AccessMatrixUSO 製品機能
代行入力型シングルサインオン
本ソリューションのシングルサインオン方式はユニバーサル型、わかりやすく言うと「代行入力型」です。操作するPCに常駐するAccessMatrixクライアントにログインすることで、その後ログインID/パスワードを入力する場面を検知して、ユーザに代わって代行入力、OKボタン等も押下し、ログインまでの作業を自動で行います。
図をクリックすると別のウィンドウで拡大表示されます
SSO導入によるシステムの複雑化を防ぎ、他システムに影響を与えないシンプルな設計
ログイン対象となるサーバ、アプリケーション側からは、ユーザが通常通りユーザID/パスワードを入力したように見えるため、 本ソリューション導入によるネットワーク、対象アプリケーション変更の必要がありません。
この点において、従来型のシングルサインオン(リバースプロキシ型、エージェント型)に比べ、既存システムへの影響が極めて少なく、新規に大規模システムを構築する場合においても、様々なアプリケーションとの間の仕様調整が少なく済みます。
当初から全てスクラッチで統一性を持たせたシステムを構築する場合はさておき、様々なベンダの様々なアプリケーションを混在させて使うケースにおいては、システムの複雑化を防ぎ、不要な障害要因を埋め込む心配がない、シンプルな設計が可能となります。
ブラウザによるログイン補助機能との違い
代行入力といえば、昨今のブラウザではログイン画面を検知したりパスワードを記憶するなど、ログインを簡略化するための補助機能が装備されています。これらとは何が違うのでしょうか。
これらはあくまでローカルPCに保管されるものですが、AccessMatrixでは管理対象ユーザ全ての情報をサーバ上で一括管理します。代行入力を許可するアプリケーション、サーバーをAccessMatrix上で集中管理することで、ユーザから対象システムへのアクセス制限を行うことができます。すなわち退職や、異動などによりアプリケーションへのアクセスを制限するようなケースにおいても、個々のアプリケーション側のアカウント管理を経ることなく、アクセス制限をかけることができます。
また本ソリューションでは、ブラウザはもちろん、旧来からのデスクトップ型アプリケーション、エミュレータなど様々なログイン場面に対応できます。
- サーバに情報を持たせることで可能となる一元的なアクセス制御が可能
- ブラウザのみならず様々なアプリケーションに対応可能
この二点がブラウザの補助機能との大きな違いと言えます。
デュアルコントロール機能
デュアルコントロール機能では、AccessMatrixの設定変更を2人の管理者(メーカー、チェッカー)により行ないます。デュアルコントロールにより各管理者の権限を最小限にし、責任範囲を明確化することができます。
デュアルコントロール対象の設定変更機能
- ユーザ登録、変更、削除
- アプリケーションアクセス権の変更
- パスワードポリシー変更 など
二つのパスワード管理方式
AccessMatrixが管理するパスワードについて、実際の運用として二つの方法があります。
- パスワード変更検知機能 を使ったユーザによるパスワード変更運用方式
- パスワード自動変更機能を使ったAccessMatrixによるパスワード運用方式
この二つの手法は『ユーザが現在のパスワードを知っているかどうか』 に違いがあります。
1. パスワード変更検知機能を使ったユーザによるパスワード変更運用方式
パスワード変更画面において、ユーザが新しいパスワードを入力すると、それを新パスワードとしてAccessMatrixが認識・取り込みを行う方式です。パスワードはユーザが作成します。
図をクリックすると別のウィンドウで拡大表示されます
2. パスワード自動変更機能を使ったユーザによるパスワード変更運用方式
パスワード変更画面が表示されると、AccessMatrixがこれを検知し、パスワードを自動的に作成し、自動入力の上OKボタンを押下し、パスワード変更を自動完了させる方式です。ユーザはパスワードが何になったのか知ることができません。
図をクリックすると別のウィンドウで拡大表示されます
監査ログの記録とレポート
AccessMatrixUSOは、ユーザによるアプリケーションへのシングルサインオンや管理者による設定変更作業を、改ざん防止機能を備えた監査ログに全て記録・保存します。システム管理者は専用のウェブインターフェイスから監査ログの検索を行い、監査情報をレポートとして取得する事ができます。
エンドユーザの負担が少ないスムーズな導入と展開
クライアントPCで稼動するUSOクライアントはユーザがAccessMatrixサーバにアクセスすることで入手可能です。 AccessMatrixサーバにWebアクセスすることで、USOクライアントのダウンロード、自動インストールを行うことが可能であり、各種設定も自動で行います。 そのため、クライアントモジュールのユーザへの展開、バージョン管理等の作業を簡素化することができます。
AccessMatrixによるIAM(Identity & Access Management)の実現
入社・退社・異動などの人事イベントに対応したアクセス制御ができることがID管理の最終形ですが、AccessMatrixを使えば簡易的に退社・異動時のアクセス制御が可能です。入社時には登録の必要がありますが登録用のツールをご提供していますので大きな手間にはなりません。
図をクリックすると別のウィンドウで拡大表示されます
※i-Sprint、i-Sprintロゴ、AccessMatrix、AccessMatrixロゴは、i-Sprint Innovations Pte Ltdの登録商標です。その他の商標または登録商標はそれぞれの所有者の資産です。
