IDM
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/11/12 15:22 UTC 版)
IDM
- インテリジェント・ダンス・ミュージック (Intelligent dance music) 音楽のジャンルの一種。
- 垂直統合型デバイスメーカー (Integrated Device Manufacturer) 半導体製造メーカ。自社内で回路設計から製造工場、販売までの全ての設備を持つ統合メーカー。
- アイデンティティ管理(Identity Management)
- 改良型データ・モデム(Improved Data Modem)
アイデンティティ管理
(IDm から転送)
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2026/03/04 06:56 UTC 版)
アイデンティティ管理(アイデンティティかんり、英:Identity management、略:IdM)とは、情報システムにおける利用者やデバイスのデジタル情報を管理することである。近年では、アクセス権限の制御までを含む「アイデンティティおよびアクセス管理(アイデンティティかんり、英:Identity and access management、略:IAM)」とほぼ同義として扱われる[1]。
IdMは主に、主にユーザーのIDの発行・更新・削除といったライフサイクルや、属性(役割・所属)、IDの保護、パスワードや電子証明書などの認証情報を保護する技術をカバーsるう。
IAMは、より広範なセキュリティとデータ管理という包括的な管理を担い、個人の識別や認証だけでなく、「誰が・いつ・どのアプリケーションやハードウェア(ITリソース)にアクセスできるか」という認可とアクセス制御までを包括的に管理する。
アイデンティティ管理は通常、システム、製品、アプリケーション、およびプラットフォームなどで行い、エンティティに関する識別データと補助データを管理する。
定義
アイデンティティ管理 (IdM)
狭義のアイデンティティ管理は、IdMのことを指す。IdMは、個々のユーザーまたはデバイスやサービスの、デジタルアイデンティティ(デジタル上の身元)を管理する。デジタルアイデンティティを管理する活動は、IDライフサイクルという登録・活性・(更新・休止・)抹消のサイクルからなる[2]。
- アイデンティティ情報が登録される。(実体(entity)を表す名前(もしくは識別子)と共に他の属性情報が登録される。)
- アイデンティティ情報が活性化される。(アイデンティティ情報を利用できるようになる。)
- アイデンティティ情報が更新されることがある。
- アイデンティティ情報が休止されることがある。(例:休職者、パスワード・ロック)
- アイデンティティ情報が抹消される。 (例:退職者)
このような管理は実体の識別子(ID)に基づいて管理されるが、必ずしも「ID管理」と同義ではない。識別子(ID)は属性情報のひとつにすぎず、むしろ他の属性情報と併せた集合として実体を表すことに意義がある。
デジタルアイデンティティの管理にはディレクトリ・サービスを利用する。
アイデンティティおよびアクセス管理(IAM)
広義のアイデンティティ管理は、アクセス制御まで含んだIAMのことを指し、「アイデンティティ管理」と呼ばれることがある[1]。IaaSやPaaSにおいては、単なるID管理だけではなく詳細なアクセス制御・権限管理までを包括して行うため、主流になっている。IAMは以下の3つの要素で構成される。
- Identification (識別): 「私はユーザーAです」と名乗る。
- Authentication (認証): 「本当にAさんですね?」と証拠(パスワード、生体認証など)を確認する。
- Authorization (認可): 「Aさんにはファイル閲覧の権限を与えます」と、アクセスできる範囲を決める。
Authentication (認証)については、SSO(シングルサインオン)やMFA(多要素認証)機能を持つことが多い。また、認証・認可時の監査・ログ管理も行うことが多い。
アイデンティティ管理システム
実際の情報システムにおいて、アイデンティティ管理システムには次の役割がある。
- アイデンティティ情報をライフサイクルにわたって管理する(上述)
- ユーザによるリソースへのアクセスを支援する
- アイデンティティ情報を提供する
ユーザによるリソースへのアクセスを支援する
アイデンティティ管理を行うシステムに基づいて、組織が保持するリソースへのアクセスをユーザに提供しつつ、そのようなアクセスを制御する機能が実装される。 ユーザ認証の機能とアクセス制御の機能が相当し、組織のリソースを不正なアクセスから護る。
