More Related Content Similar to IDガバナンス&管理の基礎 (20) More from Hitachi, Ltd. OSS Solution Center.
More from Hitachi, Ltd. OSS Solution Center. (20) IDガバナンス&管理の基礎1. © Hitachi, Ltd. 2022. All rights reserved.
IDガバナンス&管理の基礎
株式会社 日立製作所
高井 真人
OSSセキュリティ技術の会 第11回勉強会
2. 1
© Hitachi, Ltd. 2022. All rights reserved.
本発表の目的
@ITにて、「midPointで学ぶIDガバナンス&管理(IGA)の基礎」
というタイトルで連載を開始しました!
IDガバナンス&管理(IGA)を実現するOSS「midPoint」とは:midPointで学ぶIDガバナンス&管理(IGA)の基礎(1) - @IT (itmedia.co.jp)
本連載では、IGAの概念やIGAを実現するOSS midPointの説明
から、ユースケースに沿った模擬システムの構築、設定などを行います。
本発表の目的:
• 第一回の内容を概説することで、IGAってなに?というのを知っていただく
• 連載に興味を持ってもらい皆様に読んでいただく
3. 2
© Hitachi, Ltd. 2022. All rights reserved.
目次
1. Keycloakだけでは解決が難しいIDの課題
2. IDガバナンス&管理(IGA)とは
3. IGAのユースケース
4. midPointによるIGAの実現
5. まとめ
4. 3
© Hitachi, Ltd. 2022. All rights reserved.
目次
1. Keycloakだけでは解決が難しいIDの課題
2. IDガバナンス&管理(IGA)とは
3. IGAのユースケース
4. midPointによるIGAの実現
5. まとめ
5. 4
© Hitachi, Ltd. 2022. All rights reserved.
Keycloakだけでは解決が難しいIDの課題
Keycloak
認証認可
Keycloakが行う認証認可
IDに基づく認証
(OIDC、多要素認証、フェデレーション)
ユーザ/ロール/グループに基づく認可
属性/時間などを利用した高度な認可
アプリケーション
人事システム 監査
6. 5
© Hitachi, Ltd. 2022. All rights reserved.
Keycloakだけでは解決が難しいIDの課題
Keycloak
認証認可
IDや権限の状態を正しく維持する
にはどうしたらよいのか
IDは誰が、どの情報にもとづいて
登録/削除/修正するのか
権限は誰が、どの情報にもとづいて
付与/削除するのか
Keycloakだけでは解決が難しいIDの課題
Keycloakが行う認証認可
IDに基づく認証
(OIDC、多要素認証、フェデレーション)
ユーザ/ロール/グループに基づく認可
属性/時間などを利用した高度な認可
アプリケーション
人事システム 監査
7. 6
© Hitachi, Ltd. 2022. All rights reserved.
目次
1. Keycloakだけでは解決が難しいIDの課題
2. IDガバナンス&管理(IGA)とは
3. IGAのユースケース
4. midPointによるIGAの実現
5. まとめ
8. 7
© Hitachi, Ltd. 2022. All rights reserved.
IDガバナンス&管理(IGA)とは
ID管理が適切に行われるよう統制(ガバナンス)する仕組み
ID管理の基本的な仕組み
IGA
IDM
AM :Access Management
IDM:Identity Management
IGA: Identity Governance and Administration
• IDやパスワードの格納
• 他システムへのID、パスワードの配布
(プロビジョニング)
• 情報資産運用ポリシー、セキュリティーポリシーの整備
• ポリシーを元にした、入社、退社、異動などの人事イベント
に伴うIDの生成・削除・変更(IDライフサイクルの管理)
• ポリシーとIDライフサイクルに応じた、所属や権限の変更
• 定期的なIDや権限の状況の確認・棚卸
認証・認可の仕組み
AM
• IDやパスワードによるユーザ確認
• リソースアクセスの許可/拒否
• IDガバナンス&管理はID管理を拡張した概念
• 単にIDを管理するだけでなく、IDや権限を正しい状態に管理するための仕組み
9. 8
© Hitachi, Ltd. 2022. All rights reserved.
