Sun Java™ System Identity Manager 7.1 管理ガイド |
第 11 章
アイデンティティー監査この章では、監査の管理を設定して企業情報システムおよびアプリケーションの監査とコンプライアンスを監視および管理するための Identity Manager 機能について説明します。
アイデンティティー監査についてIdentity Manager では、社内外のポリシーと規制に対するコンプライアンスを確保するために、企業全体のアイデンティティーデータを体系的に捉えて、分析し、必要な処理を行う (応答する) ことを監査と定義します。
アカウンティングおよびデータプライバシーの法律へのコンプライアンスは簡単な作業ではありません。Identity Manager の監査機能は柔軟な方法で、各企業に有効なコンプライアンスソリューションを実装できます。
大半の環境で、内部および外部の監査チーム (監査が最も重要と考える) と監査以外のスタッフ (監査を迷惑と考えていることもある) のさまざまなグループがコンプライアンスにかかわっています。IT もコンプライアンスにかかわることが多く、内部監査チームの要件を、選択されたソリューションの実装に移行する支援を行います。監査ソリューションの実装の成功に重要なのが、監査以外のスタッフの知識、コントロール、プロセスを正確に把握し、その情報の利用を自動化することです。
この章では、監査レビューの実施方法や、セキュリティー制御を継続的に行い、法規制のコンプライアンスを管理する上で役立つ手法の実装方法を中心に、監査機能について説明します。
この章では、次の概念およびタスクについて説明します。
アイデンティティー監査の目的アイデンティティー監査ソリューションでは、以下の方法により、監査のパフォーマンスを容易に向上させることができます。
アイデンティティー監査についてIdentity Manager では、ユーザーアカウントの特権とアクセス権を監査し、コンプライアンスを維持および保証するため、2 つの異なる機能を提供しています。それらの機能は、ポリシーベースのコンプライアンスと、定期的アクセスレビューです。
ポリシーベースのコンプライアンス
Identity Manager の監査ポリシー機能を用いることで、管理者はすべてのユーザーアカウントについて、会社が設定した要件に対するコンプライアンスを維持できます。
監査ポリシーを使用して、継続的コンプライアンスと定期的コンプライアンスという 2 とおりの相補的な方法でコンプライアンスを確保できます。
この 2 つの方法を相補的に使用することは、Identity Manager 以外でプロビジョニング操作が実行される可能性がある環境では特に有用です。既存の監査ポリシーを実行または遵守しないプロセスによってアカウントが変更される可能性がある場合は、定期的コンプライアンスが必要です。
継続的コンプライアンス
継続的コンプライアンスでは、現在のポリシーに準拠しない方法でアカウントを修正できないように、すべてのプロビジョニング操作にポリシーが適用されます。
継続的コンプライアンスを有効にするには、組織またはユーザー、あるいはその両方に監査ポリシーを割り当てます。ユーザーに対して実行されるプロビジョニング操作では、ユーザーに割り当てられたポリシーと組織に割り当てられたポリシーの両方が評価されます。ポリシー評価の結果、違反が検出されると、プロビジョニング操作が中断されます。
組織ベースのポリシーセットは階層構造で定義されます。各ユーザーに有効な組織ポリシーセットは 1 つだけです。もっとも下位レベルにある組織に対して割り当てられたポリシーセットが、実際に適用されます。次に例を示します。
所属している組織
直接割り当てられたポリシーセット
有効なポリシー
Austin
ポリシー A1、A2
ポリシー A1、A2
マーケティング
ポリシー A1、A2
開発
ポリシー B、C2
ポリシー B、C2
サポート
ポリシー B、C2
テスト
ポリシー D、E5
ポリシー D、E5
財務
ポリシー A1、A2
Houston
<なし>
定期的コンプライアンス
定期的コンプライアンスでは、リクエストがあったときに Identity Manager によってポリシーが評価されます。準拠しない状況があればコンプライアンス違反として取得されます。
定期的コンプライアンスのスキャンを実行するときに、スキャンに使用するポリシーを選択できます。スキャンプロセスでは、直接割り当てられたポリシー (ユーザーに割り当てられたポリシーと組織に割り当てられたポリシー) と、任意に選択したポリシーセットが併用されます。
Auditor Administrator 機能を持つ Identity Manager ユーザーは、監査ポリシーを作成し、定期的なポリシースキャンとポリシー違反のレビューによってそれらのポリシーのコンプライアンスを監視することができます。違反は、是正手順と受け入れ手順によって管理できます。
Auditor Administrator 機能の詳細については、「機能とその管理について」を参照してください。
Identity Manager による監査では、ユーザーの定期的なスキャンが可能であり、監査ポリシーの実行によって、設定されているアカウント制限からの逸脱が検出されます。違反が検出されると、是正のアクティビティーが開始されます。規則には、Identity Manager に付属する標準の監査ポリシー規則、またはカスタマイズされたユーザー定義の規則を使用できます。
ポリシーベースのコンプライアンスの論理タスクフロー
次の図は、この節で説明する監査タスクを完了するための論理タスクフローを示しています。
定期的アクセスレビュー
Identity Manager の定期的アクセスレビューを使用すると、マネージャーおよびその他の責任者は、そのつど、または定期的に、ユーザーアクセス特権のレビューと検証を行うことができます。この機能の詳細については、「定期的アクセスレビューとアテステーション」を参照してください。
監査ログの有効化コンプライアンス管理およびアクセスレビューを開始するには、Identity Manager 監査ログシステムを有効にし、監査イベントを収集するように設定する必要があります。デフォルトで、監査システムは有効になっています。Configure Audit 機能を持つ Identity Manager 管理者が監査を設定できます。
Identity Manager には、Compliance Management 監査設定グループが用意されています。Compliance Management グループに格納されたイベントを表示または修正するには、メニューバーの「設定」を選択し、「監査」をクリックします。「監査設定」ページで、「Compliance Management」という監査グループ名を選択します。
監査設定グループの設定の詳細については、「設定」の章の「監査グループおよび監査イベントの設定」を参照してください。
監査システムでのイベントの記録方法については、第 12 章「監査ログ」を参照してください。
電子メールテンプレートアイデンティティー監査では、多くの操作で電子メールベースの通知が使われます。これらの各通知には、電子メールテンプレートオブジェクトが使われます。電子メールテンプレートでは、電子メールメッセージのヘッダーと本文をカスタマイズできます。
管理者インタフェースの「コンプライアンス」エリア監査ポリシーは、Identity Manager 管理者インタフェースの「コンプライアンス」エリアで作成および管理します。メニューバーの「コンプライアンス」を選択して、「ポリシーの管理」ページにアクセスします。このページには、自分が表示と編集の権限を持っているポリシーが一覧表示されます。また、アクセススキャンもこのエリアで管理できます。
ポリシーの管理
「ポリシーの管理」ページでは、監査ポリシーを操作して次のタスクを実行できます。
これらのタスクの詳細については、「監査ポリシーの操作」を参照してください。
アクセススキャンの管理
アクセススキャンを作成、変更、および削除するには、「コンプライアンス」エリアの「アクセススキャンの管理」タブを使用します。ここから、定期的アクセスレビューで実行またはスケジュールするスキャンを定義できます。この機能の詳細については、「定期的アクセスレビューとアテステーション」を参照してください。
アクセスレビュー
「コンプライアンス」エリアの「アクセスレビュー」タブで、アクセスレビューの起動、終了、削除、進行状況の監視を実行できます。このタブには、スキャン結果の概要レポートと情報リンクが表示され、情報リンクからレビューのステータスおよび保留中のアクティビティーに関するさらに詳細な情報にアクセスできます。
この機能の詳細については、「アクセスレビューの管理」を参照してください。
監査ポリシーについて監査ポリシーは、1 つ以上のリソースのユーザーのセットに対するアカウント制限を定義します。監査ポリシーは、ポリシーの制限を定義する「規則」と、発生した違反を処理する「ワークフロー」から構成されます。監査スキャンでは、監査ポリシーに定義された条件を使用して、組織内で違反が発生しているかどうかを評価します。
監査ポリシーは次のコンポーネントで構成されます。
監査ポリシー規則
監査ポリシー内では、規則によって、属性に基づいた競合の可能性を定義します。1 つの監査ポリシーに、広範囲のリソースを参照する多数の規則を含めることができます。規則の評価時に、規則は 1 つ以上のリソースからのユーザーアカウントデータにアクセスします。監査ポリシーで、規則に使用できるリソースを制限できます。
1 つのリソースの 1 つの属性のみをチェックする規則、または複数のリソースの複数の属性をチェックする規則を設定できます。
規則の subType は、SUBTYPE_AUDIT_POLICY_RULE または SUBTYPE_AUDIT_POLICY_SOD_RULE である必要があります。監査ポリシーウィザードで生成される規則、または監査ポリシーウィザードによって参照される規則には、自動的にこの subType が割り当てられます。
規則の authType は AuditPolicyRule である必要があります。監査ポリシーウィザードで生成される規則には、自動的にこの authType が割り当てられます。
規則のロジックの説明については、『Identity Manager 配備ツール』の「規則の操作」を参照してください。
是正ワークフロー
ポリシー違反を定義する規則を作成したあとは、監査スキャンで違反が検出されたときに起動するワークフローを選択します。Identity Manager には、監査ポリシースキャンのデフォルトの是正処理を提供するデフォルトの標準是正ワークフローが用意されています。たとえば、このデフォルトの是正ワークフローでは、レベル 1 是正者として指定された各是正者に対して通知電子メールが生成され、必要な場合はそれ以下のレベルの是正者にも生成されます。
注
