日立 ID アイデンティティ・マネージャーホワイト･ペーパー

日立 ID アイデンティティ・マネージャーホワイト･ペーパー

要旨

このドキュメントは、ユーザープロビジョニングのビジネス上の問題：　時間の掛かる資源プロビジョニング、重複したシステム管理と信頼できないアクセス停止　について記述しています。　日立 ID アイデンティティ・マネージャーがこうした問題に、プロセス変更やプロビジョニング技術を用いて、如何に対処しているかを説明しています。　最後に効果的なユーザープロビジョニングのビジネス上の効果について説明しています。

イントロダクション

は、日立 ID 管理スイートのユーザープロビジョニングのコンポーンネントです。日立 ID 管理スイートは、[link].に記述があります。

- このドキュメントは次のように構成されています。：

ユーザープロビジョニングでのビジネス上の問題
- 日立 ID アイデンティティ・マネージャーの展開のモチベーション
共有されたID管理基盤
どのように各々独自のユーザーデータベースを持ったシステムの増殖が、管理上の問題を生成するか、ユーザーIDの管理を統合することが、役に立つか。
最新のユーザープロビジョニングプロセス
どのように日立 ID アイデンティティ・マネージャーは、複数の異機種システムに跨ったユーザー識別データの管理を簡素化するか。
日立 ID アイデンティティ・マネージャーのテクノロジー
日立 ID アイデンティティ・マネージャーのネットワークアーキテクチャと拡張性、安全性、展開容易性を実現する設計上の特長
投資対効果
基本的なROIモデルで、日立 ID アイデンティティ・マネージャーがどのように多大なコスト削減を実現するかを説明しています。
サマリー

ユーザープロビジョニングでのビジネス上の課題

いくつかの要素が重なって、ユーザーとそのセキュリティ権限の管理は、多くの企業/組織で増大する課題となっています。

ユーザーがアクセスする必要のある独立したシステムとプラットフォームの数も大きくかつ成長し続けます。
ユーザーは、システムアクセスへの依存度は高まっています。：それらなくしては、仕事になりません。
企業/組織は、システム管理の拡大する問題に対処するITスタップを雇う余裕がありません。それに反して、ほとんどの組織では、組織のサイズに応じてIT サイズの削減を望んでいます。

これらの要素は、次の手間の掛かるビジネス上の問題を引き起こします。

管理業務の負荷過剰: アクセス/セキュリティ管理は、これは、スタッフの衰弱や退社をもたらします。負荷過剰の管理者は、ミスを犯しやすくなり、不適切な権限の割り当てを行いがちになります。
生産性の損失: 新規アクセスの要求は遅れ、新たなアクセス権限を待っているユーザーの生産性は落ちてしまいます。
セキュリティリスク: ユーザーの責任が変わった後や、組織を離れたあとでもシステムアクセスが残ったままになります。これは、重大なセキュリティ漏洩につながるばかりでなく、内部統制に関わる規制要件への侵害になります。

日立 ID アイデンティティ・マネージャーは、これらの課題に対処するために開発された自動化されたユーザープロビジョニングソリューションです。

共有するID管理基盤

システム管理上の負担は、管理対象システムの数が増え続け、またすべてのシステムは独自にユーザープロフィールを管理しているため、増え続けます。例えば、一人のユーザーが個人のプロフィールをメインフレームに、LDAPディレクトリに、e-mailシステムに、ERPシステムに及び他の場所に持っています。それらのシステムの情報は別個に、--別の管理者に別のツールを使って-- 管理されています。

この問題に対する自然なソリューションは、ユーザーに関する情報（時にユーザーディレクトリまたは、セキュリティデータベースと参照される）を集中管理することです、そしてすべてのシステムは単一のリポジトリをユーザーIDに関する唯一の信頼できるものとして参照するように構成することです。

このアプローチには、いくつかのメリットがあり、それがLDAPの普及につながっています。しかし、同時に問題もあります。：

多くのシステムは、LDAPと互換ではありませんし、ユーザー/セキュリティデータベースの外部参照ができません。
ユーザーのデータを外部参照できるいくつかのシステムは、限られた属性のみアクセスできるのみで、直sつ管理すべきデータについては、内部のユーザープロフィールを持ち続けます。
多くのシステムでは、そのシステム独自のユーザーに関するデータが必要で、それらは、IT基盤の他の部分には必要のないものです。もし、すべてのアプリケーションに必要なストレージ要求が単一のLDAPディレクトリに追加されたとしたら、そのスキーマは、一ユーザー毎に数千といった規模になってしまい- -　新たな性能、拡張性、信頼性、及び管理上の問題を作り出してしまいます。
いくつかのユーザー関連情報は秘密で、共有ディレクトリに属していません。

こうした問題点の結果、LDAPはユーザーデータベースの増殖を抑える効果がありものの、企業/組織は、引き続き、ユーザーに関する情報を持つ複数のシステムを管理し続ける必要があります。

ほとんどの企業/組織では、複数のユーザーディレクトリを使い続けるため、次にベストはソリューションは、複数のシステムに跨るユーザーオブジェクトやアクセス権限を管理する統一プロセスをを実装することです。

日立 ID アイデンティティ・マネージャーは、異機種システム上でユーザーを管理するプロセルと基盤の共有を提供できるように設計されています。　これは、企業/組織が複数システムに跨るユーザーアクセスをプロビジョンしたり、更新したり、停止したりする複数のプロセスを実装します。

ユーザープロビジョニングプロセスの簡素化

ユーザーライフサイクル

ID管理の基本的なライフサイクルはユーザーの採用から始まります。これは、一つ以上のシステムログインアカウントと他のユーザーオブジェクト（例：人事情報、電話帳エントリー、等）の生成を引き起こします。

時間とともに、ユーザーは、一つ以上のシステムで、何度も定常パスワード変更をし、時にパスワードを失念し、管理上のパスワードリセットなどを繰り返すことになります。

ユーザーが組織内を異動するに従い、ジョブファンクションが変わり、また、場所、アクセスするシステム、それらのシステムに必要な権限も変わってきます。

最後に、ユーザーが組織を離れるとき、そのアクセス権限は終了しなくてはなりません。　多くのケースでは、実際のIDは、本当に必要なくなるまで、しばらくの間残存しています。多くの組織では、長期間の監査トレースのために、ユーザー識別子は、決して再利用されません。

上記のプロセスのそれぞれは、一般的に各システムごとに別個に扱われます。各システムは各々個別にユーザーディレクトリとユーザー/セキュリティ管理ツールを持っています。　ほとんどの組織では、各アプリケーションは、それぞれの管理者によって管理されています。

