IDを効率的に管理するには、「プロビジョニング」の方法を考慮する必要がある。プロビジョニングとは供給や支給、配置といった意味。ID管理では、IDを作成したり変更したりしたときに、必要なサービスに情報を伝達することを指す。
人手での入力が困難に
従ってプロビジョニングはIDのライフサイクルと密接な関係がある(図4-1)。企業においてIDを新たに発行するトリガーとなるのは、多くの場合人事情報だ。
例えば人事担当者が情報システム担当者に「2週間後に新入社員が3人入社する」と伝える。その際社員の氏名や役職、所属組織なども伝えられるはずだ。それらの情報に基づいてIDPでIDを作成する。さらに個々の業務システムを使えるよう、必要に応じてそちらにもIDを作成しておく。
社員の異動や退職もトリガーとなる。それらを受けて情報システム担当者がIDの更新や削除、一時停止を実施する。個々のシステムでアクセス制御を実施している場合は、それを反映する必要がある。
リソースを安全な状態に保つには、IDを常に最新の状態に維持し、社員がその都度必要なリソースにだけアクセスする状態を維持する。例えば退職が決まり最終出社を終えた社員には、社内システムへのアクセスを許可すべきでない。こうしたIDからのアクセスはタイムリーに遮断する必要がある。
だが近年では利用するSaaSの種類が増えID管理の手間や複雑さが増してきた。SaaSでは個別にIDを作成し、更新する作業が必ず発生する。このため人手でのプロビジョニングは困難だ。大規模な組織においてはそれが特に顕著になる。
加えて複数のシステムにID情報を手動入力することは、入力ミスの原因にもなる。正確性の観点からも、プロビジョニングを自動化する必要性が高まっている。