Identity Manager ワークフロープロセスとは異なり、是正ワークフローには AuthType=AuditorAdminTask および SUBTYPE_REMEDIATION_WORKFLOW のサブタイプを割り当てる必要があります。監査スキャンで使用するワークフローをインポートする場合は、この属性を手動で追加する必要があります。詳細については、「(省略可能) ワークフローを Identity Manager にインポートする」を参照してください。
是正者
是正ワークフローを割り当てる場合は、1 人以上の是正者を指定する必要があります。3 レベルまでの監査ポリシーの是正者を指定できます。是正に関する詳細については、この章の「コンプライアンス違反の是正と受け入れ」を参照してください。
是正者を割り当てるには、その前に是正ワークフローを割り当てる必要があります。
監査ポリシーのシナリオ例
買掛金と売掛金の責任者は、経理部で働く従業員が担当する金額の総計が危険な額に達しないようにするための措置を講じる必要があります。このポリシーでは、買掛金の担当者が売掛金の担当も兼ねていないかどうかを確認する必要があります。
監査ポリシーには、次のものが含まれます。
規則によってポリシー違反 (この例では、過剰な権限を持つユーザー) が検出されると、関連付けられたワークフローで特定の是正関連タスク (指定された是正者への自動通知など) を起動することができます。
レベル 1 是正者は、監査スキャンでポリシー違反が検出されたときに連絡される最初の是正者です。監査ポリシーで 2 レベル以上の是正者が指定されている場合、このエリアで指定されたエスカレーション期間を過ぎると、Identity Manager は次のレベルの是正者に通知します。
監査ポリシーの操作Identity Manager の監査ポリシーウィザードを使用すると、監査ポリシーを設定できます。監査ポリシーの定義後、そのポリシーに対して、変更や削除など、さまざまなアクションを実行できます。この節のトピックでは、監査ポリシーおよび監査ポリシー規則を作成および管理する方法を説明します。
さらに、監査ポリシーウィザードでは規則を作成できますが、作成できる規則のタイプが限られます。より厳密な規則を作成してウィザードで使用する場合は、Identity Manager IDE を使用してください。
デフォルトで、ウィザードで作成される規則の authType は AuditPolicyRule です。ウィザードまたは Identity Manager IDE を使用して作成する監査ポリシー規則では、この authType を指定するようにしてください。
規則の subType は SUBTYPE_AUDIT_POLICY_RULE である必要があります。監査ポリシーウィザードで生成される規則には、自動的にこの subType が割り当てられます。
監査ポリシーの作成
監査ポリシーウィザードでは、監査ポリシーの作成手順を、順を追って説明します。監査ポリシーウィザードにアクセスするには、インタフェースの「コンプライアンス」エリアで「ポリシーの管理」をクリックして、新しい監査ポリシーを作成します。
ウィザードでは、次のタスクを実行して監査ポリシーを作成します。
各ウィザード画面に表示されたタスクを完了したら、「次へ」をクリックして次の手順に進みます。
開始する前に
監査ポリシーを作成する前に、以下の作業も含めて十分に計画を練ります。
- 監査ポリシーウィザードでポリシーの作成に使用する規則を特定する。選択する規則は、作成するポリシーのタイプと、定義する特定の制限によって決まります。
- 新しいポリシーに含める是正ワークフローまたは規則をインポートする。
- 監査ポリシーの作成に必要な機能を持っていることを確認する。必要な機能については、「機能とその管理について」を参照してください。
必要な規則の特定
ポリシーで指定する制限は、作成またはインポートする規則セットに実装されます。監査ポリシーウィザードを使用して規則を作成する場合、次の操作を行います。
(省略可能) 職務分掌規則を Identity Manager にインポートする
監査ポリシーウィザードでは、職務分掌規則を作成できません。それらの規則は、Identity Manager 以外で作成し、「設定」タブの「交換ファイルのインポート」を使用してインポートする必要があります。
(省略可能) ワークフローを Identity Manager にインポートする
現在 Identity Manager から利用できない是正ワークフローを使用するには、次のタスクを完了して外部ワークフローをインポートします。
ワークフローが正常にインポートされると、監査ポリシーウィザードの「是正ワークフロー」のオプションリストに、そのワークフローが表示されます。
監査ポリシーの名前と説明の指定
監査ポリシーウィザード (図 11-1 を参照) で、新しいポリシーの名前と簡単な説明を入力します。
図 11-1 監査ポリシーウィザード: 名前と説明の入力画面
注
監査ポリシー名には、次の文字を含めることはできません。' (アポストロフィー)、. (ピリオド)、| (パイプ)、[ (左角括弧)、] (右角括弧)、, (カンマ)、: (コロン)、$ (ドル記号)、" (二重引用符)、= (等号)。
スキャンの実行時のアクセス対象を、選択したリソースだけに制限する場合は、「ターゲットリソースを制限」オプションを有効にします。
違反の是正として、ただちにユーザーを再スキャンさせる場合は、「違反の再スキャンを許可」オプションを有効にします。
注
監査ポリシーでリソースを制限しない場合、スキャンでは、ユーザーがアカウントを持つすべてのリソースがアクセスされます。規則で使用するリソースが少ない場合は、ポリシーの適用をそれらのリソースに限定するほうが効率的です。
「次へ」をクリックして次のページに進みます。
規則のタイプの選択
このページで、ポリシーの規則を定義または追加するプロセスを開始します。ポリシー作成時の作業の大部分は、規則の定義と作成です。
図 11-2 に示すように、Identity Manager の規則ウィザードを使用して独自の規則を作成するか、または既存の規則を組み込むことができます。デフォルトでは、「規則ウィザード」オプションが選択されています。「次へ」をクリックして規則ウィザードを起動し、規則の作成手順を説明する「規則ウィザードを使用した新しい規則の作成」に進みます。
図 11-2 監査ポリシーウィザード: 規則のタイプの選択画面
既存の規則の選択
新しいポリシーに既存の規則を含める場合は、規則のオプションを選択するときに「既存の規則」をクリックします。次に、「次へ」をクリックし、アクセスできる既存の監査ポリシー規則を表示して選択します。
「規則」オプションリストから追加する規則を選択し、「次へ」をクリックします。
注
以前に Identity Manager にインポートした規則の名前が表示されない場合は、「監査ポリシー規則」で説明した追加属性をその規則に追加したことを確認してください。
規則の追加
ウィザードで追加の規則を作成したり、規則をインポートしたりすることができます。規則ウィザードでは、1 つの規則で使用できるリソースは 1 つだけです。インポートした規則では、必要なだけの数のリソースを参照できます。
必要な場合は、「AND」または「OR」をクリックして、規則の追加を続行します。規則を削除するには、規則を選択して「削除」をクリックします。
ポリシー違反が発生するのは、すべての規則のブール式が true と評価した場合だけです。AND/OR 演算子で規則をグループ化すると、すべての規則が true でなくても、ポリシーが true と評価される可能性があります。Identity Manager では、true と評価された規則についてのみ、およびポリシー式が true と評価された場合にのみ違反が発生します。監査ポリシーウィザードでは、入れ子になったブール式を明示的に制御しないため、深い式を作成しないことをお勧めします。
是正ワークフローの選択
この画面で、このポリシーに関連付ける是正ワークフローを選択します。ここで割り当てたワークフローによって、監査ポリシー違反が検出されたときに Identity Manager で実行されるアクションが決まります。
注
違反が検知された監査ポリシーごとに 1 つのワークフローが起動します。各ワークフローには、特定のポリシーのポリシースキャンによって作成されたコンプライアンス違反ごとに、1 つまたは複数の作業項目が含まれます。
図 11-3 監査ポリシーウィザード: 是正ワークフローの選択画面
注
XML エディタまたは Identity Manager Integrated Development Environment (IDE) を使用して作成したワークフローのインポートについては、「(省略可能) ワークフローを Identity Manager にインポートする」を参照してください。
「是正ユーザーフォーム規則」を選択して、是正によってユーザーを編集する際に適用されるユーザーフォームの生成に使用する規則を選択します。デフォルトでは、是正作業項目に対応してユーザーを編集する是正者は、是正者に割り当てられたユーザーフォームを使用します。監査ポリシーで是正ユーザーフォームを指定すると、このフォームが代わりに使用されます。これにより、監査ポリシーで対応する特定の問題を示す場合に、厳密に限定されたフォームを使うことができます。
この是正ワークフローに関連付ける是正者を指定する場合は、「是正者の指定」を選択します。このオプションを有効にして「次へ」をクリックすると、是正者の割り当てページが表示されます。このオプションを有効にしなかった場合は、組織の割り当て画面が次に表示されます。
是正者と是正タイムアウトの選択
是正者を指定した場合、この監査ポリシーの違反が検出されると、このポリシーに割り当てられた是正者に通知されます。さらに、デフォルトのワークフローで是正作業項目が是正者に割り当てられます。すべての Identity Manager ユーザーが是正者になることができます。
1 人以上のレベル 1 是正者、すなわち、指定されたユーザーを割り当てることができます。レベル 1 是正者は、ポリシー違反が検出されたときに、是正ワークフローによって送信される電子メールで最初に連絡を受けます。指定されたエスカレーションタイムアウト時間に達するまでにレベル 1 是正者が応答しなかった場合、Identity Manager は次に、ここに指定されたレベル 2 是正者に連絡します。エスカレーション期間が経過するまでにレベル 1 是正者もレベル 2 是正者も応答しなかった場合にのみ、Identity Manager がレベル 3 是正者に連絡します。
注
選択した最高レベルの是正者に対してエスカレーションタイムアウト値を指定した場合、エスカレーションがタイムアウトすると、リストから作業項目が削除されます。デフォルトでは、エスカレーションタイムアウトは 0 の値に設定されています。この場合、作業項目は期限切れにならず、是正者リストに残ります。
