【55-03】アイデンティティ管理とITIL/ITSMとの連携により
得られる効果とは？ 〜 HP Select Identity softwareと
HP ServiceCenter softwareのつながる環境をご紹介 〜

HP Select Identity software(以下、Select Identity)を使ったアイデンティティ（以下、ID）管理については、このHP Software News でも何度かご紹介しておりますが、今回はこのSelect Identityが実現するID管理を、実際の使用シナリオを考慮しながら、改めてご紹介したいと思います。
さらに、Select IdentityとHP ServiceCenter software(以下、ServiceCenter)や他のセキュリティ製品との組み合わせで統合的に実現できる、応用力の高い、そして幅広い利用価値のあるID管理についてご説明します。
ID管理について興味のある方、またはID管理の導入を考えているが、どうすれば最大限に導入のメリットを享受できるかが気になる方は、是非ご一読ください。

Select IdentityはIDの適切な制御を実現するプロビジョニングツールです。

Select IdentityによるID管理のメリットとしては、

これらの機能により、IDの状態管理からそれに伴う運用まわりまで全てひっくるめて管理することができるのです。

● Select Identityが実現するIDのライフサイクル管理

ID作成から削除までを“IDのライフサイクル管理”といいます。
それでは、ユーザAさんの会社人生を一例にとってIDのライフサイクルについて考えてみましょう。IDのライフサイクル管理は、次の4つの段階に大別できます。

＊作成
Aさんが入社し、ある部署に配属されます。このとき、Aさんが正社員であれば、社員番号が人事で割り振られ、人事をスタート起点とする、ID作成になります。また、契約社員であれば、各部署のマネージャーが申請処理をするという、各部署が起点となるID作成になります。

＊異動
Aさんが配属後から数年たち、人事異動の対象となります。
人事でAさんの人事情報を書き換えるだけでなく、異動前と後の部署で不要になる権限、必要になる権限の付与剥奪を処理します。

＊有効化/無効化
Aさんが何らかの事情で休職する場合、休職期間中はアカウントを一旦無効にさせておく必要があります。また、復職時には、無効化したアカウントを有効化する作業も必要となります。

＊削除
Aさんが退職時は、人事情報からも、Aさんが使っていた各システムのアカウント情報も消去する必要があります。入社のときと同じ人事部による処理となりますが、入社処理と退職処理では担当者が分離されているケースもあります。

上記のように、さまざまなユーザイベントやユーザの種類が考えられますが、それ毎に、異なる運用フローや、異なるシステムの権限、異なる第3者である管理者が連動して介在しています。
Select Identityは、これらID管理に必要な情報すべてを適切に管理、制御しながら、運用フローからID管理までを自動化、迅速化することができます。

HP Select Identity software
≫拡大画像(新規Window)

● ID管理を検討するにあたって注意しておきたいこと

ID管理ツール自体の便利な機能や、応用力や拡張性が高いという性能に注目することも大事ですが、新しくID管理システムを構築する場合には、他にも大事な点があります。

例えば、全社規模に及ぶシステム群のID管理の設定をするとなると、運用ルールなどの情報を現状通り拾っていくと膨大な量になります。ずさんなID管理を防ぎ、一元的に監査ログや制御を管理するためには、こういった洗い出し作業は必要ですが、元々ばらばらに動いていた現状フローをそのままツールに拾って（反映、インプリメント？）しまうと、ツールでの一元化を図ったところで、全体像の把握がしづらくなります。また、将来的にシステムが増え、組織改変や合併などがあった場合には収拾がつかなくなってきてしまうのは目に見えています。
こうしたリスクを踏まえ、新規ID管理システムを実際に新しいID管理システムに落とす前には、仕切りなおしと腹をくくり、軸となるポリシーを決め、まとめられる運用フローはなるべくまとめ、ユーザの複雑なグループ分けについても見直せるところは見直すなどして、できる限り現状のID管理を、簡潔に、把握しやすくまとまった状態に改善するよう、設計を工夫することが必要です。現状のばらばらな運用を再構築していくことになるので、場合によっては、トップダウンでの強いリードが必要になると思われます。

では次に、このID管理をITSM(ITサービスマネジメント)と連携させて、さらに幅広く有効利用できるID管理につなげるために、HP Softwareが提供する連携機能について説明します。

Select Identity4.2から、ITSMとの連携がさらに強化されました。
具体的な連携機能としては、下記のようなものがあります。

1) パスワードリセットの際のSelect IdentityとService Centerの連携
2) プロビジョニング機能の連携

それぞれの連携機能について、詳しく見てみましょう。

1)パスワードリセットの際のSelect IdentityとService Centerの連携

ヘルプデスク業務の対応の中でもっとも工数がかかる作業が、パスワードリセット処理と言われています。ここに注目し、エンドユーザのパスワード失念への対応によるヘルプデスク側の負担を減らし、（パスワードリセットの自動化により）対応を迅速化してエンドユーザ側の満足度向上にもつなげる目的で開発されたのが、Service Centerとの連携機能です。

パスワードのリセットに関しては“パスワードを失念してしまった”というユーザと、パスワードのミスタイプによるロックアウトなどの何らかの事情により、パスワードをリセットしたいというユーザがいます。
この2通りのユーザが何らかのアクションを起こす際、詳細シナリオとしては下記の流れが考えられますが、Select Identityではこうしたパターンに対応した連携機能を備えています。

2)プロビジョニング機能の連携

プロビジョニング機能の連携としては、以下の2つの機能があります。

では、(2)での連携シナリオを具体的に見てみましょう。
エンドユーザがヘルプデスクに連絡し、ヘルプデスクがService Centerでリクエストを登録すると、プロビジョニング要求を Select Identity経由で対象システムに対して投げ、Service Center側でリアルタイムなID管理を実現します。
また、Service Center Service Catalogからは、プロビジョニングの対象ユーザが登録を許可されるサービスのみを自動検出し、表示させるという不適切な権限がユーザに付与されないための事前防止機能も連携機能として提供されます。

この場合、プロビジョニングの結果や最新のユーザアカウント、権限情報は、Service Center、Select Identityの両システムで同時に把握され、保管されます。このシナリオ以外にも、Select Identityに直接アクセスして、ID管理を実施した場合でも、連携機能によって、Service Center側でリクエストが登録され、進捗状況が随時記録され、両システムの整合性は取られます。

このように、パスワード管理の連携機能では、従来ヘルプデスクのワークロードの40-60％を占めるというパスワードリセット作業にかかる作業時間を削減できます。
また、プロビジョニングの連携機能では、エンドユーザにとって統一した窓口を提供し、迅速かつ適切なID管理を実現します。
操作記録を一元管理することが可能になるため、いつ、どのユーザが、どのリソースに対してどのような要求を出し、その結果どのようなステータスであるかといった情報が残り、それを元にService Centerでサービスレベル管理を実施したり、情報の活用が出来ます。こうして、ID管理のサービスレベルを高めつつ、セキュリティ面も強化するという、相乗効果が見込めます。

単体でもID管理という意味ではOSからDB、アプリケーションといった幅広いシステムと連携し、利便性からセキュリティまで対応するSelect Identityですが、今回はService Centerとつながった時のID管理をとりあげ、さらに幅が広がるID管理についてご紹介しました。
お客様環境に合った最適な組み合わせを選択し活用することで、ID管理を一元化、効率化するだけでなく、そこから得られる情報を最大限に活かし、より迅速にビジネスへ対応する基盤を作ることにつながります。
是非、ID管理とITSMの連携という、HP Softwareならではのメリットを一度ご検討ください。