第 11 章アイデンティティー監査

この章では、監査の管理を設定して企業情報システムおよびアプリケーションの監査とコンプライアンスを監視および管理するための Identity Manager 機能について説明します。

アイデンティティー監査について

Identity Manager では、社内外のポリシーと規制に対するコンプライアンスを確保するために、企業全体のアイデンティティーデータを体系的に捉えて、分析し、必要な処理を行う (応答する) ことを監査と定義します。

アカウンティングおよびデータプライバシーの法律へのコンプライアンスは簡単な作業ではありません。Identity Manager の監査機能は柔軟な方法で、各企業に有効なコンプライアンスソリューションを実装できます。

大半の環境で、内部および外部の監査チーム (監査が最も重要と考える) と監査以外のスタッフ (監査を迷惑と考えていることもある) のさまざまなグループがコンプライアンスにかかわっています。IT もコンプライアンスにかかわることが多く、内部監査チームの要件を、選択されたソリューションの実装に移行する支援を行います。監査ソリューションの実装の成功に重要なのが、監査以外のスタッフの知識、コントロール、プロセスを正確に把握し、その情報の利用を自動化することです。

この章では、監査レビューの実施方法や、セキュリティー制御を継続的に行い、法規制のコンプライアンスを管理する上で役立つ手法の実装方法を中心に、監査機能について説明します。

アイデンティティー監査の目的

アイデンティティー監査ソリューションでは、以下の方法により、監査のパフォーマンスを容易に向上させることができます。

コンプライアンス違反を自動的に検出し、即時に通知することで、迅速な是正を促進する

内部監査管理の効果に関する主要な情報をオンデマンドで提供する

アイデンティティー管理のアテステーションレビューを自動化することで操作上のリスクを減らす

ユーザーアクティビティーの詳細を示し、法的要件を満たす包括的なレポートを作成する

セキュリティーおよび法規制のコンプライアンスを維持するための定期的なレビューのプロセスを簡素化する

利益相反する可能性があるユーザーアカウントの機能を特定する

アイデンティティー監査について

Identity Manager では、ユーザーアカウントの特権とアクセス権を監査し、コンプライアンスを維持および保証するため、2 つの異なる機能を提供しています。それらの機能は、ポリシーベースのコンプライアンスと、定期的アクセスレビューです。

ポリシーベースのコンプライアンス

Identity Manager の監査ポリシー機能を用いることで、管理者はすべてのユーザーアカウントについて、会社が設定した要件に対するコンプライアンスを維持できます。

監査ポリシーを使用して、継続的コンプライアンスと定期的コンプライアンスという 2 とおりの相補的な方法でコンプライアンスを確保できます。

この 2 つの方法を相補的に使用することは、Identity Manager 以外でプロビジョニング操作が実行される可能性がある環境では特に有用です。既存の監査ポリシーを実行または遵守しないプロセスによってアカウントが変更される可能性がある場合は、定期的コンプライアンスが必要です。

継続的コンプライアンス

継続的コンプライアンスでは、現在のポリシーに準拠しない方法でアカウントを修正できないように、すべてのプロビジョニング操作にポリシーが適用されます。

継続的コンプライアンスを有効にするには、組織またはユーザー、あるいはその両方に監査ポリシーを割り当てます。ユーザーに対して実行されるプロビジョニング操作では、ユーザーに割り当てられたポリシーと組織に割り当てられたポリシーの両方が評価されます。ポリシー評価の結果、違反が検出されると、プロビジョニング操作が中断されます。

組織ベースのポリシーセットは階層構造で定義されます。各ユーザーに有効な組織ポリシーセットは 1 つだけです。もっとも下位レベルにある組織に対して割り当てられたポリシーセットが、実際に適用されます。次に例を示します。

定期的コンプライアンス

定期的コンプライアンスでは、リクエストがあったときに Identity Manager によってポリシーが評価されます。準拠しない状況があればコンプライアンス違反として取得されます。

定期的コンプライアンスのスキャンを実行するときに、スキャンに使用するポリシーを選択できます。スキャンプロセスでは、直接割り当てられたポリシー (ユーザーに割り当てられたポリシーと組織に割り当てられたポリシー) と、任意に選択したポリシーセットが併用されます。

Auditor Administrator 機能を持つ Identity Manager ユーザーは、監査ポリシーを作成し、定期的なポリシースキャンとポリシー違反のレビューによってそれらのポリシーのコンプライアンスを監視することができます。違反は、是正手順と受け入れ手順によって管理できます。

Identity Manager による監査では、ユーザーの定期的なスキャンが可能であり、監査ポリシーの実行によって、設定されているアカウント制限からの逸脱が検出されます。違反が検出されると、是正のアクティビティーが開始されます。規則には、Identity Manager に付属する標準の監査ポリシー規則、またはカスタマイズされたユーザー定義の規則を使用できます。

ポリシーベースのコンプライアンスの論理タスクフロー

次の図は、この節で説明する監査タスクを完了するための論理タスクフローを示しています。

定期的アクセスレビュー

所属している組織	直接割り当てられたポリシーセット	有効なポリシー
Austin	ポリシー A1、A2	ポリシー A1、A2
マーケティング		ポリシー A1、A2
開発	ポリシー B、C2	ポリシー B、C2
サポート		ポリシー B、C2
テスト	ポリシー D、E5	ポリシー D、E5
財務		ポリシー A1、A2
Houston		<なし>

Identity Manager の定期的アクセスレビューを使用すると、マネージャーおよびその他の責任者は、そのつど、または定期的に、ユーザーアクセス特権のレビューと検証を行うことができます。この機能の詳細については、「定期的アクセスレビューとアテステーション」を参照してください。

監査ログの有効化

コンプライアンス管理およびアクセスレビューを開始するには、Identity Manager 監査ログシステムを有効にし、監査イベントを収集するように設定する必要があります。デフォルトで、監査システムは有効になっています。Configure Audit 機能を持つ Identity Manager 管理者が監査を設定できます。

Identity Manager には、Compliance Management 監査設定グループが用意されています。Compliance Management グループに格納されたイベントを表示または修正するには、メニューバーの「設定」を選択し、「監査」をクリックします。「監査設定」ページで、「Compliance Management」という監査グループ名を選択します。

監査システムでのイベントの記録方法については、第 12 章「監査ログ」を参照してください。

電子メールテンプレート

アイデンティティー監査では、多くの操作で電子メールベースの通知が使われます。これらの各通知には、電子メールテンプレートオブジェクトが使われます。電子メールテンプレートでは、電子メールメッセージのヘッダーと本文をカスタマイズできます。

表 11-1 アイデンティティー監査電子メールテンプレート
テンプレート名	目的
Access Review Remediation Notice	ユーザーエンタイトルメントが最初に是正状態で作成された場合に、アクセスレビューによって是正者に送信されます。
Bulk Attestation Notice	保留中のアテステーションがある場合に、アクセスレビューによってアテスターに送信されます。
Policy Violation Notice	違反が発生した場合に、監査ポリシースキャンによって是正者に送信されます。
Access Scan Begin Notice	アクセスレビューのスキャンが開始されると、アクセススキャン所有者に送信されます。
Access Scan End Notice	アクセススキャンが完了すると、アクセススキャン所有者に送信されます。

管理者インタフェースの「コンプライアンス」エリア

監査ポリシーは、Identity Manager 管理者インタフェースの「コンプライアンス」エリアで作成および管理します。メニューバーの「コンプライアンス」を選択して、「ポリシーの管理」ページにアクセスします。このページには、自分が表示と編集の権限を持っているポリシーが一覧表示されます。また、アクセススキャンもこのエリアで管理できます。

ポリシーの管理

「ポリシーの管理」ページでは、監査ポリシーを操作して次のタスクを実行できます。

監査ポリシーの作成

表示または編集するポリシーの選択

ポリシーの削除

アクセススキャンの管理

アクセススキャンを作成、変更、および削除するには、「コンプライアンス」エリアの「アクセススキャンの管理」タブを使用します。ここから、定期的アクセスレビューで実行またはスケジュールするスキャンを定義できます。この機能の詳細については、「定期的アクセスレビューとアテステーション」を参照してください。

アクセスレビュー

「コンプライアンス」エリアの「アクセスレビュー」タブで、アクセスレビューの起動、終了、削除、進行状況の監視を実行できます。このタブには、スキャン結果の概要レポートと情報リンクが表示され、情報リンクからレビューのステータスおよび保留中のアクティビティーに関するさらに詳細な情報にアクセスできます。

監査ポリシーについて

監査ポリシーは、1 つ以上のリソースのユーザーのセットに対するアカウント制限を定義します。監査ポリシーは、ポリシーの制限を定義する「規則」と、発生した違反を処理する「ワークフロー」から構成されます。監査スキャンでは、監査ポリシーに定義された条件を使用して、組織内で違反が発生しているかどうかを評価します。

ポリシー規則。特定の違反を定義します。XPRESS、XML オブジェクト、または JavaScript 言語で作成された関数を含めることができます。

是正ワークフロー。監査スキャンでポリシー規則違反が検出されたときに、オプションとして起動されます。

是正者。ポリシー違反に応答することが許可されている、指定されたユーザー。是正者は、個別のユーザーでもユーザーグループでもかまいません。

監査ポリシー規則

監査ポリシー内では、規則によって、属性に基づいた競合の可能性を定義します。1 つの監査ポリシーに、広範囲のリソースを参照する多数の規則を含めることができます。規則の評価時に、規則は 1 つ以上のリソースからのユーザーアカウントデータにアクセスします。監査ポリシーで、規則に使用できるリソースを制限できます。

1 つのリソースの 1 つの属性のみをチェックする規則、または複数のリソースの複数の属性をチェックする規則を設定できます。

規則の subType は、SUBTYPE_AUDIT_POLICY_RULE または SUBTYPE_AUDIT_POLICY_SOD_RULE である必要があります。監査ポリシーウィザードで生成される規則、または監査ポリシーウィザードによって参照される規則には、自動的にこの subType が割り当てられます。

規則の authType は AuditPolicyRule である必要があります。監査ポリシーウィザードで生成される規則には、自動的にこの authType が割り当てられます。

規則のロジックの説明については、『Identity Manager 配備ツール』の「規則の操作」を参照してください。

是正ワークフロー

ポリシー違反を定義する規則を作成したあとは、監査スキャンで違反が検出されたときに起動するワークフローを選択します。Identity Manager には、監査ポリシースキャンのデフォルトの是正処理を提供するデフォルトの標準是正ワークフローが用意されています。たとえば、このデフォルトの是正ワークフローでは、レベル 1 是正者として指定された各是正者に対して通知電子メールが生成され、必要な場合はそれ以下のレベルの是正者にも生成されます。

是正者


注	Identity Manager ワークフロープロセスとは異なり、是正ワークフローには AuthType=AuditorAdminTask および SUBTYPE_REMEDIATION_WORKFLOW のサブタイプを割り当てる必要があります。監査スキャンで使用するワークフローをインポートする場合は、この属性を手動で追加する必要があります。詳細については、「(省略可能) ワークフローを Identity Manager にインポートする」を参照してください。

是正ワークフローを割り当てる場合は、1 人以上の是正者を指定する必要があります。3 レベルまでの監査ポリシーの是正者を指定できます。是正に関する詳細については、この章の「コンプライアンス違反の是正と受け入れ」を参照してください。

