Identity and Access Management の概要

Identity and Access Management(一般的な呼び方は IAM)とは、適切なリソースに、適切な理由で、適切なアクセス権を付与する手法のことです。このシリーズでは、次に挙げることを含めて IAM の一般的な手法と IAM の対象となる個人について説明します。

  • 企業 ID: 組織の従業員用に管理する ID。この ID は、ワークステーションへのログイン、メールへのアクセス、企業アプリケーションの利用時に使用します。企業 ID は、企業リソースへのアクセスを必要とする契約業者やパートナーなど、正職員以外も使用できることがあります。
  • 顧客 ID: ウェブサイトや顧客向けアプリケーションを使用するユーザー用に管理する ID。
  • サービス ID: アプリケーションが他のアプリケーションや基盤となるプラットフォームを利用できるようにするために管理する ID。

次のリソースへのアクセス権を付与する必要が生じる場合があります。

  • Google Cloud、Google アナリティクス、Google Workspace などの Google サービス
  • プロジェクト、Cloud Storage バケット、仮想マシン(VM)など、Google Cloud のリソース
  • カスタム アプリケーションや、そのようなアプリケーションで管理されるリソース

このシリーズでは、IAM の各要素を次のように分け、それぞれのガイドで説明しています。

このシリーズにおける各ガイドの関係

  • 企業 ID、顧客 ID、サービス ID を管理することが IAM の基礎となります。これらのトピックはボックス 4、5、6(緑色)に相当します。
  • ID 管理を基礎として、ボックス 2 と 3(青色)はアクセス管理のトピックを表しています。これらのトピックには、Google サービス、Google Cloud リソース、カスタム ワークロードやアプリケーションへのアクセスの管理が含まれます。
  • ボックス 1(黄色)は、これらのガイドでは扱わないアクセス管理のトピックを表しています。Google WorkspaceGoogle マーケティング プラットフォーム、その他のサービスのアクセス管理については、各プロダクトのドキュメントをご覧ください。

ID 管理

ID 管理では、次のプロセスに重点を置いています。

  • ID、ユーザー、グループの、プロビジョニング、管理、移行、プロビジョニング解除。
  • Google サービスとカスタム ワークロードに対する安全な認証を可能にすること。

そのプロセスと技術は、企業 ID、アプリケーション ID、顧客 ID のどれを扱うかによって異なります。

企業 ID の管理

企業 ID とは、組織の従業員用に管理する ID のことです。従業員は、ワークステーションへのログイン、メールへのアクセス、企業アプリケーションの使用時にこれらの ID を使用します。

企業 ID の管理における、一般的な要件は次のとおりです。

  • 組織全体で ID を一元管理すること。
  • ハイブリッド コンピューティング環境において複数のアプリケーション間で単一の ID とシングル サインオンを使用できるようにすること。
  • 全従業員に多要素認証やパスワードの複雑さなどのポリシーを適用すること。
  • ビジネスに適用されるコンプライアンス基準を満たすこと。

Google Workspace および Cloud Identity は、こうした要件に対応し、ID とポリシーを一元管理できる Google のプロダクトです。

ハイブリッドまたはマルチクラウド環境で Google サービスを使用する場合は、Google の IAM 機能を外部 ID 管理ソリューションや Active Directory などの ID プロバイダと統合する必要があります。リファレンス アーキテクチャドキュメントでは、Google Workspace や Cloud Identity を使用してこのような統合を実現する方法について説明しています。

Gmail アカウントなど、一般ユーザー向けのアカウントを使用して企業リソースにアクセスしようとする従業員がいることもありますが、そのようなユーザー アカウントを使用することで個々の要件やポリシーに抵触することになりかねません。そこで、こうしたユーザーを Google Workspace や Cloud Identity に移行することも考えられます。詳細については、既存のユーザー アカウントの評価オンボーディング プランの評価をご覧ください。

Google Workspace や Cloud Identity の導入サポートとして、要件へのアクセスおよび導入プロセスへの取り組み方について、評価と計画ガイドをご覧ください。

