Identity Orchestrationは、複数のIDプロバイダーからの異種のIDおよびアクセス管理(IAM)システムをスムーズなワークフローに調整するためのソフトウェア・ソリューションです。
デジタル・トランスフォーメーションの時代において、組織はSoftware as a Service (SaaS)ソリューションをさらに導入し、ハイブリッド・マルチクラウド環境に移行し、リモートワークを採用しています。今日の企業ITエコシステムには、従業員や請負業者からパートナーや顧客に至るまで、さまざまなユーザーにサービスを提供するクラウドベースとオンプレミスのアプリと資産がマルチベンダーで混在しています。
あるレポートによると、平均的な事業部門は87の異なるSaaSアプリを使用しています。1 これらのアプリはしばしば独自のIDシステムを持っており、互いに容易に統合できない場合があります。その結果、多くの組織が、断片化されたアイデンティティー環境と扱いにくいユーザー・エクスペリエンスに対峙しています。
例えば、一人の従業員が会社のチケット管理システムとカスタマー・リレーションシップ管理(CRM)ポータルに別々のアカウントを持っている場合があります。これにより、カスタマー・サービス・チケットの解決などの単純な作業が困難になることがあります。ユーザーは、一つのシステムからチケットの詳細を、別のシステムから関連する顧客記録を取得するために、さまざまなデジタルIDを操作する必要があります。
一方、ITチームとサイバーセキュリティー・チームは、ユーザー・アクティビティーを追跡し、ネットワーク全体で一貫したアクセス制御ポリシーを適用することに苦労しています。先の例では、従業員はプロジェクト管理システムで必要以上の権限を持つことになりますが、そのCRM権限はサービス提供先の顧客の記録にアクセスするには低すぎます。
Identity Orchestrationソフトウェアは、個別のIDサービスと認証サービスをまとまりのある自動化されたワークフローにまとめることで、IDおよびアクセス管理を合理化します。
企業のアイデンティティー・ツールはすべて、それらの間の接続を作成および管理するオーケストレーション・ソフトウェアと統合されます。この機能により、組織は既存のシステムを置き換えたり改造したりすることなく、ベンダーに依存しないシングル・サインオン(SSO)システムなどのカスタムIAMアーキテクチャーを構築できます。
前の例に戻ると、組織はIdentity Orchestrationプラットフォームを使用することで、チケット管理システムとCRMシステムの従業員アカウントをSSOプラットフォームに接続し、すべてをセントラル・ユーザー・ディレクトリーに結合できるようになります。これにより、ユーザーはSSOに1回ログインすれば両方のアプリにアクセスでき、セントラル・ディレクトリーがユーザーのIDを自動的に検証し、各サービスに適切なアクセス許可を適用します。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
情報技術におけるオーケストレーション とは、異種のツールを接続して調整し、複雑で多段階のワークフローを自動化するプロセスです。たとえば、セキュリティー・オーケストレーションの分野では、組織は安全なEメール・ゲートウェイや脅威インテリジェンス・プラットフォーム、マルウェア対策ソフトウェアを組み合わせて、自動化されたフィッシング検知・対応ワークフローを作成することがあります。
Identity Orchestrationは、異種のIDツールの機能を接続して調整し、統合・合理化されたIDワークフローを作成します。
IDツールは、ID検証システムや顧客IDおよびアクセス管理プラットフォームなど、組織がユーザーIDを定義・管理・保護するために使用するツールです。
IDワークフローは、ユーザーがIDツール間を移動するプロセスです。IDワークフローの例としては、ユーザー・ログインやオンボーディング、アカウント・プロビジョニングが挙げられます。
IDツールは、特に組織が異なるクラウドでホストされているSaaSツールを扱っている場合や、オンプレミスとクラウドベースのシステム間のギャップを埋めようとしている場合には、必ずしも簡単に統合できるわけではありません。Identity Orchestrationプラットフォームは、ツールが統合するように構築されていない場合でも、これらのツールを接続できます。
