執筆原稿
2006年10月18日
第2回 「ID(アカウント)いくつ持ってる?」なんて自慢にならないよ
アカウントの一元化。シングルサインオン、プロビジョニングなど。
アカウントが1つしかなくって、パスワードが漏えいしてしまったら?
とかく「管理」や「セキュリティ」という言葉には、「締め付けが厳しくなる」とか「監視される」というマイナスの感情で接しがち。
でも「アイディンティティ管理」は、自分たちの仕事をスムーズにしてくれる、便利なものらしい、とプラスの感情が芽生えた二人。
煩わしいパスワード管理の救世主かも? と、すでに興味津々だ。
 | 宿題はやってきたかい? |
 | アイデンティティ管理の疑問点をピックアップしてくる、ということじゃったな。 |
 | 疑問点というか、一番聞いてみたいことは決めてきたんだけど・・・。 |
| 遠慮しないで、言ってごらんよ。 |
| パスワードのことなんだ。ほら、前回、幾つもあって困ってるって話しただろ? |
 | あら、偶然ね。私もパスワードっていうか、たくさんのパスワードを覚えなくてもいいっていう話をぜひ教えてもらいたいの。 |
| 2人とも、パスワード管理が悩みの種ってとこかな? |
| よかろう。いい所に目を付けておる。さすがじゃ。 |
| ねえ、「シングルサインオン」って知ってる? |
| 友だちが「うちの会社はシングルサインオンなんだ」って、ちょっと自慢げに話していたよ。 |
| 言葉の通りだとすれば、1回だけサインオンするってこと? |
| そうじゃ。イントラネット用、メール用、営業システム用と、君たちは複数のアカウントを持っているはずじゃが、これが1つのアカウントだけで、全部使えるようになるのじゃ。 |
| 1つのアカウントってことは、つまり、パスワードも1つってことだよ。 |
| うそっ? すっごく便利! |
| パスワードを紙に書いておく必要がなくなるね。その紙をなくして青ざめることもなるなるわけだ。 |
| でも、どうやって1つにまとめるのかなぁ。 私が今使っているだけでも、Windowsだったり、Linuxだったり。それにOSが同じでも、メールはメールソフトを、販売管理システムは、そのアプリケーションを起動してから、それぞれ専用のIDとパスワードを入れるわけだし。 |
| それが、できるんだよ。本当に。どうやってやってるのかは、知らないけど。 |
| その仕組みは、旅行代理店みたいなもの、と思えばよかろう。 旅行代理店に頼めば、飛行機や電車のチケット、宿泊やレストランの予約、旅先で観る公演チケットなどまで、まとめて面倒を見てくれるはずじゃ。 |
| 確かに、私も海外旅行に行く時は、いつも旅行代理店にお願いしているわ。英語が苦手だから、自分で直接予約なんて、できないし。 |
| 英語が多少できても、一つ一つ予約先を調べたり、連絡とったりするのって面倒だよ。代理店に任せておけば、全部やってくれるんだから。 |
| システムと代理店の関係を整理してみると、まず、代理店の窓口にあたる部分が、ユーザからのサインオン要求を一手に引き受ける認証サーバとなるぞ。代理店の中では英語、中国語、フランス語といった各言語のスペシャリストを揃えていて、多くの国への手配を可能としておる。システムでは「ドライバ」や「アダプタ」と呼ばれるものが、まさしくその部分で、各アプリやOSと連携できるわけじゃ。 |
| シングルサインオンの仕組みが何となくイメージできたわ。 |
| 今、6つもID持っているけど、これでやっと1つになるぞ。バンザーイ! |
| でも、たった1つしかないパスワードを忘れたら、大変。ちょっと心配だわ。 |
| 大丈夫、大丈夫。ネット上の会員制サイトなんかで、パスワードを忘れた時の質問ってあるだろ? ほら、「私の母の旧姓は?」みたいな。ちゃんと答えられたら、パスワードが送られてくるっていう、あれがアイディンティティ管理ソフトの「Novell Identity Manager 3」(IDM3)にもあるんだ。 |
| それなら安心。情報システム部の世話にならなくても済むね。 |
| 大体、そんな面倒を減らすためにも、アイディンティティ管理を入れるわけだから。 |
| 確かに以前は、ユーザの利便性向上を目的としたシングルサインオンの導入が多かったのじゃ。だが、最近は、セキュリティ強化という面も大きいぞ。 たった1つのパスワードだけなら、多少パスワードが長くても、更新期間が短くても、何とか自分で管理できるはずじゃからな。 |
| 1つなら、きっと大丈夫。できるわ。 |
| でも、1つしかないパスワードがだれかにバレると、かなり大変なことになるよね。 |
| そう。1つバレたら、その人が使っているすべてのシステムにアクセスできるからね。 |
| それ、かなりヤバくない? |
| もちろん、そういう事態は「想定内」じゃ。それにはワンタイムパスワードやデジタル証明書などを組み合わせて使えば、不正利用を回避できるぞ。 |
| へぇ、いろいろと対策があるんだね。 |
| そういえば、前回、人事部と情報システム部の連絡がきちんと取れていないから、新しく来た人のIDが作られていなかったり、辞めた人のIDがずっと残ってたりすることがあるって話したけど、1人1アカウントなら、この点も大丈夫そうね。 |
| もちろん、そうだが、これには「プロビジョニング」というものが深く関わってくるのじゃ。 |
| プロビジョニング??? |
| 例えば、営業部に新人が配属された時を考えてみようか。大体、新人に任せられる業務範囲は決まっておるはずじゃ。それなら「営業部・新人のアクセス権限セット」をあらかじめ用意しておいて、新しく作成したアカウントに、このセットを紐付けすれば、一丁出来上がり!となるわけじゃ。 |
| このセットがプロビジョニングなんだよ。 |
| そろそろ眠たくなってきたわい。プロビジョニングについては、次回に譲るとしようかの。 |
EDIT
トラックバック(0)
このブログ記事を参照しているブログ一覧: 第2回 「ID(アカウント)いくつ持ってる?」なんて自慢にならないよ
このブログ記事に対するトラックバックURL: http://www.eyedo.jp/cgi-bin/mt/mt-tb.cgi/3681
コメントする