Reading Time: 1 minutes
★属性管理について
★クラウド利用時に属性管理が重要な理由について
第二弾:Active Directoryの必要性【MicrosoftのMVP解説!Active Directoryのハウツー読本】
第三弾:Microsoft 365(旧称:Office365)とは【MicrosoftのMVP解説!Microsoft 365の活用術】
第四弾:ファイルサーバーのアクセス許可【MicrosoftのMVP解説!ファイルサーバー管理のいろはを学ぶ】
前回、Active DirectoryやAzure ADなどのID管理を人事システムと連携して行うときには、「源泉ID」を起点にして管理することの重要性について解説しました。では、ID管理システムの先にあるアプリケーションやクラウドサービスにアクセスすることを踏まえた場合、どのような管理が求められるのでしょうか?今回はアプリケーションやクラウドサービスへのアクセスに欠かせない属性管理についてご紹介します。
★アクセス制御のおさらい
「認可」という言葉でも表現されるアクセス制御機能は、データベースやアプリケーション、ファイルなどのリソースにアクセスする際に、アクセスを認めるユーザーを事前に定義して利用します。
このとき多くの従業員が在籍する企業では、ユーザーごとにアクセスの許可・拒否を設定していたのではとても手間がかかります。そのためグループを作成し、ユーザーをメンバーにして、グループに対してアクセス許可を割り当てる、という運用を行います。
グループのメンバーを設定するとき、上図でも示されているように、営業部や開発部などの従業員の属性を基準にグループを作り、メンバーを設定していることが多いのではないでしょうか?
★属性管理
属性とはユーザーに付随する情報のことで、そのユーザーが所属する部署や役職、働いている事業所などの情報をID管理の世界では属性と呼びます。これらの属性情報は本来、人事システムに登録されるべきものです。それがグループのメンバー管理にも使われているのであれば、人事システムに登録されている属性情報をActive DirectoryのようなID管理システムにも一緒に登録してしまえばよいのです。
前回、従業員の情報は漏れなくActive DirectoryやAzure ADなどのID管理システムに登録すべきという解説をしましたが、このときにユーザー名/パスワードにあたる資格情報だけでなく、部署や役職などの人事情報も属性情報として一緒にID管理システムに登録するのです。
あとは、ID管理システムで属性情報をベースにグループのメンバー管理を行うような仕組みを用意しておくことで、メンバー管理そのものを自動化できるようになります。そのため、人事異動のたびにメンバー管理を手動で行う手間を省くことができ、なによりも手動でグループのメンバーを管理することによるヒューマンエラーを無くせるメリットが得られます。
★クラウド利用時に属性管理が重要な理由
属性情報を人事システムだけでなく、ID管理システムでも保有すべき、もうひとつの理由として、クラウド連携が挙げられます。
近年、多くの企業でクラウド利用が進み、ひとつの企業で複数のクラウドサービスを利用している企業も多くなりました。そのため、それぞれのクラウドサービスにアクセスするたびにユーザー名/パスワードを入力しなければならず、ユーザーの利便性の低下や、ユーザー名/パスワードの使いまわしのようなセキュリティの問題を引き起こしてしまいます。
そこで、最近ではID管理システムとクラウドサービスをID連携と呼ばれる技術で関連付けを行い、ID管理システムに一度だけログインすれば、クラウドサービスにアクセスするときにはID管理システムにログインしたユーザーをクラウドサービスのユーザーとみなしてアクセスを実現する、シングルサインオン(SSO)が活用されるようになっています。
ID連携の仕組みを利用する場合、連携元と先でユーザーを同一人物とみなす必要があるため、ID管理システムとアクセス先のクラウドサービスの両方に、同じ名前のIDが登録されていることが前提条件となります。「同じ名前のIDが登録されている」という表現を使いましたが、ID管理システムのユーザーとクラウドサービスのユーザーは名前で無くても、ある特定の属性の値が同じであれば、同一人物とみなし、ID連携を実現します。
例えば、ID管理システムとクラウドサービスで登録されているユーザー名が異なるケースを考えてみましょう。このケースではユーザー名でID連携ができません。そこで、社員番号のようなユーザー名とは異なる属性でID連携を行うのです。そうすれば、ID連携のためにわざわざユーザー名を変更するような手間は不要になるのです。
ただし、これを実現するためには事前にID管理システムに社員番号を登録していることが前提となります。そこで、冒頭に登場したID管理システムに従業員の属性情報を登録しておく話が出てくるのです。ユーザー名だけでなく、社員番号を登録しておけば社員番号を使ったID連携ができるようになり、メールアドレスを登録しておけばメールアドレスを使ったID連携ができるようになるのです。
ここまで、人事システムからID管理システムにユーザー名だけでなく、属性情報まで同期・連携することによるメリットについて解説しました。属性情報を活用することによって、グループのメンバー管理を簡略化できたり、ID連携をスムーズに行えるようになったりと、IT管理の自動化に寄与できることがお分かりいただけたと思います。そして、こうした自動化の推進こそがデジタルトランスフォーメーションにつながっていくのです。