是正者を割り当てるには、その前に是正ワークフローを割り当てる必要があります。

監査ポリシーのシナリオ例

買掛金と売掛金の責任者は、経理部で働く従業員が担当する金額の総計が危険な額に達しないようにするための措置を講じる必要があります。このポリシーでは、買掛金の担当者が売掛金の担当も兼ねていないかどうかを確認する必要があります。

4 つの規則のセット。それぞれ、ポリシー違反となる条件を指定します。

是正タスクを起動するワークフロー

前述の規則で作成されたポリシー違反を参照し、それに応答する権限を持つ、指定された管理者 (是正者) のグループ

規則によってポリシー違反 (この例では、過剰な権限を持つユーザー) が検出されると、関連付けられたワークフローで特定の是正関連タスク (指定された是正者への自動通知など) を起動することができます。

レベル 1 是正者は、監査スキャンでポリシー違反が検出されたときに連絡される最初の是正者です。監査ポリシーで 2 レベル以上の是正者が指定されている場合、このエリアで指定されたエスカレーション期間を過ぎると、Identity Manager は次のレベルの是正者に通知します。

監査ポリシーの操作

Identity Manager の監査ポリシーウィザードを使用すると、監査ポリシーを設定できます。監査ポリシーの定義後、そのポリシーに対して、変更や削除など、さまざまなアクションを実行できます。この節のトピックでは、監査ポリシーおよび監査ポリシー規則を作成および管理する方法を説明します。

さらに、監査ポリシーウィザードでは規則を作成できますが、作成できる規則のタイプが限られます。より厳密な規則を作成してウィザードで使用する場合は、Identity Manager IDE を使用してください。

デフォルトで、ウィザードで作成される規則の authType は AuditPolicyRule です。ウィザードまたは Identity Manager IDE を使用して作成する監査ポリシー規則では、この authType を指定するようにしてください。

規則の subType は SUBTYPE_AUDIT_POLICY_RULE である必要があります。監査ポリシーウィザードで生成される規則には、自動的にこの subType が割り当てられます。

監査ポリシーの作成

監査ポリシーウィザードでは、監査ポリシーの作成手順を、順を追って説明します。監査ポリシーウィザードにアクセスするには、インタフェースの「コンプライアンス」エリアで「ポリシーの管理」をクリックして、新しい監査ポリシーを作成します。

ウィザードでは、次のタスクを実行して監査ポリシーを作成します。

ポリシー制限の定義に使用する規則の選択または作成

承認者の割り当てとエスカレーション制限の設定

是正ワークフローの割り当て

各ウィザード画面に表示されたタスクを完了したら、「次へ」をクリックして次の手順に進みます。

開始する前に

監査ポリシーを作成する前に、以下の作業も含めて十分に計画を練ります。

監査ポリシーウィザードでポリシーの作成に使用する規則を特定する。選択する規則は、作成するポリシーのタイプと、定義する特定の制限によって決まります。

新しいポリシーに含める是正ワークフローまたは規則をインポートする。

監査ポリシーの作成に必要な機能を持っていることを確認する。必要な機能については、「機能とその管理について」を参照してください。

必要な規則の特定

ポリシーで指定する制限は、作成またはインポートする規則セットに実装されます。監査ポリシーウィザードを使用して規則を作成する場合、次の操作を行います。

操作する特定のリソースを指定します。

リソースで有効な属性のリストからアカウント属性を選択します。

その属性に課す条件を選択します。

比較用の値を入力します。

(省略可能) 職務分掌規則を Identity Manager にインポートする

監査ポリシーウィザードでは、職務分掌規則を作成できません。それらの規則は、Identity Manager 以外で作成し、「設定」タブの「交換ファイルのインポート」を使用してインポートする必要があります。

(省略可能) ワークフローを Identity Manager にインポートする

現在 Identity Manager から利用できない是正ワークフローを使用するには、次のタスクを完了して外部ワークフローをインポートします。

authType='AuditorAdminTask' を設定し、subtype='SUBTYPE_REMEDIATION_WORKFLOW' を追加します。これらの設定オブジェクトを設定するには、Identity Manager IDE または任意の XML エディタを使用します。

「交換ファイルのインポート」オプションを使用してワークフローをインポートします。この機能には「設定」タブからアクセスできます。

ワークフローが正常にインポートされると、監査ポリシーウィザードの「是正ワークフロー」のオプションリストに、そのワークフローが表示されます。

監査ポリシーの名前と説明の指定

監査ポリシーウィザード (図 11-1 を参照) で、新しいポリシーの名前と簡単な説明を入力します。


注	監査ポリシー名には、次の文字を含めることはできません。' (アポストロフィー)、. (ピリオド)、\| (パイプ)、[ (左角括弧)、] (右角括弧)、, (カンマ)、: (コロン)、$ (ドル記号)、" (二重引用符)、= (等号)。

スキャンの実行時のアクセス対象を、選択したリソースだけに制限する場合は、「ターゲットリソースを制限」オプションを有効にします。

違反の是正として、ただちにユーザーを再スキャンさせる場合は、「違反の再スキャンを許可」オプションを有効にします。

規則のタイプの選択

このページで、ポリシーの規則を定義または追加するプロセスを開始します。ポリシー作成時の作業の大部分は、規則の定義と作成です。


注	監査ポリシーでリソースを制限しない場合、スキャンでは、ユーザーがアカウントを持つすべてのリソースがアクセスされます。規則で使用するリソースが少ない場合は、ポリシーの適用をそれらのリソースに限定するほうが効率的です。

図 11-2 に示すように、Identity Manager の規則ウィザードを使用して独自の規則を作成するか、または既存の規則を組み込むことができます。デフォルトでは、「規則ウィザード」オプションが選択されています。「次へ」をクリックして規則ウィザードを起動し、規則の作成手順を説明する「規則ウィザードを使用した新しい規則の作成」に進みます。

既存の規則の選択

新しいポリシーに既存の規則を含める場合は、規則のオプションを選択するときに「既存の規則」をクリックします。次に、「次へ」をクリックし、アクセスできる既存の監査ポリシー規則を表示して選択します。

「規則」オプションリストから追加する規則を選択し、「次へ」をクリックします。

規則の追加

ウィザードで追加の規則を作成したり、規則をインポートしたりすることができます。規則ウィザードでは、1 つの規則で使用できるリソースは 1 つだけです。インポートした規則では、必要なだけの数のリソースを参照できます。


注	以前に Identity Manager にインポートした規則の名前が表示されない場合は、「監査ポリシー規則」で説明した追加属性をその規則に追加したことを確認してください。

必要な場合は、「AND」または「OR」をクリックして、規則の追加を続行します。規則を削除するには、規則を選択して「削除」をクリックします。

ポリシー違反が発生するのは、すべての規則のブール式が true と評価した場合だけです。AND/OR 演算子で規則をグループ化すると、すべての規則が true でなくても、ポリシーが true と評価される可能性があります。Identity Manager では、true と評価された規則についてのみ、およびポリシー式が true と評価された場合にのみ違反が発生します。監査ポリシーウィザードでは、入れ子になったブール式を明示的に制御しないため、深い式を作成しないことをお勧めします。

是正ワークフローの選択

この画面で、このポリシーに関連付ける是正ワークフローを選択します。ここで割り当てたワークフローによって、監査ポリシー違反が検出されたときに Identity Manager で実行されるアクションが決まります。

図 11-3 監査ポリシーウィザード: 是正ワークフローの選択画面


注	違反が検知された監査ポリシーごとに 1 つのワークフローが起動します。各ワークフローには、特定のポリシーのポリシースキャンによって作成されたコンプライアンス違反ごとに、1 つまたは複数の作業項目が含まれます。


注	XML エディタまたは Identity Manager Integrated Development Environment (IDE) を使用して作成したワークフローのインポートについては、「(省略可能) ワークフローを Identity Manager にインポートする」を参照してください。

「是正ユーザーフォーム規則」を選択して、是正によってユーザーを編集する際に適用されるユーザーフォームの生成に使用する規則を選択します。デフォルトでは、是正作業項目に対応してユーザーを編集する是正者は、是正者に割り当てられたユーザーフォームを使用します。監査ポリシーで是正ユーザーフォームを指定すると、このフォームが代わりに使用されます。これにより、監査ポリシーで対応する特定の問題を示す場合に、厳密に限定されたフォームを使うことができます。

この是正ワークフローに関連付ける是正者を指定する場合は、「是正者の指定」を選択します。このオプションを有効にして「次へ」をクリックすると、是正者の割り当てページが表示されます。このオプションを有効にしなかった場合は、組織の割り当て画面が次に表示されます。

是正者と是正タイムアウトの選択

是正者を指定した場合、この監査ポリシーの違反が検出されると、このポリシーに割り当てられた是正者に通知されます。さらに、デフォルトのワークフローで是正作業項目が是正者に割り当てられます。すべての Identity Manager ユーザーが是正者になることができます。

1 人以上のレベル 1 是正者、すなわち、指定されたユーザーを割り当てることができます。レベル 1 是正者は、ポリシー違反が検出されたときに、是正ワークフローによって送信される電子メールで最初に連絡を受けます。指定されたエスカレーションタイムアウト時間に達するまでにレベル 1 是正者が応答しなかった場合、Identity Manager は次に、ここに指定されたレベル 2 是正者に連絡します。エスカレーション期間が経過するまでにレベル 1 是正者もレベル 2 是正者も応答しなかった場合にのみ、Identity Manager がレベル 3 是正者に連絡します。

是正者の割り当ては省略可能です。このオプションを選択する場合は、「是正者の指定」チェックボックスを有効にして、次の画面に進みます。


注	選択した最高レベルの是正者に対してエスカレーションタイムアウト値を指定した場合、エスカレーションがタイムアウトすると、リストから作業項目が削除されます。デフォルトでは、エスカレーションタイムアウトは 0 の値に設定されています。この場合、作業項目は期限切れにならず、是正者リストに残ります。

是正者の利用可能リストにユーザーを追加するには、ユーザー ID を入力して、「追加」をクリックします。または、「...」ボタンをクリックして、ユーザー ID を検索します。「が次の文字列で始まる」フィールドに 1 文字以上入力して、「検索」をクリックします。検索リストからユーザーを選択したら、「追加」をクリックして、是正者のリストに追加します。「閉じる」をクリックして、検索エリアを閉じます。

是正者のリストからユーザー ID を削除するには、リストのユーザー ID を選択して、「削除」をクリックします。

図 11-4 監査ポリシーウィザード: レベル 1 是正者の選択エリア

このポリシーにアクセスできる組織の選択

図 11-5 に示すように、この画面では、このポリシーを表示および編集できる組織を選択します。

図 11-5 監査ポリシーウィザード: 閲覧を許可された組織の割り当て画面

組織を選択したら、「完了」をクリックして監査ポリシーを作成し、「ポリシーの管理」ページに戻ります。新しく作成したポリシーがこのリストに表示されます。

規則ウィザードを使用した新しい規則の作成

監査ポリシーウィザードで「規則ウィザード」を選択して規則を作成する場合は、次の節で説明するページに情報を入力していきます。

新しい規則の名前と説明の指定

オプションの作業として新しい規則に名前を付けて説明します。このページでは、Identity Manager で規則が表示されるときに規則名の横に表示される説明テキストを入力します。規則の内容を示す簡潔でわかりやすい説明を入力します。この説明は、Identity Manager の「ポリシー違反のレビュー」ページ内に表示されます。