Identity Orchestrationプラットフォームは、ネットワーク内のすべてのIDシステムの中央コントロール・プレーンとして機能します。すべてのIDツールはオーケストレーション・プラットフォームと統合され、IDファブリックと呼ばれる包括的なIDアーキテクチャーを作成します。
組織は、これらの統合をハードコーディングする必要はありません。代わりに、オーケストレーション・プラットフォームが、事前に構築されたコネクターやアプリケーション・プログラミング・インターフェース(API)、SAMLやOAuthなどの一般的な規格を組み合わせて使用し、ツール間の接続を管理します。
IDシステムがIDファブリックに組み込まれることで、組織はオーケストレーション・プラットフォームを使用してアクティビティーを調整し、IDワークフロー中にユーザーのツール間移動方法を制御できるようになります。重要なのは、オーケストレーション・プラットフォームが認証と認可を個々のアプリから切り離して、複雑なIDワークフローを可能にすることです。
前述のように、オーケストレーション・ソリューションがないと、異なるIDシステムが相互に通信できない場合があります。例えば、ある組織が別々のベンダーのカスタマー・リレーションシップ管理(CRM)ツールと文書管理システム(DMS)を使用している場合、各アプリに独自のIAMシステムがある場合があります。
ユーザーはアプリごとに個別のアカウントを維持する必要があります。いずれかのアプリにアクセスするには、ユーザーはそのサービスに直接ログインします。認証と認可は各アプリの個別のIAMシステム内で行われ、アプリ間で転送されることはありません。
オーケストレーション・ソリューションがあれば、状況が変わります。ユーザーがいずれかのアプリにアクセスすると、そのリクエストが最初にオーケストレーション・ソリューションを通過します。このソリューションは、リクエストを適切なID証明とアクセス制御サービスにルーティングします。このサービスは、どちらのアプリ外のセントラル・ディレクトリーでもかまいません。
ユーザーがセントラル・ディレクトリーによって認証・許可されると、オーケストレーション・プラットフォームによってアプリがトリガーされ、ユーザーに適切な権限が与えられます。
Identity Orchestrationを実際に実装するには、組織はIdentity Orchestrationプラットフォームを使用してIDワークフローを構築します。「ユーザー・ジャーニー」とも呼ばれるIDワークフローは、アプリへのログイン時などの定義された状況において、ユーザーがIDツール内をどのように移動するか、およびそれらのツールがどのように相互作用するかを指示するプロセスです。
ワークフローは単純なものもあれば、条件付きロジックや分岐パスを備えた比較的複雑なものもあります。これらには、Eメール・サービスやソーシャル・メディア・サイトなど、厳密にはIDツールとみなされないものも含め、さまざまなシステムが関与することがあります。
Identity Orchestrationソリューションによって、組織は新しいコードを作成することなくユーザー・ジャーニーを構築できます。これらのソリューションには、イベントの定義やIDツールの接続、ユーザー・パスウェイの構築が可能なノーコードの視覚的なドラッグ・アンド・ドロップインターフェースが備わっています。
IDワークフローが何であるかを理解するには、例を見るとよいかもしれません。ここでは、組織がオーケストレーション・プラットフォームを通じて構築できる、仮説的な新入社員のオンボーディングとログインのワークフローを示します。
ここにはかなりの数の手順がありますが、これらすべてがユーザーが気付かないうちにバックグラウンドで自動的に行われることは注目に値します。オーケストレーション・プラットフォームは、プロセスを最初から最後まで監視します。さらに、今後のログインは一層合理化されます。ユーザーがSSOにサインインすると、それがユーザーを認識し、必要なものすべてへのアクセスを許可します。
Identity Orchestrationプラットフォームは、既存のIDシステムに取って代わるものではありません。これらのシステム間の接続を構築し、さまざまなアプリやツールが、そのように設計されていない場合でも連携できるようにします。この機能は、組織がいくつかの一般的な問題に対処するのに役立ちます。