日立 ID 管理スイートの一部である、日立 ID アイデンティティ・マネージャーは、図１．に示すように、複数のシステム上でユーザーやアクセス権限を管理する一連のビジネスプロセスを実現するように設計されています。

User Lifecycle Management (1)

自動変更伝播

日立 ID アイデンティティ・マネージャーは、一つ以上の登録システムを定期的に（例えば、毎晩、または、数時間毎に）監視し、新規、削除されたか、変更されたユーザの情報を列挙することができます。人事アプリケーションの例では、例えば、これらの変更は、新規採用、解職、異動などを意味します。自動ディスカバリの場合は、すべての統合されたシステムとアプリケーション--（登録システムだけでなく）に対して実行されます。

日立 ID アイデンティティ・マネージャーにより検知された変更は、データフィルターに渡され、日立 ID アイデンティティ・マネージャーの管理対象外であるユーザーを取り除きます。例えば、人事システムがグローバルですが、日立 ID アイデンティティ・マネージャーが一カ国のすべてのユーザーを管理している場合、日立 ID アイデンティティ・マネージャーは、ユーザーば、ユーザーの他の国々からのユーザーへの変更を除外します。

あるユーザーにおけるすべての変更は、まとめられ、変更の集合を入力とするビジネスロジックが実行されます。これを例で説明すると次のようになります。：

	アクション	結果
人事アプリケーションに新規ユーザーが現れる。	ユーザーの勤務場所と業務コードに基き適切な役割（ロール）を見つける。日立 ID アイデンティティ・マネージャーワークフローエンジンに対して変更要求が提示され、人事から提供された識別属性とロールに指定された資源に基き、新規ユーザの生成が行われる。	自動プロビジョニング
電話帳（ホワイトページ）から新規の電話番号が検索されます。	電話帳（ホワイトページ）が電話番号に関しては他のシステムより高い優先順位を持っています。日立 ID アイデンティティ・マネージャーワークフローエンジンに対して変更要求が提示され、ユーザーのプロフィール情の電話番号が変更されます。承認されると（通常、自動的に）、電話番号は、当該ユーザーに属する他のログインIDにマップされ、エージェントが他のシステムの当該情報の変更を行います。	アイデンティティ（識別情報）同期化
HRシステムで終了日の変更が検知されます。	上述したアイデンティティ同期化機構を用いて、ユーザーのプロフィールのこの日付がセットされます。別のバッチプロセスが定期的に本日または、以前の終了日付のユーザーを識別し、すべての該当ユーザーに関わるアカウントの非活性化要求を発行します。	自動終了
ユーザーが登録システム（人事）からいなくなります。	ユーザーのログインIDすべてを検索します。 Lookup all of a user's login IDs. 日立 ID アイデンティティ・マネージャーワークフローエンジンに“すべてのアカウントを非活性化”変更要求を提示します。要求の根拠が与えられ（人事データベースから従業員がいなくなる）ると、このタイプの変更は自動承認されます。	自動終了 (2^番目のnd 方法).
ユーザーは、Active Directoryドメイン上の管理グループとして追加されていた場合	変更はAD上で検知されるため、日立 ID アイデンティティ・マネージャーにより起動されません。ワークフローエンジンには、二つの変更要求が提示されます。：ある管理グループからユーザーを削除（自動承認変更）ある管理グループからユーザーを追加（承認が必要）ヘルプデスクシステムへのセキュリティ警告チケットの発行	承認されていない権限要求を検知

総じて、これらのプロセスは、自動ユーザー管理として知られています。これらのプロセスは、日立 ID アイデンティティ・マネージャーのID-Track コンポーネントに実装されています。

複数の日立 ID アイデンティティ・マネージャーモジュールが自動ユーザー管理に関わります。：

PSUPDATE自動ディスカバリエンジンは、すべての統合されたシステムとアプリケーションから、ユーザー、属性、グループ、グループメンバーシップのリストを取り出します。　ほとんどの展開例では、PSUPDATEは、夜間に実行されます。
LOADDBバッチローダーは、ターゲットシステムでの検知された変更を発見し、その内容に応じて内部のアイデンティティキャッシュの更新を行います。
Login IDマッピングデータは、異なるシステムの個別のユーザー識別子を関連付けます。例えば、人事システムでの従業員番号と他のシステムでのログインIDをマッピングします。このデータは、一貫したログインID、他の属性、あるいは、ユーザーに送付した案内を契機に実行されるセルフサービスリコンサイレーションにより生成されます。
ID-Trackモジュールは、ユーザー毎の変更を集め、各変更ユーザーについて組織固有のビジネスロジックを実行します。このビジネスロジックは一般的に検知した変更に基いてワークフロー変更要求を発行します。
APIサービスは、ID-Track または/及び外部プログラムか変更要求を受付、それをワークフローサービスに引き渡します。
IDWFM ワークフローサービスは、変更要求を受付、検証し、欠落したデータ（例：割当てられたログインIDやe-mailアドレス）を埋め、適切な承認者を選択し、その各変更の承認は拒否をするように案内します。
IDTMトランザクションマネージャーは、承認された変更をワークフローエンジンから受け付け、変更を施行するコネクターを実行します。IDTMは、失敗した更新を繰り返し、ターゲットシステムに対して確実な更新を実行します。
エージェント（コネクター）のセットは、日立 ID アイデンティティ・マネージャーサーバーでローカルに動作し、それぞれは、特定のタイプのシステムやアプリケーション上でユーザーを発見したり、管理するように設計されています。

変更要求ワークフロー

日立 ID アイデンティティ・マネージャーの主要な機能は、変更要求を受付けて、適切な承認者に渡し、十分な許可が得られたときに変更要求を実行することです。　これは、要求を簡素化し、許可された変更を手動で実行するシステム管理者の手間を削減できるように設計されています。

日立 ID アイデンティティ・マネージャーのワークフロー自動化エンジンは、新規アカウント生成の要求発行、承認処理、及びグループメンバーシップの追加/削除、属性値の変更、ユーザーの名称変更、異動、ユーザーの削除、不活性化等の他のセキュリティ変更などの処理を簡素化して実行します。

日立 ID アイデンティティ・マネージャーのワークフローエンジンは、セキュアウェブインプット(HTTP)を用い、承認者にe-mail(通常SMTP)を用い、インプットを促します。

