アイデンティティ管理 (アイデンティティかんり、英 : Identity management もしくは Identity and Access Management )は、情報システム における何らかの実体(entity)のデジタルアイデンティティ (アイデンティティ情報)やそのアクセス権限のライフサイクルにわたる管理を意味する。
アイデンティティ情報の管理 実体(entity)のデジタルアイデンティティについてのライフサイクルにわたる管理をいう。デジタルアイデンティティ(アイデンティティ情報)は、実体についての属性情報(attribute)の集合として構成される。このようなデジタルアイデンティティを管理する活動は、登録・活性・(更新・休止・)抹消のライフサイクルとなる[ 1]
アイデンティティ情報が登録される。(実体(entity)を表す名前(もしくは識別子)と共に他の属性情報が登録される。)
アイデンティティ情報が活性化される。(アイデンティティ情報を利用できるようになる。)
アイデンティティ情報が更新されることがある。
アイデンティティ情報が休止されることがある。(例:休職者、パスワード・ロック)
アイデンティティ情報が抹消される。 (例:退職者) このような管理は実体の識別子(ID)に基づいて管理されるが、必ずしも「ID管理」と同義ではない。識別子(ID)は属性情報のひとつにすぎず、むしろ他の属性情報と併せた集合として実体を表すことに意義がある。
ネットワーク越しに在るデジタルリソースへのアクセス制御を支える活動を「アクセス管理(Access Management)」というが、「狭義のアイデンティティ管理」とこの「アクセス管理」を併せた「Identity and Access Management」も「アイデンティティ管理」と呼ばれている[ 2]
実際の情報システムにおいて、アイデンティティ管理システムには次の役割がある。
アイデンティティ情報をライフサイクルにわたって管理する(上述)
ユーザによるリソースへのアクセスを支援する
アイデンティティ情報を提供する
アイデンティティ管理を行うシステムに基づいて、組織が保持するリソースへのアクセスをユーザに提供しつつ、そのようなアクセスを制御する機能が実装される。
ユーザ認証 の機能とアクセス制御の機能が相当し、組織のリソースを不正なアクセスから護る。
この役割については、アイデンティティ管理の応用範囲は広い。アイデンティティ管理の対象範囲には、組織内の成員のみならず、すべてのリソースについての属性情報が含まれうる。顧客情報ひいては個人情報 も含まれうるため、この場合、プライバシー の観点から特段の考慮を要する。
連邦化されたアイデンティティ管理においては、アイデンティティプロバイダ (IdP)がアイデンティティ情報を提供する。また、自己のアイデンティティ情報をコントロールできるようにするパーソナルデータ・サービス(PDS) が設計・実装されている。
広義のアイデンティティ管理の範疇となるソリューションの例を挙げる。
基本ディレクトリサービス
ライフサイクル管理支援
スーパーユーザ アカウント(特権ID:rootやAdministrator)の特別管理[ 5] 一般ユーザアカウントの登録・更新・休止・抹消についての内部統制(例:申請・承認ワークフロー )
パスワード リセットのユーザによるセルフサービス化 アイデンティティ管理の連邦化(federation)
アクセス管理
ISO/IEC JTC 1/SC 27 /WG 5
ISO/IEC 24760-1 A framework for identity management—Part 1: Terminology and concepts
ISO/IEC 24760-2 A Framework for Identity Management—Part 2: Reference architecture and requirements
ISO/IEC DIS 24760-3 A Framework for Identity Management—Part 3: Practice
ISO/IEC DIS 29146 A framework for access management IETF OpenID Foundation
OASIS Identity in the Cloud TC
