ハイブリッド ID ライフサイクルの計画を立てるPlan for Hybrid Identity Lifecycle

ID はエンタープライズ モビリティとアプリケーション アクセスの戦略基盤の 1 つです。Identity is one of the foundations of your enterprise mobility and application access strategy. モバイル デバイスにサインオンする場合でも、SaaS アプリにサインオンする場合でも、ID があらゆるアクセスを得るための鍵となります。Whether you are signing on to your mobile device or SaaS app, your identity is the key to gaining access to everything. ID 管理ソリューションとは、概して、ID リポジトリ間の統一と同期であり、その中にリソースのプロビジョニングというプロセスの自動化と集中化が含まれます。At its highest level, an identity management solution encompasses unifying and syncing between your identity repositories, which includes automating and centralizing the process of provisioning resources. ID ソリューションはオンプレミスとクラウドにわたり ID を一元化するものでなければならず、また、何らかの形式の ID フェデレーションを利用し、認証を一元化し、外部のユーザーや企業と安全に共有し、共同作業するものです。The identity solution should be a centralized identity across on-premises and cloud and also use some form of identity federation to maintain centralized authentication and securely share and collaborate with external users and businesses. リソースは、オペレーティング システムやアプリケーションから組織内のユーザーや関連組織まで多岐にわたります。Resources range from operating systems and applications to people in, or affiliated with, an organization. 組織構造を変更し、プロビジョニングのポリシーと手続を調整できます。Organizational structure can be altered to accommodate the provisioning policies and procedures.

ID ソリューションを調整し、ユーザーにセルフサービス機能を与え、生産性を上げてもらうことも重要です。It is also important to have an identity solution geared to empower your users by providing them with self-service experiences to keep them productive. ユーザーがアクセスするすべてのリソースでシングル サインオンが有効になっている場合、ID ソリューションはより堅牢なものとなります。Your identity solution is more robust if it enables single sign-on for users across all the resources they need access. 管理者は、ユーザーの資格情報を管理するためにすべてのレベルにおいて標準化された手順を使用できます。Administrators at all levels can use standardized procedures for managing user credentials. プロビジョニング管理ソリューションの幅によっては、一部の管理レベルを減らしたり、なくしたりできます。Some levels of administration can be reduced or eliminated, depending on the breadth of the provisioning management solution. さらに、さまざまな組織間で、手動または自動で、管理機能を安全に分配できます。Furthermore, you can securely distribute administration capabilities, manually or automatically, among various organizations. たとえば、あるドメイン管理者は自分のドメインにある人とリソースにのみサービスを提供できます。For example, a domain administrator can serve only the people and resources in that domain. このユーザーには管理タスクとプロビジョニング タスクが許可されますが、ワークフローの作成など、構成タスクは許可されません。This user can do administrative and provisioning tasks, but is not authorized to do configuration tasks, such as creating workflows.

ハイブリッド ID 管理タスクを決定するDetermine Hybrid Identity Management Tasks

組織内で管理タスクを配分することで、管理の精度と効果が上がり、組織の作業負荷のバランスが良くなります。Distributing administrative tasks in your organization improves the accuracy and effectiveness of administration and improves the balance of the workload of an organization. 堅牢な ID 管理システムは、次のような軸を基に定義されます。Following are the pivots that define a robust identity management system.

ID 管理に関する考慮事項

ハイブリッド ID 管理タスクを定義するには、ハイブリッド ID を導入する組織の本質的特性を理解する必要があります。To define hybrid identity management tasks, you must understand some essential characteristics of the organization that will be adopting hybrid identity. ID ソースとして利用されている現在のリポジトリを理解することが重要です。It is important to understand the current repositories being used for identity sources. 以上の中心的要素を知ることで、基礎的な要件が与えられ、それに基づいてさらに細かく質問に答えることで、ID ソリューションの設計が効率的に導き出されます。By knowing those core elements, you will have the foundational requirements and based on that you will need to ask more granular questions that will lead you to a better design decision for your Identity solution.

