コンテンツにスキップ

ライフサイクルマニュアル

1. 概要

本書は、midPointにおけるユーザーアカウントのライフサイクルの管理手順を定めたものです。

従業員の退職等に際し、あらかじめ設定された退職日に基づいてアカウント権限を自動的に失効させる仕組みの構築、およびその運用方法について解説します。本運用の徹底により、ID管理の厳格化とセキュリティリスクの低減を図ることを目的とします。

1.1 目的

従業員の離職等に伴い、一定期間利用されないアカウントが残存するケースが見受けられます。利用実態のないアカウントに対して権限が継続付与されている状態は、情報セキュリティ上の重大な脆弱性となり得ます。

この課題を解決するため、事前に退職日をシステムへ登録し、当該日を経過した時点で自動的に権限を喪失させる仕組みを構築する必要があります。 本機能は「アイデンティティ・ライフサイクル管理」として定義されており、midPointにおいては「アクティベーション(Activation)」設定を最適化することで、確実なプロビジョニング制御を実現可能です。

1.2 前提条件

本書記載の作業を開始するための前提条件です。

インターネットに接続されていること。

midPointの管理画面にログインできること。

1.3 全体の流れ

① アクティベーション属性の定義と手動検証

まず、対象ユーザーの「アクティベーション(Activation)」項目における設定仕様を確認します。管理画面より特定のユーザーを選択し、手動で有効期限(validTo)やステータスを調整することで、期待通りにアカウント制御(ログイン拒否やリソース切断)が行われるかを検証します。

② ライフサイクル・タスクの定時実行

midPoint内部のスケジューラにより、ライフサイクル管理タスク(Live Sync等)を定期的に実行します。システムは常に現在時刻とユーザーの有効期限を照合し、期限を超過したアカウントをリアルタイム、あるいはバッチ処理にて検知します。

2. ライフサイクルの設定

本項では、midPointのユーザーアカウントにライフサイクルを手動で設定する方法について解説します。

期限が過ぎたユーザーアカウントが自動で使用できなくする設定ができます。

2.1 手動でのアクティベーション調整

ここでは、手動でのアカウントの有効期限を設定する方法について解説します。

  1. midPointの管理画面にログインします。

  2. 「ユーザー」 > 「すべてのユーザー」を開く。 image

  3. 「アクティベーション」を押下し、「終了日時」に日付を記載します。

Note

※表示されていない場合は、青文字の「空項目を表示する」を押下します。

image

「終了日時」に、過去の日付が記載されました。

image

下記のようにユーザーアカウントが無効化されていることを確認できます。

これにより、付与されている権限等が機能しなくなりました。

image

3. 無効ユーザー削除タスク作成

本項では、一定の条件を満たした無効済みユーザーアカウントを、システム内から自動的に完全削除(デプロビジョニング)するためのタスク「TASK-DISABLED-USER-CLEANUP」 の構築・運用手順について解説します。

通常、退職等に伴い無効化(Disable)されたアカウントはリポジトリ内に残存しますが、これらを長期間放置することは、ガバナンス維持の負担増や、予期せぬ再有効化によるセキュリティリスクを招く恐れがあります。

本タスクをmidPoint上で定期実行することにより、自動的にユーザーオブジェクトの一括削除を実現します。

3.1 タスク作成

ここでは、無効ユーザーを削除するためのタスクを作成する方法について解説します。

  1. XMLファイルをmidPointにインポートします。 「TASK-DISABLED-USER-CLEANUP.xml」

インポート方法については下記資料をご参照ください。

【midPoint】プロビジョニングマニュアル_202603 「2.1 XMLファイルのインポート」

  1. midPointのUI上で「サーバー・タスク」> 「単一バルク・アクション・タスク」を押下します。
  2. タスク「TASK-DISABLED-USER-CLEANUP」が一覧に存在することを確認します。
  3. タスクのボタンを押下し、詳細画面を開きます。
  4. 「スケジュール」を押下し、インターバルが「86400(24時間)」であることを確認します。 以上の設定により、システムが24時間周期で無効ユーザーを自動検知し、一括削除します。

image

4. お問い合わせ

4.1 お問い合わせ先

当サービスへのお問い合わせは、メールでの問い合わせのみとなります。

お問い合わせに対し、一時回答は遅くとも翌営業日までには返信いたします。

以下のメールアドレスにお客様の企業名または団体名を添えて、お問い合わせ内容を記載ください。

メールアドレス: support@canday-town.com

5. オープンソフトウェア(OSS)の利用

本書が対象とするシステムには、オープンソースコミュニティによって開発されたソフトウェアが含まれています。

5.1 対象ソフトウェア

本書では、以下の OSSを使用したソフトウェアの利用手順を説明しています。

表 5-1

項目 内容
ソフトウェア名 midPoint
バージョン 1.8.9
ライセンス名 Apache License, Version 2.0
URL https://www.apache.org/licenses/LICENSE-2.0
配布元 https://github.com/Evolveum/midpoint