たとえば、Oracle ERP responsibilityKey の Payable User 属性値と Receivable User 属性値の両方を持つユーザーを検出する規則を作成する場合であれば、「説明」フィールドに「Payable User と Receivable User の両方の役割を持つユーザーを検出する」のようにテキストを入力します。

規則に関する追加情報を入力する場合は、「コメント」フィールドを使用します。

規則で参照するリソースの選択

このページでは、規則で参照するリソースを選択します。各規則変数は、このリソースの属性に対応している必要があります。このオプションリストには、表示アクセス権を持つすべてのリソースが表示されます。この例では、「Oracle ERP」が選択されています。

規則式の作成


注	使用可能な各リソースアダプタのほとんどの属性 (ただし全部ではない) がサポートされています。使用可能な個々の属性については、『Identity Manager リソースリファレンス』を参照してください。

この画面では、新しい規則の規則式を入力します。この例では、Oracle ERP responsibilityKey の Payable User 属性値を持つユーザーは Receivable User 属性値を同時に持つことができないという規則を作成します。

使用可能な属性のリストからユーザー属性を選択します。この属性は、規則変数に直接対応します。

リストから論理条件を選択します。有効な条件には、「=」(等しい)、「!=」(等しくない)、「<」(より小さい)、「<=」(より小さいまたは等しい)、「>」(より大きい)、「>=」(より大きいまたは等しい)、「が true である」、「が null である」、「が null でない」、「が空の文字列である」、および「が右の文字列を含む」があります。この例では、使用できる属性条件のリストから「contains」を選択します。

式の値を入力します。たとえば、「Payable user」と入力した場合は、responsibilityKeys の Payable user 属性値を持つ Oracle ERP ユーザーを指定したことになります。

(省略可能) 「AND」または「OR」演算子をクリックし、行を追加して、別の式を作成します。

図 11-8 監査ポリシーウィザード: 規則式の選択画面
規則構文の選択画面で、新しい規則の規則構文を指定します。

この規則はブール値を返します。両方のステートメントが true の場合、ポリシー規則は、ポリシー違反となる TRUE の値を返します。

次のコード例は、この画面で作成した規則の XML を示しています。


注	Identity Manager では、入れ子になった規則の制御はサポートされません。複数の規則が指定されている場合は常に、最初は AND 演算子、次に OR に従ってポリシーが評価されます。たとえば、R1 AND R2 AND R3 or R4 AND R5 は、(R1 + R2 + R3) \| (R4 + R5) と解釈されます。

規則から式を削除するには、属性条件を選択して「削除」をクリックします。

「次へ」をクリックして監査ポリシーウィザードを続行します。さらに、ウィザードを使用して新しい規則を作成するか、既存の規則を追加するかのいずれかの方法で規則を追加することもできます。

監査ポリシーの編集

監査ポリシーに関する一般的な編集タスクは次のとおりです。

規則を追加または削除する

ターゲットリソースを変更する

ポリシーにアクセスできる組織のリストを調整する

各レベルの是正に関連付けられたエスカレーションタイムアウトを変更する

ポリシーに関連付けられた是正ワークフローを変更する

ポリシーの編集ページ

監査ポリシー名の列でポリシーの名前をクリックして「監査ポリシーの編集」ページを開きます。このページでは、監査ポリシーに関する情報が次のエリアに分類されています。

識別と規則のエリア

是正者とエスカレーションタイムアウトのエリア

ワークフローと組織のエリア

図 11-9 「監査ポリシーの編集」ページ: 識別と規則のエリア
「ポリシーの編集」ページでは、ポリシー名と説明の編集、規則の追加、および規則の削除を行うことができます。

ページのこのエリアでは、次の操作を行うことができます。

ポリシーの説明の編集

規則の追加または削除



注	この製品で既存の規則を直接編集することはできません。Identity Manager IDE または XML エディタを使用して規則を編集してから、Identity Manager にインポートします。その後、以前のバージョンの規則を削除して、改訂バージョンの規則を追加します。

監査ポリシーの説明の編集

監査ポリシーの説明を編集するには、「説明」フィールド内のテキストを選択し、新しいテキストを入力します。

オプションの編集

オプションの作業として、「ターゲットリソースを制限」オプションまたは「違反の再スキャンを許可」オプションを選択するか、選択解除します。

ポリシーの規則の削除

ポリシーの規則を削除するには、規則名の前にある「選択」ボタンをクリックし、「削除」をクリックします。

ポリシーへの規則の追加

「追加」をクリックして新しいフィールドを追加し、そのフィールドで、追加する規則を選択します。

ポリシーで使用する規則の変更

「是正者」エリア

図 11-10 に、レベル 1、レベル 2、レベル 3 のポリシーの是正者を割り当てるための「是正者」エリアの一部を示します。

ページのこのエリアでは、次の操作を行うことができます。

ポリシーの是正者の削除または割り当て

エスカレーションタイムアウトの調整

是正者の削除または割り当て

1 つまたは複数の是正レベルの是正者を選択するには、ユーザー ID を入力して、「追加」をクリックします。ユーザー ID を検索するには、「...」ボタンをクリックします。少なくとも 1 人の是正者を選択する必要があります。

是正者を削除するには、リストのユーザー ID を選択して、「削除」をクリックします。

エスカレーションタイムアウトの調整

タイムアウト値を選択し、新しい値を入力します。デフォルトでは、タイムアウト値は設定されていません。

是正ワークフローと組織のエリア


注	選択した最高レベルの是正者に対してエスカレーションタイムアウト値を指定した場合、エスカレーションがタイムアウトすると、リストから作業項目が削除されます。

図 11-11 に、監査ポリシーの是正ワークフローと組織を指定するエリアを示します。

図 11-11 「監査ポリシーの編集」ページ: 是正ワークフローと組織

ページのこのエリアでは、次の操作を行うことができます。

ポリシー違反の発生時に起動する是正ワークフローを変更する

是正ユーザーフォーム規則を選択する

このポリシーにアクセスできる組織を調整する

是正ワークフローの変更

ポリシーに割り当てられたワークフローを変更するには、オプションリストから別のワークフローを選択します。デフォルトでは、ワークフローは監査ポリシーに割り当てられません。


注	監査ポリシーにワークフローが割り当てられていない場合、違反はどの是正者にも割り当てられません。

リストから是正ワークフローを選択し、「保存」をクリックします。

是正ユーザーフォーム規則の選択

オプションの作業として、是正によってユーザーを編集する際に適用されるユーザーフォームを生成する規則を選択します。

組織の閲覧許可の割り当てまたは削除

この監査ポリシーを使用できる組織を調整し、「保存」をクリックします。

サンプルポリシー

Identity Manager には、「監査ポリシー」リストからアクセス可能な次のサンプルポリシーが用意されています。

IDM Role Comparison Policy

IDM Account Accumulation Policy

IDM Role Comparison Policy

このサンプルポリシーを使用して、Identity Manager ロールで指定されている属性と、ユーザーの現在の属性を比較できます。このポリシーは、ロールに指定されたすべてのリソース属性がユーザーに設定されていることを確認するためのものです。

ロールに指定されたリソース属性がユーザーに含まれていない

ユーザーのリソース属性が、ロールに指定されているものと異なる

IDM Account Accumulation Policy

このサンプルポリシーでは、ユーザーが保有するすべてのアカウントが、そのユーザーによって保有されている少なくとも 1 つのロールによって参照されていることを確認します。

ユーザーに割り当てられているリソースアカウントのうち、いずれか 1 つでも現在ユーザーに割り当てられているどのロールからも明示的に参照されていない場合、このポリシーに違反します。

監査ポリシーの削除

監査ポリシーを Identity Manager から削除すると、そのポリシーを参照する違反もすべて削除されます。

「ポリシーの管理」をクリックしてポリシーを表示した時に、インタフェースの「コンプライアンス」エリアからポリシーを削除できます。監査ポリシーを削除するには、ポリシーのリストからポリシー名を選択し、「削除」をクリックします。

監査ポリシーのトラブルシューティング

通常、監査ポリシーに関する問題に対処するにはポリシー規則のデバッグが最善の方法です。

規則のデバッグ

規則をデバッグするには、規則コードに次のトレース要素を追加します。

<block trace='true'>
<and>
    <contains>
        <ref>accounts[AD].firstname</ref>
        <s>Sam</s>
    </contains>
    <contains>
        <ref>accounts[AD].lastname</ref>
        <s>Smith</s>
    </contains>
</and>
</block>

問題

自分のワークフローが Identity Manager インタフェースに表示されない

解決方法

ワークフローに subtype='SUBTYPE_REMEDIATION_WORKFLOW' 属性を追加した。このサブタイプが指定されていないワークフローは Identity Manager 管理者インタフェースに表示されません。

authType AuditorAdminTask に対する権限が設定されている機能を持っている。

ワークフローが含まれる組織を管理している。

問題

規則をインポートしましたが、監査ポリシーウィザードに表示されません。

解決方法

各規則が subtype='SUBTYPE_AUDIT_POLICY_RULE' または subtype='SUBTYPE_AUDIT_POLICY_SOD_RULE' である。

authType AuditPolicyRule に対する権限が設定されている機能を持っている。

ワークフローが含まれる組織を管理している。

監査ポリシーの割り当て

組織に監査ポリシーを割り当てるには、少なくとも「Assign Organization Audit Policies」機能を持っている必要があります。ユーザーに監査ポリシーを割り当てるには、「Assign User Audit Policies」機能を持っている必要があります。「Assign Audit Policies」機能を持つユーザーは、これらの両方の機能を持ちます。

組織レベルのポリシーを割り当てるには、「アカウント」タブで「組織」を選択し、「割り当てられた監査ポリシー」リストでポリシーを選択します。

ユーザーレベルのポリシーを割り当てるには、次の手順に従います。

「アカウント」エリアでユーザーをクリックします。

ユーザーフォームで「コンプライアンス」を選択します。

「割り当てられた監査ポリシー」リストでポリシーを選択します。



注	ユーザーに直接割り当てられている (ユーザーアカウントや組織の割り当てによって割り当てられている) 監査ポリシーは、そのユーザーの違反の是正時に常に再評価されます。

監査ポリシーのスキャンとレポート

この節では、監査ポリシースキャンについて、および監査スキャンの実行と管理の手順について説明します。

ユーザーおよび組織のスキャン

スキャンは、選択した監査ポリシーを個々のユーザーまたは組織に対して実行します。特定の違反についてユーザーまたは組織をスキャンしたり、ユーザーまたは組織に割り当てられていないポリシーを実行したりできます。インタフェースの「アカウント」エリアからスキャンを起動します。

「アカウント」エリアからユーザーアカウントまたは組織のスキャンを開始するには、次の手順に従います。


注	「サーバータスク」タブから監査ポリシースキャンを起動またはスケジュールすることもできます。

「アカウント」を選択します。

「アカウント」リストで、次のいずれかの操作を行います。

1 人以上のユーザーを選択し、「ユーザーアクション」オプションリストから「スキャン」を選択します。

1 つ以上の組織を選択し、「組織アクション」オプションリストから「スキャン」を選択します。

タスクの起動ダイアログが表示されます。表 11-3 は、監査ポリシーユーザースキャンの「タスクの起動」ページの例です。

図 11-12 タスクの起動ダイアログ
タスクの起動ダイアログでは、選択した監査ポリシーをユーザーまたは組織に対して実行するようにスキャンを設定します。

「レポートタイトル」フィールドにスキャンのタイトルを指定します。このフィールドは必須です。任意で、「レポートの概要」フィールドにスキャンの説明を指定できます。

実行する監査ポリシーを 1 つ以上選択します。少なくとも 1 つのポリシーを選択する必要があります。

「ポリシーモード」を選択します。これにより、ポリシーが割り当てられているユーザーに対して、選択したポリシーをどのように適用するかが決まります。ここで、ユーザーに割り当てられているポリシーとは、ユーザーに直接割り当てられたポリシーと、ユーザーが所属している組織に割り当てられたポリシーの両方が該当します。

