Identity Orchestrationとは

デジタル・トランスフォーメーションの時代において、組織はSoftware as a Service （SaaS）ソリューションをさらに導入し、ハイブリッド・マルチクラウド環境に移行し、リモートワークを採用しています。今日の企業ITエコシステムには、従業員や請負業者からパートナーや顧客に至るまで、さまざまなユーザーにサービスを提供するクラウドベースとオンプレミスのアプリと資産がマルチベンダーで混在しています。

あるレポートによると、平均的な事業部門は87の異なるSaaSアプリを使用しています^。1 これらのアプリはしばしば独自のIDシステムを持っており、互いに容易に統合できない場合があります。その結果、多くの組織が、断片化されたアイデンティティー環境と扱いにくいユーザー・エクスペリエンスに対峙しています。

例えば、一人の従業員が会社のチケット管理システムとカスタマー・リレーションシップ管理（CRM）ポータルに別々のアカウントを持っている場合があります。これにより、カスタマー・サービス・チケットの解決などの単純な作業が困難になることがあります。ユーザーは、一つのシステムからチケットの詳細を、別のシステムから関連する顧客記録を取得するために、さまざまなデジタルIDを操作する必要があります。

一方、ITチームとサイバーセキュリティー・チームは、ユーザー・アクティビティーを追跡し、ネットワーク全体で一貫したアクセス制御ポリシーを適用することに苦労しています。先の例では、従業員はプロジェクト管理システムで必要以上の権限を持つことになりますが、そのCRM権限はサービス提供先の顧客の記録にアクセスするには低すぎます。

Identity Orchestrationソフトウェアは、個別のIDサービスと認証サービスをまとまりのある自動化されたワークフローにまとめることで、IDおよびアクセス管理を合理化します。

企業のアイデンティティー・ツールはすべて、それらの間の接続を作成および管理するオーケストレーション・ソフトウェアと統合されます。この機能により、組織は既存のシステムを置き換えたり改造したりすることなく、ベンダーに依存しないシングル・サインオン（SSO）システムなどのカスタムIAMアーキテクチャーを構築できます。

前の例に戻ると、組織はIdentity Orchestrationプラットフォームを使用することで、チケット管理システムとCRMシステムの従業員アカウントをSSOプラットフォームに接続し、すべてをセントラル・ユーザー・ディレクトリーに結合できるようになります。これにより、ユーザーはSSOに1回ログインすれば両方のアプリにアクセスでき、セントラル・ディレクトリーがユーザーのIDを自動的に検証し、各サービスに適切なアクセス許可を適用します。

情報技術におけるオーケストレーション とは、異種のツールを接続して調整し、複雑で多段階のワークフローを自動化するプロセスです。たとえば、セキュリティー・オーケストレーションの分野では、組織は安全なEメール・ゲートウェイや脅威インテリジェンス・プラットフォーム、マルウェア対策ソフトウェアを組み合わせて、自動化されたフィッシング検知・対応ワークフローを作成することがあります。

Identity Orchestrationは、異種のIDツールの機能を接続して調整し、統合・合理化されたIDワークフローを作成します。

IDツールは、ID検証システムや顧客IDおよびアクセス管理プラットフォームなど、組織がユーザーIDを定義・管理・保護するために使用するツールです。

IDワークフローは、ユーザーがIDツール間を移動するプロセスです。IDワークフローの例としては、ユーザー・ログインやオンボーディング、アカウント・プロビジョニングが挙げられます。

IDツールは、特に組織が異なるクラウドでホストされているSaaSツールを扱っている場合や、オンプレミスとクラウドベースのシステム間のギャップを埋めようとしている場合には、必ずしも簡単に統合できるわけではありません。Identity Orchestrationプラットフォームは、ツールが統合するように構築されていない場合でも、これらのツールを接続できます。

Identity Orchestrationプラットフォームは、ネットワーク内のすべてのIDシステムの中央コントロール・プレーンとして機能します。すべてのIDツールはオーケストレーション・プラットフォームと統合され、IDファブリックと呼ばれる包括的なIDアーキテクチャーを作成します。

組織は、これらの統合をハードコーディングする必要はありません。代わりに、オーケストレーション・プラットフォームが、事前に構築されたコネクターやアプリケーション・プログラミング・インターフェース（API）、SAMLやOAuthなどの一般的な規格を組み合わせて使用し、ツール間の接続を管理します。

IDシステムがIDファブリックに組み込まれることで、組織はオーケストレーション・プラットフォームを使用してアクティビティーを調整し、IDワークフロー中にユーザーのツール間移動方法を制御できるようになります。重要なのは、オーケストレーション・プラットフォームが認証と認可を個々のアプリから切り離して、複雑なIDワークフローを可能にすることです。

