アイデンティティ管理（8）: 直接統合か、間接統合か?

＊本記事は「Red Hat Enterprise Linux Blog」に掲載された記事を翻訳したものです
原著：「Direct, or Indirect, that is the Question…」
執筆：Dmitri Pal
翻訳：ソリューションアーキテクト森若和雄

前回の投稿（英語原版）では、RSA セキュリティカンファレンスについてお伝えしました。その中でも触れましたが、カンファレンスの参加者とRed HatのIdentity Management（IdM）製品について話す機会がありました。とはいえ、イベントに出展していても、オフィスでe-mailに回答していても、最も良く聞かれる質問は以下のようなものです: 「直接統合と間接統合の統合オプションについてはだいたいわかっていて……それぞれの良い点、悪い点について読み……どちらを利用するのが良いのか確信が持てなくて……どうしたらいいでしょう？」もし皆さんが同じような質問をしたことがあれば、今回の投稿は現在（と将来）のニーズにあわせてどちらのオプションを利用するのか判断するのに役立つことでしょう。

機能の違い以上に、いくつかの要素が最終的な決定に影響します。具体的には以下のものです:

配備のサイズ
配備の成長予測
配備のパターン
コンプライアンスとポリシー
組織構造
費用

以下の推奨では、機能的な必要性についてはそれぞれのアプローチで対応できるものと仮定しています。もしそうではなく、特定の機能が必須である場合には、その機能により選択肢は制限されます。

配備のサイズ

もしあなたが数台のシステムを管理していて、Active Directory（AD）に接続する必要があるのであれば、間接統合は無用なオーバーヘッドとなるでしょう。あるいは反対に極端な場合として、多くのシステムを持っていて集中管理する仕組みが存在しない場合も課題になるでしょう。後者のケースでは、間接統合（IdMの利用）アプローチを勧めます。IdMはLinuxおよびUNIXシステムを集中管理する機能を提供します。一般的には30から50システムが境界となり、これより少なければ間接統合はあまり価値がありませんが、これより多ければ集中管理機能が有用でしょう。

配備の成長予測

もしあなたの環境がゆっくりと成長しているのであれば、間接統合に飛びつくのは早計かもしれません。逆に、急激に規模が大きくなる環境を構築・設計しているのであれば、最初からIdMによる間接統合を考慮するのが適切だとも言えるでしょう。

配備のパターン

もしシステムの配備がまれな場合（頻繁な場合と比べてベアメタルのシステムであることが多いでしょうが）は、直接統合がシンプルで簡単なソリューションとなります。そうではなく、仮想化されていたりオンデマンドでプロビジョニングされたりする場合、（間接統合を導入して）それらのシステムをダイナミックに管理できる中央サーバーを用意し、Red Hat Satelliteのようなオーケストレーションツールを使って「うまくやる」のが良いでしょう。

コンプライアンスとポリシー

多くの場合、ポリシーは他の議論や理由づけよりも強力です。全てがADに統合されるべきというポリシーであれば、それに従うことになります。しかしそのような場合も直接統合が唯一のソリューションとは限りません。たとえば、信頼関係をIdMで利用していると、Linuxシステムにアクセスするユーザーは実際にはADに対して認証をおこないます。これは、認証時にはAD内に存在するポリシーが実行・強制されることを意味します。ADサーバー内の監査証跡で認証の証明を確認することができます。これは既に投資した監査ソフトウェアが有効であることを意味します。

組織の構造

もし1つのチームでWindowsおよびLinuxシステムを管理しており、チーム内の専門性が多様な場合、組織構造以外の要因により選択をおこなうことになります。一方、異なるチーム（WindowsのチームとLinuxのチーム）がある場合、間接統合は組織構造およびチームのスキルセットによく適合することでしょう。

最後に（しかし重要な）価格について

コストは通常いくつかの「バケツ」に分類できます:

ソフトウェアコスト – ソフトウェアライセンスまたはサブスクリプション。もしサードパーティソリューションと直接統合を利用する場合、コストは高くなるでしょう。IdMを利用する間接統合の場合は配備予定のIdMサーバー台数分のサブスクリプション（おそらく安い）が必要です。
配備のコスト – このバケツにはさまざまなものが含まれます。このカテゴリーに含まれるコストとしては: あなたがアプローチを評価する時間、配備を行う際のサードパーティコンサルタントやその他のプロフェッショナルサービスにかかる費用、あなたのチームのトレーニングに必要な費用、自動化され管理された配備手法を確立するための時間があります。これらのコストはほとんど常に環境依存で、推定するのは困難です。しかしこれが決定に大きな影響を与えます。
利用のコスト – ソリューションを配備したのち、（明らかに）サポートされ、メンテナンスされる必要があります。ソリューションに対して時間とリソースを支払うことになるでしょう。これは選択したソリューションの効率が重要な要素であることを意味します。もし管理者があるアプローチを使う場合に（異なる方法を利用する場合の）2倍の仕事ができるとすると、明らかにコスト削減効果があります。配備に数ヶ月かかる場合もしばしばありますが、ソリューションそのものは何年にも渡って利用されます。そのソリューションであなたの環境を簡便に管理できるのであれば、初期配備のコストが上がったとしても割安かもしれません。

まとめると、直接統合と間接統合のどちらを選択するかについてはいくつかの考慮点があります。私達レッドハットは、IdMが多くの価値とほどほどのコストを兼ねた選択肢だと信じています。とはいえ、あなた自身の環境において何が最良で最も便利であるかを検討することは有益です。もし迷った場合にはご相談いただくか、freeipa.org を参照して知識を深めるのもよいでしょう。