オプションの作業として「違反を作成しない」オプションを選択します。このオプションを有効にすると、監査ポリシーが評価され、違反が報告されますが、コンプライアンス違反の作成または更新が行われないため、是正ワークフローも実行されません。ただし、スキャンによるタスク結果で、違反が発生したことが示されるため、監査ポリシーのテスト時にこのオプションが役立ちます。

監査ポリシーに割り当てられた是正ワークフローを実行する場合は、「是正ワークフローを実行しますか?」を選択します。監査ポリシーに是正ワークフローが定義されていない場合は、是正ワークフローは実行されません。

「違反数の最大値」の値を編集して、スキャンが強制終了する前にスキャンが発行できるコンプライアンス違反の最大数を設定します。この値は、チェックが厳しすぎる可能性のある監査ポリシーを実行する場合に、リスクを制限するための安全措置です。空の値は制限を設定しないことを意味します。

レポートの受信者を指定する場合は、「レポート結果を送信」を選択します。また、Identity Manager が CSV (カンマ区切り値) 形式のレポートを格納したファイルを添付するように設定することもできます。

デフォルトの PDF オプションに優先して適用する場合は、「デフォルトの PDF オプションを上書き」オプションを有効にします。

「起動」をクリックしてスキャンを開始します。

監査スキャンの結果のレポートを見るには、「監査レポート」を表示します。

監査レポートの操作

Identity Manager には、さまざまな監査レポートが用意されています。次の表で、それらのレポートについて説明します。

表 11-2 監査レポートの説明
監査レポートのタイプ	説明
アクセスレビュー範囲	選択したアクセスレビューによって示されたユーザーのオーバーラップと差異を表示します。ほとんどのアクセスレビューでは、ユーザークエリーまたは何らかのメンバーシップの操作によって、ユーザーの範囲が指定されるため、厳密なユーザーセットは時間の経過とともに変化すると予想されます。このレポートには、2 つの異なるアクセスレビューによって指定されたユーザー間 (操作でレビューが効率的に行われるかどうかを確認するため)、2 つの異なるアクセスレビューによって生成されたエンタイトルメント間 (時間の経過とともに範囲が変化するかどうかを確認できる)、またはユーザーとエンタイトルメント間 (レビューの対象とされているすべてのユーザーに対して、エンタイトルメントが生成されたかどうかを確認できる) のオーバーラップまたは差異、あるいはその両方を表示することができます。
アクセスレビュー詳細	すべてのユーザーエンタイトルメントレコードの現在のステータスが表示されます。このレポートは、ユーザーの組織、アクセスレビューとアクセスレビューインスタンス、エンタイトルメントレコードの状態、およびアテスターによってフィルタリングできます。
アクセスレビュー概要	すべてのアクセスレビューに関する概要情報が表示されます。一覧表示されたアクセスレビュースキャンごとに、スキャンしたユーザー、スキャンしたポリシー、およびアテステーションアクティビティーのステータスの概要が表示されます。
アクセススキャンユーザー範囲	選択されたスキャンを比較して、スキャン範囲に含まれるユーザーを判断します。オーバーラップ (すべてのスキャンに含まれるユーザー) または差異 (すべてのスキャンに含まれないが、複数のスキャンに含まれるユーザー) が表示されます。このレポートは、同一または異なるユーザーを範囲とする複数のアクセススキャンをスキャンのニーズに従って編成しようとする場合に便利です。
監査ポリシーの概要	各ポリシーの規則、是正者、ワークフローなど、すべての監査ポリシーの主要な要素の概要が表示されます。
監査属性	指定されたリソースアカウント属性の変更を示すすべての監査レコードが表示されます。このレポートでは、格納されているすべての監査可能属性に関する監査データが調べられます。すべての拡張属性に基づいてデータが調べられます。拡張属性は、WorkflowServices または監査可能としてマークされたリソース属性から指定できます。
監査ポリシー別違反履歴	指定された期間中に作成されたすべてのコンプライアンス違反がポリシー別にグラフ形式で表示されます。このレポートは、ポリシーでフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。
ユーザーアクセス	指定されたユーザーの監査レコードとユーザー属性が表示されます。
組織別違反履歴	一定期間中に作成されたすべてのコンプライアンス違反が組織別にグラフ形式で表示されます。組織でフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。
リソース別違反履歴	指定された期間中に作成されたすべてのコンプライアンス違反がリソース別にグラフ形式で表示されます。
職務分掌	競合テーブルに配置された職務分掌違反が表示されます。Web ベースインタフェースでは、リンクをクリックすると追加情報にアクセスできます。このレポートは、組織でフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。
違反の概要	現在のコンプライアンス違反がすべて表示されます。このレポートは、是正者、リソース、規則、ユーザー、またはポリシーによってフィルタリングできます。

これらのレポートは、Identity Manager インタフェースの「レポート」タブから利用できます。

監査レポートの作成

レポートを実行するには、まず、レポートテンプレートを作成する必要があります。レポートでは、レポート結果を受け取る電子メール受信者など、さまざまな条件を指定できます。レポートテンプレートを作成して保存すると、「レポートの実行」ページからそのレポートを使用できるようになります。

図 11-13 に、定義済み監査レポートのリストが表示された「レポートの実行」ページの例を示します。

メニューバーで「レポート」を選択します。

レポートタイプとして「監査レポート」を選択します。

レポートの「新規」リストからレポートを選択します。

「レポートの定義」ページが表示されます。レポートダイアログに表示されるフィールドやレイアウトは、レポートのタイプによって異なります。レポートの条件の指定については、Identity Manager ヘルプを参照してください。

レポートの条件を入力および選択したら、次を実行できます。

保存せずにレポートを実行する - 「実行」をクリックしてレポートの実行を開始します。Identity Manager はレポート (新しいレポートを定義した場合) または変更したレポート条件 (既存のレポートを編集した場合) を保存しません。

レポートを保存する－ 「保存」をクリックしてレポートを保存します。保存後は、「レポートの実行」ページ (レポートのリスト) からそのレポートを実行できます。

「レポートの実行」ページからレポートを実行したあとは、「レポートの表示」タブで、ただちにまたはあとで出力を表示することができます。

レポートのスケジュールについては、「レポートのスケジュール」を参照してください。

コンプライアンス違反の是正と受け入れ

この節では、Identity Manager の是正機能を使用して重要な資産を保護する方法について説明します。以下のトピックで、Identity Manager 是正プロセスの要素について説明します。

是正について

Identity Manager は、未解決の (受け入れられていない) 監査ポリシーコンプライアンス違反を検出すると、是正リクエストを作成します。このリクエストは「是正者」によって処理される必要があります。是正者とは、監査ポリシー違反の評価と応答を許可されている、指定されたユーザーです。

是正者のエスカレーション

Identity Manager では、3 レベルの是正者のエスカレーションを定義できます。是正リクエストは、まず、レベル 1 是正者に送信されます。タイムアウト時間が経過するまでにレベル 1 是正者が是正リクエストに応答しなかった場合、Identity Manager はその違反をレベル 2 是正者にエスカレーションし、新しいタイムアウト時間を開始します。タイムアウト時間が経過するまでにレベル 2 是正者が応答しなかった場合、そのリクエストはさらにレベル 3 是正者にエスカレーションされます。

是正を実行するには、そのシステムで少なくとも 1 人の是正者を指定する必要があります。任意設定ですが、各レベルに 2 人以上の是正者を指定することをお勧めします。複数の是正者を指定すると、ワークフローの遅延や停止を防ぐことができます。

是正セキュリティーアクセス

これらの権限付与オプションは、authType RemediationWorkItem の作業項目用のものです。

是正作業項目の所有者

是正作業項目の所有者の直属または直属以外のマネージャー

是正作業項目の所有者が所属する組織を管理する管理者

デフォルトでは、権限付与に関するチェックは次のようにして行い、いずれかの条件を満たす作業項目に対して、ユーザーに是正権限が付与されます。

作業項目は、アクションを実行しようとしているユーザー自身が所有者となっている

作業項目は、アクションを実行しようとしているユーザーが管理する組織に属すユーザーが所有している

作業項目は、アクションを実行しようとしているユーザーの部下が所有している

2 番目および 3 番目のチェックを別個に設定するには、次のオプションを変更します。

controlOrg - 有効な値は true または false

subordinate - 有効な値は true または false

lastLevel - 結果に含める最後の従属レベル。-1 はすべてのレベルを意味する。lastLevel の整数値は、デフォルトでは -1 に設定され、これは直属の部下と直属ではない部下を含むことを意味します。

これらのオプションは、次のファイルで追加または変更できます。

是正ワークフローのプロセス

Identity Manager では、監査ポリシースキャンの是正処理を行う標準是正ワークフローが提供されます。

標準是正ワークフローでは、コンプライアンス違反に関する情報を含む是正リクエスト (レビュータイプの作業項目) が生成され、監査ポリシーで指定された各レベル 1 是正者に電子メール通知が送信されます。是正者が違反を受け入れると、ワークフローによって既存のコンプライアンス違反オブジェクトの状態が変更され、有効期限が割り当てられます。

コンプライアンス違反は、ユーザー、ポリシー名、および規則名の組み合わせによって一意に識別されます。監査ポリシーで true と評価されたときに、このユーザー/ポリシー/規則の組み合わせによる既存の違反が存在していなければ、その組み合わせによる新しいコンプライアンス違反が作成されます。その組み合わせでの違反が存在し、その違反が受け入れられた状態になっている場合は、ワークフロープロセスによる処理は行われません。既存の違反が受け入れられていない場合、その再発回数が加算されます。

是正応答

デフォルトでは、各是正者は次の 3 つの応答オプションから選択できます。

「是正」 - 是正者は、何らかの処理を行なってリソースの問題を修正したことを示します。


注	是正後、違反は、次の監査スキャンまで削除されません。監査ポリシーが再スキャンを許可するように設定されている場合、違反が是正されるとただちにユーザーが再スキャンされます。

「受け入れる」 - 是正者は、ユーザーが一定期間その違反を免除されるように違反の内容を受け入れます。


注	Identity Manager は、期限切れになった免除を検出すると、違反を受け入れた状態から保留中の状態に戻します。

「転送」 - 是正者は、違反を解決する役割を別の人物に再割り当てします。

是正の例

ユーザーが買掛金と売掛金の両方を担当できないようにする規則を設定した企業で、あるユーザーがこの規則に違反しているという通知を受け取ったとします。

会社がその職位に別の従業員を雇用するまでの間、そのユーザーがスーパーバイザとして両方の役割を受け持つ場合は、その違反を受け入れ、最長で 6 か月間の免除を与えることができます。

ユーザーが規則に違反している場合、競合を修正し、そのリソースで問題が解決されたときに違反を是正するように Oracle ERP 管理者に依頼することもできます。または、是正リクエストを Oracle ERP 管理者に転送することができます。