株式会社ソフィアネットワーク所属。インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとしてインフラ基盤に関わるトレーニング全般を担当。Azure ADを中心としたトレーニングの登壇やトレーニングコースの開発に従事するだけでなく、ブログ等のコミュニティ活動も評価され、2006年からAzure AD/Microsoft 365の分野におけるMicrosoft MVPを15年連続で受賞する。
主な著作に『ひと目でわかるIntune』 (日経BP)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。
ゾーホー社員のつぶやき
こんにちは!ゾーホージャパンの近藤です。属性といえば、社内データへのアクセス制御を属性ごとに管理したり、マーケティング活動においても、顧客のセグメンテーションに必要不可欠な要素であったりと、今のIT活用時代にはなくてはならない存在です。そして、私たち日常生活においても、自分の属性に適した行動が導かれています。例えば、ECサイトや各企業・団体のホームページ。ネットショッピングでは、性別や年代別の基本属性でトップメニューのカテゴリーからおススメ商品を選択したり、企業・団体のポータルサイトからは、訪問者の属性別に用意されたサイトをブラウジングしたりと、自然と属性を意識した行動をとっています。先日、趣味のスポーツで、自分の年代属性も顧みず、思いっきりのプレイを試みたところ、腰にぐきっと激痛が走りました。無理は禁物、自分の年代属性にあった適度な運動を心がけます。。
さて、今回は人事システムからID管理システムにユーザー名だけでなく、属性情報まで同期・連携することにより、グループのメンバー管理を簡略し、ID連携をスムーズに行うことができるメリット(IT管理の自動化)について述べられていました。ID(ユーザー)管理システムの一つとして、オンプレミス環境においてはActive Directoryによる運用、Microsoft 365を利用したクラウド環境においてはAzureADによる運用が挙げられますが、Active Directoryのアカウント管理(ユーザー、グループ、コンピューター、または連絡先の作成、修正、削除など)を個々に対応していては、IT管理者へ大きな負担がかかります。例えば、4月、9月の人事異動や組織改編の度に、Active Directoryのユーザー情報の追加・削除・更新といった作業を人力で入力したりPowerShellを活用したりしていては、工数や専門知識不足、加えて対応ミスのリスクなどが生じかねません。
そこで、Active Directory管理を容易に実現できるソフト、ManageEngine「ADManager Plus」をご紹介します。
ADManager Plusでは、WebベースのシンプルなUIで操作できるため、簡単にユーザー管理を始められます。ユーザーの作成や無効化などのActive Directoryアカウント情報の管理作業を、テンプレートやレポート、CSVデータを利用した一括処理で大幅に効率化できます。また、Microsoft SQLやOracle Databaseのデータベース、WorkdayやZoho PeopleなどのSaaS系人事システムと連携できるので、人事異動や組織変更の際の大量の設定変更も効率的に実施できます。
ADManager PlusのActive Directory ユーザー管理ページはこちら
ADManager Plusのデータベース連携ページはこちら
ADManager Plusとは?
WebベースのGUIでActive Directoryのユーザー、コンピューター、ファイルサーバーを管理し、自動化、ワークフローなどを容易に実行できるActive Directory運用管理ソフトです。誰にでも操作しやすい画面で、適切な権限割り当て、更新作業ができます。Active Directoryにまつわる定型業務を効率化する豊富な機能で、管理者の運用負荷を軽減します。
AD360もおススメ!
Active Directoryのアカウント管理・監査/パスワードセルフ管理を一元化、Azure ADにも対応。Active Directoryのアカウント情報の一括更新、セキュリティログの収集・可視化、パスワード変更とアカウントロック解除のセルフサービス化など、多彩な機能を1つのコンソール画面で利用できるソフトウェアです。ファイルサーバーアクセス権管理の機能も備えています。
上記2つの製品について詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスしてくださいね。
ADManager Plusの製品ページはこちら
ADManager Plusの概要資料ダウンロードページはこちら
ADManager Plusの無料版ダウンロードページはこちら
AD360の製品ページはこちら
AD360の概要資料ダウンロードページはこちら
AD360の無料版ダウンロードページはこちら
▼▼ 別シリーズのブログ記事もチェック! ▼▼
Microsoft MVPシリーズ第一弾:AzureADを利用する意味【AzureADの虎の巻】
Microsoft MVPシリーズ第二弾:Active Directoryの必要性【Active Directoryのハウツー読本】
Microsoft MVPシリーズ第三弾:Microsoft 365(旧称:Office365)とは【Microsoft 365の活用術】
Microsoft MVPシリーズ第四弾:ファイルサーバーのアクセス許可【ファイルサーバー管理のいろはを学ぶ】
>> 第3回 Azure ADが含まれるケースでのID管理フロー
<< 第5回セキュアなユーザーデーターの管理
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。