ワークフロー自動化エンジンは次のように機能します。：

要求のインプット:
- ユーザーは、システムに認証し、変更要求を投げます。
- 変更要求は、要求者のまたは他のユーザー（受領者の）ユーザープロフィールの変更として表されます。
- 変更要求は、データ属性の変更、新規アカウントの追加、グループメンバーシップの追加または削除、アカウントの活性化または非活性化を行います。
- プラグイン･プログラムは、要求を制限したり、変更したりすることができます。--例えば、要求を出すことができる人を制限したり、要求できる対象を制限したり、要求のフィールドを検証したり、記入したり、または、ログインIDを新しいユーザーに割当てるなど。
- 要求は、ユーザー属性の変更のためにまたは、単一のログインアカウントや権限（ロール）、物理オブジェクト（例：トークン、ビルディングアクセスバッジ、等）の集合の追加や削除を行うことができます。
要求の転送:
- 要求は自動的に要求者の識別や役割（ロール）や要求されたテンプレートを基にして選択された適切な承認者に転送されます。
- すべての承認者は、並行して応答するように促されます。　承認者は、不在時に代替者を指名することができます。
- ほとんどのケースでは、応答は承認者のサブセットからの一つのレスポンスが必要なだけです。--例えば、3人のうちの一人がシステムへのアクセスを許可すれば要求は満足
- 承認者には、入力が要求されていることをe-mailで通知されます。そして、承認者は、e-mailに埋め込まれたURLをクリックすることで応答できます。
- 承認者があらかじめ指定された時間に応答を返さなかった場合は、繰り返し応答を促されます。長期間応答を保留された要求者は、は、新たな承認者にエスカレートするかトラッキングシステムをコールすることができます。
承認:
- 承認者は、安全な接続（HTTPS）上でウェブ形式で要求を審査します。
許諾された要求の実行:
- 必要十分な承認が集められると、日立 ID アイデンティティ・マネージャーは、自動的にログインIDを生成するか、既存のIDを更新するか、または、e-mailやコールトラッキングシステムインテグレーションを使ってシステム管理者や他の人からのアクションを要求します。

日立 ID アイデンティティ・マネージャーワークフローエンジンは、自動リマインダー、エスカレーション、委任を実現する組み込み機能を持っています。：

変更要求の承認が依頼されているにも関わらず応答をしない承認者には、応答するように自動リマインダーを送ります。リマインダー発行間隔はプログラムで設定可能です。
引き続き応答を返さない承認者は、エスカレーションビジネスロジックを用いて特定の代替承認者に自動的に置き換えられます。エスカレーションは、通常外部データアクセスを起動し実行されます。 -- 例えば、コーポレートディレクトリから元の承認者のマネージャーまたは、同等の者を探索します。
承認者は、一時的に（スケジュールにより、限定期間、例えば予定休暇等）または、永続的に（例えば、承認者の担当業務が変更された場合）他の代替者に委任することもできます。委任を実行する前には、新規の承認者が応答し承諾する必要があります。
ワークフローマネージャーは、要求をいつでも異なる承認者に割当てることができ、委任ルールを管理、設定したり消去したり出来ます。

構成を簡素化するテンプレートとロール

(2) 日立 ID アイデンティティ・マネージャーは、新規ユーザーにテンプレートとロールを提供します。

管理者に新規アカウント生成時にすべてのパラメーターの提示を要求するのでなく、日立 ID アイデンティティ・マネージャーは、すべての関連するパラメーターをテンプレート･アカウントからコピーしてきます。　この結果、日立 ID アイデンティティ・マネージャーは、”ユーザー生成”操作をする代わりに”クローンユーザー” 操作を提供していると言えます。
注記：すべてのターゲットシステム上のユーザーオブジェクトがクローン化できる訳ではありません。日立 ID customer管理者がテンプレート･アカウントは、プロフィールが時間経過と共に成長するユーザー用のものであること、適切なセキュリティ権限をつユーザーはクローン化されないこと、を明確にすることが要求されます。
変更要求、自動更新、あるいは、統合化された、以上された管理モジュールで起動されたアクションは、属性値を指定し、テンプレートからのコピーされたものを上書きします。　新規ＩＤに影響するこうした要求属性の例としては、従業員番号、電話番号、e-mailアドレス、ログインID、ディレクトリOU、ホームディレクトリサーバー、メールサーバー等があります。
属性値は、ユーザーや管理者が入力することもあります、（例：電話番号）　これはビジネスロジック（例：建物コード）を実装したプラグインで検証されるか、ビジネスロジック(例：ログインＩＤ，ディレクトリOU、e-mailアドレス)を実装したプラグインにより割り当てされます。ビジネスルールを組み込まれたプラグインは、要件によって簡単だったり複雑だったりします。
セキュリティグループのテンプレート･アカウントとメンバーシップは、roles と呼ばれるセットに集積されます。　これにより、一つのアカウントやセキュリティグループ毎に指定されるのでなく、新規権限のセット全体を指定する際に利用されます。　これによりアカウントやグループメンバーシップとして何が必要が十分な知識のないユーザーでも、要求プロセスを簡素化することができます。
　　通常、ロールは、特定の業務を持つユーザーによって必要なすべてのシステムアクセスを表します。ロールま、また、”ネットワークアクセス”や、”e-mailアクセス”といった機能グループをあらわします。
ロールは、アクセス権限の増大化の定義を簡素化するため、入れ子になる(ネストする)ことができます。
アクセスの要求は、ロール、テンプレート･アカウント、及びグループメンバーシップの組み合わせでとすることができます。必ずしも完全なロールベースである必要はありません。

(3) 日立 ID アイデンティティ・マネージャーは、ユーザーは必ずしもロールに分類される必要はありません。　ポリシーベースのプロビジョニングを行っている場合、ユーザーの本当のアクセス権限が、ロールメンバーシップによる想起できるものと比較することは、日立 ID アイデンティティ・マネージャーでは技術的に可能で、日立 IDでは、ほとんどの企業や組織では、完全に既存のユーザーをロールに割り当て、それに頼ることは不可能と考えています。そのため、ユーザー/ロール分類とポリシーの一致は、日立 ID アイデンティティ・マネージャーの前提条件ではありません。

日立 ID アイデンティティ・マネージャーのテンプレートとロールにサーチタグが割当てられており、エンドユーザーに探索しやすいようにしています。サーチタグは、タイプとロケーションを含んでいます。テンプレートやロール、管理グループなどの資源はまた、承認者と結び付けられています。

集中化された、委譲可能なセキュリティ管理

委譲されたユーザー管理は、限定されたセキュリティ権限を部門または、地域担当者に付与することになります。　例えば、一つのビジネスユニットのIT管理者は、そのビジネスユニット内での新規ユーザの定義やそのユーザーのプロフィールの管理、ローカルユーザーの権限へのアクセスを許容されます。同じIT管理者は、但し、他のビジネスユニットに勤務する担当者のユーザープロフィールにはアクセスはできませんし、限られたタイプの更新を特定のシステムにできるのみです。