是正電子メールテンプレート

Identity Manager には、「ポリシー違反通知」電子メールテンプレートが用意されています。これを利用するには、「設定」タブを選択し、次に「電子メールテンプレート」サブタブを選択します。このテンプレートを、保留中の違反を是正者に通知するように設定できます。詳細については、「電子メールテンプレートのカスタマイズ」を参照してください。

「是正」ページの操作

「是正」ページにアクセスするには、「作業項目」を選択し、「是正」タブを選択します。

保留中の違反を表示する

ポリシー違反の優先度を設定する

1 つ以上のポリシー違反を受け入れる

1 つ以上のポリシー違反を是正する

1 つ以上の違反を転送する

是正作業項目のユーザーを編集する

ポリシー違反の表示

「是正」ページでは、違反に対するアクションを実行する前に、違反に関する詳細を表示できます。

割り当てられている機能または Identity Manager 機能の階層の位置によっては、ほかの是正者の違反を表示してアクションを実行できる場合もあります。

「保留中のリクエストの表示」

「完了したリクエストの表示」

「テーブルの更新」

保留中のリクエストの表示

デフォルトでは、割り当てられている保留中のリクエストは「是正」テーブルに表示されます。「右の者に対する是正リクエスト一覧」オプションを使用すると、別の是正者に対する保留中の是正リクエストを表示できます。

直接報告された組織内のユーザーの保留中のリクエストを表示するには、「自分の直属の部下」を選択します。

保留中のリクエストを表示したい 1 人以上のユーザーを入力するか、検索するには、「ユーザーの検索」を選択します。ユーザー ID を入力して、「適用」をクリックすると、そのユーザーの保留中のリクエストが表示されます。または、「...」 ボタンをクリックして、ユーザーを検索します。ユーザーを見つけて選択したら、「閉じる」をクリックして、「検索」エリアを閉じます。

結果のテーブルには、リクエストごとに次の情報が表示されます。

「是正者」 - 割り当てられた是正者の名前。この列は、ほかの是正者の是正リクエストを表示する場合にのみ表示されます。

「ユーザー」 －リクエストが作成されたユーザー。

「監査ポリシー/リクエスト」 －是正者にリクエストされるアクション。

「監査ポリシー/説明」 －リクエストの是正コメント。

「違反の状態」 －違反の現在の状態。

「重要度」 －リクエストに割り当てられた重要度 (なし、低、中、高、クリティカル)。

「優先度」 －リクエストに割り当てられた優先度 (なし、低、中、高、緊急)。

「リクエスト日」 －是正リクエストが発行された日時。



注	各ユーザーは、その特定の是正者に関連する是正データを表示するカスタムフォームを選択できます。カスタムフォームを割り当てるには、ユーザーフォームの「コンプライアンス」タブを選択します。

完了したリクエストの表示

完了した是正リクエストを表示するには、「自分の作業項目」タブをクリックし、次に「履歴」タブをクリックします。以前に是正した作業項目のリストが表示されます。

結果のテーブル (AuditLog レポートで生成される) には、是正リクエストごとに次の情報が表示されます。

「タイムスタンプ」 －リクエストが是正された日時

「主体」 －リクエストを処理した是正者の名前

「アクション」 －是正者がリクエストを受け入れたのか是正したのかを示す

「タイプ」 － ComplianceViolation やユーザーエンタイトルメントなど

「オブジェクト名」 －違反した監査ポリシーの名前

「リソース」 －是正者のアカウント ID (「なし」と表示されることもある)

「ID」 －作業項目に関連するアカウント ID (たとえばポリシー違反の場合は、違反したアカウントの ID) が表示されます。

「結果」 －常に「成功」と表示される

テーブルのタイムスタンプをクリックすると、「監査イベントの詳細」ページが開きます。

「監査イベントの詳細」ページには、完了したリクエストに関する情報が表示されます。この情報には、是正または受け入れに関する情報、イベントパラメータ (該当する場合)、監査可能属性などが含まれます。

テーブルの更新

「是正」テーブルに表示された情報を更新するには、「更新」をクリックします。新しい是正リクエストがあれば、「是正」ページのテーブルが更新されます。

ポリシー違反の優先度の設定

ポリシー違反に優先度、重要度、またはその両方を割り当てて、ポリシー違反の優先度を設定することができます。「是正」ページから違反の優先度を設定します。

違反の優先度または重要度を編集するには、次の手順に従います。

リストの違反を 1 つまたは複数選択します。

「優先度の設定」をクリックします。

「ポリシー違反の優先度設定」ページが表示されます。

オプションの作業として違反の重要度を設定します。選択項目は、「なし」、「低」、「中」、「高」、「クリティカル」です。

オプションの作業として違反の優先度を設定します。選択項目は、「なし」、「低」、「中」、「高」、「緊急」です。

選択が完了したら、「OK」をクリックします。Identity Manager は是正者のリストに戻ります。



注	重要度と優先度の値は、タイプ CV (コンプライアンス違反) の是正項目にのみ設定できます。

ポリシー違反の受け入れ

「是正」ページまたは「ポリシー違反のレビュー」ページで、ポリシー違反を受け入れることができます。

「是正」ページでの操作

「是正」ページで保留中のポリシー違反を受け入れるには、次の手順に従います。

テーブルの行を選択して、受け入れるリクエストを指定します。

1 つまたは複数のリクエストを受け入れ対象に指定するには、それぞれのオプションを有効にします。

テーブルに一覧表示されたすべてのリクエストを受け入れるには、テーブルヘッダーのオプションを有効にします。



注	Identity Manager では、受け入れアクションを説明するコメントは 1 セットしか入力できません。関連する違反であるためコメントが 1 つで十分な場合を除いては、一括受け入れを実行しないでください。受け入れ可能なリクエストは、コンプライアンス違反を含むリクエストのみです。ほかの是正リクエストは受け入れることができません。

「受け入れる」をクリックします。

次のような「ポリシー違反を受け入れる」ページ (または「複数のポリシー違反を受け入れる」ページ) が表示されます。

図 11-14 「ポリシー違反を受け入れる」ページ
「ポリシー違反を受け入れる」ページにアクセスしています。

「説明」フィールドに、受け入れに関するコメントを入力します。このフィールドは必須です。

コメントは、このアクションの監査証跡として利用されるので、ひととおりの有用な情報を入力する必要があります。たとえば、ポリシー違反を受け入れる理由、日付、免除期間の選択理由などを説明します。

免除の有効期限を指定します。「有効期限」フィールドに日付 (YYYY-MM-DD 形式) を直接入力するか、または

ボタンをクリックしてカレンダから日付を選択します。



注	日付を入力しない場合、免除期間は無期限となります。

「OK」をクリックして変更を保存し、「是正」ページに戻ります。

ポリシー違反の是正

1 つ以上のポリシー違反を是正するには、次の手順に従います。

テーブル内のチェックボックスを使用して、是正するリクエストを指定します。

1 つまたは複数のリクエストを是正対象に指定するには、それぞれのチェックボックスを有効にします。

テーブルに一覧表示されたすべてのリクエストを是正するには、テーブルヘッダーのチェックボックスを有効にします。

複数のリクエストを選択した場合、Identity Manager では、是正アクションを説明するコメントは 1 セットしか入力できません。関連する違反であるためコメントが 1 つで十分な場合を除いては、一括是正を実行しないでください。

「是正」をクリックします。

「ポリシー違反の是正」ページ (または「複数のポリシー違反の是正」ページ) が表示されます。

「コメント」フィールドに、是正に関するコメントを入力します。

「OK」をクリックして変更を保存し、「是正」ページに戻ります。



注	ユーザーに直接割り当てられている (ユーザーアカウントや組織の割り当てによって割り当てられている) 監査ポリシーは、そのユーザーの違反の是正時に常に再評価されます。

是正リクエストの転送

1 つ以上の是正リクエストをほかの是正者に転送できます。その場合は次の手順に従います。

テーブル内のチェックボックスを使用して、転送するリクエストを指定します。

テーブルに一覧表示されたすべてのリクエストを転送するには、テーブルヘッダーのチェックボックスを有効にします。

1 つまたは複数のリクエストを転送するには、それぞれのチェックボックスを有効にします。

「転送」をクリックします。

「転送先の選択と確認」ページが表示されます。

図 11-15 「転送先の選択と確認」ページ
要求が管理者に転送され、テーブルが更新されます。

「転送先」フィールドに是正者の名前を入力して、「OK」をクリックします。または、「...」ボタンをクリックして、是正者の名前を検索します。検索リストから名前を選択して、「設定」をクリックして、「転送先」フィールドにその名前を入力します。「閉じる」をクリックして、検索エリアを閉じます。

「是正」ページが再表示され、テーブルの「是正者」列に新しい是正者の名前が表示されます。

是正作業項目のユーザーの編集

適切なユーザー編集機能を持つ場合、関連付けられたエンタイトルメント履歴に説明されているとおり、是正作業項目から、ユーザーを編集して問題を是正できます。

ユーザーを編集するには、「是正リクエストのレビュー」ページから、「ユーザーの編集」をクリックします。表示される「ユーザーの編集」ページには、次の項目が表示されます。

この作業項目について、ユーザーに関連付けられているエンタイトルメント履歴

ユーザーの属性。ここに表示されるオプションは、「アカウント」エリアから使用できる「ユーザーの編集」フォームのオプションと同じです。


注	ユーザーを編集し、保存すると、ユーザーの更新ワークフローが実行されます。このワークフローに承認プロセスが含まれている場合があるため、ユーザーアカウントを変更し、保存してもしばらくの間、有効にならない可能性があります。監査ポリシーで再スキャンが許可されており、ユーザーの更新ワークフローが完了していない場合、後続のポリシースキャンで同じ違反が検出されることがあります。

定期的アクセスレビューとアテステーション

Identity Manager では、アクセスレビューを実行するプロセスによって、マネージャーなどの責任者がユーザーアクセス特権のレビューと検証を行うことができます。このプロセスは、時間の経過とともに蓄積されたユーザー特権を識別および管理し、米国企業改革 (SOX) 法、GLBA、および米国で義務付けられているその他の規制に対するコンプライアンスを維持するのに役立ちます。

アクセスレビューは、必要に応じて実行できます。また、四半期ごとなど、定期的に実行されるようにスケジュールすることもできます。定期的アクセスレビューを実行することで、正しいレベルのユーザー特権を維持できます。アクセスレビューにオプションの作業として監査ポリシースキャンを含めることもできます。

定期的アクセスレビューについて

定期的アクセスレビューは、従業員セットが特定の時点で適切なリソースに対する適切な特権を持っていることをアテストする定期的プロセスです。

定期的アクセスレビューでは次のアクティビティーを行います。

アクセスレビュースキャン - 自分が定義して実行または実行をスケジュールしたスキャンです。このスキャンでは、指定したユーザーセットの「ユーザーエンタイトルメント」を評価し、規則ベースの評価を実行してアテステーションが必要かどうかを決定します。

アテステーション - ユーザーエンタイトルメントを承認または却下することによってアテステーションリクエストに応答するプロセスです。

「ユーザーエンタイトルメント」は、特定のリソースセットについてのユーザーのアカウントの詳細のレコードです。

アクセスレビュースキャン

定期的アクセスレビューを開始するには、まず、1 つ以上のアクセススキャンを定義する必要があります。

アクセススキャンには、スキャン対象のユーザー、スキャンに含めるリソース、スキャンで評価するオプションの監査ポリシー、および手動でアテストするエンタイトルメントレコードを決定する規則とその実行者を定義します。

