PR
ILM(Identity Lifecycle Manager)“2”は、Windows Server 2008 のID 管理ソリューションのコードネームです。ILM“2”は、「ID はいたるところにあり、ユーザーが望んでいる方法で管理できる」という考えによって支えられています。

ID はいたるところにある

 ILM“2”は、すぐに展開できるセルフサービス式のIDA ソリューションを豊富に備えています。ユーザーは自分の情報と部下の情報を管理でき、組織階層全体にわたって操作できます。ユーザーが行えることは、自分のパスワードのリセット、自分のスマートカードのプロビジョニング、自分の証明書の取得を行うことなどです。セキュリティグループと配布リストの作成、相互のグループへのアクセスの要求、承認の管理も行えます。

 注目すべきは、ユーザーがこれらすべての操作をOffice アプリケーションやWindows デスクトップからすぐに実行できることです。ILM“2”を使用すれば、たとえばグループへの参加を要求する場合は、その操作をOutlook からすぐに実行できます。別のユーザーから操作の承認を求められたときは、承認要求のメールに付いている[承認]ボタンと[拒否]ボタンによって、すぐに承認や拒否が行えます。パスワードを忘れてしまってリセットしなければならない場合は、忘れた可能性が最も高い場所、つまり、Windows のログインプロンプトで、リセットをすぐに実行できます。ILM“2”の新機能はすべて、Windows SharePoint Services の中でホストされている中央のポータルから利用できます。

ID はユーザーが望んでいる方法で管理される

 ILM“2”は、ビジネスプロセスを正確にモデリングしてIDA イベントに関連付けることができます。それによって、自分が望む方法でID を管理できます。IDA の管理プロセスに関連する独自のビジネス手順をモデリングできるようにしたのは、各人が自分の作業をプログラマに頼らなくても自分で実行できるようにするためです。

 そのために、ILM“2”は、ビジネスプロセスをモデリングするためのシンプルなGUI であるILM“2”Process Designer を備えています。ユーザーは特別なソフトウェアを自分のデスクトップに展開しなくてもProcess Designer を使用できます。またProcess Designer は、Windows SharePoint Services 3 アプリケーションであるILM“2”のポータルに完全に統合されているため、ユーザーはブラウザにアクセスするだけでProcess Designer を使用できます。

 ILM“2”では、3種類の基本的なプロセスをモデリングできます。それは、認証プロセス、承認プロセス、操作プロセスです。実際、ILM“2”の中では、最初に認証プロセス、次に承認プロセス、最後に操作プロセスという順で実行されて、処理されます。

認証プロセス

 認証プロセスは、ユーザーのID を確認するプロセスです。認証プロセスの各手順では、ユーザーは資格情報を提供するよう求められます。このプロセスには、機密性の高い操作に必要な複数要素の認証プロセスを定義する手順がいくつか含まれる可能性があります。

 組み込みまたはカスタムのどちらの認証アクティビティでも、Windows GINA(Graphical Identification aNd Authentication)とWindows Vista 資格情報プロバイダのテクノロジが利用され、ユーザーにWindows ログインプロンプトで資格情報を提供するよう求めることができます。これは望ましいオプションです。この要求によって、ユーザーは必要とされる場所でID を証明することができるからです。

承認プロセス

 ILM“2”のプロセスモデルにおける2 番目の主要なプロセスは、承認プロセスです。承認プロセスは、要求された操作を実行するためのアクセス許可をユーザーが持っていることを確認するプロセスです。

 通常、承認プロセスでは、電子メールメッセージがリソースの所有者に送信されます。その電子メールは、あるユーザーがそのリソースに関して要求する操作を実行するアクセス許可を持っているかどうかを所有者に確認するメッセージです。ILM“2”では、これらの承認要求に対してOutlook の中からすぐに応答できます。この場合、Outlook は、ユーザーがまさにその場所から応答するのが自然であると思う場所です。

 承認プロセスにおけるもう1 つの種類のアクティビティとして、ユーザーが実行しようとしている操作がビジネス上適切であることの確認を送信するようユーザーに求めるアクティビティがあります。ILM“2”の承認プロセスには、操作を進める前に実行しなければならないすべてのアクティビティが含まれる可能性があります。

 ILM“2”には、ユーザーの操作に対する承認の収集方法を自由に決めることができるという特長があります。承認画面は、エンドユーザーのデスクトップで、ユーザーが見ることが想定されている適切なアプリケーションのコンテキストの中に表示されます。そのため、ユーザーは別の場所に移動しなくてもアクセス許可を管理できます。

操作プロセス

 ILM“2”のプロセスモデルにおける3 番目の主要なプロセスは、操作プロセスです。操作プロセスでは、ある操作の結果、何を実行するのかを定義します。簡単な例として、リソースが変更された結果、それをリソースの所有者に伝える通知を送信することなどがあります。このようにID 管理操作の結果として実行されるアクティビティのうち、より興味深く、実際に一般的なアクティビティとして、権利付与アクティビティがあります。

 たとえば、あるユーザーを特定のグループに割り当てた結果、正しい場所への駐車許可を割り当てて、ユーザーの建物に対応した適切なカードキーを発行するプロセスを定義することなどが考えられます。ここで重要なことは、ILM“2”の操作プロセスはまったく白紙の状態である、ということです。つまり、そうした白紙の上で、ILM“2”内のオブジェクトに対する操作を企業のID のストアおよびリソースにどのように伝達するのかを定義することになります。