委譲されたユーザー管理は、統合されたユーザー管理と同じ方法で、但し、アクセス制御が追加された状況で、実現されています。これを図２． [link]　に示します。

図２． 統合及び委譲ユーザー管理コンソール (4)

与えられたセキュリティ管理の範囲は、特定のユーザー、特定のシステム、特定のグループと特定のOUで表現されます。　アクセス制御は、通常、どのような更新が許されるかを動的に判断するため、IT管理者とセキュリティ変更の対象者の両社の情報をアクセスするビジネスロジックを用いて実現されます。

エンタープライズワイドのセキュリティ報告

日立 ID アイデンティティ・マネージャーでのすべてのデータは、SQLまたは、ODBC経由で提供され、標準の解析ツール(Crystal Reports, MS-Access, MS-Excel, SQL queries, 等)でアクセス可能です。

スキーマはドキュメント化され、このドキュメントはすべての製品ライセンス及びNDAの下での評価ライセンスに提供されます。　原稿リリースのスキーマドキュメンテーションは、約175ページあり、すべてのフィールド、テーブル、リレーション、値制限、等の詳細が記載されています。

日立 ID アイデンティティ・マネージャーで提供されているデータには次があります。:

ユーザー毎のIDリスト
システム毎のIDリスト
グループ毎のIDリスト
ユーザープロフィールに割り当てられたログインID
トランザクション履歴の詳細
日立 ID アイデンティティ・マネージャーを用いて生成されたユーザの追加のユーザー属性値 (例：　担当、従業員ID)
ターゲットシステムから引き出された特定のユーザー属性値-- 例えば、最後にログインされた時間/日付、アカウントの活性/非活性状況、その他

日立 ID アイデンティティ・マネージャーは、ウェブユーザーインタフェース、コマンドライン、e-mailによりアクセスできる、幾つかの標準リポートを用意しています。：

孤立、休眠アカウント
特定のシステムにアカウントがあるユーザー
特定のユーザーに割当てられたテンプレートやロール
ターゲットシステムに存在するユーザーグループ
ターゲットシステムのユーザーグループのユーザー
時間間隔毎のトランザクション履歴
認可アクション
委託（現在、及びペンディングのもの）
実行者定義情報
物理的インベントリー
状況、状態、結果事の要求
要求統計
ユーザー毎、またはシステム毎のユーザー属性
過去のリポート

日立 ID アイデンティティ・マネージャーのリポーティングサブシステムの特長は次です。：

The 日立 ID アイデンティティ・マネージャー形式は、簡単で、リレーショナルで、ODBCでアクセス可能なデータベースです。これにより、Crystal等のサードパーティプログラムのリポートで情報を見ることができます。　これに比較して、他の競合製品では、データを全てわかりにくいXML Blobに格納し、したがってサードパーティリポーティングソフトウェアからアクセスできないものとなっています。
備え付けの豊富なリポートには、ユーザー、アカウント、グループメンバーシップ、ワークフロー要求　等の一覧表が含まれます。
全てのリポートに対して二元的出力フォーマット(HTML, CSV)を用意しています
非同期リポート生成　–　つまり、リポートや表示をデータとして生成することが出来ます。
全てのリポートは、ウェブコンソールとコマンドラインから生成でき、自動実行としてスケジュールすることができます。
データベーステーブルそのものの形でソースファイルから自動的に生成する、正確性を保障した完全形式のドキュメンテーションも準備されています。
サードパーティリポーティングツールから生データのフルアクセスが可能です。

ウェブサービスの柔軟性

　日立 ID アイデンティティ・マネージャーが持つAPI(application programming interface)は、ターゲットシステムのユーザ　ーの生成、削除、セキュリティグループのユーザーメンバーシップの変更、ユーザー属性の変更、ワークフロー要求の投入、リソース情報の検索、要求の許可、拒否などの機能を備えています。

　API (application programming interface)は、SOAP及びWSDL仕様を用いてアクセスできます。

日立 ID アイデンティティ・マネージャー　API (application programming interface) は、特にメタディクショナリで新たなタイプのターゲットシステムを管理したり、ユーザープロビジョニングを完了するために、セキュリティ管理者の指示に従って操作する人的介入によらず、顧客個別の、及びサードパーティのワークフローエンジンを用いてターゲットシステム上の実際の更新を行う場合に有効です。

日立 ID アイデンティティ・マネージャーテクノロジー

ネットワークアーキテクチャー

日立 ID アイデンティティ・マネージャーは、次のように設計されています。：

セキュリティ（安全性）:
日立 ID アイデンティティ・マネージャーは、堅固なサーバーにインストールされます。すべてのセンシティブデータは、暗号化して格納されたり、転送されたりします。頑丈な認証やアクセス制御によりビジネスプロセスを守ります。
スケーラビリティ（拡張性）:
複数の日立 ID アイデンティティ・マネージャーサーバーが組み込みデータ複製機能を用いてインストールできます。　　　ワークロードは、ロードバランステクノロジー(IP, DNS,等)を用いて分散することができます。
オープンネス(開放性):
オープンスタンダードが、内向きのインテグレーション（SOAP）及び外向きのコミュニケーション（SOAP, SMTP, HTTP等）に用いられています。
フレキシビリティ（柔軟性）:
　日立 ID アイデンティティ・マネージャーのユーザーインタフェースとすべての機能は、カスタマイズ可能で企業のニーズに合わせることが可能です。
低いTCO（低運用コスト）:
日立 ID アイデンティティ・マネージャーは、セットアップが容易で管理にも最少限の工数しか掛かりません。

図３． ネットワーク･アーキテクチャ･ダイアグラム (5)

図３． (_label_fig:combined-net-arch) は、the 日立 ID アイデンティティ・マネージャーのネットワーク･アーキテクチャを表します。