是正者の割り当ては省略可能です。このオプションを選択する場合は、「是正者の指定」チェックボックスを有効にして、次の画面に進みます。
是正者の利用可能リストにユーザーを追加するには、ユーザー ID を入力して、「追加」をクリックします。または、「...」ボタンをクリックして、ユーザー ID を検索します。「が次の文字列で始まる」フィールドに 1 文字以上入力して、「検索」をクリックします。検索リストからユーザーを選択したら、「追加」をクリックして、是正者のリストに追加します。「閉じる」をクリックして、検索エリアを閉じます。
是正者のリストからユーザー ID を削除するには、リストのユーザー ID を選択して、「削除」をクリックします。
図 11-4 監査ポリシーウィザード: レベル 1 是正者の選択エリア
このポリシーにアクセスできる組織の選択
図 11-5 に示すように、この画面では、このポリシーを表示および編集できる組織を選択します。
図 11-5 監査ポリシーウィザード: 閲覧を許可された組織の割り当て画面
組織を選択したら、「完了」をクリックして監査ポリシーを作成し、「ポリシーの管理」ページに戻ります。新しく作成したポリシーがこのリストに表示されます。
規則ウィザードを使用した新しい規則の作成
監査ポリシーウィザードで「規則ウィザード」を選択して規則を作成する場合は、次の節で説明するページに情報を入力していきます。
新しい規則の名前と説明の指定
オプションの作業として新しい規則に名前を付けて説明します。このページでは、Identity Manager で規則が表示されるときに規則名の横に表示される説明テキストを入力します。規則の内容を示す簡潔でわかりやすい説明を入力します。この説明は、Identity Manager の「ポリシー違反のレビュー」ページ内に表示されます。
図 11-6 監査ポリシーウィザード: 規則の説明の入力画面
たとえば、Oracle ERP responsibilityKey の Payable User 属性値と Receivable User 属性値の両方を持つユーザーを検出する規則を作成する場合であれば、「説明」フィールドに「Payable User と Receivable User の両方の役割を持つユーザーを検出する」のようにテキストを入力します。
規則に関する追加情報を入力する場合は、「コメント」フィールドを使用します。
規則で参照するリソースの選択
このページでは、規則で参照するリソースを選択します。各規則変数は、このリソースの属性に対応している必要があります。このオプションリストには、表示アクセス権を持つすべてのリソースが表示されます。この例では、「Oracle ERP」が選択されています。
図 11-7 監査ポリシーウィザード: リソースの選択画面
注
使用可能な各リソースアダプタのほとんどの属性 (ただし全部ではない) がサポートされています。使用可能な個々の属性については、『Identity Manager リソースリファレンス』を参照してください。
「次へ」をクリックして次のページに進みます。
規則式の作成
この画面では、新しい規則の規則式を入力します。この例では、Oracle ERP responsibilityKey の Payable User 属性値を持つユーザーは Receivable User 属性値を同時に持つことができないという規則を作成します。
- 使用可能な属性のリストからユーザー属性を選択します。この属性は、規則変数に直接対応します。
- リストから論理条件を選択します。有効な条件には、「=」(等しい)、「!=」(等しくない)、「<」(より小さい)、「<=」(より小さいまたは等しい)、「>」(より大きい)、「>=」(より大きいまたは等しい)、「が true である」、「が null である」、「が null でない」、「が空の文字列である」、および「が右の文字列を含む」があります。この例では、使用できる属性条件のリストから「contains」を選択します。
- 式の値を入力します。たとえば、「Payable user」と入力した場合は、responsibilityKeys の Payable user 属性値を持つ Oracle ERP ユーザーを指定したことになります。
- (省略可能) 「AND」または「OR」演算子をクリックし、行を追加して、別の式を作成します。
図 11-8 監査ポリシーウィザード: 規則式の選択画面
この規則はブール値を返します。両方のステートメントが true の場合、ポリシー規則は、ポリシー違反となる TRUE の値を返します。
注
Identity Manager では、入れ子になった規則の制御はサポートされません。複数の規則が指定されている場合は常に、最初は AND 演算子、次に OR に従ってポリシーが評価されます。たとえば、R1 AND R2 AND R3 or R4 AND R5 は、(R1 + R2 + R3) | (R4 + R5) と解釈されます。
次のコード例は、この画面で作成した規則の XML を示しています。
コード例 11-1 新しく作成した規則の XML 構文の例
規則から式を削除するには、属性条件を選択して「削除」をクリックします。
「次へ」をクリックして監査ポリシーウィザードを続行します。さらに、ウィザードを使用して新しい規則を作成するか、既存の規則を追加するかのいずれかの方法で規則を追加することもできます。
監査ポリシーの編集
監査ポリシーに関する一般的な編集タスクは次のとおりです。
ポリシーの編集ページ
監査ポリシー名の列でポリシーの名前をクリックして「監査ポリシーの編集」ページを開きます。このページでは、監査ポリシーに関する情報が次のエリアに分類されています。
ページのこのエリアでは、次の操作を行うことができます。
監査ポリシーの説明の編集
監査ポリシーの説明を編集するには、「説明」フィールド内のテキストを選択し、新しいテキストを入力します。
オプションの編集
オプションの作業として、「ターゲットリソースを制限」オプションまたは「違反の再スキャンを許可」オプションを選択するか、選択解除します。
ポリシーの規則の削除
ポリシーの規則を削除するには、規則名の前にある「選択」ボタンをクリックし、「削除」をクリックします。
ポリシーへの規則の追加
「追加」をクリックして新しいフィールドを追加し、そのフィールドで、追加する規則を選択します。
ポリシーで使用する規則の変更
「規則名」列で、選択リストから別の規則を選択します。
「是正者」エリア
図 11-10 に、レベル 1、レベル 2、レベル 3 のポリシーの是正者を割り当てるための「是正者」エリアの一部を示します。
図 11-10 「監査ポリシーの編集」ページ: 是正者の割り当て
ページのこのエリアでは、次の操作を行うことができます。
是正者の削除または割り当て
1 つまたは複数の是正レベルの是正者を選択するには、ユーザー ID を入力して、「追加」をクリックします。ユーザー ID を検索するには、「...」ボタンをクリックします。少なくとも 1 人の是正者を選択する必要があります。
是正者を削除するには、リストのユーザー ID を選択して、「削除」をクリックします。
エスカレーションタイムアウトの調整
タイムアウト値を選択し、新しい値を入力します。デフォルトでは、タイムアウト値は設定されていません。
.
是正ワークフローと組織のエリア
図 11-11 に、監査ポリシーの是正ワークフローと組織を指定するエリアを示します。
図 11-11 「監査ポリシーの編集」ページ: 是正ワークフローと組織
ページのこのエリアでは、次の操作を行うことができます。
是正ワークフローの変更
ポリシーに割り当てられたワークフローを変更するには、オプションリストから別のワークフローを選択します。デフォルトでは、ワークフローは監査ポリシーに割り当てられません。
リストから是正ワークフローを選択し、「保存」をクリックします。
是正ユーザーフォーム規則の選択
オプションの作業として、是正によってユーザーを編集する際に適用されるユーザーフォームを生成する規則を選択します。
組織の閲覧許可の割り当てまたは削除
この監査ポリシーを使用できる組織を調整し、「保存」をクリックします。
サンプルポリシー
Identity Manager には、「監査ポリシー」リストからアクセス可能な次のサンプルポリシーが用意されています。
IDM Role Comparison Policy
このサンプルポリシーを使用して、Identity Manager ロールで指定されている属性と、ユーザーの現在の属性を比較できます。このポリシーは、ロールに指定されたすべてのリソース属性がユーザーに設定されていることを確認するためのものです。
このポリシーは次の場合に違反を検知します。
IDM Account Accumulation Policy
このサンプルポリシーでは、ユーザーが保有するすべてのアカウントが、そのユーザーによって保有されている少なくとも 1 つのロールによって参照されていることを確認します。
ユーザーに割り当てられているリソースアカウントのうち、いずれか 1 つでも現在ユーザーに割り当てられているどのロールからも明示的に参照されていない場合、このポリシーに違反します。
監査ポリシーの削除
監査ポリシーを Identity Manager から削除すると、そのポリシーを参照する違反もすべて削除されます。
「ポリシーの管理」をクリックしてポリシーを表示した時に、インタフェースの「コンプライアンス」エリアからポリシーを削除できます。監査ポリシーを削除するには、ポリシーのリストからポリシー名を選択し、「削除」をクリックします。
監査ポリシーのトラブルシューティング
通常、監査ポリシーに関する問題に対処するにはポリシー規則のデバッグが最善の方法です。
規則のデバッグ
規則をデバッグするには、規則コードに次のトレース要素を追加します。
<block trace='true'>
<and>
<contains>
<ref>accounts[AD].firstname</ref>
<s>Sam</s>
</contains>
<contains>
<ref>accounts[AD].lastname</ref>
<s>Smith</s>
</contains>
</and>
</block>問題
自分のワークフローが Identity Manager インタフェースに表示されない
解決方法
次のことを確認します。
問題
規則をインポートしましたが、監査ポリシーウィザードに表示されません。
解決方法
次のことを確認します。
監査ポリシーの割り当て組織に監査ポリシーを割り当てるには、少なくとも「Assign Organization Audit Policies」機能を持っている必要があります。ユーザーに監査ポリシーを割り当てるには、「Assign User Audit Policies」機能を持っている必要があります。「Assign Audit Policies」機能を持つユーザーは、これらの両方の機能を持ちます。