アクセスレビューのワークフロープロセス

一般に、Identity Manager のアクセスレビューワークフローは次のようになります。

ユーザーのリストを作成し、各ユーザーのアカウント情報を取得し、オプションの監査ポリシーを評価する

ユーザーエンタイトルメントレコードを作成する

各ユーザーエンタイトルメントレコードについて、アテステーションが必要かどうかを判断する

作業項目を各アテスターに割り当てる

すべてのアテスターによる承認または最初の却下を待つ

指定された時間内にリクエストへの応答を受け取らなかった場合は、次のアテスターにエスカレーションする

解決したユーザーエンタイトルメントレコードを更新する

必要な管理者機能

定期的アクセスレビューを実行してレビュープロセスを管理するユーザーは、「Auditor Periodic Access Review Administrator」機能を持っている必要があります。「アクセススキャン監査管理者」機能を持つユーザーは、アクセススキャンの作成と管理を行うことができます。

これらの機能を割り当てるには、ユーザーアカウントを編集してセキュリティー属性を変更します。これらの機能およびその他の機能の詳細については、「機能とその管理について」を参照してください。

アテステーション

アテステーションは、特定の日付に存在しているユーザーエンタイトルメントを確認するために、1 人以上の指定されたアテスターが実行するアテステーションプロセスです。アクセスレビュー中に、アテスターは電子メール通知によってアクセスレビューアテステーションリクエストの通知を受け取ります。アテスターは、Identity Manager ユーザーである必要がありますが、Identity Manager 管理者である必要はありません。

アテステーションワークフロー

Identity Manager は、レビューを必要とするエンタイトルメントレコードがアクセススキャンで検出されたときに起動されるアテステーションワークフローを使用します。アクセススキャンは、アクセススキャンで定義された規則に基づいてこの判断を行います。

アクセススキャンで評価される規則によって、ユーザーエンタイトルメントレコードを手動でアテストする必要があるか、あるいは自動的に承認または却下できるか決まります。ユーザーエンタイトルメントレコードを手動でアテストする必要がある場合は、2 番目の規則を使用して適切なアテスターが決定されます。

手動でアテストする各ユーザーエンタイトルメントレコードは、1 人のアテスターにつき 1 つの作業項目でワークフローに割り当てられます。これらの作業項目のアテスターへの通知を、アテスターごと、スキャンごとに項目を 1 つの通知にまとめる ScanNotification ワークフローを使用して送信できます。ScanNotification ワークフローが選択されていない場合は、ユーザーエンタイトルメントごとの通知になります。この場合、1 人のアテスターが同じスキャンで複数の通知を受け取ることになり、スキャンするユーザー数によっては多数の通知になる可能性があります。

アテステーションセキュリティーアクセス

これらの権限付与オプションは、authType AttestationWorkItem の作業項目用のものです。

作業項目の所有者

作業項目の所有者の直属または直属以外のマネージャー

作業項目の所有者が所属する組織を管理する管理者

認証チェックで検証済みのユーザー

デフォルトでは、権限付与に関するチェックは次のようにして行い、いずれかの条件を満たす作業項目に対して、ユーザーにアテステーション権限が付与されます。

作業項目は、アクションを実行しようとしているユーザー自身が所有者となっている

作業項目は、アクションを実行しようとしているユーザーが管理する組織に属すユーザーが所有している

作業項目は、アクションを実行しようとしているユーザーの部下が所有している

2 番目および 3 番目のチェックを別個に設定するには、次のフォームプロパティーを変更します。

controlOrg - 有効な値は「true」または「false」

subordinate - 有効な値は「true」または「false」

lastLevel - 結果に含める最後の従属レベル。-1 はすべてのレベルを意味する

lastLevel の整数値は、デフォルトでは -1 に設定され、これは直属の部下と直属ではない部下を含むことを意味します。

これらのオプションは、次のファイルで追加または変更できます。

委任されたアテステーション

デフォルトの動作として、アクセススキャンワークフローは、アクセスレビューアテステーション作業項目およびアクセスレビュー是正作業項目に対して、アテステーション作業項目およびその通知用にユーザーが作成した委任設定に従います。しかし、アクセススキャンの管理者が、「委任に従う」オプションを選択解除して委任設定を無視する場合があります。アテスターがすべての作業項目を別のユーザーに委任している場合でも、アクセスレビュースキャンで「委任に従う」オプションが設定されていなければ、委任を割り当てたユーザーではなく、そのアテスターがアテステーションリクエスト通知と作業項目を受け取ることになります。

定期的アクセスレビューの計画

アクセスレビューは、どの企業でも多くの労働力と時間を要するプロセスです。Identity Manager 定期的アクセスレビュープロセスを使用すると、プロセスの多くの部分が自動化されるため、必要なコストと時間を最小限にできます。ただし、それでも時間のかかるプロセスがいくつかあります。たとえば、いくつもの場所から多数のユーザーのユーザーアカウントデータを取得するプロセスには、かなりの時間を要する場合があります。レコードを手動でアテストする作業も、時間がかかる場合があります。適切な計画を行えば、プロセスの効率を高め、必要な手間を大幅に減らすことができます。

定期的アクセスレビューの計画では、次のことを考慮する必要があります。


注	アテステーションのセキュリティーが組織管理に設定されている場合 (controlOrg が true)、ほかのユーザーが所有しているアテステーションを変更するには Auditor Attestor 機能も必要です。

スキャン時間は、ユーザー数および関連するリソースの数によって大きく異なる場合があります。

複数の Identity Manager サーバーを使用して並行処理を行うと、アクセスレビュープロセスをスピードアップできます。

アテステーションワークフローおよび規則をカスタマイズすることにより、管理を強化して効率を高めることができます。

アテスターエスカレーション規則を使用すると、アテステーションリクエストに対する応答時間を短くできます。

レビュー決定規則の使用方法を理解し、手動レビューが必要なエンタイトルメントレコードの判別を自動化することで時間を節約します。

スキャンレベルの通知ワークフローを指定して、スキャンごとにアテステーションリクエストの通知をまとめます。

スキャンタスクのチューニング

スキャンプロセス時に、複数のスレッドがユーザーのビューにアクセスし、ユーザーがアカウントを持つリソースにアクセスする可能性があります。ビューへのアクセス後、複数の監査ポリシーと規則が評価され、コンプライアンス違反が生成されることがあります。

2 つのスレッドが同じユーザービューを同時に更新することを避けるため、プロセスはユーザー名にメモリー内ロックを設定します。このロックがデフォルトで 5 秒以内に設定できない場合、スキャンタスクにエラーが書き込まれ、ユーザーはスキップされるため、同じユーザーセットを処理する同時スキャンが防止されます。

スキャンタスクへのタスク引数として提供されるいくつかの「チューニング可能パラメータ」の値を編集できます。

clearUserLocks (ブール型) - true の場合、スキャンの開始前に、現在のすべてのユーザーロックが解除されます。

userLock (整数) - ユーザーをロックしようとして待つ時間 (ミリ秒)。デフォルト値は 5 秒です。負の値を設定すると、スキャン中にユーザーのロックは行いません。

scanDelay (整数) - スキャンスレッドのディスパッチ間でスリープする時間 (ミリ秒)。デフォルト値は 0 (遅延なし) です。この引数の値を指定すると、スキャンは遅くなりますが、システムのほかの操作の応答が速くなります。

maxThreads (整数) - スキャンの処理に使用する同時スレッド数。デフォルト値は 5 です。リソースの応答が極めて遅い場合は、この数値を大きくすると、スキャンのスループットが向上する可能性があります。

これらのパラメータの値を変更するには、対応する「タスク定義」フォームを編集します。このタスクの詳細については、『Identity Manager ワークフロー、フォーム、およびビュー』を参照してください。

アクセススキャンの作成

アクセスレビュースキャンを定義するには、次の手順に従います。

「コンプライアンス」を選択し、「アクセススキャンの管理」を選択します。

「新規」をクリックして、「新規アクセススキャンの作成」ページを表示します。

アクセススキャンに名前を割り当てます。



注	アクセススキャン名には、次の文字を含めることはできません。' (アポストロフィー)、. (ピリオド)、\| (パイプ)、[ (左角括弧)、] (右角括弧)、, (カンマ)、: (コロン)、$ (ドル記号)、" (二重引用符)、= (等号)。

必要に応じて、そのスキャンを特定する説明を追加します。

オプションの作業として「動的エンタイトルメント」オプションを有効にします。有効にした場合、アテスターは、次の追加オプションから選択できます。

保留中のアテステーションをすぐに再スキャンして、エンタイトルメントデータを更新し、アテステーションの必要性を再評価できます。

保留中のアテステーションを別のユーザーに配信して是正を求めることができます。是正後、エンタイトルメントデータは更新および再評価され、アテステーションの必要性が判断されます。

「ユーザー範囲タイプ」で、次のいずれかのオプションを選択します。このフィールドは必須です。

「属性条件規則に従う」 - 選択したユーザー範囲規則に従って、ユーザーをスキャンする場合は、このオプションを選択します。Identity Manager では次の規則を使用できます。

「All Administrators」

「All Non-Administrators」

「Users without a Manager」



注	ユーザーの範囲を指定する規則を追加するには、Identity Manager Integrated Development Environment (IDE) を使用します。詳細については、『Identity Manager 配備ツール』を参照してください。

「リソースに割り当て」－ 選択した 1 つ以上のリソースにアカウントを持つすべてのユーザーをスキャンする場合は、このオプションを選択します。このオプションを選択した場合、ページにユーザー範囲リソースが表示され、リソースを指定できます。

「組織のメンバー」 - 選択した 1 つ以上の組織のすべてのメンバーをスキャンする場合は、このオプションを選択します。

「特定のマネージャーの部下」 －選択したマネージャーに直属するすべてのユーザーをスキャンする場合は、このオプションを選択します。マネージャーの階層は、ユーザーの Lighthouse アカウントの Identity Manager 属性によって決まります。

ユーザー範囲タイプが「組織のメンバー」または「特定のマネージャーの部下」の場合は、「範囲を再帰的に計算?」オプションを使用できます。このオプションを使用すると、管理する一連のメンバーを通して再帰的にユーザー選択が行われるようにできます。

アクセスレビュースキャンで監査ポリシーもスキャンして違反を検出する場合は、このスキャンに適用する監査ポリシーを「利用可能な監査ポリシー」リストから選択し、「現在の監査ポリシー」リストに移動させます。

アクセススキャンに監査ポリシーを追加した場合の動作は、同じユーザーセットに対して監査スキャンを実行するのと同じ結果になります。ただし、それに加えて、監査ポリシーによって検出された違反がユーザーエンタイトルメントレコードに格納されます。この情報により、ユーザーエンタイトルメントレコード内に違反が存在するかどうかを規則のロジックの一部として使用できるので、自動承認または自動却下が容易になります。

前の手順でスキャンする監査ポリシーを選択した場合は、「ポリシーモード」オプションを使用して、アクセススキャンされる各ユーザーに対してどの監査ポリシーを実行するかを指定することができます。ユーザーレベルまたは組織レベル、あるいはその両方でユーザーにポリシーを割り当てることができます。デフォルトのアクセススキャンでは、ユーザーにまだポリシーが割り当てられていない場合にのみ、アクセススキャンで指定されたポリシーが適用されます。

