IDaaSとは、何か? (5) 〜使えるように準備する〜
IDaaSについて紐解く人気シリーズ「IDaaSとは何か」の一回目の記事、[IDaaSとは、何か(1)」で、以下の機能があるとご紹介しました。
- 保存:Identityに関する情報を保存・管理する。
- 認証:利用者が誰なのかを管理する。
- 認可:利用者が許可されているサービスやリソースを管理する。
- プロビジョニング: 利用者が許可されているサービスに対して、アカウントを管理する。
前回は、IDaaSとは、何か? (4) 〜どのサービスを使わせるか〜として、「認可」について、見てみました。
今回は、「プロビジョニング」です。
プロビジョニングってなに?
プロビジョニング(provisioning)とは、広義では、サーバやサーバのリソース等を使えるようにするという意味ですが、IDaaSの文脈では、「対象サービスでアカウントを準備し、ユーザが利用できるようにする」といった意味合いです。 前回までの記事で見てきた通り、IDaaSでは、IDentityに関する情報を「保存」していて、その情報に基づいて、利用者が誰かを「認証」によって明らかにします。
さらに、明らかになったユーザにどのサービスが許可されているかを「認可」によって、確認します。ただ、認可されているサービスがわかったとしても、そのサービスの方では、まだ利用可能な状態に準備されていません。ここで、「利用可能な状態に準備する」という処理がプロビジョニングです。IDaaSが持つ情報を使って、対象サービスにアカウントを作成し、利用できる状態にします。
さらに、明らかになったユーザにどのサービスが許可されているかを「認可」によって、確認します。ただ、認可されているサービスがわかったとしても、そのサービスの方では、まだ利用可能な状態に準備されていません。ここで、「利用可能な状態に準備する」という処理がプロビジョニングです。IDaaSが持つ情報を使って、対象サービスにアカウントを作成し、利用できる状態にします。
プロビジョニングまで出来て一気通貫
プロビジョニングまで出来れば、なにもない状態から、利用者にサービスを利用させる準備が整うところまでの処理が一通り揃うということになります。
例をあげてみましょう。 例えば、営業担当にGmailとSalesforceを利用させる会社に、社員が入社したとします。IDaaSが導入されていなければ、GmailとSalesforceの双方に、アカウントを個別に作成する必要があります。IDaaSを導入していて、Gmailと、Salesforceにプロビジョニング連携設定ができていれば、IDaaSで、アカウントを作成し、GmailとSalesforceを認可してあげることで、GmailとSalesforceにも、自動的にアカウントが作成され、利用可能な状態になります。
その上、認証は、IDaaSがシングルサインオンでまとめるので、個別にログインする必要はありませんし、パスワードの管理も不要です。利用するサービスが複数ある場合でも、IDaaSに登録して、認可するだけで、入社準備が完了するということになります。
例をあげてみましょう。 例えば、営業担当にGmailとSalesforceを利用させる会社に、社員が入社したとします。IDaaSが導入されていなければ、GmailとSalesforceの双方に、アカウントを個別に作成する必要があります。IDaaSを導入していて、Gmailと、Salesforceにプロビジョニング連携設定ができていれば、IDaaSで、アカウントを作成し、GmailとSalesforceを認可してあげることで、GmailとSalesforceにも、自動的にアカウントが作成され、利用可能な状態になります。
その上、認証は、IDaaSがシングルサインオンでまとめるので、個別にログインする必要はありませんし、パスワードの管理も不要です。利用するサービスが複数ある場合でも、IDaaSに登録して、認可するだけで、入社準備が完了するということになります。
準備だけでなく、更新や、利用中止まで
プロビジョニングは、利用を準備するという処理だけに注目が集まり勝ちですが、運用していく上で重要なのは、情報の更新や、利用の中止についても、管理できるという点です。
情報は、運用していく中で、更新されることもありますし、削除されることもあります。IDaaSが対象サービスに対して、プロビジョニングをサポートしている場合、IDaaSで情報を更新することで、認可されているサービスに情報が伝搬します。
先の例で言えば、営業担当者の姓が変わった場合、IDaaSで変更することで、Gmail、Salesforceの情報も更新されます。さらに、異動により、営業部を離れるとすると、Salesforceは利用しなくなります。ただ、Gmailはそのまま利用します。そのようなケースでは、IDaaSで、Salesforceの利用する設定を外すことで、Salesforce側のアカウントは利用停止状態となります。
情報は、運用していく中で、更新されることもありますし、削除されることもあります。IDaaSが対象サービスに対して、プロビジョニングをサポートしている場合、IDaaSで情報を更新することで、認可されているサービスに情報が伝搬します。
先の例で言えば、営業担当者の姓が変わった場合、IDaaSで変更することで、Gmail、Salesforceの情報も更新されます。さらに、異動により、営業部を離れるとすると、Salesforceは利用しなくなります。ただ、Gmailはそのまま利用します。そのようなケースでは、IDaaSで、Salesforceの利用する設定を外すことで、Salesforce側のアカウントは利用停止状態となります。
退職や、異動により、利用していたサービスを利用できない状態にするということは、利用開始時に比べて、軽視されやすいものですが、セキュリティの観点に立つと、非常に重要な意味を持ちます。
すべてを一箇所で
ここまで見てきたように、プロビジョニングがサポートされていると、IDaaS上の情報のみを適切に管理することで、連携するサービス上のアカウントを管理することができます。昨今のクラウドサービスは、高度な単機能を提供するものが多くあります。そのため、必要なサービスを必要に利用者だけに必要な期間だけ提供するという運用が求められます。
そのような運用をするためには、個別のサービス上で、それぞれアカウントを管理するのは、現実的ではありません。利用可能にすることが出来ても、適切に利用できないようにするという処理を徹底するのは、難しいでしょう。
退職者のアカウントを削除し忘れていて、利用できるようになっていたという状況は避けなくてはなりません。 そのような要件を満たすのが、プロビジョニング機能を備えたIDaaSです。一箇所だけ注意しておくことで、迅速なサービス利用準備と高いセキュリティを実現できます。
そのような運用をするためには、個別のサービス上で、それぞれアカウントを管理するのは、現実的ではありません。利用可能にすることが出来ても、適切に利用できないようにするという処理を徹底するのは、難しいでしょう。
退職者のアカウントを削除し忘れていて、利用できるようになっていたという状況は避けなくてはなりません。 そのような要件を満たすのが、プロビジョニング機能を備えたIDaaSです。一箇所だけ注意しておくことで、迅速なサービス利用準備と高いセキュリティを実現できます。
シングルサインオン
今回掘り下げたプロビジョニングまでできることで、利用準備を整えられました。次回は準備できた環境を使うにあたって、高い利便性をユーザに提供すると同時に、高度なセキュリティも実現する、「シングルサインオン」について、掘り下げてみます。