組織レベルのポリシーを割り当てるには、「アカウント」タブで「組織」を選択し、「割り当てられた監査ポリシー」リストでポリシーを選択します。
ユーザーレベルのポリシーを割り当てるには、次の手順に従います。
監査ポリシーのスキャンとレポートこの節では、監査ポリシースキャンについて、および監査スキャンの実行と管理の手順について説明します。
ユーザーおよび組織のスキャン
スキャンは、選択した監査ポリシーを個々のユーザーまたは組織に対して実行します。特定の違反についてユーザーまたは組織をスキャンしたり、ユーザーまたは組織に割り当てられていないポリシーを実行したりできます。インタフェースの「アカウント」エリアからスキャンを起動します。
「アカウント」エリアからユーザーアカウントまたは組織のスキャンを開始するには、次の手順に従います。
- 「アカウント」を選択します。
- 「アカウント」リストで、次のいずれかの操作を行います。
- 1 人以上のユーザーを選択し、「ユーザーアクション」オプションリストから「スキャン」を選択します。
- 1 つ以上の組織を選択し、「組織アクション」オプションリストから「スキャン」を選択します。
タスクの起動ダイアログが表示されます。表 11-3 は、監査ポリシーユーザースキャンの「タスクの起動」ページの例です。
図 11-12 タスクの起動ダイアログ
- 「レポートタイトル」フィールドにスキャンのタイトルを指定します。このフィールドは必須です。任意で、「レポートの概要」フィールドにスキャンの説明を指定できます。
- 実行する監査ポリシーを 1 つ以上選択します。少なくとも 1 つのポリシーを選択する必要があります。
- 「ポリシーモード」を選択します。これにより、ポリシーが割り当てられているユーザーに対して、選択したポリシーをどのように適用するかが決まります。ここで、ユーザーに割り当てられているポリシーとは、ユーザーに直接割り当てられたポリシーと、ユーザーが所属している組織に割り当てられたポリシーの両方が該当します。
- オプションの作業として「違反を作成しない」オプションを選択します。このオプションを有効にすると、監査ポリシーが評価され、違反が報告されますが、コンプライアンス違反の作成または更新が行われないため、是正ワークフローも実行されません。ただし、スキャンによるタスク結果で、違反が発生したことが示されるため、監査ポリシーのテスト時にこのオプションが役立ちます。
- 監査ポリシーに割り当てられた是正ワークフローを実行する場合は、「是正ワークフローを実行しますか?」を選択します。監査ポリシーに是正ワークフローが定義されていない場合は、是正ワークフローは実行されません。
- 「違反数の最大値」の値を編集して、スキャンが強制終了する前にスキャンが発行できるコンプライアンス違反の最大数を設定します。この値は、チェックが厳しすぎる可能性のある監査ポリシーを実行する場合に、リスクを制限するための安全措置です。空の値は制限を設定しないことを意味します。
- レポートの受信者を指定する場合は、「レポート結果を送信」を選択します。また、Identity Manager が CSV (カンマ区切り値) 形式のレポートを格納したファイルを添付するように設定することもできます。
- デフォルトの PDF オプションに優先して適用する場合は、「デフォルトの PDF オプションを上書き」オプションを有効にします。
- 「起動」をクリックしてスキャンを開始します。
監査スキャンの結果のレポートを見るには、「監査レポート」を表示します。
監査レポートの操作
Identity Manager には、さまざまな監査レポートが用意されています。次の表で、それらのレポートについて説明します。
表 11-2 監査レポートの説明
監査レポートのタイプ
説明
アクセスレビュー範囲
選択したアクセスレビューによって示されたユーザーのオーバーラップと差異を表示します。ほとんどのアクセスレビューでは、ユーザークエリーまたは何らかのメンバーシップの操作によって、ユーザーの範囲が指定されるため、厳密なユーザーセットは時間の経過とともに変化すると予想されます。このレポートには、2 つの異なるアクセスレビューによって指定されたユーザー間 (操作でレビューが効率的に行われるかどうかを確認するため)、2 つの異なるアクセスレビューによって生成されたエンタイトルメント間 (時間の経過とともに範囲が変化するかどうかを確認できる)、またはユーザーとエンタイトルメント間 (レビューの対象とされているすべてのユーザーに対して、エンタイトルメントが生成されたかどうかを確認できる) のオーバーラップまたは差異、あるいはその両方を表示することができます。
アクセスレビュー詳細
すべてのユーザーエンタイトルメントレコードの現在のステータスが表示されます。このレポートは、ユーザーの組織、アクセスレビューとアクセスレビューインスタンス、エンタイトルメントレコードの状態、およびアテスターによってフィルタリングできます。
アクセスレビュー概要
すべてのアクセスレビューに関する概要情報が表示されます。一覧表示されたアクセスレビュースキャンごとに、スキャンしたユーザー、スキャンしたポリシー、およびアテステーションアクティビティーのステータスの概要が表示されます。
アクセススキャンユーザー範囲
選択されたスキャンを比較して、スキャン範囲に含まれるユーザーを判断します。オーバーラップ (すべてのスキャンに含まれるユーザー) または差異 (すべてのスキャンに含まれないが、複数のスキャンに含まれるユーザー) が表示されます。このレポートは、同一または異なるユーザーを範囲とする複数のアクセススキャンをスキャンのニーズに従って編成しようとする場合に便利です。
監査ポリシーの概要
各ポリシーの規則、是正者、ワークフローなど、すべての監査ポリシーの主要な要素の概要が表示されます。
監査属性
指定されたリソースアカウント属性の変更を示すすべての監査レコードが表示されます。
このレポートでは、格納されているすべての監査可能属性に関する監査データが調べられます。すべての拡張属性に基づいてデータが調べられます。拡張属性は、WorkflowServices または監査可能としてマークされたリソース属性から指定できます。
監査ポリシー別違反履歴
指定された期間中に作成されたすべてのコンプライアンス違反がポリシー別にグラフ形式で表示されます。このレポートは、ポリシーでフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。
ユーザーアクセス
指定されたユーザーの監査レコードとユーザー属性が表示されます。
組織別違反履歴
一定期間中に作成されたすべてのコンプライアンス違反が組織別にグラフ形式で表示されます。組織でフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。
リソース別違反履歴
指定された期間中に作成されたすべてのコンプライアンス違反がリソース別にグラフ形式で表示されます。
職務分掌
競合テーブルに配置された職務分掌違反が表示されます。Web ベースインタフェースでは、リンクをクリックすると追加情報にアクセスできます。
このレポートは、組織でフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。
違反の概要
現在のコンプライアンス違反がすべて表示されます。このレポートは、是正者、リソース、規則、ユーザー、またはポリシーによってフィルタリングできます。
これらのレポートは、Identity Manager インタフェースの「レポート」タブから利用できます。
監査レポートの作成
レポートを実行するには、まず、レポートテンプレートを作成する必要があります。レポートでは、レポート結果を受け取る電子メール受信者など、さまざまな条件を指定できます。レポートテンプレートを作成して保存すると、「レポートの実行」ページからそのレポートを使用できるようになります。
図 11-13 に、定義済み監査レポートのリストが表示された「レポートの実行」ページの例を示します。
図 11-13 「レポートの実行」ページの選択項目
監査レポートを作成するには、次の手順に従います。
「レポートの定義」ページが表示されます。レポートダイアログに表示されるフィールドやレイアウトは、レポートのタイプによって異なります。レポートの条件の指定については、Identity Manager ヘルプを参照してください。
レポートの条件を入力および選択したら、次を実行できます。
「レポートの実行」ページからレポートを実行したあとは、「レポートの表示」タブで、ただちにまたはあとで出力を表示することができます。
- レポートのスケジュールについては、「レポートのスケジュール」を参照してください。
コンプライアンス違反の是正と受け入れこの節では、Identity Manager の是正機能を使用して重要な資産を保護する方法について説明します。以下のトピックで、Identity Manager 是正プロセスの要素について説明します。
是正について
Identity Manager は、未解決の (受け入れられていない) 監査ポリシーコンプライアンス違反を検出すると、是正リクエストを作成します。このリクエストは「是正者」によって処理される必要があります。是正者とは、監査ポリシー違反の評価と応答を許可されている、指定されたユーザーです。
是正者のエスカレーション
Identity Manager では、3 レベルの是正者のエスカレーションを定義できます。是正リクエストは、まず、レベル 1 是正者に送信されます。タイムアウト時間が経過するまでにレベル 1 是正者が是正リクエストに応答しなかった場合、Identity Manager はその違反をレベル 2 是正者にエスカレーションし、新しいタイムアウト時間を開始します。タイムアウト時間が経過するまでにレベル 2 是正者が応答しなかった場合、そのリクエストはさらにレベル 3 是正者にエスカレーションされます。
是正を実行するには、そのシステムで少なくとも 1 人の是正者を指定する必要があります。任意設定ですが、各レベルに 2 人以上の是正者を指定することをお勧めします。複数の是正者を指定すると、ワークフローの遅延や停止を防ぐことができます。
是正セキュリティーアクセス
これらの権限付与オプションは、authType RemediationWorkItem の作業項目用のものです。
デフォルトでは、権限付与に関するチェックは次のようにして行い、いずれかの条件を満たす作業項目に対して、ユーザーに是正権限が付与されます。
2 番目および 3 番目のチェックを別個に設定するには、次のオプションを変更します。
これらのオプションは、次のファイルで追加または変更できます。
UserForm: Remediation List
是正ワークフローのプロセス
Identity Manager では、監査ポリシースキャンの是正処理を行う標準是正ワークフローが提供されます。