IGAを構成する主な要素
分類 項目 概要
IDの管理
IDライフサイクル管理 IDの登録から破棄までのライフサイクルを管理する機能
フルフィルメント アプリケーションや、LDAPなどの認証基盤にID・グループ情報・グループ所属情報など
をプロビジョニングする機能
権限の
管理
エンタイトルメント管理 エンタイトルメント情報(役割や組織に伴う資格)を管理する機能
【例】IGAシステムと連携するシステム(アプリケーション)の利用権限や、そのシステム
内で何ができるかの権限(グループやロールなど)を定義する。
ポリシー・ロール管理 ロールベースアクセスコントロール(RBAC)・属性ベースアクセスコントロール
(ABAC)などの権限制御や、自動的なロールの割り当てを行う機能
アクセス要求・アクセス認定 アクセス要求:ユーザーからのロールやグループへの参加要求を可能にする機能
アクセス認定:不要なアクセス権限を適切なタイミングで適切な実施者が見直しする
ことを支援する棚卸機能
運用 ワークフロー ID登録・変更や前述の「アクセス要求」に対する、制御や承認を行う機能
監査・分析
監査 現在のIDの状態、権限付与の状態を監査し、職務分掌違反や不適切なアカウント
の存在を検出してアラートを発する機能
レポーティング・分析 ロールマイニング(ロールの定義を設計し、最適化するための分析)や、組織内で使
用するアクセス権の実態分析などのレポートを出力する機能
Gartnerによるレポート[1]より引用
[1] Henrique Teixeira, et.al “IAM Leaders’ Guide to Identity Governance and Administration,” 5th April, 2021.
10. 9
© Hitachi, Ltd. 2022. All rights reserved.
Keycloakで課題となるIDガバナンス&管理
Keycloak
認証認可
IDや権限の状態を正しく維持する
にはどうしたらよいのか
IDは誰が、どの情報にもとづいて
登録/削除/修正するのか
権限は誰が、どの情報にもとづいて
付与/削除するのか
Keycloakが行う認証認可
IDに基づく認証
(OIDC、多要素認証、フェデレーション)
ユーザ/ロール/グループに基づく認可
属性/時間などを利用した高度な認可
アプリケーション
人事システム 監査
Keycloakだけでは解決が難しいIDの課題
11. 10
© Hitachi, Ltd. 2022. All rights reserved.
Keycloakから見るIGAが解決する課題
Keycloak
認証認可
IDや権限の状態を正しく維持する
にはどうしたらよいのか
IDは誰が、どの情報にもとづいて
登録/削除/修正するのか
権限は誰が、どの情報にもとづいて
付与/削除するのか
IDに基づく認証
(OIDC、多要素認証、フェデレーション)
ユーザ/ロール/グループに基づく認可
属性/時間などを利用した高度な認可
アプリケーション
人事システム 監査
IDライフサイクル管理
フルフィルメント、パスワード管理
Keycloakが行う認証認可 Keycloakだけでは解決が難しいIDの課題
12. 11
© Hitachi, Ltd. 2022. All rights reserved.
Keycloakから見るIGAが解決する課題
Keycloak
認証認可
IDや権限の状態を正しく維持する
にはどうしたらよいのか
IDは誰が、どの情報にもとづいて
登録/削除/修正するのか
権限は誰が、どの情報にもとづいて
付与/削除するのか
IDに基づく認証
(OIDC、多要素認証、フェデレーション)
ユーザ/ロール/グループに基づく認可
属性/時間などを利用した高度な認可
アプリケーション
人事システム 監査
IDライフサイクル管理
フルフィルメント、パスワード管理
エンタイトルメント管理
ポリシー・ロール管理
アクセス要求、ワークフロー
Keycloakが行う認証認可 Keycloakだけでは解決が難しいIDの課題
13. 12
© Hitachi, Ltd. 2022. All rights reserved.
Keycloakから見るIGAが解決する課題
Keycloak
認証認可
IDや権限の状態を正しく維持する
にはどうしたらよいのか
IDは誰が、どの情報にもとづいて
登録/削除/修正するのか
権限は誰が、どの情報にもとづいて
付与/削除するのか
IDに基づく認証
(OIDC、多要素認証、フェデレーション)
ユーザ/ロール/グループに基づく認可
属性/時間などを利用した高度な認可
アプリケーション
人事システム 監査
IDライフサイクル管理
フルフィルメント、パスワード管理
エンタイトルメント管理
ポリシー・ロール管理
アクセス要求、ワークフロー
アクセス認定
監査
レポーティング・分析
Keycloakが行う認証認可 Keycloakだけでは解決が難しいIDの課題
14. 13
© Hitachi, Ltd. 2022. All rights reserved.
目次
1. Keycloakだけでは解決が難しいIDの課題
2. IDガバナンス&管理(IGA)とは
3. IGAのユースケース
4. midPointによるIGAの実現
5. まとめ
15. 14
© Hitachi, Ltd. 2022. All rights reserved.
