はじめに
Saviyntに外部アプリケーションを接続し、統合すると、アプリケーションに対しさまざまな管理が行えます。
- IDのライフサイクルを管理できる
- アクセスやさまざまなリソースをプロビジョニングできる
- 外部アプリケーションの大まかな、またはきめの細かい職務分掌を管理できる
Saviyntでは、アプリケーションを接続・統合する一連のプロセスをオンボーディング といいます。ここではアプリケーションのオンボーディングについて、以下の公式ドキュメントに基づいて説明していきます。
Saviyntにおけるアプリケーションの取り扱い
Saviyntではさまざまなアプリケーションのオンボーディングをサポートしています。
- クラウドアプリケーション(AWS、Box、Active Directoryなど)
- 汎用プロトコルベース(REST、SOAPなど)のアプリケーション
- 切断されたアプリケーション(社内システムのアプリケーション)
アプリケーションのオンボーディングでは、SaviyntのIdentity RepositoryのエンティティであるSecurity System, Endpoint, Connectionを作成しますが、アプリケーションの種類によっては入力項目や入力内容が変わります。
Saviyntではこれらエンティティ及び項目を一つ一つ入力して作成していく(クラシック統合といいます)こともできますが、アプリケーションの種類ごとにテンプレートや直感的なウィザードが用意されているのでそちらを使う(アプリケーション統合)ととても便利です。
下図は、アプリケーション統合と、クラシック統合のオンボーディングのプロセスを示しています。
また、テンプレートが用意されているアプリケーションはクラウドアプリケーションですが、充実しています。EIC管理画面ではサポートされているアプリケーションをアイコンつきのタイル表示で、具体的な連携可能な要素も確認できます。
コネクタについて
コネクタは、Saviyntとアプリケーションの通信を可能にする物理的なソフトウェアコンポーネントのことで、Certified ConnectorsやCommunity Sourced Connectorsに公開されています。
Saviyntの管理対象として需要の多いアプリケーションはテンプレート化されていますが、テンプレート化されていない場合は、コネクタを使ってアプリケーションをオンボードしたり管理できます。詳しくはコネクタ毎に使い方を示すドキュメントが公開されています(例:Active Directory, Box)のでそちらを参照してください。
アプリケーションのオンボーディング(Active Directory)
Saviyntでテンプレート化されているActive Directoryを例に、アプリケーション統合でのオンボーディングの流れを説明します。
アプリケーションの作成 (Create application)
Saviyntにアプリケーションの情報を作成します。アプリケーションの作成は管理者ーザーでログイン後、アプリケーション管理画面から行います。
作成できるアプリケーションのタイルが表示されるので、Active Directory のタイルを選択するとウィザードが開始します。
Step1 では基本情報として名前、説明とアプリケーションの所有者を入力して次へ進みます。
(アプリケーションの所有者は、Saviynt上でこのアプリケーションの設定を管理する者を意味します)
Step2 は機能の選択です。作成するアプリケーションに使用する EIC 機能を選択します。Active Directoryの場合、デフォルトでは基本設定、アカウント管理、リクエスト管理の3つが選択されていました。
- Basic Configuration (基本設定) 【必須】
- Account Management (アカウント管理)
- Request Configuration (リクエスト管理)
- Service Account Management (サービスアカウント管理)
- Privileged Access Management (特権管理)
- Group Management (グループ管理)
選択が完了したら次へ進みます。
Step3 では、アプリケーションとの接続を確立するために必要な設定を行います。Active Directory アプリケーションの接続情報としてホスト名(またはIPアドレス)情報やユーザー情報を入力後、次へ進めるとアプリケーションの作成が完了します。
作成したアプリケーションは、アプリケーションカタログのインスタンス一覧から確認できます。
アプリケーションの詳細設定 (Update configuration and commit)
登録が完了したアプリケーションは、Saviyntの要素とActive Directory要素のマッピング関係、インポート時やプロビジョニング時のルールがテンプレートにより自動的に定義されますが、この定義はカスタマイズできます。
アプリケーションのインスタンス一覧からアプリケーション設定のページを開きます。 Assisted と Advanced の2つの設定モードが表示されますのでラジオボタンでどちらかを選択してください。
Assisted で設定する
Assistedを使用すると、下図のようにウィザードが提供されます。ウィザードでは、アプリケーションの機能がグループ化され、ライフサイクル管理プロセスのステップごとに設定を進めることができます。
Advanced で設定する
Advancedでは、アプリケーション設定または論理カテゴリにグループ化されたメニューが表示されます。このメニューを開いて項目を設定することでアプリケーションのライフサイクルを手動で構成していきます。Saviyntでは、アプリケーションに精通していて設定項目をよく理解している場合にのみ、Advancedを使うことを勧めています。
ジョブの作成と実行 (Configure and run jobs)
アプリケーションがSaviyntに連携する機能は、アプリケーションの登録時に選びますが、実際の連携ではそのトリガーはジョブです。連携機能ごとに作成します。ここではプロビジョニングのジョブ(WSRETRYJOB)を例に、ジョブの作成と実行について説明します。
ジョブの作成
ジョブの作成は Job Control Panel画面の [Add New Job] から行います。
ジョブ作成画面では次の入力を行います。
| 項目 | 説明 |
|---|---|
| Job Name | ジョブ名を入力します。ジョブ名はシステムでユニークです |
| Job Type | ドロップダウン リストからジョブ タイプを選択します。プロビジョニングの場合、 Provisioning Job(WSRETRYJOB) を選択します |
| System | ジョブ実行の対象となるセキュリティシステム名を入力します |
| Task Types | タスクタイプを選択して設定します(例:New Account, Enable Account, Enable Access) |
| Job Trigger will be scheduled in UTC | ジョブ実行のスケジュールを設定します。日次・週次・月次・年次の選択と時間の設定が行えます |
Task Typesはプロビジョニングジョブ固有の項目です。タスクは対象・操作が細かく分かれていますのでプロビジョニングで連携する項目はすべて選びます。設定が完了したら[Save]で保存するとジョブが作成されます。
ジョブの実行
「ジョブの作成」で作成したジョブは、Job Control Panel画面のジョブ一覧に表示されます。作成したジョブの実行日時到来を待つか、Action列の[▶]を押下するとジョブが実行できます。
実行したジョブの結果はジョブ一覧の最終実行日時やステータス情報から確認できます。
さいごに
今回は、Saviyntでアプリケーションを管理する方法として、テンプレートを使ったアプリケーション統合によるアプリケーションオンボーディングについて説明しました。
Saviyntのドキュメントでは、クラシック統合によるオンボーディングや、アカウントのインポートや組織管理などユースケースに応じた設定手順がアプリケーションごとに提供されています。連携したいアプリケーションがありましたら、EIC管理ガイド に加えてそのアプリケーション固有の統合ガイド(例:Active Directoryの場合: Microsoft Active Directory Integration Guide )をお読みいただくことをお勧めします。