標準是正ワークフローでは、コンプライアンス違反に関する情報を含む是正リクエスト (レビュータイプの作業項目) が生成され、監査ポリシーで指定された各レベル 1 是正者に電子メール通知が送信されます。是正者が違反を受け入れると、ワークフローによって既存のコンプライアンス違反オブジェクトの状態が変更され、有効期限が割り当てられます。
コンプライアンス違反は、ユーザー、ポリシー名、および規則名の組み合わせによって一意に識別されます。監査ポリシーで true と評価されたときに、このユーザー/ポリシー/規則の組み合わせによる既存の違反が存在していなければ、その組み合わせによる新しいコンプライアンス違反が作成されます。その組み合わせでの違反が存在し、その違反が受け入れられた状態になっている場合は、ワークフロープロセスによる処理は行われません。既存の違反が受け入れられていない場合、その再発回数が加算されます。
是正ワークフローの詳細については、「監査ポリシーについて」を参照してください。
是正応答
デフォルトでは、各是正者は次の 3 つの応答オプションから選択できます。
是正の例
ユーザーが買掛金と売掛金の両方を担当できないようにする規則を設定した企業で、あるユーザーがこの規則に違反しているという通知を受け取ったとします。
是正電子メールテンプレート
Identity Manager には、「ポリシー違反通知」電子メールテンプレートが用意されています。これを利用するには、「設定」タブを選択し、次に「電子メールテンプレート」サブタブを選択します。このテンプレートを、保留中の違反を是正者に通知するように設定できます。詳細については、「電子メールテンプレートのカスタマイズ」を参照してください。
「是正」ページの操作
「是正」ページにアクセスするには、「作業項目」を選択し、「是正」タブを選択します。
このページでは、次の操作を行うことができます。
ポリシー違反の表示
「是正」ページでは、違反に対するアクションを実行する前に、違反に関する詳細を表示できます。
割り当てられている機能または Identity Manager 機能の階層の位置によっては、ほかの是正者の違反を表示してアクションを実行できる場合もあります。
以下のトピックは、違反の表示に関するものです。
保留中のリクエストの表示
デフォルトでは、割り当てられている保留中のリクエストは「是正」テーブルに表示されます。「右の者に対する是正リクエスト一覧」オプションを使用すると、別の是正者に対する保留中の是正リクエストを表示できます。
結果のテーブルには、リクエストごとに次の情報が表示されます。
完了したリクエストの表示
完了した是正リクエストを表示するには、「自分の作業項目」タブをクリックし、次に「履歴」タブをクリックします。以前に是正した作業項目のリストが表示されます。
結果のテーブル (AuditLog レポートで生成される) には、是正リクエストごとに次の情報が表示されます。
テーブルのタイムスタンプをクリックすると、「監査イベントの詳細」ページが開きます。
「監査イベントの詳細」ページには、完了したリクエストに関する情報が表示されます。この情報には、是正または受け入れに関する情報、イベントパラメータ (該当する場合)、監査可能属性などが含まれます。
テーブルの更新
「是正」テーブルに表示された情報を更新するには、「更新」をクリックします。新しい是正リクエストがあれば、「是正」ページのテーブルが更新されます。
ポリシー違反の優先度の設定
ポリシー違反に優先度、重要度、またはその両方を割り当てて、ポリシー違反の優先度を設定することができます。「是正」ページから違反の優先度を設定します。
違反の優先度または重要度を編集するには、次の手順に従います。
ポリシー違反の受け入れ
「是正」ページまたは「ポリシー違反のレビュー」ページで、ポリシー違反を受け入れることができます。
「是正」ページでの操作
「是正」ページで保留中のポリシー違反を受け入れるには、次の手順に従います。
- テーブルの行を選択して、受け入れるリクエストを指定します。
- 「受け入れる」をクリックします。
次のような「ポリシー違反を受け入れる」ページ (または「複数のポリシー違反を受け入れる」ページ) が表示されます。
図 11-14 「ポリシー違反を受け入れる」ページ
- 「説明」フィールドに、受け入れに関するコメントを入力します。このフィールドは必須です。
コメントは、このアクションの監査証跡として利用されるので、ひととおりの有用な情報を入力する必要があります。たとえば、ポリシー違反を受け入れる理由、日付、免除期間の選択理由などを説明します。
- 免除の有効期限を指定します。「有効期限」フィールドに日付 (YYYY-MM-DD 形式) を直接入力するか、または ボタンをクリックしてカレンダから日付を選択します。
- 「OK」をクリックして変更を保存し、「是正」ページに戻ります。
ポリシー違反の是正
1 つ以上のポリシー違反を是正するには、次の手順に従います。
是正リクエストの転送
1 つ以上の是正リクエストをほかの是正者に転送できます。その場合は次の手順に従います。
「是正」ページが再表示され、テーブルの「是正者」列に新しい是正者の名前が表示されます。
是正作業項目のユーザーの編集
適切なユーザー編集機能を持つ場合、関連付けられたエンタイトルメント履歴に説明されているとおり、是正作業項目から、ユーザーを編集して問題を是正できます。
ユーザーを編集するには、「是正リクエストのレビュー」ページから、「ユーザーの編集」をクリックします。表示される「ユーザーの編集」ページには、次の項目が表示されます。
ユーザーを変更したら、「保存」をクリックします。
注
ユーザーを編集し、保存すると、ユーザーの更新ワークフローが実行されます。このワークフローに承認プロセスが含まれている場合があるため、ユーザーアカウントを変更し、保存してもしばらくの間、有効にならない可能性があります。監査ポリシーで再スキャンが許可されており、ユーザーの更新ワークフローが完了していない場合、後続のポリシースキャンで同じ違反が検出されることがあります。
定期的アクセスレビューとアテステーションIdentity Manager では、アクセスレビューを実行するプロセスによって、マネージャーなどの責任者がユーザーアクセス特権のレビューと検証を行うことができます。このプロセスは、時間の経過とともに蓄積されたユーザー特権を識別および管理し、米国企業改革 (SOX) 法、GLBA、および米国で義務付けられているその他の規制に対するコンプライアンスを維持するのに役立ちます。
アクセスレビューは、必要に応じて実行できます。また、四半期ごとなど、定期的に実行されるようにスケジュールすることもできます。定期的アクセスレビューを実行することで、正しいレベルのユーザー特権を維持できます。アクセスレビューにオプションの作業として監査ポリシースキャンを含めることもできます。
定期的アクセスレビューについて
定期的アクセスレビューは、従業員セットが特定の時点で適切なリソースに対する適切な特権を持っていることをアテストする定期的プロセスです。
定期的アクセスレビューでは次のアクティビティーを行います。
「ユーザーエンタイトルメント」は、特定のリソースセットについてのユーザーのアカウントの詳細のレコードです。
アクセスレビュースキャン
定期的アクセスレビューを開始するには、まず、1 つ以上のアクセススキャンを定義する必要があります。
アクセススキャンには、スキャン対象のユーザー、スキャンに含めるリソース、スキャンで評価するオプションの監査ポリシー、および手動でアテストするエンタイトルメントレコードを決定する規則とその実行者を定義します。
アクセスレビューのワークフロープロセス
一般に、Identity Manager のアクセスレビューワークフローは次のようになります。
是正機能については、「アクセスレビュー是正」を参照してください。
必要な管理者機能
定期的アクセスレビューを実行してレビュープロセスを管理するユーザーは、「Auditor Periodic Access Review Administrator」機能を持っている必要があります。「アクセススキャン監査管理者」機能を持つユーザーは、アクセススキャンの作成と管理を行うことができます。
これらの機能を割り当てるには、ユーザーアカウントを編集してセキュリティー属性を変更します。これらの機能およびその他の機能の詳細については、「機能とその管理について」を参照してください。
アテステーション
アテステーションは、特定の日付に存在しているユーザーエンタイトルメントを確認するために、1 人以上の指定されたアテスターが実行するアテステーションプロセスです。アクセスレビュー中に、アテスターは電子メール通知によってアクセスレビューアテステーションリクエストの通知を受け取ります。アテスターは、Identity Manager ユーザーである必要がありますが、Identity Manager 管理者である必要はありません。
アテステーションワークフロー
Identity Manager は、レビューを必要とするエンタイトルメントレコードがアクセススキャンで検出されたときに起動されるアテステーションワークフローを使用します。アクセススキャンは、アクセススキャンで定義された規則に基づいてこの判断を行います。
アクセススキャンで評価される規則によって、ユーザーエンタイトルメントレコードを手動でアテストする必要があるか、あるいは自動的に承認または却下できるか決まります。ユーザーエンタイトルメントレコードを手動でアテストする必要がある場合は、2 番目の規則を使用して適切なアテスターが決定されます。
手動でアテストする各ユーザーエンタイトルメントレコードは、1 人のアテスターにつき 1 つの作業項目でワークフローに割り当てられます。これらの作業項目のアテスターへの通知を、アテスターごと、スキャンごとに項目を 1 つの通知にまとめる ScanNotification ワークフローを使用して送信できます。ScanNotification ワークフローが選択されていない場合は、ユーザーエンタイトルメントごとの通知になります。この場合、1 人のアテスターが同じスキャンで複数の通知を受け取ることになり、スキャンするユーザー数によっては多数の通知になる可能性があります。
アテステーションセキュリティーアクセス
これらの権限付与オプションは、authType AttestationWorkItem の作業項目用のものです。
デフォルトでは、権限付与に関するチェックは次のようにして行い、いずれかの条件を満たす作業項目に対して、ユーザーにアテステーション権限が付与されます。
2 番目および 3 番目のチェックを別個に設定するには、次のフォームプロパティーを変更します。
lastLevel の整数値は、デフォルトでは -1 に設定され、これは直属の部下と直属ではない部下を含むことを意味します。
これらのオプションは、次のファイルで追加または変更できます。
UserForm: AccessApprovalList
.