ユーザーは、通常ウェブブラウザーからHTTPSを用いて日立 ID アイデンティティ・マネージャーにアクセスします。
複数の日立 ID アイデンティティ・マネージャーサーバーで、IPレベルの装置（例：Cisco Local Director, F5 Big/IP）を用いるか、単純にDNSのラウンドロビン分割手法を用いてロードバランスすることが出来ます。
いくつかのシステムでのネイティブ･パスワード変更 [link] は、透過的パスワード同期を起動します。　パスワード変更インターセプターDLL, ライブラリ、または、出口ルーチンは、変更を捕らえ、透過的パスワード同期化機能を開始します。
ユーザーは、IVR (Interactive Voice Response)システムを電話からコールし、個人情報のタッチトーン入力か、声紋により認証を受けます。　認証されたユーザーはパスワードリセットを行うことができます。
日立 ID アイデンティティ・マネージャー　は、ほとんどのターゲットシステムとそのネイティブAPI(Application Programming Interfaces)やプロトコルを使って接続されますので、これらのシステムにローカルにソフトウェアをインストールする必要はありません。
Unix サーバーとOS/390メインフレームには、ローカルエージェントが容易されており、利用が推奨されます。　これらのエージェントの利用は、トランザクションセキュリティ、実行速度、並行処理を改善します。
RSA SecurIDサーバには、ローカルエージェントが必須です。
ターゲットシステムがリモートにあり、それらとの接続が遅く、安全でない場合、リモートロケーションにあるターゲットシステムのそばに日立 ID アイデンティティ・マネージャープロキシーサーバーを置くことが出来ます。この場合、主日立 ID アイデンティティ・マネージャーサーバークラスタのサーバーは、トランザクションをデコードすることにより、高速に、かつ安全にリモートにあるプロキシーと接続し、ターゲットシステムにはローカルに、ネイティブの遅い、安全でないプロトコルでそれを伝えます。
日立 ID アイデンティティ・マネージャーは、人事データベース（ODBC）, ディレクトリ（LDAP）,メタディレクトリー（例：Microsoft ILMへのWMI）などの既存のシステムにあるユーザープロフィールデータを検索したり更新したりすることができます。
日立 ID アイデンティティ・マネージャーは、ユーザーに登録を促したり、ユーザーのプロフィールに影響があるイベントについて通知したりするe-mailをそれらのユーザーに送信することができます。163種類以上のイベントをe-mail通知として扱うことができます。
日立 ID アイデンティティ・マネージャーは、ほとんどの一般的なヘルプデスクシステムに対して、完了したアクティビティの記録や、要求の支援（セキュリティイベント、ユーザーサービスのフォローアップ、等）としてチケットを書き込むことができます。163種類以上ののチケットインテグレーションを起動できます。15種類については、バイナリインテグレーションが可能で、mail, ODBC, SQL 及びウェブサービスを使ったオープンインテグレーションが可能です。

サポートしているターゲットプラットフォーム

日立 ID アイデンティティ・マネージャーは、多数の一般的なシステムのための組み込みインテグレーションに加え、アプリケーションやホストサービス上でIDやパスワードの管理するように、簡単に適応させることができるプログム可能なエージェントを持っています。

サポートしているプラットフォームは、次にまとめられます。：

(6)

ディレクトリー	ファイル/プリント	メインフレーム
LDAP (any), Active Directory, Windows NT domains, Novell eDirectory, Novell NDS, Unix NIS and NIS+, Kerberos/DCE (any)	Windows NT/2000/2003/2008, Novell NetWare, OS2 LanManager, Samba	MVS / OS/390 / zOS, RACF, CA-ACF2, CA-TopSecret, VM/ESA, Siemens BS2000, Tandem NonStop, Unisys MCP
Unix	ミッドレンジ	データベース
AIX, DGUX, Digital Unix, HPUX, IRIX, Linux, NCR, OSF4, SCO OS, Solaris, SunOS, Tru64, UnixWare, Unisys, passwd, shadow, Trusted Computing Base	HP MPE, OS/400/iSeries, OpenVMS	DB2/UDB, Informix, MSSQL, ODBC, Oracle, Sybase
ERP	メッセージング	WebSSO
SAP R/3 4.0+, PeopleSoft 7.5+, Oracle Applications 11i+, JDE OneWorld	MS Exchange 5.5, MS Exchange 2000/03/07, Novell GroupWise, Lotus Domino/HTTP, Lotus Notes/ID files, HP OpenMail	IBM TAM, RSA ClearTrust, Entrust getAccess, CA SiteMinder, Oracle COREid, SAP portal
フレキシブルエージェント	ハードウェアトークンとスマートカード	その他
API (application programming interface) integration, LDAP attributes, MQ Series, SQL commands, Telnet/TN3270/TN5250 sessions, Unix/Windows cmd-line integration, web forms, web services (SOAP, XML)	RSA SecurID, Secure Computing SafeWord, Vasco Digipass, GemPlus, Precise Biometrics	BMC Service Desk Express, Clarify eFrontOffice, Connected Backup, IBM OLAP, IBM Tivoli Access Manager, Local and cached Windows passwords, HP ServiceCenter, RADIUS (various), BMC Remedy ARS and Tivoli ADSM,

(7)日立 ID アイデンティティ・マネージャーには、いくつかのフレキシブルエージェントがあります、それぞれはプログラマブルです（つまりSDK (software development kit)を備えています）。　これらのエージェントは、企業や組織に、最小限のプログラムやスクリプト開発で、迅速に、顧客個別のあるいはバーティカルマーケットアプリケーションに日立 ID アイデンティティ・マネージャーを統合することができりょうにします。

　フレキシブルエージェントは、次のようなプロセスを実行します。：

既存の管理API(application programming interface)と連携します。 (Java, Win32, Unix, COM, etc.)
スクリーンスクラッピング: Telnet, TN3270, TN5250, SSH 及び TCP ソケット接続　
ウェブベースの管理用ユーザーインタフェースを介してのナビゲーション（cookiesをサポートし、parsing, redirects　などを形成するHTTP 及び HTTPSを用いての）
Oracle, Sybase, MSSQL, DB2/UDB, Informix 及び他の(ODBC) タイプのデータベースに対する任意のSQLコードの実行
Unix（ローカルエージェントを介して）やWin32（日立 ID アイデンティティ・マネージャーサーバー上で）上でのコマンドライン管理プログラムの実行
LDAPディレクトリでの任意の属性の操作
ウェブサービスに更新を投入(SOAP または、HTTP or HTTPS上の他の XML 言語で)
MQ Seriesを用いてメッセージを送信

顧客専用または、バーティカルマーケットアプリケーションのために、まったく新しいエージェントの開発を望む企業や組織は、好ましい開発環境(J2EE, .NET, Perl, 等)を使って作成することができ、また、適切な日立 ID アイデンティティ・マネージャーフレキシブルエージェントを使って、それをコマンドラインかWebサービスターゲットとして起動することが可能です。

日立 ID アイデンティティ・マネージャーをカスタムアプリケーションか、バーティカルマーケットアプリケーションに統合するには、通常、4時間～4日間の作業しか要しません。これは、競合製品と比較すると格段に手間が掛かりません。そうした製品では、個別のJavaあるいは、3GLコネクターを最初からプログラミングしなければならず、これに何週間～数ヶ月を要し、新しいフレームワークやAPIを即座に習得する能力を持つ豊富なプログラミング経験を持つ日立 ID アイデンティティ・マネージャー管理者を必要とするような

