タブの始まり
上記をクリックすると、ページ内の該当個所に移動します。
企業では、さまざまな業務がシステム化されることでユーザーが管理するIDやパスワードが増え、かえって使い勝手が悪くなるという事態を招いています。パスワードのリセットなどの依頼を受けるヘルプ・デスクの負荷も増大しています。そこで注目されるのが「シングル・サインオン」ですが、従来の方法ではIBM i (IBM System i®)のようなレガシーなシステム上で動くアプリケーションには対応できなかったのです。こうした問題を解決するシングル・サインオンのソリューションを日本IBM TAM ESSO技術担当者の森よりご紹介いたします。
自動代行入力の機能を提供し、ID・パスワード管理を集中化
――Tivoli® Access Manager for Enterprise Single Sign-On(以下、TAM ESSO)は、企業のあらゆるシステムにシングル・サインオンできるソリューションとのことですが、どのような特長があるのでしょうか。
森 業務で使うアプリケーションが増えてくるのに比例して、IDやパスワードの管理が問題になってきています。一人のユーザーが管理できるIDとパスワードは3種類までが上限だと言われますが、現状はそんなレベルではありません。覚え切れないために、ついデスクトップの周りに付箋でパスワード情報を貼り付けてしまったり、忘れてしまってヘルプ・デスクに問い合わせるといったトラブルが頻発しています。
さらにこれまでのシングル・サインオン・システムは、技術的な問題からWebアプリケーションにしか対応していませんでした。IBM i (System i)用アプリケーションなど、レガシー的なものは対象外だったのです。しかも、これらのシステムはIDやパスワードが部署で共用されているケースもあるため、すべてのシステムに対して、誰が、いつログオンしたのかといった監査上必要な情報が管理されていないのが現状です。
IBMが提供しているTAM ESSOは、パスワードを集中的に一元管理し、既存システムに手を入れることなく、すべてのシステムを対象にシングル・サインオンを実現するソリューションです。
――実際にどのような仕組みでシングル・サインオンを実現しているのですか。
森 TAM ESSOでは、ユーザーIDやパスワードといったユーザーごとの認証情報を「ウォレット」というモジュールに格納して、エージェントが入っているクライアントPCに暗号化して保管します。ユーザーがTAM ESSOにログオンして本人認証をした後は、対象アプリケーションに対してこのウォレットがユーザーに代わってIDやパスワードを自動入力してくれる仕組みになっています。
アプリケーションごとのIDやパスワードはTAM ESSO側が持っていますから、ユーザーは管理の煩わしさから解放されます。認証情報はサーバーで集中管理していますから、環境内の、どのクライアントPCでも、同じシングル・サインオン設定を利用することができます。
複雑なログオン処理にも対応し、Active Directoryとの連携も可能に
――既存のアプリケーションすべてに対応できるのはなぜですか。
森 各アプリケーションに対するプロファイルはGUIのウィザード形式で、設定項目を選択していくことで作成するのですが、まずWebアプリケーション、Windows®アプリケーション、Hostエミュレーター、Java®アプレットといったさまざまなタイプのアプリケーションのタイプを選択。ログオンなどの処理内容を定義し、ユーザー名、パスワード、OKボタンなど処理に必要な要素を定義していきます。ユーザー名を入力してOKボタンを押して、次の画面でパスワードを入力する、といった複雑なログオン処理の操作も定義できます。
また、アプリケーション側で、有効期限が切れたパスワードの変更を求められた際に、TAM ESSOが自動的に対応し、新しいパスワードを設定して記録しておく機能も提供しています。
こうした機能によって、既存アプリケーションに変更を加えることなく、シングル・サインオンを実現することができます。
――Active Directoryなどのディレクトリサービスや、ID管理ソリューションと連携はできるのでしょうか。
森 ID管理製品とはTAM ESSO提供のAPIを介して連携を実現しています。特に、Tivoli Identity Managerには標準で専用のアダプターが用意され、よりスムーズな連携が可能です。また、Active Directoryとは粗結合の関係で連携させますから、Active Directoryに何の変更を加えることなく Active DirectoryユーザーとTAM ESSOユーザーを同一ユーザーとして扱うこともできます。
シングル・サインオンというと、認証基盤構築ということで敷居が高いと感じる方もいらっしゃるかもしれません。けれども、TAM ESSOは比較的少ない工数・期間で導入でき、現行システムの構成・運用を変えることなく、IBM i (System i)やクライアント/サーバー・システムなど幅広いシステムに対応可能です。費用を抑えながら、スピーディーにシングル・サインオン対象を広げていくこともできます。
監査に対応したログ情報を収集し、セキュリティーを向上させる
――TAM ESSOのもたらすメリットは、ユーザーの利便性ということになるのでしょうか。
森 利便性に加えて、セキュリティーの向上も図れます。たとえば、ある端末を複数のユーザーで共用している場合、共用端末としての利便性を優先して、共通のWindowsユーザーで複数人が利用していることがあります。これだと、せっかくOSでログを取っても、ユーザーアカウントが共通なので、個人を特定できませんから、監査には対応できません。
しかしTAM ESSOを使えば、個別のTAM ESSOユーザーとしてデスクトップにログオンできます。短時間でユーザー切り替えを行う、「共用端末機能」により、利便性を損なうことなく、利用者の本人特定が可能になります。
このように現行の運用方法や使い勝手はそのままで、TAM ESSOの使用により個人とID/パスワードの1対1の紐付けを実現し、TAM ESSOのアクセス記録を監査ログとして活用できるのです。
――バックエンドでのシステムの運用はそのままで、セキュリティー・レベルを向上させることができるわけですね。
森 そのとおりです。実際にTAM ESSOの活用事例も出てきています。ある流通業では、クライアント/サーバー・アプリケーション、 IBM i (System i)のアプリケーション、Webアプリケーションの16のアプリケーションへの2000ユーザーのシングル・サインオンとActive Directoryの認証連携を実現しました。これによって利用者や管理者のID、パスワード管理の負荷を軽減するとともに、全アプリケーションの監査ログも取得できるようになりました。
個々のシステムでのパスワード認証は、言わば部分最適の状態です。部分最適の統合が全体最適にはなりえず、ユーザーによるパスワード忘れ、漏洩という新たなリスクを引き起こしてしまいます。シングル・サインオンを用いた認証基盤構築による、全体最適の実現に、ぜひTAM ESSOをご活用ください。
日本アイ・ビー・エム株式会社
Tivoli 第二クライアント・テクニカル・プロフェッショナルズ
主任ITスペシャリスト 森 秀樹
IBM、ibm.com、IBMロゴ、Tivoli、および System i は、世界の多くの国で登録されたInternational Business Machines Corp.の商標です。
他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。
現時点でのIBMの商標リストについては、http://www.ibm.com/legal/copytrade.shtml (US)をご覧ください。
MicrosoftおよびWindowsは、Microsoft Corporationの米国およびその他の国における商標。