注
アテステーションのセキュリティーが組織管理に設定されている場合 (controlOrg が true)、ほかのユーザーが所有しているアテステーションを変更するには Auditor Attestor 機能も必要です。
委任されたアテステーション
デフォルトの動作として、アクセススキャンワークフローは、アクセスレビューアテステーション作業項目およびアクセスレビュー是正作業項目に対して、アテステーション作業項目およびその通知用にユーザーが作成した委任設定に従います。しかし、アクセススキャンの管理者が、「委任に従う」オプションを選択解除して委任設定を無視する場合があります。アテスターがすべての作業項目を別のユーザーに委任している場合でも、アクセスレビュースキャンで「委任に従う」オプションが設定されていなければ、委任を割り当てたユーザーではなく、そのアテスターがアテステーションリクエスト通知と作業項目を受け取ることになります。
定期的アクセスレビューの計画
アクセスレビューは、どの企業でも多くの労働力と時間を要するプロセスです。Identity Manager 定期的アクセスレビュープロセスを使用すると、プロセスの多くの部分が自動化されるため、必要なコストと時間を最小限にできます。ただし、それでも時間のかかるプロセスがいくつかあります。たとえば、いくつもの場所から多数のユーザーのユーザーアカウントデータを取得するプロセスには、かなりの時間を要する場合があります。レコードを手動でアテストする作業も、時間がかかる場合があります。適切な計画を行えば、プロセスの効率を高め、必要な手間を大幅に減らすことができます。
定期的アクセスレビューの計画では、次のことを考慮する必要があります。
スキャンタスクのチューニング
スキャンプロセス時に、複数のスレッドがユーザーのビューにアクセスし、ユーザーがアカウントを持つリソースにアクセスする可能性があります。ビューへのアクセス後、複数の監査ポリシーと規則が評価され、コンプライアンス違反が生成されることがあります。
2 つのスレッドが同じユーザービューを同時に更新することを避けるため、プロセスはユーザー名にメモリー内ロックを設定します。このロックがデフォルトで 5 秒以内に設定できない場合、スキャンタスクにエラーが書き込まれ、ユーザーはスキップされるため、同じユーザーセットを処理する同時スキャンが防止されます。
スキャンタスクへのタスク引数として提供されるいくつかの「チューニング可能パラメータ」の値を編集できます。
- clearUserLocks (ブール型) - true の場合、スキャンの開始前に、現在のすべてのユーザーロックが解除されます。
- userLock (整数) - ユーザーをロックしようとして待つ時間 (ミリ秒)。デフォルト値は 5 秒です。負の値を設定すると、スキャン中にユーザーのロックは行いません。
- scanDelay (整数) - スキャンスレッドのディスパッチ間でスリープする時間 (ミリ秒)。デフォルト値は 0 (遅延なし) です。この引数の値を指定すると、スキャンは遅くなりますが、システムのほかの操作の応答が速くなります。
- maxThreads (整数) - スキャンの処理に使用する同時スレッド数。デフォルト値は 5 です。リソースの応答が極めて遅い場合は、この数値を大きくすると、スキャンのスループットが向上する可能性があります。
これらのパラメータの値を変更するには、対応する「タスク定義」フォームを編集します。このタスクの詳細については、『Identity Manager ワークフロー、フォーム、およびビュー』を参照してください。
アクセススキャンの作成
アクセスレビュースキャンを定義するには、次の手順に従います。
- 「コンプライアンス」を選択し、「アクセススキャンの管理」を選択します。
- 「新規」をクリックして、「新規アクセススキャンの作成」ページを表示します。
- アクセススキャンに名前を割り当てます。
注
アクセススキャン名には、次の文字を含めることはできません。' (アポストロフィー)、. (ピリオド)、| (パイプ)、[ (左角括弧)、] (右角括弧)、, (カンマ)、: (コロン)、$ (ドル記号)、" (二重引用符)、= (等号)。
- 必要に応じて、そのスキャンを特定する説明を追加します。
- オプションの作業として「動的エンタイトルメント」オプションを有効にします。有効にした場合、アテスターは、次の追加オプションから選択できます。
- 「ユーザー範囲タイプ」で、次のいずれかのオプションを選択します。このフィールドは必須です。
- 「属性条件規則に従う」 - 選択したユーザー範囲規則に従って、ユーザーをスキャンする場合は、このオプションを選択します。Identity Manager では次の規則を使用できます。
- 「リソースに割り当て」 − 選択した 1 つ以上のリソースにアカウントを持つすべてのユーザーをスキャンする場合は、このオプションを選択します。このオプションを選択した場合、ページにユーザー範囲リソースが表示され、リソースを指定できます。
- 「組織のメンバー」 - 選択した 1 つ以上の組織のすべてのメンバーをスキャンする場合は、このオプションを選択します。
- 「特定のマネージャーの部下」 − 選択したマネージャーに直属するすべてのユーザーをスキャンする場合は、このオプションを選択します。マネージャーの階層は、ユーザーの Lighthouse アカウントの Identity Manager 属性によって決まります。
ユーザー範囲タイプが「組織のメンバー」または「特定のマネージャーの部下」の場合は、「範囲を再帰的に計算?」オプションを使用できます。このオプションを使用すると、管理する一連のメンバーを通して再帰的にユーザー選択が行われるようにできます。
- アクセスレビュースキャンで監査ポリシーもスキャンして違反を検出する場合は、このスキャンに適用する監査ポリシーを「利用可能な監査ポリシー」リストから選択し、「現在の監査ポリシー」リストに移動させます。
アクセススキャンに監査ポリシーを追加した場合の動作は、同じユーザーセットに対して監査スキャンを実行するのと同じ結果になります。ただし、それに加えて、監査ポリシーによって検出された違反がユーザーエンタイトルメントレコードに格納されます。この情報により、ユーザーエンタイトルメントレコード内に違反が存在するかどうかを規則のロジックの一部として使用できるので、自動承認または自動却下が容易になります。
- 前の手順でスキャンする監査ポリシーを選択した場合は、「ポリシーモード」オプションを使用して、アクセススキャンされる各ユーザーに対してどの監査ポリシーを実行するかを指定することができます。ユーザーレベルまたは組織レベル、あるいはその両方でユーザーにポリシーを割り当てることができます。デフォルトのアクセススキャンでは、ユーザーにまだポリシーが割り当てられていない場合にのみ、アクセススキャンで指定されたポリシーが適用されます。
- (省略可能)「レビュープロセスの所有者」を指定します。定義しているアクセスレビュータスクの所有者を指定する場合は、このオプションを使用します。レビュープロセスの所有者を指定すると、アテステーションリクエストへの応答で競合が起こる可能性があるアテスターは、ユーザーエンタイトルメントを承認または却下する代わりに「拒否」できます。その場合、アテステーションリクエストはレビュープロセスの所有者に転送されます。選択 (省略記号) ボックスをクリックして、ユーザーアカウントを検索し、選択を行います。
- 「委任に従う」 - アクセススキャンの委任を有効にする場合は、このオプションを選択します。このオプションを選択した場合、アクセススキャンでは委任設定のみが遵守されます。「委任に従う」は、デフォルトで有効になっています。
- 「ターゲットリソースを制限」 - ターゲットのリソースのみにスキャンを制限する場合は、このオプションを選択します。
この設定は、アクセススキャンの効率に直接関係します。ターゲットリソースを制限しない場合、各ユーザーエンタイトルメントレコードには、そのユーザーが関連付けられているすべてのリソースのアカウント情報が含まれます。つまり、そのスキャンでは、各ユーザーに割り当てられたすべてのリソースが問い合わせを受けます。このオプションを使用してリソースのサブセットを指定すると、Identity Manager がユーザーエンタイトルメントレコードを作成するために必要な処理時間を大幅に減らすことができます。
- 「違反の是正を実行する」 - 違反が検出された場合に監査ポリシーの是正ワークフローを有効にする場合は、このオプションを選択します。
このオプションを選択すると、割り当てられた監査ポリシーのいずれかに対する違反が検出されると、その監査ポリシーの是正ワークフローが実行されます。
特別に必要な場合を除いて、このオプションは選択しないようにしてください。
- 「アクセス承認ワークフロー」 - デフォルトの Standard Attestation ワークフローを選択するか、またはカスタマイズしたワークフロー (使用可能な場合) を選択します。
このワークフローは、レビュー用のユーザーエンタイトルメントレコードを適切なアテスター (アテスター規則によって決まる) に提示するために使用されます。デフォルトの Standard Attestation ワークフローでは、1 人のアテスターに対して 1 つの作業項目が作成されます。アクセススキャンにエスカレーションが指定されている場合、このワークフローでは、保留状態の時間が長すぎる作業項目のエスカレーションが行われます。ワークフローが指定されていない場合、ユーザーアテステーションは無期限に保留状態のままになります。
- 「アテスター規則」 - 「Default Attestor」規則を選択するか、またはカスタマイズしたアテスター規則 (使用可能な場合) を選択します。
アテスター規則は、ユーザーエンタイトルメントレコードを入力として受け取り、アテスター名のリストを返します。「委任に従う」が選択されている場合、アクセススキャンでは、元の名前リストにある各ユーザーが設定した委任情報に従って、名前リストが適切なユーザー名のリストに変換されます。Identity Manager ユーザーの委任がルーティングサイクルになった場合、その委任情報は破棄され、作業項目は最初のアテスターに配信されます。「Default Attestor」規則では、エンタイトルメントレコードに示されたユーザーのマネージャー (idmManager) がアテスターとなり、そのユーザーの idmManager が null の場合は Configurator アカウントがアテスターとなります。マネージャーだけでなくリソースの所有者もアテステーションに携わる必要がある場合は、カスタム規則を使用する必要があります。規則のカスタマイズについては、『Identity Manager 配備ツール』を参照してください。
- 「アテスターエスカレーション規則」 - 「Default Escalation Attestor」規則を指定する場合、またはカスタマイズした規則 (使用可能な場合) を選択する場合は、このオプションを使用します。また、規則のエスカレーションタイムアウト値を指定することもできます。デフォルトのエスカレーションタイムアウト値は 0 日です。