ほとんどのケースでは、日立 ID アイデンティティ・マネージャーは、ターゲットシステム上にローカルエージェントのインストレーションを必要としません。　例外としては、リモート管理機能を持たない次の二つのアプリケーションだけです。：　RSA Authentication Manager, Entrust getAccess Servers

日立 ID アイデンティティ・マネージャーは、UnixとOS/390/zOS サーバーの展開のための、ローカルエージェントを持っていません。　こうしたシステムのユーザーとパスワードはローカルエージェントを用いずに操作することができます。――Telnetセッション、TN3270、またはSSHを用いたターミナルエミュレーションにより実現できます。――こうしたターミナルコネクションは、ローカルエージェントを用いる場合より遅く、また、信頼性に劣ります（SSHを用いた場合を除き）。

最終的には、日立 ID customer は、Unix と OS/390/zOS systems上で、制御変更が少ない方法か、より安全で、早く、信頼性の高い方法のどちらがより重要であるかの判断をし、ひいてはそれらのシステム上でローカルエージェントをインストールするか否かの判断をする必要があります。

　ターゲットシステムの通常の操作に対し、ローカルエージェントが干渉するようなことはありません。――各ターゲットシステムへのログインプロセスは、同様でターゲットシステム上での特段大きなCPU負荷やたの不可は掛かりません。

プロセスインテグレーション

ID管理は、企業/組織のビジネスプロセスに不可欠なもので、日立 ID アイデンティティ・マネージャーは、既存のプロセスやシステムと統合するように設計されています。

信頼できるディレクトリのモニタリング/ルールベースのユーザープロビジョニング
日立 ID アイデンティティ・マネージャーは、既存システムをリファレンスとしてモニターし、その変更をベースに管理対象システムのアカウントの生成、削除を行うことができます。　これは、人事システム、LDAPディレクトリや、単純なテキストファイルエクストラクトなどで行うことができます。
所定の要求
デフォルトとして、変更要求は、指定された資源にもとづいて経路を定められます。例えば、支払い勘定アクセスのためのすべての要求は、アカウントタイプに指定された一人以上の承認者に行きます。
一つの要求に必要な承認者のリストは、他の変数によって調整されます。
- 要求者の識別（例：　要求を提示した幹部は承認を必要とはしないかもしれません、他は、一連の幹部のうち誰かの許可が必要かもしれません。）
- 受領者の識別
- 要求者の他の属性（場所、部門コード、等）
柔軟性を最大化するため、承認者リスとの調整プロセスは、プラグイン･アーキテクチャで実装されています。
新規、標準ログインIDの割り当て
新規アカウントのためのログインIDは、特定の許可者によって手動でアサインすることができるほか、サイト特定のロジック（例えば、イニシャル+名字＋ユニーク番号といったルール）を実装したプラグインプログラムにより自動的に設定することもできます。
権限者への要求のエスカレーション
日立 ID アイデンティティ・マネージャーは、要求承認が迅速に処理されるように多くの機能をサポートしています。
- 承認者のグルーピングと各グループのサブセットでの承認
- 一時的な権限の委譲、これにより権限者は、休暇など不在が可能
- リマインダーを応答しない承認者に送付
- 未終了要求の承認のための自動的なエスカレーション
既存プロセスに代わって実行
いくつかの組織では、既に　変更要求を提出し、送付し、許諾する実用的な自動プロセスを持っているかもしれません。　こうした組織では、承認された要求を自動的に実施することが必要です。
日立 ID アイデンティティ・マネージャーでは、既存のワークフロープロセスから、複数システム上の新規アカウントの生成や既存のアカウントの更新や、削除、といった管理アクションにトリガーを掛けるようにするために、ウェブサービスやライブラリレベルのRPCの両方を備えています。

拡張性

ユーザープロビジョニング、アクセス管理、パスワード管理を合わせたシステムの拡張性は、主にパスワード管理コンポーネントに密接に関連します。：

ユーザープロビジョニングは、時間に関わらず一定です、 -- 変更要求や管理上のアクションは何日でも何時でも起こりえます。言い換えると、ユーザーは何時でも採用され、異動され、解職されうるということです。
反対にパスワード管理要件は、急に多量に発生します。ほとんどのパスワード変更は、週末や休日後の朝のログイン時間を頂点に多量に発生します。
パスワード管理と特にパスワードの同期化は、すべてのユーザーに定期的に必要な事象で、採用、異動、解職される人間だけに必要なものではありません。

10,000人の従業員がいる企業や組織の典型的なピークトランザクションレートは、プロビジョニングで10イベント/時間、パスワード同期化で5,000イベント/時間です。

したがって、パスワード管理は、プロビジョニングでは必要のない、極限の拡張性を要求されるため、下記の議論は日立 ID パスワード・マネージャーに焦点を絞ることができます。　日立 ID アイデンティティ・マネージャーは同じ拡張性のあるアーキテクチャの下に作られていますが、単純にその同じ効果は要求されていません。

(8) 日立 ID パスワード・マネージャーは、非常に大きな企業、組織で展開されています。　そうした大規模な拡張性を要求された主な事例には、次のものがあります。：

単一の日立 ID パスワード・マネージャーシステムで250,000以上の日立 ID パスワード・マネージャーユーザー管理している企業では、たった2台のサーバーでロードバランスを行っています。
ユーザーは6大陸に分散しています。
一つの日立 ID パスワード・マネージャーシステムは単一のサーバーで稼動し、500以上のパスワードシステム上のパスワードを管理しています。
20の日立 ID パスワード・マネージャーサーバーを展開している顧客では、サーバー間でのリアルタイムのデータ複製を行っており、ユーザーは、ネットワークアクセスができない場合でもシステムアクセスへのアクセス可能です。

日立 ID パスワード・マネージャーの拡張性を支えるアークテクチャ的特長には次のものがあります。：

サーバー語とに複数のシステムをインストールできる機能
システムを複数のサーバーに跨ってインストールすることができる機能、その場合、グループ内の各サーバーは機能的に同一（同じユーザー、システム、機能をサポート）です。 features.
組み込まれた、高性能のアイデンティティキャッシュ、これは、リアルタイムのサーバー間データ複製機能を持っています。
　　　このエンジンはWindows/Intelサーバー上で数百万件更新/秒のベンチマーク結果を示しています。データベースは、既存のリポーティング、解析ツールとの互換性を保障する標準のオープンフォーマットのファイル（xBase/DBF）を使っています。
サーバー状態をモニターし、DNSレコードをダイナミックに更新する組み込みサービス；例えば、誤動作しているサーバーをロードバランスローテーションから外すなどのため