アプリケーション ID の管理

アプリケーション ID とは、アプリケーションが他のアプリケーションや基盤プラットフォームを利用できるようにするために管理する ID です。

アプリケーション ID の管理における、一般的な要件は次のとおりです。

  • サードパーティの API や認証ソリューションと統合する。
  • ハイブリッド環境またはマルチクラウド環境でも認証できるようにする。
  • 認証情報の漏洩を防止する。

Google Cloud では、Google Cloud サービス アカウントKubernetes サービス アカウントを使用することによって、アプリケーション ID を管理し、これらの要件に対処できます。サービス アカウントと、その使用上のベスト プラクティスについては、サービス アカウントについてをご覧ください。

顧客 ID の管理

顧客 ID とは、ユーザーがウェブサイトや顧客向けアプリケーションを利用できるように管理する ID です。顧客 ID とそのアクセスの管理は、顧客 ID とアクセス管理(CIAM)とも呼ばれます。

顧客 ID の管理における一般的な要件は次のとおりです。

  • 顧客に新しいアカウントの登録を許可しながら、bot アカウント作成の検出をブロックするなどして不正使用を防止する。
  • ソーシャル ログインをサポートし、サードパーティの ID プロバイダと統合する。
  • 多要素認証のサポートおよびパスワード要件の適用。

Google の Identity Platform を使用すると、顧客 ID の管理とこれらの要件への対応が可能です。機能一式の詳細と、Identity Platform をカスタム アプリケーションに統合する方法については、Identity Platform のドキュメントをご覧ください。

アクセス管理

アクセス管理では、次のプロセスに重点を置いています。

  • ID の特定のリソースへのアクセス権の付与または取り消し。
  • ロールと権限の管理
  • 信頼できる個人への管理機能の委任。
  • アクセス制御の実施。
  • ID によって実行されるアクセスの監査。

Google サービスへのアクセスの管理

複数の Google サービスを組み合わせて使用されている企業もあります。たとえば、コラボレーションに Google Workspace、カスタム ワークロードのデプロイに Google Cloud、アドバタイジングの成功指標の測定に Google アナリティクスを使用している場合があります。

Google Workspace や Cloud Identity を使用すると、どの企業 ID でどの Google サービスを使用できるかを一元管理できます。アクセスを特定のサービスに制限することで、アクセス制御の基礎レベルを確立できます。その後、個々のサービスのアクセス管理機能を使用して、きめ細かなアクセス制御を構成できます。

詳細については、Google Workspace と Google サービスにアクセスできるユーザーを制御する方法をご覧ください。

Google Cloud へのアクセスの管理

Google Cloud では、IAM を使用して、特定のリソースに対する企業 ID のアクセス権を細かく設定できます。IAM を使用すると、指定したリソースにのみ企業 ID のアクセス権限を付与するように、最小限の権限のセキュリティ原則を実装できます。

詳細については、IAM のドキュメントをご覧ください。

ワークロードとアプリケーションへのアクセスの管理

カスタム ワークロードとアプリケーションは、対象とするユーザーによって異なる場合があります。

  • ワークロードには、社内の基幹業務アプリケーション、ダッシュボード、コンテンツ管理システムなど、企業ユーザーに対応するものがあります。
  • 他のアプリケーションは、ウェブサイト、カスタマー セルフサービス ポータル、モバイル アプリケーションのバックエンドなど、顧客対応を行うものです。

アクセス管理、アクセス制御の実施、アクセスの監査を行う適切な方法は、対象ユーザーとアプリケーションのデプロイ方法によって異なります。

企業ユーザー向けのアプリケーションやその他のワークロードを保護する方法については、IAP のドキュメントをご覧ください。また、OAuth 2.0OpenID Connect などの標準プロトコルを使用して Google ログインと直接統合することも可能です。

API へのアクセスを実施する方法については、IstioCloud Endpoints のドキュメントをご覧ください。アプリケーションが企業ユーザー向けかエンドユーザー向けかにかかわらず、両方のサービスを使用できます。

次のステップ

  • コンセプトのセクションを読み、ID 管理のコンセプトと機能を把握する。
  • ベスト プラクティスのセクションを読み、アーキテクチャや設計で考慮すべきガイドラインを確認する。
  • 評価と計画のセクションを読み、要件を評価して適切な設計を見極める方法を習得する。