ツアー終了

先週から始まったエクスジェン・ネットワークス東名阪ツアーが本日終了しました。

様々な方々に来て頂き、「ブログ見てます！」というお言葉を頂き、非常に勇気づけられた1週間でした。皆さまにはとても感謝しております。

内容ですが、メインテーマは「IdM製品の傾向」でしたが、アイデンティティ管理自体に関するトレンドの推移やアイデンティティ情報の管理および利用モデルの移り変わりについて簡単ではありますが紹介させていただきました。

簡単に概要ですが、アイデンティティ管理を行う目的として、

• 運用の効率化
• セキュリティの強化
• 利便性の向上
• 法令対応／内部統制

といったキーワードが絡み合ってプロジェクトが複雑化しがちですが、それらのキーワードがここ10年程度を振り返ってどのような経緯で持ち上がってきたか、各製品ベンダはどのような機能でそれらのキーワードに追従してきたか、を紹介しました。

また、クラウド（主にSaaS）をイメージした際に、アイデンティティ情報を提供する側、サービスを提供する側それぞれの間を結ぶのは「信頼」であること、USガバメント（ICAM、OIX）やIAFの例をベースに保証のフレームワークを簡単に紹介しました。

全体に少々企業内のプロビジョニングとは離れた世界の話になりましたが、今後考えなければいけない事柄ばかりだと思うので、非常にざっくりですが紹介出来て良かったと思います。

いづれにしても、上記のような複雑な要件が絡み合うが故にややこしいプロジェクトになってしまいがちなアイデンティティ管理ですが、今後もしばらくはややこしさが付いて回りそうです。。。。

イベントで少々登壇します

クローズドなイベントですが、明日から東名阪ツアーです（笑）

国産IdM製品ベンダであるExgen Networksのパートナー向けイベントでID管理の動向、各種製品のすみ分けなどについて話をする予定です。

前段では運用効率化、セキュリティ、法令対応・統制、利便性など様々な目的が混じり合う中、アクセス管理を含むIdM製品群がどのような技術要素で対応・進化してきたのか、という大枠の話と、クラウドを含むサービス連携（Claimベースの話などを含む）がフォーカスされる中でプロビジョニングの役割はどうなっていくのか、について話をするつもりです。

後半は具体的な製品がそれぞれどのような特徴を持っているのか、という話をします。こちらは少々角が立つ話になるかも・・・

全部終わってひと段落したら公開出来そうなネタについては公開していこうと思います。

LDAP Manager 4.5リリース

新バージョンがリリースされたようです。

http://www.exgen.co.jp/info091005.html


主な強化ポイントは下記の通りです。

１．Windows Server 2008、および 64bit OSに正式対応：
　LDAP Managerの動作プラットフォームに Windows Server 2008が追加され、同時に、従来の 32bit版に加えて 64bit版モジュールのご提供も開始いたします。

２．リモート制御プラグイン：
　ユーザ情報のリアルタイム連携処理を、LDAP Managerサーバのバックエンド側で処理する新規プラグインです。エンドユーザの連携処理待ち時間短縮を実現しました。

３．リトライ機能を追加：
　ユーザ情報のリアルタイム連携処理中に発生した連携エラー状況を記録し、あらかじめ設定した周期で連携処理を自動再実行するリトライ機能が、標準機能として追加されました。

４．連携パフォーマンスの大幅向上：
　大量ユーザを効率よくメンテナンスする際に効果的な「連携機能」を持つプラグイン群の処理ロジックを見直し、従来版の3分の1から6分の1という大幅なパフォーマンス向上を実現しました。



個人的には差分同期機能をもう少し強化しても良いのかな？とも思ったりしています。
今はソースとデスティネーションを全件比較してしまうので、どうしても大規模環境だと厳しい感じがしますが、トランザクションログ（ジャーナル）との比較を行うような仕組みを取り入れればもう少し性能や同期先システムへのクエリ負荷も減るのかな？と思います。
まぁ、仕組みがややこしくなりますし、トランザクションが失敗したときなどの同期先レポジトリとトランザクションログとの整合性など気にしなければならないことが多いので実際に実装するのは大変だとは思いますが・・・
夢は広がりますが、そのトランザクションログから同期対象システムを含めた特定時点へのデータリカバリ（ロールバック／ロールフォワード）などが出来るようになると運用していく上で一番の問題となるエントリの「ズレ」の修正運用が楽になるかも知れません。


後は、シェア情報も載っていますが、やはり安価ということもあり大学や中小企業を中心に売れているようですね。
↓
* ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望　2009【内部統制型・情報漏洩防止型ソリューシン編】」2009年6月刊において、「LDAPManager」は、2009年アイデンティティ管理パッケージ出荷本数の市場シェアで、20.3%となり第一位となっています。