この規則は、エスカレーションタイムアウト時間が経過した作業項目のエスカレーションチェーンを指定します。「Default Escalation Attestor」規則では、割り当てられたアテスターのマネージャー (idmManager) にエスカレーションされるか、または、アテスターの idmManager の値が null の場合は Configurator にエスカレーションされます。
エスカレーションタイムアウト値は、分単位、時間単位、または日単位で指定できます。
- 「レビュー決定規則」 - スキャンプロセスがエンタイトルメントレコードの処置を決定する方法を指定する場合は、次のいずれかの規則を選択します。このフィールドは必須です。
- 「Reject Changed Users」 - 同じアクセススキャン定義による最後のユーザーエンタイトルメントと異なっていて、最後のユーザーエンタイトルメントが承認されているユーザーエンタイトルメントレコードを自動的に却下します。これを選択しない場合は、以前に承認されたユーザーエンタイトルメントから変更されたすべてのユーザーエンタイトルメントを手動でアテステーションおよび承認する必要があります。デフォルトでは、この規則に対して、ユーザービューの「アカウント」部分のみが比較されます。
- 「Review Changed Users」 - 同じアクセススキャン定義による最後のユーザーエンタイトルメントと異なっていて、最後のユーザーエンタイトルメントが承認されているすべてのユーザーエンタイトルメントレコードの手動アテステーションを強制します。以前に承認されたユーザーエンタイトルメントから変更されていないユーザーエンタイトルメントはすべて承認します。デフォルトでは、この規則に対して、ユーザービューの「アカウント」部分のみが比較されます。
- 「Review Everyone」 - すべてのユーザーエンタイトルメントレコードの手動アテステーションを強制します。
注
「Reject Changed Users」規則と「Review Changed Users」規則では、ユーザーエンタイトルメントを、そのエンタイトルメントレコードが承認されたアクセススキャンの最後のインスタンスと比較します。
この動作を変更するには、規則をコピーし、ユーザーデータの特定の部分のみを比較するように修正します。規則のカスタマイズについては、『Identity Manager 配備ツール』を参照してください。
この規則は次の値を返します。
- -1 − アテステーションを必要としない
- 0 − アテステーションを自動的に却下する
- 1 − 手動のアテステーションが必要
- 2 − アテステーションを自動的に承認する
- 3 − アテステーションを自動的に是正する (自動是正)
- 「是正者規則」 − 自動是正の場合に、特定のユーザーエンタイトルメントを是正するユーザーを特定するときに使用する規則を選択します。この規則により、ユーザーの現在のユーザーエンタイトルメントと違反を調査できます。規則は是正すべきユーザーのリストを返す必要があります。規則を指定しない場合、是正は行われません。この規則は一般的に、エンタイトルメントにコンプライアンス違反がある場合に使用します。
- 「是正ユーザーフォーム規則」 − ユーザーの編集時に、アテステーション是正者に適切なフォームを選択する場合に使用する規則を選択します。是正者は独自のフォームを設定でき、このフォームより優先されます。このフォーム規則は、スキャンでカスタムフォームに一致する厳密に限定されたデータを収集する場合に設定します。
- 「通知ワークフロー」 - 作業項目ごとに通知動作を指定する場合は、次のオプションのいずれかを選択します。
アクセススキャンで「レビュープロセスの所有者」が指定されている場合、ScanNotification ワークフローでは、スキャンの開始時と終了時に、レビュープロセスの所有者にも通知が送信されます。手順 9 を参照してください。
ScanNotification ワークフローでは、次の電子メールテンプレートを使用します。
ScanNotification ワークフローはカスタマイズできます。
- 「違反の最大値」 - このオプションを使用すると、コンプライアンス違反の数がここで設定した数値に達した時点で、スキャンを強制終了します。デフォルトの制限は 1000 です。フィールドの値を空にした場合は、制限なしと同じです。
通常、監査スキャンまたはアクセススキャンでは、ポリシー違反の数はユーザー数に比べると少ないですが、この値を設定すると、欠陥のあるポリシーによって違反数が大幅に増えた場合の保護対策になります。たとえば、次のようなシナリオを考えてみます。
50,000 ユーザーのアクセススキャンで、ユーザーあたり 2 〜 3 個の違反が発生すると、各コンプライアンス違反の是正にかかるコストは Identity Manager システムに有害な影響を及ぼす可能性があります。
- 「組織」 - このアクセススキャンオブジェクトで使用可能な組織を選択します。これは必須フィールドです。
「保存」をクリックしてスキャン定義を保存します。
アクセススキャンの削除
1 つ以上のアクセススキャンを削除できます。アクセススキャンを削除するには、「コンプライアンス」タブで「アクセススキャンの管理」を選択し、スキャンの名前を選択して「削除」をクリックします。
アクセスレビューの管理
アクセススキャンを定義したあと、そのスキャンをアクセスレビューの一部として使用またはスケジュールすることができます。アクセスレビューの開始後、いくつかのオプションを使用してレビュープロセスを管理できます。詳細については、次のセクションを参照してください。
アクセスレビューの起動
管理者インタフェースからアクセスレビューを起動するには、次のいずれかの方法を使用します。
表示された「タスクの起動」ページで、アクセスレビューの名前を指定します。「利用可能なアクセススキャン」リストでスキャンを選択し、「選択されたアクセススキャン」リストに移動させます。複数のスキャンを選択した場合は、次のいずれかの起動オプションを選択できます。
アクセスレビュープロセスを開始するには、「起動」をクリックします。
アクセスレビューを起動すると、プロセスの手順を示すワークフロープロセス図が表示されます。
アクセスレビュータスクのスケジュール
アクセスレビュータスクは、「サーバータスク」エリアでスケジュールできます。たとえば、定期的にアクセスレビューを行う場合は、「スケジュールの管理」を選択し、スケジュールを定義します。毎月、または四半期ごとにタスクを実行するようにスケジュールできます。
スケジュールを定義するには、「タスクのスケジュール」ページでアクセスレビュータスクを選択し、タスクスケジュールの作成ページに情報を入力します。
「保存」をクリックして、スケジュールしたタスクを保存します。
注
Identity Manager では、アクセスレビュータスクの結果は、デフォルトで 1 週間維持されます。1 週間に 1 回よりも短い間隔でレビューをスケジュールする場合は、「結果オプション」を「削除」に設定します。「結果オプション」が「削除」に設定されていない場合は、前のタスク結果がまだ存在しているため新しいレビューは実行されません。
アクセスレビューの進行状況の管理
アクセスレビューの進行状況を監視するには、「アクセスレビュー」タブを使用します。この機能には「コンプライアンス」タブからアクセスします。
「アクセスレビュー」タブから、すべてのアクティブなアクセスレビューおよび以前に処理されたアクセスレビューの概要をレビューできます。一覧表示されるアクセスレビューごとに、次の情報が表示されます。
レビューの詳細情報を表示するには、そのレビューを選択して概要レポートを開きます。
図 11-16 に、アクセスレビュー概要レポートの例を示します。
図 11-16 「アクセスレビュー概要レポート」ページ
「組織 (Organization)」または「アテスター (Attestors)」フォームタブをクリックして、それらのオブジェクト別に分類されたスキャン情報を表示します。
「アクセスレビュー概要レポート」を実行することにより、レポートのこの情報をレビューおよびダウンロードすることもできます。
スキャン属性の変更
アクセススキャンの設定後、スキャンを編集して新しいオプションを指定できます。たとえば、スキャンするターゲットリソースの指定、アクセススキャンの実行中に違反をスキャンする監査ポリシーの指定などを行うことができます。
スキャン定義を編集するには、「アクセススキャン」リストから目的のスキャンを選択し、「アクセスレビュースキャンの編集」ページで属性を変更します。
スキャン定義の変更を保存するには、「保存」をクリックする必要があります。
注
アクセススキャンの範囲を変更すると、レビュー決定規則でユーザーエンタイトルメントを以前のユーザーエンタイトルメントレコードと比較している場合、その規則に影響する可能性があるため、新しく獲得されるユーザーエンタイトルメントレコードの情報が変わることがあります。
アクセスレビューのキャンセル
「アクセスレビュー」ページで「終了」をクリックすると、選択された進行中のレビューを停止します。レビューを終了すると、次のアクションが発生します。
アクセスレビューの削除
「アクセスレビュー」ページで「削除」をクリックして、選択されたレビューを削除します。
アクセスレビューのタスクのステータスが「TERMINATED」または「COMPLETED」の場合、そのアクセスレビューを削除できます。進行中のアクセスレビュータスクは、終了させなければ削除できません。
アクセスレビューを削除すると、そのレビューで生成されたすべてのユーザーエンタイトルメントレコードも削除されます。削除アクションは監査ログに記録されます。
アクセスレビューを削除するには、「アクセスレビュー」ページから、「削除」をクリックします。
注
アクセスレビューをキャンセルし、削除すると、大量の Identity Manager オブジェクトやタスクを更新する可能性があるため、完了するまでに数分かかることがあります。処理の進行状況は、「サーバータスク」>「すべてのタスク」でタスクの結果を表示して確認できます。
アテステーション作業の管理
アテステーションリクエストの管理は、Identity Manager の管理者インタフェースまたはユーザーインタフェースで行うことができます。この節では、アテステーションリクエストへの応答、およびアテステーションに必要な作業について説明します。
アクセスレビューの通知
スキャン中、アテステーションリクエストの承認が必要になると、Identity Manager からアテスターに通知が送信されます。アテスターの役割が委任されている場合、そのリクエストは委任者に送信されます。複数のアテスターが定義されている場合は、それぞれのアテスターが電子メール通知を受け取ります。