IGAのユースケース
• IGAのユースケースとして以下の3つを例に説明
1. 入社時のユーザID作成
2. アクセス権限の付与
3. アクセス権の棚卸
• 各ユースケースの説明から、なぜIGA製品を使うと効率的な
IDの管理や統制がはかれるのか理解いただく
16. 15
© Hitachi, Ltd. 2022. All rights reserved.
IGAのユースケース:入社時のユーザID作成
入社時のアカウント連携業務
ユーザインポート
属性や所属組織を
もとにロール割当
複数の他システムへ
アカウントを連携
IT管理者
IDM製品 IDM製品
連携用スクリプト
インポート 手動割当
キック
他システム
入社時のアカウント連携業務
1 2 3
IT管理者
IT管理者
[課題]
ユーザのインポート、権限(ロール)の割当、他システムへの連携をそれぞれ手動で実施する必要がある
ため、異動時期の業務負荷が大きく設定誤りも発生
17. 16
© Hitachi, Ltd. 2022. All rights reserved.
IGAのユースケース:入社時のユーザID作成
入社時のアカウント連携業務
ユーザインポート
属性や所属組織を
もとにロール割当
複数の他システムへ
アカウントを連携
IT管理者
インポート 他システム
入社時のアカウント連携業務
1 2 3
IGA製品 IGA製品 IGA製品
自動フルフィルメント
ポリシーによる自動割当
[課題]
ユーザのインポート、権限(ロール)の割当、他システムへの連携をそれぞれ手動で実施する必要がある
ため、異動時期の業務負荷が大きく設定誤りも発生
[IGA製品を使った解決]
ユーザのインポートにあわせて権限(ロール)の割当、他システムへの連携をIGAが自動実施し省力化
18. 17
© Hitachi, Ltd. 2022. All rights reserved.
IGAのユースケース:アクセス権限の付与
入社時のアカウント連携業務
アクセスの要求
アクセス要求の
承認
承認結果の連
携
ロール割当の依頼
特別なアクセス権限の割当業務
1 2 3
ロールの割当
4
IDM製品
IT管理者
手動割当
マネージャー マネージャー マネージャー
一般ユーザ
アクセス権付与の依頼
メール内容を判断
IT管理者
[課題]
ユーザによるアクセス権の要求フローが非効率で時間がかかり証跡も残らない。手動割当の設定誤りもある。
19. 18
© Hitachi, Ltd. 2022. All rights reserved.
IGAのユースケース:アクセス権限の付与
入社時のアカウント連携業務
アクセスの要求
アクセス要求の
承認
承認結果の連携
特別なアクセス権限の割当業務
1 2 3
ロールの割当
4
マネージャー
一般ユーザ
IGA製品 IGA製品 IGA製品
不要
ワークフローによる
ロールの自動割当
ワークフローを使った
アクセス権付与の依頼
ワークフローを使った
アクセス権付与の承認
[課題]
ユーザによるアクセス権の要求フローが非効率で時間がかかり証跡も残らない。手動割当の設定誤りもある。
[IGA製品を使った解決]
ワークフロー機能で効率的に要求/承認できて証跡も残せる。システムが付与するので誤りもない。
20. 19
© Hitachi, Ltd. 2022. All rights reserved.
IGAのユースケース:アクセス権の棚卸
入社時のアカウント連携業務
棚卸方法の定義と
スケジューリング
棚卸の実施 棚卸結果の報告
IDM製品
手動はく奪
社内規定に則ったアクセス権限の棚卸業務
IT管理者
棚卸結果に基づく
ロールのはく奪
棚卸結果の
連携/集計
スケジュールに
沿った棚卸の依頼
1 4 6
3 5
2
セキュリティ担当者
マネージャー
セキュリティ担当者
セキュリティ担当者
マネージャー セキュリティ担当者
セキュリティ担当者
実施方法作成
実施要領 実施結果
報告書作成
依頼
XLSファイル更新
[課題]
棚卸の準備(実施方法、棚卸対象の抽出)に時間がかかり、棚卸結果反映も手動で設定誤りが心配。
21. 20
© Hitachi, Ltd. 2022. All rights reserved.
IGAのユースケース:アクセス権の棚卸
入社時のアカウント連携業務
棚卸方法の定義と
スケジューリング
棚卸の実施 棚卸結果の報告
社内規定に則ったアクセス権限の棚卸業務
棚卸結果に基づく
ロールのはく奪
棚卸結果の
連携/集計
スケジュールに
沿った棚卸の依頼
1 4 6
3 5
2
マネージャー
セキュリティ担当者
棚卸機能を使った
実施方法の定義
レポーティング
IGA製品 IGA製品 IGA製品 IGA製品 IGA製品
棚卸機能を使った
アクセス権限の見直し
棚卸機能による
自動集計
棚卸機能による
自動はく奪
IGA製品
棚卸機能による
自動トリガー
[課題]
棚卸の準備(実施方法、棚卸対象の抽出)に時間がかかり、棚卸結果反映も手動で設定誤りが心配。
[IGA製品を使った解決]
システムに棚卸対象やスケジューリングを設定しておけば、自動的に対象IDを集計して実施・権限のはく奪
が行われる。
22. 21
© Hitachi, Ltd. 2022. All rights reserved.