多くの組織は、複数のクラウド・プロバイダーと、異なるベンダーのオンプレミス・ツールを使用しています。これらのシステムが統合されないと、組織はネットワーク全体のユーザー行動の可視性を失ってしまいます。ITチームやセキュリティ・チームは、例えばMicrosoft AzureとAmazon Web Servicesの間で、クラウドごとに別々のアカウントを使用しているため、1人のユーザーを追跡することができません。
この断片化された環境では、企業のすべてのアプリとアセットに対して一貫したアクセス・ポリシーとセキュリティー制御を適用することが困難になることもあります。
このような可視性とセキュリティーのギャップは、ハッカーや悪意のあるインサイダーが気づかれずに大混乱を引き起こす隙を生み出してしまいます。サイバー犯罪者の主な標的となるIDシステムに関しては、リスクが特に高くなります。 X-Force Threat Intelligence Indexによると、盗まれた、または侵害された認証情報を使用したサイバー攻撃は、最も一般的な脅威の 1 つです。
組織は、1つのベンダーのツールのみを使用するか、統合向けに設計されたツールのみを使用することで、IDサイロ化を回避できると仮定します。ただし、これは、組織が業務に適したツールを常に自由に選択できるわけではないことを意味します。
Identity Orchestrationは、既存のシステムに大規模な変更を加えることなく、IDサイロを解消し、可視性を回復できます。組織は、各ユーザーの単一のデジタルIDをサポートするセントラル・ディレクトリーを作成できるため、アプリやアセット全体の行動を追跡し、脅威をリアルタイムで検出できます。企業はオーケストレーションを使用して、ネットワーク全体に均一なアクセス制御を適用することもできます。
さらに、Identity Orchestrationプラットフォームは、従業員や顧客などを含むあらゆるタイプのユーザーのIDライフサイクル管理を一元化できます。組織は、顧客体験を中断させることなく、消費者向けアセットに堅牢なサイバーセキュリティー制御を導入できます。
SSOを使用すると、ユーザーは1つの認証情報のセットを使用して複数のシステムにログインできますが、各SSOプラットフォームは企業のすべてのアプリやアセットと互換性があるわけではありません。これは、異なるSSOがSAMLやOIDCなどの異なる規格を使用してシステム間で認証情報を交換できるためです。アプリやアセットが特定のSSOと同じ規格を使用できない場合、そのSSOとは通信できません。
Identity Orchestrationプラットフォームは、ネイティブに統合されていないアプリとSSOを接続できます。アプリとSSOが相互に直接統合するのではなく、Identity Orchestrationプラットフォームと統合します。Identity Orchestrationプラットフォームはシステム間の通信を処理するため、組織は互換性に関係なく、すべてのアプリとアセットを同じSSOの下に置くことができます。
組織は多くの場合、MFAやパスワードレス認証などの新しいセキュリティー対策をレガシー・アプリに拡張したいと考えています。ただし、このようなモダナイゼーションの取り組みには費用と時間がかかり、多くの場合、カスタム・コードやシステム全体の入れ替えが必要になります。
Identity Orchestrationはプロセスを簡素化できます。組織はオーケストレーション・プラットフォームのビジュアル・インターフェースを使用して、最新のセキュリティー・ツールをレガシー・アプリにもたらすIDワークフローを設計できます。これにより、クラウドベースのアセットとオンプレミスのアセットを単一のゼロトラスト・アーキテクチャーに統合できます。
組織は、一般データ保護規則(GDPR)や医療保険の相互運用性と説明責任に関する法律(HIPAA法)などの規制に準拠するために、ユーザーの行動を可視化する必要があります。
これらの規制では、組織はクレジットカード番号や医療情報などの機微データに厳格なアクセス制御ポリシーを適用し、ユーザーがこのデータを使用して何を行うかを追跡する必要があります。ユーザーが複数のデジタルIDを持っている場合、適切な人物だけが適切な理由で適切なデータにアクセスしていることを保証することが困難になること合があります。
Identity Orchestrationは、ユーザーの行動を追跡し、一貫したアクセス許可の適用を容易にすることで、組織がコンプライアンス要件を満たす一助となります。一部のオーケストレーション・プラットフォームでは、IDワークフローのログも保存されており、監査の際に役立ちます。