加えて、日立 ID パスワード・マネージャーは、直接性能には無関係ですが、大企業、組織で要求される沢山の機能と連携して動作します。

ファイアウォールを跨いで操作する機能：ユーザーと日立 ID パスワード・マネージャー間、及び日立 ID パスワード・マネージャーと管理対象システム間
スピードが遅く、安全でないWANを隔てて、一箇所にある一つの日立 ID パスワード・マネージャーサーバーが全体を管理することが出来る、プロキシーサービスの提供
サーバー構成毎に複数のユーザーインタフェースとUI言語をサポート
管理対象システム上のユーザーIDの自動ディスカバリ機能、これにより、手作業の管理を削減し、初期の構成に伴う作業を最小化することができます。
初期NOSログインパスワードを忘れたユーザーにデスクトップソフトウェアを用意することなくセルフサービス･パスワード･リセットをサポートする機能(セキュア･キオスク･アカウント)
21のユーザーインターフェース言語のサポート

安全性

日立 ID パスワード・マネージャーは、次のように認証プロセスのセキュリティを向上させます。

グローバルパスワードポリシーは、パスワードが簡単に想像できるのを防ぎます。また、全てのパスワードは定期的に変更されます。
パスワード同期はユーザーが自身のパスワードを覚え書きすることなく、覚えるのを容易にします。
堅固な認証は、ユーザがセルフサービスまたは、アシステッドパスワードリセットをする前に的確に認証されるようにします。
代理実行機能により、管理者が管理対象のシステムを直接アクセスする手順を踏むことなく、ヘルプデスクアナリストがユーザのパスワードを変更するができます。
詳細な監査記録により、パスワードリセットのアカウンタビリティが向上します。
暗号により、重要な情報が平文で格納されたり転送されたりするの防ぎます。

日立 ID アイデンティティ・マネージャーは、安全を配慮して設計させています。複数階層のセキュリティアーキテクチャを採用しており、堅牢なOS上での動作,　ACLsファイスシステムの利用、堅固なアプリケーションレベルのユーザー認証、ユーザーインプットのフィルタリング、重要データの暗号化、アプリケーションレベルのACLｓの強制、無期限のログデータの蓄積　などの対策を講じています。

　日立 ID アイデンティティ・マネージャーは、プレインテキストパスワードを構成ファイルやスクリプトに格納するようなことはしないばかりか、プレインテキストパスワードはどこにも格納されるようなことはありません。日立 ID アイデンティティ・マネージャー　は、インストレーション時に入力を必要とする、デフォルト管理パスワードと一緒に出荷されるようなこともありません。

　これらのセキュリティに関する対策を図４． [link] に示します。

図４． ネットワーク･アークテクチャ･セキュリティ･ダイヤグラム (9)

迅速な展開

日立 ID ソリューションは迅速な展開が出来るように最適化されており、それが、すべての私たちの製品の中核となる設計思想となっています。ダイナミックワークフローなどの機能はロールエンジニアリングの必要性をなくし、自動ディスカバリやセルフサービス･ログインID調整機能などは、実運用化での製品情報の収集により生ずるコストや遅れを防ぐために用意されています。

日立 ID アイデンティティ・マネージャーは迅速な実装ができるように設計されています。

変更認証のためのシングル・ダイナミック・ワークフロー
認証プロセスの構成とメンテナンスを簡素化します。シングル・フローチャート（状態図）は日立 ID アイデンティティ・マネージャーワークフロー・エンジン内のすべての要求を認証するために使用されます。日立 ID アイデンティティ・マネージャーワークフロー・エンジンは以下をサポートします。
- 並行変更認証
- 変更要求の書き換えや再ルーティングが可能な承認者
- 複数承認者の複数組織
- 応答のない承認者への自動リマインダー
- 承認者の不応答が継続する場合の自動エスカレーション
- 承認者が欠席状態を延長した場合の委任
- 要求のすべてまたは一部の拒否権を持つ承認者
シングル・ダイナミック・ワークフローを使用することにより、企業は以下のようなID管理ワークフロー・システムの重要課題にフォーカスすることができます。
- 変更要求は構文的に適正であるか？
- この変更を承認するためには誰の権限が必要であるか？
これは対象システムごとや処理タイプごとにフローチャートを定義する必要をなくします。対象システムや処理タイプの組み合わせが数千にも及ぶことがあるため、これは大きな省力になります。
ロール設計が不要
＿IDSYNCHは正式なユーザー権限モデルなしで作動します。オートメーションが新規ユーザーの暫定的なアクセスを設定し、切り離されたスタッフのアクセスをすべて終了します。そしてこのプロセスはロールごとの詳細な権限モデルも、ユーザーへロールを割り当てる際の詳細な分類も必要ありません。ワークフローは人間の要求による精細なアクセス設定を解決し、これもまた正式な権限モデルは必要ありません。ダイナミック・ユーザー・ベース向けに適切なモデルをモデリングするのではなく、マネージャーやアプリケーション・オーナー、グループ・オーナーを有効にし、現在の権利をクリーンアップするだけで、権限の蓄積問題も解決されます。
ロール設計プロジェクトは、完了まで数年を要し、完了というよりは強制終了せざるを得ないのが実情です。ですから、詳細なロール設計を不要にすることはプロジェクト成功へ導き、ユーザー設定プロジェクトのコストを削減する点において、重要な貢献になります。
モデル・ユーザーのクローン
日立 ID アイデンティティ・マネージャーは既存のユーザーからクローン化することで新規ユーザーを作成できます。そのクローン対象は日立 ID アイデンティティ・マネージャー管理者から“モデル”として認識されます。これは日立 ID アイデンティティ・マネージャー管理者とプラットホーム管理者が協力し、担当システム上の新規ユーザーの各タイプに対して属性値を設定する手間を省きます。

(10) 日立 ID パスワード・マネージャーは迅速な実装ができるように設計されています。

クライアント・ソフトウェアが不要 ワークステーションのログイン画面において、セルフサービスのパスワード・リセットへアクセスする場合であっても、クライアント・ソフトウェアは不要です。
自動ディスカバリー 管理下にある全システムの全ログインIDを毎晩自動で発見します。
セルフサービス・ログインIDの解決 異なるシステム上のログインIDに相違があり、相関関係に関するデータが存在していない場合に、自動でIDを解決します。
内蔵IDキャッシュ ユーザー・プロファイル・データを確保し、日立 ID アイデンティティ・マネージャーインストール前にデータベースやディレクトリのインストールと管理を不要にします。
７０以上のシステムにエージェントを事前定義済 一般的な既製の対象システム向けに顧客がコネクターを準備する必要がありません。
リモート・エージェント 日立 ID アイデンティティ・マネージャーはローカル・ソフトウェアを各対象システムにインストールすることなく、システム上のユーザーとパスワードを管理します。
フレキシブル・エージェント カスタム・アプリケーションや業種別ソフトウェア、アプリケーション・サービス・プロバイダー（ASP）、サービス・ビューロと_PRODCUTの迅速な統合を可能にします。新規対象システム１つあたり２時間から４日ほどしかかかりません。