要件を定義するとき、少なくとも次の質問に答える必要があります。While defining those requirements, ensure that at least the following questions are answered

  • プロビジョニングの選択肢:Provisioning options:

    • そのハイブリッド ID ソリューションはアカウント アクセス管理とプロビジョニングの堅牢なシステムをサポートしますか。Does the hybrid identity solution support a robust account access management and provisioning system?
    • ユーザー、グループ、パスワードの管理方法はどのようなものになりますか。How are users, groups, and passwords going to be managed?
    • ID ライフサイクル管理は応答性の高いものになりますか。Is the identity lifecycle management responsive?
      • パスワード更新時のアカウントの停止期間はどのくらいになりますか。How long does password updates account suspension take?
  • ライセンスの管理:License management:

    • そのハイブリッド ID ソリューションはライセンス管理を処理しますか。Does the hybrid identity solution handles license management?

      • 処理する場合、どのような機能を利用できますか。If yes, what capabilities are available?
    • そのソリューションはグループ基準のライセンス管理を処理しますか。Does the solution handle group-based license management?

      • 処理する場合、セキュリティ グループをそれに割り当てることができますか。If yes, is it possible to assign a security group to it?
      • 処理する場合、クラウド ディレクトリはグループのすべてのメンバーにライセンスを自動的に割り当てますか。If yes, will the cloud directory automatically assign licenses to all the members of the group?
      • その後、ユーザーがグループに追加されるか、グループから削除された場合、どのような動作が行われますか。ライセンスは適宜、自動的に割り当てられるか、削除されますか。What happens if a user is subsequently added to, or removed from the group, will a license be automatically assigned or removed as appropriate?
  • 他のサード パーティの ID プロバイダーと統合する:Integration with other third-party identity providers:

    • このハイブリッド ソリューションをサード パーティの ID プロバイダーと統合し、シングル サインオンを実装できますか。Can this hybrid solution be integrated with third-party identity providers to implement single sign-on?
    • さまざまな ID プロバイダーを密着した ID システムに統合できますか。Is it possible to unify all the different identity providers into a cohesive identity system?
    • 統合できる場合、それは何という ID プロバイダーであり、どのような機能を利用できますか。If yes, how and which are they and what capabilities are available?

同期管理Synchronization Management

ID マネージャーの目標の 1 つは、あらゆる ID プロバイダーを同期させることです。One of the goals of an identity manager, to be able to bring all the identity providers and keep them synchronized. 権限のあるマスター ID プロバイダーに基づき、データを同期します。You keep the data synchronized based on an authoritative master identity provider. 同期管理モデルのあるハイブリッド ID シナリオでは、オンプレミス サーバーですべてのユーザーとデバイスの ID を管理し、アカウントと、必要に応じて、パスワードをクラウドに同期します。In a hybrid identity scenario, with a synchronized management model, you manage all user and device identities in an on-premises server and synchronize the accounts and, optionally, passwords to the cloud. ユーザーはクラウドと同じパスワードをオンプレミスで入力します。サインイン時にパスワードが ID ソリューションにより検証されます。The user enters the same password on-premises as they do in the cloud, and at sign-in, the password is verified by the identity solution. このモデルではディレクトリ同期ツールが使用されます。This model uses a directory synchronization tool.

ディレクトリ同期ハイブリッド ID ソリューションの同期を適正に設計するために、次の質問の回答を確認します。directory sync To proper design the synchronization of your hybrid identity solution ensure that the following questions are answered:

  • ハイブリッド ID ソリューションに利用できる同期ソリューションは何ですか。What are the sync solutions available for the hybrid identity solution?
  • どのようなシングル サインオン機能が利用できますか。What are the single sign on capabilities available?
  • B2B と B2C の間の ID フェデレーションにはどのような選択肢がありますか。What are the options for identity federation between B2B and B2C?

次のステップNext steps

ハイブリッド ID 管理の導入戦略の決定Determine hybrid identity management adoption strategy

参照See Also

設計上の考慮事項の概要Design considerations overview