増大するアカウントプロビジョニングの負担。
お役立ち
ユーザーとサービスを結びつける「アカウントプロビジョニング」。クラウド時代にはその負担がさらに大きくなります。ここで重要になるのが集中化・自動化する仕組みの確立。そのための有効な手段を紹介します。
IT活用を迅速化する「プロビジョニング」という発想
ITの世界で頻繁に使われるようになった「プロビジョニング(Provisioning)」という言葉。その本来の意味は「(長期の旅行や軍隊の行軍のために)食料を準備・提供する」という意味であり、会計分野では「引当金」といった意味で使われます。IT分野では、サーバーやソフトウェア等のITリソースをユーザーに割り当てて利用可能にすることや、そのための準備のこと。もともとは通信事業者が使っていた言葉であり、ユーザーによる申し込みの後すぐにサービスを提供できるよう、回線設備等を事前に準備し、必要に応じてこれらのリソースを割り当てることを意味しています。
この言葉がITの世界で広く使われるようになった背景には、ITサービスの利用を迅速化したいというニーズがあります。また仮想化技術の普及によって、仮想化されたサーバーファームを事前に確保し、そこから短時間で必要なリソースを割り当てられるようになったことも、後押ししていると考えられます。
プロビジョニングと一言で言っても、その具体的な内容は多岐にわたります。例えば通信事業者が契約者に対して行うプロビジョニングは「サブスクライバープロビジョニング」と呼ばれ、契約者によるサービス利用に必要なサービスの構築・提供を意味します。また新たなサーバー(多くの場合は仮想マシン)を立ち上げ、それを利用可能な状態にする作業は「サーバープロビジョニング」と言います。すでに立ち上がっているサーバーに対して、DNSサーバーやWebサーバー、電子メールサーバー等のソフトウェアの構成・設定を行うことは「サービスプロビジョニング」と呼ばれます。
最近では企業でもSaaS型クラウドサービスの利用が拡大しており、今後は社内でサーバープロビジョニングやサービスプロビジョニングを行う頻度は少なくなると考えられます。これに伴いIT管理者の負担も軽減していくでしょう。しかし逆に負担が増大するプロビジョニングも存在します。それが「アカウントプロビジョニング」です。
クラウド時代に重要性が高まるアカウントプロビジョニング
アカウントプロビジョニングとは、各種サービスやアプリケーションにおいて、ユーザーが適切な権限で利用できるよう、ユーザーアカウントの生成や保守、削除等を行うことを意味します。「ユーザープロビジョニング」あるいは「アイデンティティプロビジョニング」とも呼ばれています。
クラウドサービスでは、サービス提供に必要なITリソースの確保をクラウド事業者に任せることができ、それらのプロビジョニング(準備)作業もアウトソース可能になります。しかし誰にどのサービスを割り当てるのかは、利用企業側で適切に管理しなければなりません。つまりアカウントプロビジョニングは、企業内のIT管理者にとって、最後まで残される重要な業務だといえます。
クラウドサービスへのアカウントの追加や削除は、従来はサービス毎に、管理者が手動で行うものでした。このままでは当然ながら、企業ユーザーが利用するクラウドサービスが増えていくことで、管理負担も増大します。また作業漏れ等に伴うセキュリティリスクも大きくなっていくでしょう。従業員の退職時に速やかにアカウントを削除しておかなければ、これが不正利用される危険性があるからです。
このような課題を解決するには、アカウントプロビジョニングを集中化・自動化できる仕組みが必要です。そのための有効な手段が「OneLogin」の活用です。これは4,000以上のクラウドサービスやWebアプリケーションへのシングルサインオン(SSO)を可能にするSaaS型のサービスですが、アカウント情報の集中管理や、アカウントに対するサービス割り当て(プロビジョニング)の自動化・効率化も実現できます。
またLDAPやActive Directory等のディレクトリーサービスや、Workdayのような人事管理システムと連携することも可能です。Active Directoryと連携させた場合には、Active Directoryにユーザーを登録するだけで、OneLoginにもそのユーザーが追加されます。またOneLogin上で事前にロール設定を行っておけば、新規登録されたユーザーのロールに合わせて、そのユーザーが利用すべきクラウドサービスのアカウントも自動生成します。
集中化・自動化できる仕組みの確立は今後より課題に
例えば「営業部OU(組織単位)に含まれるユーザーはSalesforceを利用する」というロール設定を行えば、Active Directoryの営業部OUに新規ユーザーを追加することで、自動的にこのユーザーのSalesforceアカウントも生成されます。新規登録されたこのユーザーは、OneLoginにもSalesforceにもアクセス可能になります。サービス毎にユーザーIDやパスワードを憶える必要はありません。
Office 365やSalesforceのように、クラウドサービス内に複数のアプリケーションが存在する場合には、どのアプリケーションをユーザーに割り当てるのかまで自動化できます。もちろんActive Directoryでユーザー登録が削除されれば、そのユーザーに割り当てられたアプリケーションのアカウント登録も抹消されます。これによって生じた空きライセンスを、別の新規ユーザーに割り当てることも容易になります。
クラウドサービスの利用がさらに拡大していけば、アカウントプロビジョニングの重要性はさらに高まっていくでしょう。これを集中化・自動化できる仕組みは、クラウド時代に戦略的なIT活用を行う上で、欠かすことのできない基盤なのです。