アイデンティティ管理
ユーザーまたはデバイスやサービスの、デジタルアイデンティティやアクセス制御を管理するフレームワーク
From Wikipedia, the free encyclopedia
アイデンティティ管理(アイデンティティかんり、英:Identity management、略:IdM)とは、情報システムにおける利用者やデバイスのデジタル情報を管理することである。近年では、アクセス権限の制御までを含む「アイデンティティおよびアクセス管理(アイデンティティかんり、英:Identity and access management、略:IAM)」とほぼ同義として扱われる[1]。
IdMは主に、主にユーザーのIDの発行・更新・削除といったライフサイクルや、属性(役割・所属)、IDの保護、パスワードや電子証明書などの認証情報を保護する技術をカバーsるう。
IAMは、より広範なセキュリティとデータ管理という包括的な管理を担い、個人の識別や認証だけでなく、「誰が・いつ・どのアプリケーションやハードウェア(ITリソース)にアクセスできるか」という認可とアクセス制御までを包括的に管理する。
アイデンティティ管理は通常、システム、製品、アプリケーション、およびプラットフォームなどで行い、エンティティに関する識別データと補助データを管理する。
定義
アイデンティティ管理 (IdM)
狭義のアイデンティティ管理は、IdMのことを指す。IdMは、個々のユーザーまたはデバイスやサービスの、デジタルアイデンティティ(デジタル上の身元)を管理する。デジタルアイデンティティを管理する活動は、IDライフサイクルという登録・活性・(更新・休止・)抹消のサイクルからなる[2]。
- アイデンティティ情報が登録される。(実体(entity)を表す名前(もしくは識別子)と共に他の属性情報が登録される。)
- アイデンティティ情報が活性化される。(アイデンティティ情報を利用できるようになる。)
- アイデンティティ情報が更新されることがある。
- アイデンティティ情報が休止されることがある。(例:休職者、パスワード・ロック)
- アイデンティティ情報が抹消される。 (例:退職者)
このような管理は実体の識別子(ID)に基づいて管理されるが、必ずしも「ID管理」と同義ではない。識別子(ID)は属性情報のひとつにすぎず、むしろ他の属性情報と併せた集合として実体を表すことに意義がある。
デジタルアイデンティティの管理にはディレクトリ・サービスを利用する。
アイデンティティおよびアクセス管理(IAM)
広義のアイデンティティ管理は、アクセス制御まで含んだIAMのことを指し、「アイデンティティ管理」と呼ばれることがある[1]。IaaSやPaaSにおいては、単なるID管理だけではなく詳細なアクセス制御・権限管理までを包括して行うため、主流になっている。IAMは以下の3つの要素で構成される。
- Identification (識別): 「私はユーザーAです」と名乗る。
- Authentication (認証): 「本当にAさんですね?」と証拠(パスワード、生体認証など)を確認する。
- Authorization (認可): 「Aさんにはファイル閲覧の権限を与えます」と、アクセスできる範囲を決める。
Authentication (認証)については、SSO(シングルサインオン)やMFA(多要素認証)機能を持つことが多い。また、認証・認可時の監査・ログ管理も行うことが多い。
アイデンティティ管理システム
実際の情報システムにおいて、アイデンティティ管理システムには次の役割がある。
- アイデンティティ情報をライフサイクルにわたって管理する(上述)
- ユーザによるリソースへのアクセスを支援する
- アイデンティティ情報を提供する
ユーザによるリソースへのアクセスを支援する
アイデンティティ管理を行うシステムに基づいて、組織が保持するリソースへのアクセスをユーザに提供しつつ、そのようなアクセスを制御する機能が実装される。 ユーザ認証の機能とアクセス制御の機能が相当し、組織のリソースを不正なアクセスから護る。
アイデンティティ情報を提供する
この役割については、アイデンティティ管理の応用範囲は広い。アイデンティティ管理の対象範囲には、組織内の成員のみならず、すべてのリソースについての属性情報が含まれうる。顧客情報ひいては個人情報も含まれうるため、この場合、プライバシーの観点から特段の考慮を要する。
連邦化されたアイデンティティ管理においては、アイデンティティプロバイダ(IdP)がアイデンティティ情報を提供する。また、自己のアイデンティティ情報をコントロールできるようにするパーソナルデータ・サービス(PDS)が設計・実装されている。
アイデンティティ管理関連ソリューション
広義のアイデンティティ管理の範疇となるソリューションの例を挙げる。
- 基本ディレクトリサービス
- アイデンティティ情報のディレクトリ・サービスの統合(メタディレクトリ[3])
- ディレクトリサーバの同期/複製/バックアップ/リストア
- ディレクトリサーバの配備の仮想化[4]
- ライフサイクル管理支援
- アイデンティティ管理の連邦化(federation)
- 連邦化対応(federated)アイデンティティによるログイン(例:仮名SAMLアサーションによるユーザ認証結果通知 等)
- ユーザアカウントの属性情報の管理ドメイン間での交換(例:SCIM[6]準拠 等)
- アクセス管理
- 属性情報に基づくアクセス制御(ABAC)[7]
標準化団体
- ISO/IEC JTC 1/SC 27/WG 5
- ISO/IEC 24760-1 A framework for identity management—Part 1: Terminology and concepts
- ISO/IEC 24760-2 A Framework for Identity Management—Part 2: Reference architecture and requirements
- ISO/IEC DIS 24760-3 A Framework for Identity Management—Part 3: Practice
- ISO/IEC DIS 29146 A framework for access management
- IETF
- OpenID Foundation
- OpenID Connect
- OASIS Identity in the Cloud TC