投資対効果

日立 ID アイデンティティ・マネージャーは、セキュリティ管理者のコストセービング及びユーザーの生産性向上を下記を通して実現します。

ユーザーの生産性: ユーザーは、新たな、変更されたアクセス権をより迅速に入手します。
　　　新入社員への対応を、数日から数週間ではなく、数時間で可能にします。責任に変更があったスタップは、変更の承認と実行を待つのではなく、即座に更新されたアクセス権限を得ることができます。
管理トランザクション量の削減: セキュリティ管理は、ルーチンタスクから解放されます。
　　　新規ユーザーのための標準アクセスの設定、日々の終了後の削除作業、ユーザー属性またはグループメンバーシップへの変更作業、問うのルーチン作業を自動化されたプロセスやセルフサービスに委ねることができます。　セキュリティ管理者は、より価値のある業務に集中することが出来ます。
管理者効率の向上: 管理者は、単一のコンソールから複数のシステムをアクセスするユーザーアクセスを管理することができます。
統合化されたウェブコンソールにより、システムのグローバルと地域毎/部門毎のセキュリティ管理者が一箇所からシステムのあらゆる組み合わせに対するユーザーアクセスを管理することが出来るようになります。　これにより、ネイティブな管理プログラム間をスイッチすることによる無駄時間、重複する入力作業、プラットフォーム特定のトレーニングなどを削減します。

まとめ

効率的で信頼できるユーザープロビジョニングは、ユーザーに高い生産性、管理者オーバーヘッドの削減し、より良い安全性をもたらします。

日立 ID アイデンティティ・マネージャーは、組織にユーザープロビジョニング、アクセス管理、終了プロセスの簡素化を実現します。：

アイデンティティ同期:
　　あるシステム上でのユーザー情報の変更、例えば、電話番号、所属部門コードなど、を検知し、自動的に他のシステム上で当該ユーザーの該当する情報を変更する。
自動プロビジョニング:
信頼できるシステム（例えば人事情報）上で新規ユーザーを検知し、自動的に他のシステムやアプリケーション上に当該ユーザーの適切なアクセスを提供する。
自動解除処理:
信頼できるシステム上で削除、停止ユーザーを検知し、自動的にすべてのシステムやアプリケーションから当該ユーザーを停止する。
セルフサービスリクエスト:
ユーザーが自ら自身のプロフィール情報（例えば、新しい自宅の電話番号など）を変更可能とし、新しい資格（例えば、アプリケーションやシェアへのアクセス権）の申請を可能とする。
委譲管理:
管理者、アプリケーション所有者、または他の関係者に権限の範囲内においてユーザーや資格の変更を可能とする。
承認ワークフロー:
すべての変更依頼を、それがだらからかに関わらず、検証し、統合システムやアプリケーションに反映される前にビジネス関係者に承認を依頼する。
統合リポーティング:
複数システム、アプリケーションに跨って、どのユーザーがどんな資格を持っているか、休眠、孤立アカウントはどれか、変更の履歴、等に関するデータを提供する。

日立 ID アイデンティティ・マネージャーは、拡張性、安全性、展開の容易性を実現するように設計されています。

付録:日立 ID 管理スイート概要

(11)

日立 ID 管理スイートは、企業/組織が多くのエンタープライズアプリケーションとシステムに跨ってユーザーのライフサイクルを安全に効果的に管理することを支援する一連のアイデンティティ・アクセス管理ソリューションです。

日立 ID 管理スイートは、日立 IDの強力な主要技術である、ユーザープロビジョニングを提供する日立 ID アイデンティティ・マネージャーとパスワード管理のための日立 ID パスワード・マネージャー、加えて、より目的指向の製品、ユーザーアクセス権限を管理する日立 ID グループ･マネージャー、ユーザー権限と失効した権限を整理する日立 ID アクセス･サーティファイアー、特権パスワードを安全に管理するための日立 ID 特権パスワード・マネージャー、により構成されています、

日立 ID 管理スイートは、アイデンティティマネージメントミドルウェアとして設計されており、統一されたユーザインタフェースと複数のシステムやプラットフォームにまたがるユーザーオブジェクト、識別属性、セキュリティ権限、認証方式を管理するビジネスプロセスの統合された機能セットで構成されています。　これを図５． [link] に示します。

図５． 日立 ID 管理スイート概観: アイデンティティミドルウェア (12)

日立 ID 管理スイートは、いくつかのアイデンティティ管理機能モジュールを備えています。:

-- 自動化した新規登録、同期化、停止処理.
- ターゲットシステムのレコードシステムから自動的にユーザープロフィールの変更を伝播する機能
- セキュリティ変更要求のためのセルフサービスワークフロー
- 統一的、かつ委託可能なユーザー管理機能
- SOAP APIを介してユーザープロビジョニング実行エンジンと連携したユーザー管理機能
- 統合的なアクセスリポーティング機能
-- 定期的な権限レビューと整理.
- 監査結果と管理構造に準拠して委託可能なアクセスレビュー機能
-- パスワードの同期化とセルフサービス･パスワード･リセット.
- パスワード同期化機能
- セルフサービス及びアシステッドパスワードリセット機能
- Q-A(Question-and-Answer)プロフィール、ハードウェアトークン、生体認証、PKI認証等の他の認証方式の統合及び管理機能
-- セルフサービスのＡＤグループ管理.
- Active DirectoryグループとExchange 2000/2003/2007 メール配布リストのグループメンバーシップのセルフサービスおよび委任管理
-- 分散関係管理.
- 組織内のリポーティングラインの構築及び保守のセルフサービス機能
-- 管理者、サービスアカウントセキュリティ.
- 定期的な特権パスワードのランダマイジング
- IT スタッフの特権パスワードへのアクセスの認証、承認、を記録する機能
-- 自動アプリケーションログイン.
- システム及びアプリケーションへの自動的なユーザーサインイン
- パスワード同期化と人口知能の組み合わせを用いて、証明書リポジトリの構築と保守を不要化
-- 電話によるセルフサービス.
- アカウントアンロック、RSA SecurID トークン管理を含む、ターンキーの電話によるパスワードリセット機能、
- 数字による Q&A または、声紋による認証機能
- 多言語サポート