前述のように、オーケストレーション・ソリューションがないと、異なるIDシステムが相互に通信できない場合があります。例えば、ある組織が別々のベンダーのカスタマー・リレーションシップ管理（CRM）ツールと文書管理システム（DMS）を使用している場合、各アプリに独自のIAMシステムがある場合があります。

ユーザーはアプリごとに個別のアカウントを維持する必要があります。いずれかのアプリにアクセスするには、ユーザーはそのサービスに直接ログインします。認証と認可は各アプリの個別のIAMシステム内で行われ、アプリ間で転送されることはありません。

オーケストレーション・ソリューションがあれば、状況が変わります。ユーザーがいずれかのアプリにアクセスすると、そのリクエストが最初にオーケストレーション・ソリューションを通過します。このソリューションは、リクエストを適切なID証明とアクセス制御サービスにルーティングします。このサービスは、どちらのアプリ外のセントラル・ディレクトリーでもかまいません。

ユーザーがセントラル・ディレクトリーによって認証・許可されると、オーケストレーション・プラットフォームによってアプリがトリガーされ、ユーザーに適切な権限が与えられます。

Identity Orchestrationを実際に実装するには、組織はIdentity Orchestrationプラットフォームを使用してIDワークフローを構築します。「ユーザー・ジャーニー」とも呼ばれるIDワークフローは、アプリへのログイン時などの定義された状況において、ユーザーがIDツール内をどのように移動するか、およびそれらのツールがどのように相互作用するかを指示するプロセスです。

ワークフローは単純なものもあれば、条件付きロジックや分岐パスを備えた比較的複雑なものもあります。これらには、Eメール・サービスやソーシャル・メディア・サイトなど、厳密にはIDツールとみなされないものも含め、さまざまなシステムが関与することがあります。

Identity Orchestrationソリューションによって、組織は新しいコードを作成することなくユーザー・ジャーニーを構築できます。これらのソリューションには、イベントの定義やIDツールの接続、ユーザー・パスウェイの構築が可能なノーコードの視覚的なドラッグ・アンド・ドロップインターフェースが備わっています。

IDワークフローが何であるかを理解するには、例を見るとよいかもしれません。ここでは、組織がオーケストレーション・プラットフォームを通じて構築できる、仮説的な新入社員のオンボーディングとログインのワークフローを示します。

1. まず、新入社員はセルフサービスのHRポータルでアカウントを作成します。これにより、オンボーディングのワークフローが開始されます。
   
   
2. Identity Orchestrationプラットフォームは、組織のセントラル・ディレクトリー・サービスでの新入社員の一意のユーザーIDの作成をトリガーします。新入社員には、ロールに応じたアクセス権限のセットも自動的に割り当てられます。
   
   
3. その後、オーケストレーション・プラットフォームは、新入社員が仕事で使用するアプリや給与計算ソフトウェアなどのバックオフィス・システムや関連するすべてのサービスで新入社員のアカウントをプロビジョニングします。これらのアカウントは、セントラル・ディレクトリーの新入社員のメイン・ユーザーIDに関連付けられます。
   
   
4. これで従業員はシステムにアクセスできるようになり、会社のEメール・アプリにログインできるようになります。Eメールアプリを直接経由する代わりに、ログイン・リクエストがオーケストレーション・プラットフォームに送られます。
   
   
5. オーケストレーション・プラットフォームはリクエストを不正検出システムにルーティングし、不審な動作の兆候を探します。この新入社員は初めてEメール・アカウントにログインするため、リスクが高いとマークされます。
   
   
6. 次に、ログイン・リクエストが組織のSSOプラットフォームに送信されます。その新入社員はリスクが高いとマークされたため、アダプティブ認証が開始されます。同新入社員は、アカウントにログインするために多要素認証（MFA）を使用する必要があります。
   
   
7. 同新入社員は認証チャレンジを完了し、セントラル・ディレクトリーによって認証・認可されます。オーケストレーション・プラットフォームはこの情報をSSOプラットフォームに中継し、同新入社員が自分のEメール・アカウントならびにSSOの背後にある他のすべてのアプリに適切な権限を与えられるようにします。

ここにはかなりの数の手順がありますが、これらすべてがユーザーが気付かないうちにバックグラウンドで自動的に行われることは注目に値します。オーケストレーション・プラットフォームは、プロセスを最初から最後まで監視します。さらに、今後のログインは一層合理化されます。ユーザーがSSOにサインインすると、それがユーザーを認識し、必要なものすべてへのアクセスを許可します。

Identity Orchestrationプラットフォームは、既存のIDシステムに取って代わるものではありません。これらのシステム間の接続を構築し、さまざまなアプリやツールが、そのように設計されていない場合でも連携できるようにします。この機能は、組織がいくつかの一般的な問題に対処するのに役立ちます。