選択されたポリシーを適用し、それ以外の割り当ては無視する

ユーザーにまだ割り当てられていない場合にのみ、選択されたポリシーを適用する

ユーザーの割り当てに加えて、選択されたポリシーを適用する

(省略可能)「レビュープロセスの所有者」を指定します。定義しているアクセスレビュータスクの所有者を指定する場合は、このオプションを使用します。レビュープロセスの所有者を指定すると、アテステーションリクエストへの応答で競合が起こる可能性があるアテスターは、ユーザーエンタイトルメントを承認または却下する代わりに「拒否」できます。その場合、アテステーションリクエストはレビュープロセスの所有者に転送されます。選択 (省略記号) ボックスをクリックして、ユーザーアカウントを検索し、選択を行います。

「委任に従う」 - アクセススキャンの委任を有効にする場合は、このオプションを選択します。このオプションを選択した場合、アクセススキャンでは委任設定のみが遵守されます。「委任に従う」は、デフォルトで有効になっています。

「ターゲットリソースを制限」 - ターゲットのリソースのみにスキャンを制限する場合は、このオプションを選択します。

この設定は、アクセススキャンの効率に直接関係します。ターゲットリソースを制限しない場合、各ユーザーエンタイトルメントレコードには、そのユーザーが関連付けられているすべてのリソースのアカウント情報が含まれます。つまり、そのスキャンでは、各ユーザーに割り当てられたすべてのリソースが問い合わせを受けます。このオプションを使用してリソースのサブセットを指定すると、Identity Manager がユーザーエンタイトルメントレコードを作成するために必要な処理時間を大幅に減らすことができます。

「違反の是正を実行する」 - 違反が検出された場合に監査ポリシーの是正ワークフローを有効にする場合は、このオプションを選択します。

このオプションを選択すると、割り当てられた監査ポリシーのいずれかに対する違反が検出されると、その監査ポリシーの是正ワークフローが実行されます。

特別に必要な場合を除いて、このオプションは選択しないようにしてください。

「アクセス承認ワークフロー」 - デフォルトの Standard Attestation ワークフローを選択するか、またはカスタマイズしたワークフロー (使用可能な場合) を選択します。

このワークフローは、レビュー用のユーザーエンタイトルメントレコードを適切なアテスター (アテスター規則によって決まる) に提示するために使用されます。デフォルトの Standard Attestation ワークフローでは、1 人のアテスターに対して 1 つの作業項目が作成されます。アクセススキャンにエスカレーションが指定されている場合、このワークフローでは、保留状態の時間が長すぎる作業項目のエスカレーションが行われます。ワークフローが指定されていない場合、ユーザーアテステーションは無期限に保留状態のままになります。

「アテスター規則」 - 「Default Attestor」規則を選択するか、またはカスタマイズしたアテスター規則 (使用可能な場合) を選択します。

アテスター規則は、ユーザーエンタイトルメントレコードを入力として受け取り、アテスター名のリストを返します。「委任に従う」が選択されている場合、アクセススキャンでは、元の名前リストにある各ユーザーが設定した委任情報に従って、名前リストが適切なユーザー名のリストに変換されます。Identity Manager ユーザーの委任がルーティングサイクルになった場合、その委任情報は破棄され、作業項目は最初のアテスターに配信されます。「Default Attestor」規則では、エンタイトルメントレコードに示されたユーザーのマネージャー (idmManager) がアテスターとなり、そのユーザーの idmManager が null の場合は Configurator アカウントがアテスターとなります。マネージャーだけでなくリソースの所有者もアテステーションに携わる必要がある場合は、カスタム規則を使用する必要があります。規則のカスタマイズについては、『Identity Manager 配備ツール』を参照してください。

「アテスターエスカレーション規則」 - 「Default Escalation Attestor」規則を指定する場合、またはカスタマイズした規則 (使用可能な場合) を選択する場合は、このオプションを使用します。また、規則のエスカレーションタイムアウト値を指定することもできます。デフォルトのエスカレーションタイムアウト値は 0 日です。

この規則は、エスカレーションタイムアウト時間が経過した作業項目のエスカレーションチェーンを指定します。「Default Escalation Attestor」規則では、割り当てられたアテスターのマネージャー (idmManager) にエスカレーションされるか、または、アテスターの idmManager の値が null の場合は Configurator にエスカレーションされます。

エスカレーションタイムアウト値は、分単位、時間単位、または日単位で指定できます。

「レビュー決定規則」 - スキャンプロセスがエンタイトルメントレコードの処置を決定する方法を指定する場合は、次のいずれかの規則を選択します。このフィールドは必須です。

「Reject Changed Users」 - 同じアクセススキャン定義による最後のユーザーエンタイトルメントと異なっていて、最後のユーザーエンタイトルメントが承認されているユーザーエンタイトルメントレコードを自動的に却下します。これを選択しない場合は、以前に承認されたユーザーエンタイトルメントから変更されたすべてのユーザーエンタイトルメントを手動でアテステーションおよび承認する必要があります。デフォルトでは、この規則に対して、ユーザービューの「アカウント」部分のみが比較されます。

「Review Changed Users」 - 同じアクセススキャン定義による最後のユーザーエンタイトルメントと異なっていて、最後のユーザーエンタイトルメントが承認されているすべてのユーザーエンタイトルメントレコードの手動アテステーションを強制します。以前に承認されたユーザーエンタイトルメントから変更されていないユーザーエンタイトルメントはすべて承認します。デフォルトでは、この規則に対して、ユーザービューの「アカウント」部分のみが比較されます。

「Review Everyone」 - すべてのユーザーエンタイトルメントレコードの手動アテステーションを強制します。



注	「Reject Changed Users」規則と「Review Changed Users」規則では、ユーザーエンタイトルメントを、そのエンタイトルメントレコードが承認されたアクセススキャンの最後のインスタンスと比較します。この動作を変更するには、規則をコピーし、ユーザーデータの特定の部分のみを比較するように修正します。規則のカスタマイズについては、『Identity Manager 配備ツール』を参照してください。

この規則は次の値を返します。

-1 －アテステーションを必要としない

0 －アテステーションを自動的に却下する

1 －手動のアテステーションが必要

2 －アテステーションを自動的に承認する

3 －アテステーションを自動的に是正する (自動是正)

「是正者規則」－ 自動是正の場合に、特定のユーザーエンタイトルメントを是正するユーザーを特定するときに使用する規則を選択します。この規則により、ユーザーの現在のユーザーエンタイトルメントと違反を調査できます。規則は是正すべきユーザーのリストを返す必要があります。規則を指定しない場合、是正は行われません。この規則は一般的に、エンタイトルメントにコンプライアンス違反がある場合に使用します。

「是正ユーザーフォーム規則」－ ユーザーの編集時に、アテステーション是正者に適切なフォームを選択する場合に使用する規則を選択します。是正者は独自のフォームを設定でき、このフォームより優先されます。このフォーム規則は、スキャンでカスタムフォームに一致する厳密に限定されたデータを収集する場合に設定します。

「通知ワークフロー」 - 作業項目ごとに通知動作を指定する場合は、次のオプションのいずれかを選択します。

「なし」 - これがデフォルトの選択です。これを選択すると、アテスターは、アテステーションの必要があるユーザーエンタイトルメントごとに電子メール通知を受け取ります。

「ScanNotification」 - これを選択すると、アテステーションリクエストが 1 つの通知にまとめられます。通知には、その受信者に何件のアテステーションリクエストが割り当てられたかが示されます。

アクセススキャンで「レビュープロセスの所有者」が指定されている場合、ScanNotification ワークフローでは、スキャンの開始時と終了時に、レビュープロセスの所有者にも通知が送信されます。手順 9 を参照してください。

ScanNotification ワークフローでは、次の電子メールテンプレートを使用します。

Access Scan Begin Notice

Access Scan End Notice

Bulk Attestation Notice

ScanNotification ワークフローはカスタマイズできます。

「違反の最大値」 - このオプションを使用すると、コンプライアンス違反の数がここで設定した数値に達した時点で、スキャンを強制終了します。デフォルトの制限は 1000 です。フィールドの値を空にした場合は、制限なしと同じです。

通常、監査スキャンまたはアクセススキャンでは、ポリシー違反の数はユーザー数に比べると少ないですが、この値を設定すると、欠陥のあるポリシーによって違反数が大幅に増えた場合の保護対策になります。たとえば、次のようなシナリオを考えてみます。

50,000 ユーザーのアクセススキャンで、ユーザーあたり 2 ～ 3 個の違反が発生すると、各コンプライアンス違反の是正にかかるコストは Identity Manager システムに有害な影響を及ぼす可能性があります。

「組織」 - このアクセススキャンオブジェクトで使用可能な組織を選択します。これは必須フィールドです。

アクセススキャンの削除

1 つ以上のアクセススキャンを削除できます。アクセススキャンを削除するには、「コンプライアンス」タブで「アクセススキャンの管理」を選択し、スキャンの名前を選択して「削除」をクリックします。

アクセスレビューの管理

アクセススキャンを定義したあと、そのスキャンをアクセスレビューの一部として使用またはスケジュールすることができます。アクセスレビューの開始後、いくつかのオプションを使用してレビュープロセスを管理できます。詳細については、次のセクションを参照してください。

アクセスレビューの起動

管理者インタフェースからアクセスレビューを起動するには、次のいずれかの方法を使用します。

「コンプライアンス」>「アクセスレビュー」ページから、「レビューの起動」をクリックします。

「サーバータスク」>「タスクの実行」ページでアクセスレビュータスクを選択します。

表示された「タスクの起動」ページで、アクセスレビューの名前を指定します。「利用可能なアクセススキャン」リストでスキャンを選択し、「選択されたアクセススキャン」リストに移動させます。複数のスキャンを選択した場合は、次のいずれかの起動オプションを選択できます。

「すぐに起動」 - 「起動」ボタンをクリックすると、ただちにスキャンの実行が開始されます。起動タスクで複数のスキャンに対してこのオプションを選択した場合は、各スキャンが並行して実行されます。

「起動までの (待機時間)」 - アクセスレビュータスクを起動した時間を基準として、スキャンを起動するまでの待機時間を指定することができます。



注	1 つのアクセスレビューセッションで複数のスキャンを開始できます。ただし、各スキャンのユーザー数が多いと、スキャンプロセスの完了に長時間かかる可能性があることを考慮してください。それぞれの状況に応じた方法でスキャンを管理することをお勧めします。たとえば、1 つのスキャンをただちに実行し、その他のスキャンは時間をずらしてスケジュールすることもできます。

アクセスレビュープロセスを開始するには、「起動」をクリックします。

アクセスレビューを起動すると、プロセスの手順を示すワークフロープロセス図が表示されます。

アクセスレビュータスクのスケジュール


注	アクセスレビューに割り当てる名前は重要です。同じ名前で定期的に実行されたアクセスレビューを、いくつかのレポートで比較できます。

アクセスレビュータスクは、「サーバータスク」エリアでスケジュールできます。たとえば、定期的にアクセスレビューを行う場合は、「スケジュールの管理」を選択し、スケジュールを定義します。毎月、または四半期ごとにタスクを実行するようにスケジュールできます。

スケジュールを定義するには、「タスクのスケジュール」ページでアクセスレビュータスクを選択し、タスクスケジュールの作成ページに情報を入力します。

「保存」をクリックして、スケジュールしたタスクを保存します。

アクセスレビューの進行状況の管理


注	Identity Manager では、アクセスレビュータスクの結果は、デフォルトで 1 週間維持されます。1 週間に 1 回よりも短い間隔でレビューをスケジュールする場合は、「結果オプション」を「削除」に設定します。「結果オプション」が「削除」に設定されていない場合は、前のタスク結果がまだ存在しているため新しいレビューは実行されません。

