C : 従業員のID管理に手間がかかってきたので、そろそろ統一的なID管理基盤を導入したい成長中の企業タイプ

想定されるID管理の課題

診断チャートでは、C タイプにたどり着く経路が複数存在するので、C タイプにはいくつかのパターンが混在します。

大きく分けて、以下の3つのパターンが存在するのではないでしょうか？

C タイプのすべてのパターンにまたがって提案可能な改善策としては、以下のようなものが挙げられます。

ID 管理業務の自動化に関しては、EIWG 利用ガイドラインの 1.5 ～ 1.6 の ID プロビジョニングに関する記述を参考にしてください。

当該ガイドラインには、プロビジョニングという概念の解説から、社員IDのライフサイクルモデル、ライフサイクルイベント発生源としての人事システムと ID 管理システムとの連携の必要性などについて記述されています。

またそれぞれのパターンでの状況把握および改善策については、以下をご覧ください。

まだ ID 管理基盤を持っていない企業では、社員が利用するサービスごとに個別の ID & パスワードを登録・利用・管理しているものと思われます。

同じパスワードを使い回すことで、1箇所からのパスワード漏洩により当該社員の全てのサービスのアカウントが危険に晒されることが懸念されます。

また退職や異動に伴うサービスアカウントの削除・属性変更処理も、情報システム部門の担当者等が個々のサービスごとに行なっているのではないですか？

このタイプの企業には、以下の改善策を提案します。

なお、上記の改善策を実践すると、御社の ID 管理基盤は、以下のような構成になることでしょう。

図1: ID管理基盤による SSO / Federation の実現

全ての社員の ID & パスワードは ID 管理基盤にて集中管理され、各サービスにはその ID を使って ID 連携によりログイン (SSO / Federation) することになります。

また将来的には ID 管理基盤上で実施されたアカウント作成・削除・属性更新は、必要に応じて SCIM プロトコルにより各サービスに自動的に反映することを検討してもよいでしょう。

いわゆる IDaaS と呼ばれるクラウド上の ID 管理基盤を利用している企業では、すでに IDaaS にて管理された ID を利用してさまざまなサービスに ID 連携 (SSO / Federation) によってログインする基盤が整っていることと思われます。

また退職や異動に伴うサービスアカウントの削除・属性変更処理も、SCIM によって自動化できる状況にあるのではないでしょうか？

ぜひ以下のポイントを抑えて、IDaaS が持つそれらの機能をフル活用していきましょう。

それによって、御社の ID 管理基盤は、以下のような構成になることでしょう。

図2: IDaaSのID管理機能を活用したID管理業務の自動化

また会社の規模が大きくなると、情報システム部門の管轄外で、部署ごとや社員独自での SaaS サービス利用が発生し始めます。そういった状況を適切に監視・管理するためには、CASB とよばれるサービスの導入も検討する価値があるでしょう。

オンプレ環境に ID 管理基盤を持っている企業でも、すでに IDaaS にて管理された ID を利用してさまざまなサービスに ID 連携 (SSO / Federation) によってログインする基盤が整っていることと思われます。

しかしながら、退職や異動に伴うサービスアカウントの削除・属性変更処理を自動化する SCIM プロトコルはサポートされていないことも多いでしょう。

SCIM をサポートしていない ID 管理基盤をお使いの場合は、SIer さんに依頼して CSV 連携により ID 情報のプロビジョニングを行うなどが主流になるでしょう。

また SIer さんに依頼するコスト負担が無視できない中小企業等の場合は、カスタマイズしなくても標準仕様 (SCIM) に準拠したプロビジョニングAPIを持つ IDaaS の併用や移行を検討してもよいでしょう。

それによって、御社の ID 管理基盤は、以下のような構成になることでしょう。

図3: 企業内に構築したID管理基盤を連携させたクラウド・オンプレのID管理業務の自動化