目次
1. Keycloakだけでは解決が難しいIDの課題
2. IDガバナンス&管理(IGA)とは
3. IGAのユースケース
4. midPointによるIGAの実現
5. まとめ
23. 22
© Hitachi, Ltd. 2022. All rights reserved.
midPointによるIGAの実現
• midPointはOSSとして開発されているIGAプラットフォーム
• 他のIGA関連OSSに比べ機能が豊富で、IGAの主要素を標準で実現可能
• 欧州を中心に公的機関等のID管理に利用されており多数の採用実績あり
• コネクタにより多様なシステムと接続例:LDAP、AD、RDB、CSV、Amazon
Cognito、Okta、Azure AD、GitHubなど
Keycloak
アプリケーション
人事システム
監査者
midPoint
コ
ネ
ク
タ
コ
ネ
ク
タ
コ
ネ
ク
タ
コ
ネ
ク
タ
SaaS
運用者
利用者
24. 23
© Hitachi, Ltd. 2022. All rights reserved.
midPointによるIGAの実現
Keycloak
アプリケーション
人事システム
midPoint
コ
ネ
ク
タ
コ
ネ
ク
タ
コ
ネ
ク
タ
コ
ネ
ク
タ
SaaS
IDや権限の状態を正しく維持する
にはどうしたらよいのか
IDは誰が、どの情報にもとづいて
登録/削除/修正するのか
権限は誰が、どの情報にもとづいて
付与/削除するのか
監査者 運用者
利用者
25. 24
© Hitachi, Ltd. 2022. All rights reserved.
midPointによるIGAの実現
Keycloak
アプリケーション
人事システム
midPoint
コ
ネ
ク
タ
コ
ネ
ク
タ
コ
ネ
ク
タ
コ
ネ
ク
タ
SaaS
IDは誰が、どの情報にもとづいて
登録/削除/修正するのか
監査者 運用者
人事システムをマスタとしてKeycloakや
アプリケーションにIDをプロビジョニングできる
利用者
ID情報を各種
システムにプロビジョニング
26. 25
© Hitachi, Ltd. 2022. All rights reserved.
midPointによるIGAの実現
Keycloak
アプリケーション
人事システム
midPoint
コ
ネ
ク
タ
コ
ネ
ク
タ
コ
ネ
ク
タ
コ
ネ
ク
タ
SaaS
権限は誰が、どの情報にもとづいて
付与/削除するのか
アクセス要求
権限承認
①人事システムの情報をもとに自動的に
権限を付与
②自動化できないユースケースでアクセス要求
にもとづいて権限を付与
監査者
運用者
利用者
27. 26
© Hitachi, Ltd. 2022. All rights reserved.
midPointによるIGAの実現
Keycloak
アプリケーション
人事システム
midPoint
コ
ネ
ク
タ
コ
ネ
ク
タ
コ
ネ
ク
タ
コ
ネ
ク
タ
SaaS
IDや権限の状態を正しく維持する
にはどうしたらよいのか
定期的な棚卸や監査ログの分析により
一時的な権限のはく奪漏れを防ぐ
監査者 運用者
利用者
28. 27
© Hitachi, Ltd. 2022. All rights reserved.
まとめ
IDガバナンス&管理とは
• IDや権限を正しい状態に管理するための仕組み
• 10の要素で構成されている(IDライフサイクル管理、フルフィルメント、など)
• Keycloakがカバーできない、ID/権限を正しく登録/削除/修正することや監査を担う概念
IGAのユースケース
• IDライフサイクル管理、権限付与、棚卸の3つのユースケースを紹介
• 各ユースケースにおいてIGA製品が支援することで省力化/証跡管理に寄与
IGAを実現するmidpoint
• OSSとして開発されているIGAプラットフォームでIGAの10要素を標準で実現する機能群
• 多様なコネクタで様々なシステムと連携しIDのインプット/アウトプットが可能
29. 28
© Hitachi, Ltd. 2022. All rights reserved.
Trademarks
• Brand names and product names used in this material are trademarks, registered
trademarks, or trade names of their respective holders.