アイデンティティ情報を提供する
この役割については、アイデンティティ管理の応用範囲は広い。アイデンティティ管理の対象範囲には、組織内の成員のみならず、すべてのリソースについての属性情報が含まれうる。顧客情報ひいては個人情報も含まれうるため、この場合、プライバシーの観点から特段の考慮を要する。
連邦化されたアイデンティティ管理においては、アイデンティティプロバイダ(IdP)がアイデンティティ情報を提供する。また、自己のアイデンティティ情報をコントロールできるようにするパーソナルデータ・サービス(PDS)が設計・実装されている。
アイデンティティ管理関連ソリューション
広義のアイデンティティ管理の範疇となるソリューションの例を挙げる。
- 基本ディレクトリサービス
-
- アイデンティティ情報のディレクトリ・サービスの統合(メタディレクトリ[3])
- ディレクトリサーバの同期/複製/バックアップ/リストア
- ディレクトリサーバの配備の仮想化[4]
- ライフサイクル管理支援
- アイデンティティ管理の連邦化(federation)
-
- 連邦化対応(federated)アイデンティティによるログイン(例:仮名SAMLアサーションによるユーザ認証結果通知 等)
- ユーザアカウントの属性情報の管理ドメイン間での交換(例:SCIM[6]準拠 等)
- アクセス管理
-
- 属性情報に基づくアクセス制御(ABAC)[7]
標準化団体
- ISO/IEC JTC 1/SC 27/WG 5
- ISO/IEC 24760-1 A framework for identity management—Part 1: Terminology and concepts
- ISO/IEC 24760-2 A Framework for Identity Management—Part 2: Reference architecture and requirements
- ISO/IEC DIS 24760-3 A Framework for Identity Management—Part 3: Practice
- ISO/IEC DIS 29146 A framework for access management
- IETF
- OpenID Foundation
- OpenID Connect
- OASIS Identity in the Cloud TC
脚注
- ^ a b “アイデンティティ管理の概要”. ORACLE (2008年). 2016年1月15日閲覧。
- ^ “アイデンティティ管理技術解説” (PDF). IPA (2013年1月29日). 2015年11月28日閲覧。
- ^ デジタルアドバンテージ (2003年8月21日). “Windowsメタディレクトリ入門”. @IT. 2015年12月10日閲覧。
- ^ 小川 大地 (2012年5月31日). “Active Directoryドメイン・コントローラ(AD)の仮想化はNG?”. @IT. 2015年12月10日閲覧。
- ^ 伊藤 雄介 (2015年5月1日). “アクセス制御/特権ID管理のポイント”. EZ. 2015年12月10日閲覧。
- ^ “RFC 7642, System for Cross-domain Identity Management: Definitions, Overview, Concepts, and Requirements”. IETF (2015年9月). 2015年12月2日閲覧。
- ^ “SP 800-162, Guide to Attribute Based Access Control (ABAC) Definition and Considerations” (PDF). NIST (2014年1月). 2015年11月28日閲覧。
関連項目
外部リンク
- アイデンティティおよびアクセス管理(IAM)
- ID管理とアクセス管理(IAM) - 日本 | IBM
- “アイデンティティ管理技術解説”. IPA (2013年1月29日). 2015年11月28日閲覧。
- “マイクロソフト公式技術情報: クラウドコンピューティング時代におけるアイデンティティ管理” (PDF). Microsoft. 2015年12月8日時点のオリジナルよりアーカイブ。2015年11月28日閲覧。
- “内部統制におけるアイデンティティ管理解説書(第2版)” (PDF). JNSA. 2015年11月28日閲覧。
「IDM」の例文・使い方・用例・文例
- IDmのページへのリンク
