ja %E3%82%A2%E3%82%A4%E3%83%87%E3%83%B3%E3%83%86%E3%82%A3%E3%83%86%E3%82%A3%E7%AE%A1%E7%90%86

アイデンティティ管理（アイデンティティかんり、英: Identity management もしくは Identity and Access Management）は、情報システムにおける何らかの実体（entity）のデジタルアイデンティティ（アイデンティティ情報）やそのアクセス権限のライフサイクルにわたる管理を意味する。

定義

狭義の定義

実体（entity）のデジタルアイデンティティについてのライフサイクルにわたる管理をいう。デジタルアイデンティティ（アイデンティティ情報）は、実体についての属性情報（attribute）の集合として構成される。このようなデジタルアイデンティティを管理する活動は、登録・活性・（更新・休止・）抹消のライフサイクルとなる^[1]。

アイデンティティ情報が登録される。（実体（entity）を表す名前（もしくは識別子）と共に他の属性情報が登録される。）
アイデンティティ情報が活性化される。（アイデンティティ情報を利用できるようになる。）
アイデンティティ情報が更新されることがある。
アイデンティティ情報が休止されることがある。（例：休職者、パスワード・ロック）
アイデンティティ情報が抹消される。（例：退職者）

このような管理は実体の識別子（ID）に基づいて管理されるが、必ずしも「ID管理」と同義ではない。識別子（ID）は属性情報のひとつにすぎず、むしろ他の属性情報と併せた集合として実体を表すことに意義がある。

広義の定義（＝ Identity and Access Management）

ネットワーク越しに在るデジタルリソースへのアクセス制御を支える活動を「アクセス管理（Access Management）」というが、「狭義のアイデンティティ管理」とこの「アクセス管理」を併せた「Identity and Access Management」も「アイデンティティ管理」と呼ばれている^[2]。

アイデンティティ管理システム

実際の情報システムにおいて、アイデンティティ管理システムには次の役割がある。

アイデンティティ情報をライフサイクルにわたって管理する（上述）
ユーザによるリソースへのアクセスを支援する
アイデンティティ情報を提供する

ユーザによるリソースへのアクセスを支援する

アイデンティティ管理を行うシステムに基づいて、組織が保持するリソースへのアクセスをユーザに提供しつつ、そのようなアクセスを制御する機能が実装される。ユーザ認証の機能とアクセス制御の機能が相当し、組織のリソースを不正なアクセスから護る。

アイデンティティ情報を提供する

この役割については、アイデンティティ管理の応用範囲は広い。アイデンティティ管理の対象範囲には、組織内の成員のみならず、すべてのリソースについての属性情報が含まれうる。顧客情報ひいては個人情報も含まれうるため、この場合、プライバシーの観点から特段の考慮を要する。

連邦化されたアイデンティティ管理においては、アイデンティティプロバイダ（IdP）がアイデンティティ情報を提供する。また、自己のアイデンティティ情報をコントロールできるようにするパーソナルデータ・サービス（PDS）が設計・実装されている。

アイデンティティ管理関連ソリューション

広義のアイデンティティ管理の範疇となるソリューションの例を挙げる。

基本ディレクトリサービス

アイデンティティ情報のディレクトリ・サービスの統合（メタディレクトリ^[3]）
ディレクトリサーバの同期／複製／バックアップ／リストア
ディレクトリサーバの配備の仮想化^[4]

ライフサイクル管理支援

スーパーユーザアカウント（特権ID：rootやAdministrator）の特別管理^[5]
一般ユーザアカウントの登録・更新・休止・抹消についての内部統制（例：申請・承認ワークフロー）
パスワードリセットのユーザによるセルフサービス化

アイデンティティ管理の連邦化（federation）

連邦化対応（federated）アイデンティティによるログイン（例：仮名SAMLアサーションによるユーザ認証結果通知等）
ユーザアカウントの属性情報の管理ドメイン間での交換（例：SCIM^[6]準拠等）

アクセス管理

属性情報に基づくアクセス制御（ABAC）^[7]

標準化団体

ISO/IEC JTC 1/SC 27/WG 5
- ISO/IEC 24760-1 A framework for identity management—Part 1: Terminology and concepts
- ISO/IEC 24760-2 A Framework for Identity Management—Part 2: Reference architecture and requirements
- ISO/IEC DIS 24760-3 A Framework for Identity Management—Part 3: Practice
- ISO/IEC DIS 29146 A framework for access management
IETF
OpenID Foundation
- OpenID Connect
OASIS Identity in the Cloud TC

脚注

^ “アイデンティティ管理技術解説” (PDF). IPA (2013年1月29日). 2015年11月28日閲覧。
^ “アイデンティティ管理の概要”. ORACLE (2008年). 2016年1月15日閲覧。
^ デジタルアドバンテージ (2003年8月21日). “Windowsメタディレクトリ入門”. @IT. 2015年12月10日閲覧。
^ 小川大地 (2012年5月31日). “Active Directoryドメイン・コントローラ（AD）の仮想化はNG？”. @IT. 2015年12月10日閲覧。
^ 伊藤雄介 (2015年5月1日). “アクセス制御／特権ID管理のポイント”. EZ. 2015年12月10日閲覧。
^ “RFC 7642, System for Cross-domain Identity Management: Definitions, Overview, Concepts, and Requirements”. IETF (2015年9月). 2015年12月2日閲覧。
^ “SP 800-162, Guide to Attribute Based Access Control (ABAC) Definition and Considerations” (PDF). NIST (2014年1月). 2015年11月28日閲覧。

外部リンク

アイデンティティおよびアクセス管理（IAM）
ID管理とアクセス管理（IAM） - 日本 | IBM
“アイデンティティ管理技術解説”. IPA (2013年1月29日). 2015年11月28日閲覧。
“マイクロソフト公式技術情報: クラウドコンピューティング時代におけるアイデンティティ管理” (PDF). Microsoft. 2015年12月8日時点のオリジナルよりアーカイブ。2015年11月28日閲覧。
“内部統制におけるアイデンティティ管理解説書（第2版）” (PDF). JNSA. 2015年11月28日閲覧。

[1] “アイデンティティ管理技術解説” (PDF). IPA (2013年1月29日). 2015年11月28日閲覧。

[2] “アイデンティティ管理の概要”. ORACLE (2008年). 2016年1月15日閲覧。

[3] デジタルアドバンテージ (2003年8月21日). “Windowsメタディレクトリ入門”. @IT. 2015年12月10日閲覧。

[4] 小川大地 (2012年5月31日). “Active Directoryドメイン・コントローラ（AD）の仮想化はNG？”. @IT. 2015年12月10日閲覧。

[5] 伊藤雄介 (2015年5月1日). “アクセス制御／特権ID管理のポイント”. EZ. 2015年12月10日閲覧。

[6] “RFC 7642, System for Cross-domain Identity Management: Definitions, Overview, Concepts, and Requirements”. IETF (2015年9月). 2015年12月2日閲覧。

[7] “SP 800-162, Guide to Attribute Based Access Control (ABAC) Definition and Considerations” (PDF). NIST (2014年1月). 2015年11月28日閲覧。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

アイデンティティ管理

定義