM

LDAP・Microsoft ADAM・CA Directory・Sun Directory Server・Novell eDirectory

…

LDAP・Microsoft ADAM・CA Directory・Sun Directory Server・Novell eDirectory

…

Connector Xpressによるコネクタ・JDBC

- Microsoft SQL Server- Oracle

…・JNDI

- Sun Directory Server- Novell eDirectory

…

Connector Xpressによるコネクタ・JDBC

- Microsoft SQL Server- Oracle

…・JNDI

- Sun Directory Server- Novell eDirectory

…

各種OSからWebアプリケーションに至るまで幅広い管理対象システムに対して、豊富なコネクタを標準で提供します。

19

カスタムコネクタ生成ツール


> DBテーブル用/LDAP用の、コネクタ生成ツールを標準で搭載

ウィザードにて、管理対象テーブル/ツリーのID, パスワード, 属性等をマッピング

コネクタ定義の後、ツールが自動デプロイ

コーディングによる作成が不要

→ 開発期間を大幅短縮

20

パスワード管理


> OS, Active Directory, メインフレームとの双方向のパスワード同期

パスワード変更をフック → すべてのシステムに反映

> パスワードルールの適用

最少文字数、最多文字数の制限

使用文字の種類の制限

正規表現による制限

数字、英文字の繰り返しの禁止

etc

Active Directory システムA システムB

パスワード変更

パスワードの反映

CA IdentityMinderCA IdentityMinder

21

動作環境

種類/用途動作OS／環境

IdentityMinder

Microsoft Windows Server 2008 (*1)Microsoft Windows Server 2008 R2Microsoft Windows Server 2012Microsoft Windows Server 2012 R2 (*1)Oracle Solaris 10Red Hat Enterprise Linux 5/6 (for Intel64)

アプリケーションサーバ

(IdentityMinderが動作)

動作OSがWindows/Linuxの場合：Interstage Application Server Standard-J Edition V10(64bit)Interstage Application Server Enterprise Edition V10(64bit)Interstage Application Server Standard-J Edition V11 (64bit)Interstage Application Server Enterprise Edition V11 (64bit)

動作OSがSolarisの場合：Interstage Application Server Standard-J Edition V11 (64bit)Interstage Application Server Enterprise Edition V11 (64bit)

Runtime Store(*2)

Microsoft SQL Server 2005 SP4/2008 SP2/2008 R2 SP2/2012 SP1

Oracle Database 10g r2/10g r2 RAC/11g r1/11g r2/11g r2 RAC/12c/12c RAC

(*1) CA IdentityMinder付属のレポーティングツールを除く。(*2) CA IdentityMinderが管理するユーザー情報を格納するリポジトリ


動作環境

種類/用途動作OS／環境

User Store(*3)

CA Directory r12 SPx(※本製品に同梱しています。)Oracle Sun Java System Directory Server (iPlanet) v6.3/7.0Microsoft Active Directory 2008 SP2/2008 R2 SP1/2012/2012 R2Microsoft ADAM/LDS 2008 SP2/2008 R2 SP1/2012IBM Directory Server 6.xNovell eDirectory 8.8.xOracle OID 10g/10g r3/11g r1Oracle Database 10g r2/10g r2 RAC/11g r1/11g r2/11g r2

RAC/12c/12c RACMicrosoft SQL Server 2005 SP4/2008 SP2/2008 R2 SP2/2012 SP1Red Hat Directory Server 8.2Oracle Directory Server EE 11g(11.1.1.5)

コネクタ

（管理対象サーバ）「多様な管理対象をサポートしたコネクタ」を参照 (*4)

WebコンソールInternet Explorer 10x/11x (デスクトップ版での利用が可能です。)Mozilla Firefox (*5)Google Chrome (*5)


(*3)CA IdentityMinderが管理するポリシー情報・動作ログなどを格納するリポジトリ(*4)詳細なアプリケーション/システムについては弊社営業/SEにお問い合わせください(*5)バージョンについては弊社営業/SEにお問い合わせください

23

登録商標

Systemwalker、Interstageは、富士通株式会社の登録商標です。

CA IdentityMinder、CA SiteMinderは、米国およびその他の国における米国CA Inc.またはその子会社の商標または登録商標です。

Windows Vista、Windows 7、 Windows 8、Windows Server 2008、 Windows Server 2012、 Internet Explorerは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。

UNIXは、米国およびその他の国におけるオープン・グループの登録商標です。

OracleとJavaは、Oracle Corporation およびその子会社、関連会社の米国およびその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。

Oracle Solarisは、Solaris、 Solaris Operating System、 Solaris OSと記載することがあります。

Red Hat、Shadowman logo、JBossは米国およびそのほかの国において登録されたRed Hat, Inc. の商標です。

Linux は、Linus Torvalds氏の登録商標です。

その他、本資料に記載されているシステム名、製品名等には必ずしも商標表示(TM・ ®)

を付記しておりません。



Documents

CA IdentityMinder ご紹介資料 - fujitsu.com · ・HP-UX ・IBMAIX … ... Oracle Database 10g r2/10g r2 RAC/11g r1/11g r2/11g r2 RAC/12c/12c RAC Microsoft SQL Server 2005 SP4/2008