*本記事は「Red Hat Enterprise Linux Blog」に掲載された記事を翻訳したものです
原著: When to Migrate: Red Hat Identity Management vs. Third-Party Solutions
執筆:Dmitri Pal
翻訳:ソリューションアーキテクト 森若 和雄
ここ数カ月、多くのお客様とのミーティングにおいて、既存のサードパーティ製アイデンティティ管理ソリューションからレッドハットのIdentity Management (IdM)ソリューションへ移行するためのベストプラクティスについて質問を受けます。今回の投稿では、この問題についての私の考えを共有できればと思います。
いくつかの理由により、お客様が既にご利用のシステムに満足していないことがあります。
安定性
既存のサードパーティ製アイデンティティ管理ソリューションがうまく動かないという話は決して珍しくありません。不安定であることは、他のソリューションを探す大きな原因のひとつです。もちろん、レッドハットの製品が安定しているかという点についても質問を受けます。私の回答は以下のようなものです: 「リリース毎に多くの新機能を追加しているソリューションとしてはよく安定しています。もし完璧であることを期待されるのであれば、バグは必然的に含まれていますので、適切なソリューションではありません。サイズ、複雑さ、負荷についてひとつとして全く同じシステムはないため、アイデンティティ管理システムには安定性と柔軟性の両方(つまり、さまざまなシナリオとユースケースに対応できること)が必要で、これは難しい問題です」
このように回答をすると、たいてい以下のような質問が続きます:「バグはどのくらい深刻ですか? レッドハットのIdentity Managementチームは、バグをどう取り扱いますか? レッドハットは、私の心配ごとにどのように対応してくれますか?」 この質問への私の回答は次のとおりです:「我々がレッドハットの専門家として対応しますので、ご安心ください。アイデンティティ管理はとても複雑で、さまざまな問題が発生します。しっかりしたカスタマーサポートに加えて、Red Hatのプロフェッショナルサービスは、この分野でさまざまなサービスを用意しています。助けが必要な場合には、私たちがお手伝いします。また、本番環境でIdMを実行する前にアイデンティティ管理の要件を満たしていることを確認するため、PoC(概念実証)を行うことをおすすめします」
対応プラットフォーム
多くのアイデンティティ管理製品は広範なプラットフォームに対応し、中央のアイデンティティ製品に接続できるようにしています。通常HP, Solaris, AIX, Linux、さまざまなモバイル基盤をActive Directoryに接続できます。レッドハットのアイデンティティ管理ソリューションはRed Hat Enterprise Linux, Fedora, CentOSを主にサポートしていますが、最近は Debian, Arch Linux, Scientific Linux, Ubuntuのような他のLinux ディストリビューションやFreeBSDにもRed Hat IdMエコシステムと連携できるクライアントが含まれるようになりました。古いUNIX製品への基本的なサポートもあります(認証およびアイデンティティ情報の参照の両方)。モバイルの認証のための特別な機能はありませんが、通常クライアントは標準的なLDAPおよびKerberosプロトコルを利用できます。
これまでのところ、それほどモバイル領域への要望はありません。もし実際に必要があれば、私達に共有してください。サポートケースを開く(この手法がお勧めです)か、我々のバグトラッキングシステムに機能拡張リクエストを起票してください。もし起票する場合には、”Red Hat Enterprise Linux 7″ を対象製品として、”ipa” をコンポーネントとして選択してください。
もしもRed Hat Identity Managementに移行して完全にサードパーティのソリューションを排除してしまいたい場合、あなたのレガシーシステムへの影響を評価する必要があります。時間をかけて移行する場合、レッドハットのIdMソリューションをLinuxシステムに利用するところからはじめてレガシーシステムではサードパーティのソリューションを使うのがいいでしょう。古いシステムの更新にあわせて、徐々にそれまでのソリューションの利用をやめていきます。
ここに関して受ける典型的な質問は 「レッドハットは、変換やマイグレーションのツールを提供していますか?」です。上で述べたように、あらゆるシステムはユニークなものです。最良のアプローチは、レッドハットのサポートに連絡して共同で評価をすることです。その結果、いくつかの基本的な推奨事項やガイドラインが明らかになり、セルフで行えるという話になったり、レッドハットのプロフェッショナルサービスの支援をうけた方がよいという話になるでしょう。
管理性
既存の利用可能なソリューションは、あらゆるものをActive Directoryに接続するか、それぞれのサイロ間でのデータ同期を完全に独立したサーバーから呼び出します。これが適切なソリューションであるケースもあります。多くの(他の)場合、これは企業における業務遂行の際にLinuxでできることを制限してしまいます。レッドハットのアイデンティティ管理ソリューションでは、以前のこのシリーズで触れたように、Active Directoryとの直接統合および間接統合、完全なスタンドアローン構成のオプションがあります。自由に選択できますので、ビジネス上のニーズや企業のモデルによく合うものを選んでください。
機能の完全性
レッドハットのアイデンティティ管理は極めて堅牢で競争力もあり、いくつかの領域ではよりよく統合されていて、他のサードパーティ製品に比べて先進的です。レッドハットのアイデンティティ管理ソリューションは現代の企業を念頭に作製されています。伝統的なデータセンターのニーズはさておき、高いレベルの柔軟性と設定不要の自動化を必要とするユースケースに適しています。
完全なアイデンティティ管理の機能セットについては、Red Hat カスタマーポータル内、Red Hat Enterprise LinuxのIdentity Management関連のドキュメントを参照してください。いくつか機能のギャップがある点についてはご注意ください。今のところ、Red Hatはアイデンティティ管理についてのログの集中管理を行う正式なソリューションを持っていません。しかし、新しい取り組みが始まっています。クライアントおよびサーバーは豊富な情報を提供しているので、ここで紹介している部分的なソリューションのプロトタイプを作ることができました。セッションレコーディングのプロジェクトも進行中です。これはTlogと呼ばれるもので、次回以降にあらためてご紹介します。もしあなたがアイデンティティ管理ソリューションと同じベンダーから提供されるロギングやセッションレコーディングの機能を必要としているなら、Red Hatのアイデンティティ管理製品はしばらく使えないかもしれません。しかしながら我々は顧客とともに早期のバージョンを試し、製品をニーズと期待に見合ったものとすることに非常に興味を持っています。もし興味があればレッドハットのサポートにご連絡ください。
コスト
レッドハットのアイデンティティ管理ソリューションはRed Hat Enterprise Linuxサブスクリプションに含まれています(つまり、追加費用なしで提供されます)。他のアイデンティティ管理ソリューションはたいてい追加費用がかかり、多くの場合システムが増えるとコストも増加します。アイデンティティ管理の課題を解決するためにベンダーにお金を(もう一度)払う前に、その費用で手に入れる価値について考えてみましょう。ひょっとすると移行を考える時かもしれません。
まとめ
変化の必要性を感じたら、Red Hat Identity Managementは考慮に値します。レッドハットはオープンソースの会社であるという点で実にユニークで、十分な興味やモチベーションがあれば誰でもコードを入手してレッドハットが何をしているのか見ることができ、それをプロジェクトや仕事に活用することもできます。同等のアクセスを提供しているベンダーがどれほど存在するでしょうか?