Identity Manager インタフェースでは、リクエストは「アテステーション」作業項目として表示されます。保留中のアテステーション作業項目は、割り当てられたアテスターが Identity Manager にログインしたときに表示されます。
保留中のリクエストの表示
インタフェースの「作業項目」エリアからアテステーション作業項目を表示します。「作業項目」エリアの「アテステーション」タブを選択すると、承認を必要としているすべてのエンタイトルメントレコードが一覧表示されます。「アテステーション」ページでは、すべての直属の部下のエンタイトルメントレコードや、直接または間接的に管理している特定のユーザーのエンタイトルメントレコードも表示できます。
エンタイトルメントレコードの操作
アテステーション作業項目には、レビューを必要とするユーザーエンタイトルメントレコードが含まれます。エンタイトルメントレコードは、ユーザーアクセス特権、割り当てられたリソース、およびポリシー違反に関する情報を提供します。
アテステーションリクエストに想定される応答を次に示します。
- 「承認」 - エンタイトルメントレコードに記録された日付において適切なエンタイトルメントであることを認証します。
- 「却下」 - エンタイトルメントレコードに現時点では検証または是正できない矛盾がある可能性があることを示します。
- 「再スキャン」 − 再スキャンをリクエストし、ユーザーのエンタイトルメントを再評価します。
- 「転送」 - 別の受信者がレビューするように指定できます。
- 「拒否」 - このレコードのアテステーションを適切に行えない場合、あるいは、より適切なアテスターがわからない場合にこのオプションを選びます。アテステーション作業項目は、レビュープロセスの所有者に転送されます。このオプションは、アクセスレビュータスクにレビュープロセスの所有者が定義されている場合にのみ使用できます。
指定されたエスカレーションタイムアウト時間までにアテスターがこれらのアクションのいずれかを実行することでリクエストに応答しなかった場合は、エスカレーションチェーン内の次のアテスターに通知が送信されます。通知プロセスは、応答がログに記録されるまで続行されます。
「コンプライアンス」>「アクセスレビュー」タブで、アテステーションステータスを監視できます。
クローズループ是正
ユーザーエンタイトルメントを却下する前に、次の手順を実行できます。
是正のリクエスト
アクセススキャンで定義されている場合、保留中のアテステーションを別のユーザーに配信して是正してもらうことができます。
別のユーザーから是正をリクエストするには、次の手順を実行します。
- アテステーションのリストから 1 つ以上のエンタイトルメントを選択し、「是正のリクエスト」をクリックします。
「是正のリクエストの選択と確認」ページが表示されます。
- ユーザー名を入力して、「追加」をクリックし、そのユーザーを「転送先」フィールドに追加します。または、「...」ボタンをクリックして、ユーザーを検索します。検索リストのユーザーを選択して、「追加」をクリックし、そのユーザーを「転送先」リストに追加します。「閉じる」をクリックして、検索エリアを閉じます。
- 「コメント」フィールドにコメントを入力して、「続行」をクリックします。
Identity Manager はアテステーションのリストを返します。
アテステーションの再スキャン
アクセススキャンで定義されている場合、保留中のアテステーションを再スキャンし、再評価することができます。
保留中のアテステーションを再スキャンするには、次を実行します。
アテステーション作業項目の転送
1 つ以上のアテステーション作業項目をほかのユーザーに転送できます。アテステーションを転送するには、次の手順を実行します。
アクセスレビューアクションのデジタル署名
アクセスレビューアクションを処理するデジタル署名を設定できます。デジタル署名の設定については、「承認の署名」を参照してください。その節では、署名付き承認のために証明書と CRL を Identity Manager に追加するために必要なサーバー側とクライアント側の設定について説明しています。
アクセスレビューレポート
Identity Manager では、次のレポートでアクセスレビューの結果を評価できます。
- 「アクセスレビュー範囲レポート」 - このレポートは、選択したアクセスレビューによって示されたユーザー間のオーバーラップまたは差異を特定します。ほとんどのアクセスレビューでは、ユーザークエリーまたは何らかのメンバーシップの操作によって、ユーザーの範囲が指定されるため、厳密なユーザーセットは時間の経過とともに変化すると予想されます。
- 「アクセスレビュー詳細レポート」 - このレポートには、以下の情報が表形式で表示されます。
- 「名前」 - ユーザーエンタイトルメントレコードの名前
- 「ステータス」 - レビュープロセスの現在のステータス。初期化中、終了中、終了、進行中のスキャンの数、スケジュールされているスキャンの数、アテステーションを待機中、完了のいずれかになります。
- 「アテスター」 - そのレコードのアテスターとして割り当てられた Identity Manager ユーザー
- 「スキャン日」 - スキャンが行われた日付として記録されたタイムスタンプ
- 「処理日」 - エンタイトルメントレコードがアテストされた日付 (タイムスタンプ)
- 「組織」 - エンタイトルメントレコード内のユーザーの組織
- 「マネージャー」 - スキャンされたユーザーのマネージャー
- 「リソース」 - このユーザーエンタイトルメントに取得された、ユーザーがアカウントを持つリソース
- 「違反」 - レビューで検出された違反の数
ユーザーエンタイトルメントレコードを開くには、レポート内で名前をクリックします。図 11-17 は、ユーザーエンタイトルメントレコードの情報の表示例を示します。
図 11-17 ユーザーエンタイトルメントレコード
- 「アクセスレビュー概要レポート」 - このレポートは、「アクセスレビューの進行状況の管理」でも説明されており、図 11-16 にも示されています。このレポートには、レポート用に選択したアクセススキャンに関する以下の概要情報が表示されます。
これらのレポートは、「レポートの実行」ページから PDF (Portable Document Format) 形式または CSV (カンマ区切り値) 形式でダウンロードできます。
アクセスレビュー是正コンプライアンス違反の是正と受け入れ、およびアクセスレビューの是正は、「作業項目」タブの「是正」エリアから管理します。ただし、この 2 つの是正タイプには違いがあります。この節では、アクセスレビューの是正の一意の動作、「コンプライアンス違反の是正と受け入れ」で説明している是正タスクおよび情報との違いを説明します。
アクセスレビュー是正について
アテスターがユーザーエンタイトルメントを是正するように要求する場合、Standard Attestation ワークフローによって、是正リクエストを作成します。このリクエストは「是正者」によって処理される必要があります。是正者とは、是正リクエストの評価と応答を許可されている、指定されたユーザーです。
問題は是正のみ可能で、受け入れることはできません。問題が解決されるまで、アテステーションを続行できません。
アクセスレビューによって是正者が指定された場合、アクセスレビューダッシュボードで、レビューにかかわるすべてのアテスターと是正者が追跡されます。
是正者のエスカレーション
アクセスレビューの是正リクエストは、最初の是正者より上にエスカレーションされません。
是正ワークフローのプロセス
アクセスレビューの是正のロジックは、Standard Attestation ワークフローに定義します。
アテスターがユーザーエンタイトルメントの是正をリクエストした場合、Standard Attestation ワークフローは次のようになります。
新しい是正者は、Identity Manager を使用して、または別の方法でユーザーを編集し、違反している箇所を是正できた場合には作業項目を是正済みとしてマークします。その時点で、ユーザーエンタイトルメントは再スキャンされ、再評価されます。
是正応答
デフォルトでは、アクセスレビュー是正者は次の 3 つの応答オプションから選択できます。
「是正」ページの操作
アクセスレビュー是正作業項目であるすべての是正作業項目の「タイプ」列に、UE (ユーザーエンタイトルメント) と表示されます。
サポートされないアクセスレビュー是正アクション
アクセスレビュー是正では、優先度と受け入れ機能がサポートされません。
アイデンティティー監査タスクのリファレンス表 11-3 は、通常実行されるアイデンティティー監査タスクのクイックリファレンスです。この表では、各タスクを開始するための主要な Identity Manager インタフェースの場所を示します。そのタスクを実行できる場所または方法がほかにもある場合には、それらも示します。
表 11-3 アイデンティティー監査タスクのリファレンス
操作
ナビゲーション
監査ポリシーの作成、編集、または削除
「コンプライアンス」タブ、「ポリシーの管理」サブタブ
監査ポリシーの是正者の定義および是正ワークフローの割り当て
「コンプライアンス」タブ、「ポリシーの管理」サブタブ
1 人以上のユーザーまたは 1 つ以上の組織に対する監査スキャンの実行
「アカウント」タブ、「ユーザーアクション」リストまたは「組織アクション」リストから「スキャン」を選択
ポリシー違反是正リクエストに対する応答
「作業項目」タブ、「是正」サブタブ
ポリシー違反の受け入れ
「作業項目」タブ、「是正」サブタブ
是正されたポリシー違反のレビュー
「作業項目」タブ、「是正」サブタブ
監査ポリシーレポートの生成
「レポート」タブ、「レポートの実行」サブタブ
監査の無効化または有効化
「設定」タブ、「監査」サブタブ
イベント監査取得のセットアップ
「設定」タブ、「監査」サブタブ
管理者監査機能の編集
「セキュリティー」タブ、「機能」サブタブ
監査通知用の電子メールテンプレートのセットアップ
「設定」タブ、「電子メールテンプレート」サブタブ
データファイル/規則のインポート (XML 形式のフォームなど)
「設定」タブ、「交換ファイルのインポート」サブタブ
アクセスレビュースキャンの定義
「コンプライアンス」タブ、「スキャンの管理」サブタブ
アクセスレビューの実行
「コンプライアンス」タブ、「アクセスレビュー」サブタブ
アクセスレビューの終了
「コンプライアンス」タブ、「アクセスレビュー」サブタブ
アクセスレビューのスケジュール
「サーバータスク」タブ、「スケジュールの管理」サブタブ
定期的アクセスレビューのセットアップ
「コンプライアンス」タブ、「アクセススキャンの管理」サブタブ
アクセスレビューステータスの監視
「コンプライアンス」タブ、「アクセスレビュー」サブタブ
アテスターの設定
「コンプライアンス」タブ、「アクセススキャンの管理」サブタブ
アテスターの作業の実行 (ユーザーエンタイトルメントのレビューと保証)
「作業項目」タブ、「自分の作業項目」タブ、「アテステーション」サブタブ
職務分掌レポートのレビュー
「レポート」タブ、「レポートの実行」サブタブ