オブジェクト保持構造における各社アプローチ

一般的な業務アプリケーションと比べてIdM製品のデータの持ち方（構造）で一番特徴的なのが「データを縦に持つ」という点だと思います。

意味がよくわからないと思いますので具体的な例を挙げますが、通常データベースのテーブルを設計する際は、

ID	displayName	telephoneNumber
001	Scott McNealy	123-456-789

という様にデータを横に並べて1レコードが1エントリという構造にします。
これは視覚的にもわかりやすいですし、昔からアプリケーションはレコード単位で処理を行うことが容易な形でライブラリなどが作られてきたためです。

しかし、このデータ構造の弱点としてレコードへの属性（列）の追加／削除／変更という作業が発生した場合、アプリケーションそのものへの影響がとても大きい、という点でした。
そのため、設計段階での仕様固めが非常に大切でした。

しかし、IdMやディレクトリ分野においては割と気軽に属性の追廃改が行われがちですし、製品としてあらかじめハンドリング可能な属性を固定的に決めてしまうことはできません。
特にIDライフサイクル管理という意味でのIdMに関しては接続先システムの増減により必要となる属性が変化するのは日常的な話と言えるでしょう。

その点、LDAPのデータ構造は理にかなっていて、objectClassの追加により割と自由に属性を持つことができます。ゆえにNovellやExgenなどのIdM製品はレポジトリにLDAPを選択しているのだと思います。
ただ、やはりビジネスロジックを実装する上でLDAPだと限界があるのも確かなので、RDBにこだわるベンダもいて、インテックの結人／束人やSAP（旧MaXware）はパフォーマンスに問題が出るのを承知で無理やり縦構造のテーブルを作ったりしています。

ID	属性	値
001	displayName	Scott McNealy
001	telephoneNumber	123-456-789

マイクロソフトのFIM（ILM）に関してMetaverseの構造は別の機会に解説するとして、FIMが新しく利用するようになったWebサービスにおいても同様の思想が継承されており、WS-TransferでハンドリングされるResourceも以下のような拡張がされています。

■一般的な形
<Person>
<displayName>Scott McNealy</displayName>
<telephoneNumber>123-456-789</telephoneNumber>
</Person>

■拡張形（Transfer Extension for Identity Management Operations/TEIMO）

<PartialAttribute>
　<AttributeType>displayName</AttributeType>
　<AttributeValue><rm:displayName>Scott McNealy</rm:displayName></AttributeValue>
　<AttributeType>telephoneNumber</AttributeType>
　<AttributeValue><rm:telephoneNumber>123-456-789</rm:telephoneNumber></AttributeValue>
</PartialAttribute>


このように各社さまざまなアプローチで製品としてはどんなデータが入るかわからない器の実装をしているようです。

さて、最近はなかなか時間がとれなくて実験らしいことができていませんので、そろそろ久しぶりにFIMを触ってみようかと思います。Webサービス周りのアーキテクチャの整理もまだできていないので、そのあたりの整理もかねて。。。

Exgen Networksパートナーミーティングに参加しました

年度末／年度初めのバタバタで久しぶりの更新となってしまいました。

4/13（月）に東名阪第1弾となる大阪会場でのExgen Networksパートナーミーティングが開催されたので参加してきました。

パートナー向けということもあり、販売実績や販売傾向（やっぱり大学に強い）という話や新バージョンの機能やロードマップ関連の発表がありました。

話として興味深かったのは、2008年度の販売傾向を分析すると、
・IDワークフローや監査系のプラグインが伸びている
・スモール～ミドルTier（1000名～2000名）の顧客への導入が伸びている
ということでした。
やはり大企業へのIdMは一巡しており、今後は中小規模への導入が進む、ということとIDワークフローや監査系の機能は内部統制関連の対応ということだと思います。

ある意味非常に安価な製品なので中小規模の顧客の内部統制対応という領域をターゲットにしばらくは好調なのかも知れません。

後は、IdM製品専業ベンダということで次のビジネスは何かを模索する一貫として昨年度からExgen Networksでは「クラウド」をテーマとして挙げています。
具体的にはサイオステクノロジーとのアライアンスでGoogle Appsへのプロビジョニングプラグインの開発などという形で話を進めているようですが、そのあたりの話がサイオステクノロジーの中田さんから、後はスペシャルゲストでマイクロソフトの安納さんからAzureの話がありました。中田さんはともかく、安納さんは懇親会でも言っておられましたが「思いっきり競合」という非常にアウェイ感漂う中で頑張って？おられたと思います。

まぁ、今後の発展を期待したいところですがある意味狭義のIdMの典型であるプロビジョニング製品ベンダがクラウド世界におけるIdMというところに手を伸ばすのはなかなかハードルの高い話だな～というのが正直な感想でした。
LDAP ManagerのレポジトリとなるLDAPをHP Ice Wall SSOのレポジトリとしてSAML IdPを構築する、という話は実績を含めて出てきているようですが、認可回りなどはまだ手つかず、という感じです。

また、せっかくマイクロソフトとのコラボレーションも現場では実現しているので、LDAP Manager+Genevaといった組み合わせで、Azureと他のサービスのSSOなんて言うのも取り組みとしては面白いかも知れません。

いずれにしても今後に期待、というところです。