認証管理? ユーザの本人確認を行う
Webアクセスマネジメントソリューションのユーザ認証には、ユーザパスワードによる管理(単一要素認証)だけにとどまらず、ほかにも多くの機能が求められます。認証を拡張するには、パスワード、証明書、スマートカード、Form認証、ワンタイムパスワードトークン、様々な種類のバイオメトリックス(指紋認証、音声認証など)をはじめ、認証に使用できる、数多くの方法やテクノロジをうまく組み込むことも求められるでしょう(二要素認証)。
こうした組み込みもWebアクセス管理の一元化されたセキュリティ基盤であれば、セキュリティ担当者は、認証システムを各アプリケーションに直接組み込まなくても、様々なアプリケーションやデータリソースに対応する適切な認証テクノロジを選択して適用することができます。
認証管理を一元化すると、シングルサインオン機能(SSO)もシングルサインオフ機能も有効になります。シングルサインオン機能を使用した場合、ログイン認証内容(多くの場合、ユーザIDとパスワードです)を一度入力すると、認証内容を再度入力しなくても、アクセス権限のあるアプリケーションやリソースすべてにアクセス権が付与されます。エンドユーザの視点から見ると、Webへのアクセスが便利になりますし、うれしいでしょうね。
ポリシーベースの権限付与−ユーザに権限を付与する(認可機能)
個々のアプリケーションについてユーザを認可すること、つまり、権限定義、権限の付与、アクセスポリシーのリアルタイム実施は、一元化されたアクセスマネジメントのもう1つの構成要素です。 これを環境の異なるアプリケーション「サイロ型アプリケーション」において、個々のセキュリティアーキテクチャで行えば、大変なコストがかかることになります。特にユーザ数やアプリケーションが急速に拡大し細分化されているときに、アプリケーションごとにユーザ権限付与ロジックを作成し維持するとしたら、大変なコストが発生します。
認可機能を実装するには、ユーザ(またはグループ)、役割(ロール)、保護対象のリソース、どのユーザが何に、いつアクセスする権限があるかを規定したポリシーなどについて理解する必要があります。認可機能を一元化することによって、以後の管理は容易になりますし、セキュリティも継続して確保されることとなります。