アクセスレビューの進行状況を監視するには、「アクセスレビュー」タブを使用します。この機能には「コンプライアンス」タブからアクセスします。

「アクセスレビュー」タブから、すべてのアクティブなアクセスレビューおよび以前に処理されたアクセスレビューの概要をレビューできます。一覧表示されるアクセスレビューごとに、次の情報が表示されます。

「ステータス」 - レビュープロセスの現在のステータス。初期化中、終了中、終了、進行中のスキャンの数、スケジュールされているスキャンの数、アテステーションを待機中、完了のいずれかになります。

「起動日」 - アクセスレビュータスクが開始された日付 (タイムスタンプ)。

「全ユーザー数」 - スキャン対象のユーザーの総数。

「エンタイトルメントの詳細」 - テーブルの追加の列に、ステータス別のエンタイトルメントの総数を表示します。これには、保留中、承認済み、却下済み、終了、是正済みのエンタイトルメントの詳細と、エンタイトルメント総数が含まれます。

レビューの詳細情報を表示するには、そのレビューを選択して概要レポートを開きます。

図 11-16 に、アクセスレビュー概要レポートの例を示します。

「組織 (Organization)」または「アテスター (Attestors)」フォームタブをクリックして、それらのオブジェクト別に分類されたスキャン情報を表示します。

「アクセスレビュー概要レポート」を実行することにより、レポートのこの情報をレビューおよびダウンロードすることもできます。

スキャン属性の変更

アクセススキャンの設定後、スキャンを編集して新しいオプションを指定できます。たとえば、スキャンするターゲットリソースの指定、アクセススキャンの実行中に違反をスキャンする監査ポリシーの指定などを行うことができます。

スキャン定義を編集するには、「アクセススキャン」リストから目的のスキャンを選択し、「アクセスレビュースキャンの編集」ページで属性を変更します。

スキャン定義の変更を保存するには、「保存」をクリックする必要があります。

アクセスレビューのキャンセル


注	アクセススキャンの範囲を変更すると、レビュー決定規則でユーザーエンタイトルメントを以前のユーザーエンタイトルメントレコードと比較している場合、その規則に影響する可能性があるため、新しく獲得されるユーザーエンタイトルメントレコードの情報が変わることがあります。

「アクセスレビュー」ページで「終了」をクリックすると、選択された進行中のレビューを停止します。レビューを終了すると、次のアクションが発生します。

スケジュールされたスキャンがすべてスケジュール解除される

アクティブなスキャンがすべて停止される

保留中のすべてのワークフローと作業項目が削除される

保留中のすべてのアテステーションにキャンセルのマークが付けられる

ユーザーが完了したすべてのアテステーションが変更されないままになる

アクセスレビューの削除

「アクセスレビュー」ページで「削除」をクリックして、選択されたレビューを削除します。

アクセスレビューのタスクのステータスが「TERMINATED」または「COMPLETED」の場合、そのアクセスレビューを削除できます。進行中のアクセスレビュータスクは、終了させなければ削除できません。

アクセスレビューを削除すると、そのレビューで生成されたすべてのユーザーエンタイトルメントレコードも削除されます。削除アクションは監査ログに記録されます。

アクセスレビューを削除するには、「アクセスレビュー」ページから、「削除」をクリックします。

アテステーション作業の管理

アテステーションリクエストの管理は、Identity Manager の管理者インタフェースまたはユーザーインタフェースで行うことができます。この節では、アテステーションリクエストへの応答、およびアテステーションに必要な作業について説明します。

アクセスレビューの通知

スキャン中、アテステーションリクエストの承認が必要になると、Identity Manager からアテスターに通知が送信されます。アテスターの役割が委任されている場合、そのリクエストは委任者に送信されます。複数のアテスターが定義されている場合は、それぞれのアテスターが電子メール通知を受け取ります。


注	アクセスレビューをキャンセルし、削除すると、大量の Identity Manager オブジェクトやタスクを更新する可能性があるため、完了するまでに数分かかることがあります。処理の進行状況は、「サーバータスク」>「すべてのタスク」でタスクの結果を表示して確認できます。

Identity Manager インタフェースでは、リクエストは「アテステーション」作業項目として表示されます。保留中のアテステーション作業項目は、割り当てられたアテスターが Identity Manager にログインしたときに表示されます。

保留中のリクエストの表示

インタフェースの「作業項目」エリアからアテステーション作業項目を表示します。「作業項目」エリアの「アテステーション」タブを選択すると、承認を必要としているすべてのエンタイトルメントレコードが一覧表示されます。「アテステーション」ページでは、すべての直属の部下のエンタイトルメントレコードや、直接または間接的に管理している特定のユーザーのエンタイトルメントレコードも表示できます。

エンタイトルメントレコードの操作

アテステーション作業項目には、レビューを必要とするユーザーエンタイトルメントレコードが含まれます。エンタイトルメントレコードは、ユーザーアクセス特権、割り当てられたリソース、およびポリシー違反に関する情報を提供します。

アテステーションリクエストに想定される応答を次に示します。

「承認」 - エンタイトルメントレコードに記録された日付において適切なエンタイトルメントであることを認証します。

「却下」 - エンタイトルメントレコードに現時点では検証または是正できない矛盾がある可能性があることを示します。

「再スキャン」 －再スキャンをリクエストし、ユーザーのエンタイトルメントを再評価します。

「転送」 - 別の受信者がレビューするように指定できます。

「拒否」 - このレコードのアテステーションを適切に行えない場合、あるいは、より適切なアテスターがわからない場合にこのオプションを選びます。アテステーション作業項目は、レビュープロセスの所有者に転送されます。このオプションは、アクセスレビュータスクにレビュープロセスの所有者が定義されている場合にのみ使用できます。

指定されたエスカレーションタイムアウト時間までにアテスターがこれらのアクションのいずれかを実行することでリクエストに応答しなかった場合は、エスカレーションチェーン内の次のアテスターに通知が送信されます。通知プロセスは、応答がログに記録されるまで続行されます。

「コンプライアンス」>「アクセスレビュー」タブで、アテステーションステータスを監視できます。

クローズループ是正

ユーザーエンタイトルメントを却下する前に、次の手順を実行できます。

修正が必要なエンタイトルメントに対して、ほかのユーザーに修正をリクエストすること (是正のリクエスト) ができます。この場合、新しい是正作業項目が作成されるので、その作業項目に対して 1 人以上の是正者を割り当てます。

エンタイトルメントの再評価 (再スキャン) をリクエストします。この場合、ユーザーエンタイトルメントは再スキャンされ、再評価されます。元のアテステーション作業項目はクローズされます。アクセススキャンに定義された規則によりエンタイトルメントにまだアテステーションが必要と判断された場合は、新しいアテステーション作業項目が作成されます。

是正のリクエスト

アクセススキャンで定義されている場合、保留中のアテステーションを別のユーザーに配信して是正してもらうことができます。

別のユーザーから是正をリクエストするには、次の手順を実行します。


注	「アクセススキャンの作成」ページまたは「アクセススキャンの編集」ページの「動的エンタイトルメント」オプションで、この機能を有効にします。

アテステーションのリストから 1 つ以上のエンタイトルメントを選択し、「是正のリクエスト」をクリックします。

「是正のリクエストの選択と確認」ページが表示されます。

ユーザー名を入力して、「追加」をクリックし、そのユーザーを「転送先」フィールドに追加します。または、「...」ボタンをクリックして、ユーザーを検索します。検索リストのユーザーを選択して、「追加」をクリックし、そのユーザーを「転送先」リストに追加します。「閉じる」をクリックして、検索エリアを閉じます。

「コメント」フィールドにコメントを入力して、「続行」をクリックします。

Identity Manager はアテステーションのリストを返します。



注	各ユーザーエンタイトルメントの「履歴」エリアに是正リクエストの詳細が表示されます。

アテステーションの再スキャン

アクセススキャンで定義されている場合、保留中のアテステーションを再スキャンし、再評価することができます。

保留中のアテステーションを再スキャンするには、次を実行します。


注	「アクセススキャンの作成」ページまたは「アクセススキャンの編集」ページの「動的エンタイトルメント」オプションで、この機能を有効にします。

アテステーションのリストから 1 つ以上のエンタイトルメントを選択し、「再スキャン」をクリックします。

「ユーザーエンタイトルメントの再スキャン」ページが表示されます。

「コメント」エリアに再スキャンアクションに関するコメントを入力して、「続行」をクリックします。

アテステーション作業項目の転送

1 つ以上のアテステーション作業項目をほかのユーザーに転送できます。アテステーションを転送するには、次の手順を実行します。

アテステーションのリストから 1 つ以上の作業項目を選択し、「転送」をクリックします。

「転送先の選択と確認」ページが表示されます。

「転送先」フィールドにユーザー名を入力します。または、「...」ボタンをクリックして、ユーザー名を検索します。

「コメント」フィールドに、転送アクションに関するコメントを入力します。

「続行」をクリックします。

Identity Manager はアテステーションのリストを返します。



注	各ユーザーエンタイトルメントの「履歴」エリアに転送アクションの詳細が表示されます。

アクセスレビューアクションのデジタル署名

アクセスレビューアクションを処理するデジタル署名を設定できます。デジタル署名の設定については、「承認の署名」を参照してください。その節では、署名付き承認のために証明書と CRL を Identity Manager に追加するために必要なサーバー側とクライアント側の設定について説明しています。

アクセスレビューレポート

Identity Manager では、次のレポートでアクセスレビューの結果を評価できます。

「アクセスレビュー範囲レポート」 - このレポートは、選択したアクセスレビューによって示されたユーザー間のオーバーラップまたは差異を特定します。ほとんどのアクセスレビューでは、ユーザークエリーまたは何らかのメンバーシップの操作によって、ユーザーの範囲が指定されるため、厳密なユーザーセットは時間の経過とともに変化すると予想されます。

「アクセスレビュー詳細レポート」 - このレポートには、以下の情報が表形式で表示されます。

「名前」 - ユーザーエンタイトルメントレコードの名前

「アテスター」 - そのレコードのアテスターとして割り当てられた Identity Manager ユーザー

「スキャン日」 - スキャンが行われた日付として記録されたタイムスタンプ

「処理日」 - エンタイトルメントレコードがアテストされた日付 (タイムスタンプ)

「組織」 - エンタイトルメントレコード内のユーザーの組織

「マネージャー」 - スキャンされたユーザーのマネージャー

「リソース」 - このユーザーエンタイトルメントに取得された、ユーザーがアカウントを持つリソース

「違反」 - レビューで検出された違反の数

ユーザーエンタイトルメントレコードを開くには、レポート内で名前をクリックします。図 11-17 は、ユーザーエンタイトルメントレコードの情報の表示例を示します。

「アクセスレビュー概要レポート」 - このレポートは、「アクセスレビューの進行状況の管理」でも説明されており、図 11-16 にも示されています。このレポートには、レポート用に選択したアクセススキャンに関する以下の概要情報が表示されます。

「名前」 - アクセススキャンの名前

「日付」 - レビューが起動された時のタイムスタンプ

「ユーザー数」 - レビューでスキャンされたユーザーの数

「エンタイトルメント数」 - 生成されたエンタイトルメントレコードの数

「承認済み」 - 承認されたエンタイトルメントレコードの数

「却下済み」 - 却下されたエンタイトルメントレコードの数

「保留中」 - まだ保留中のエンタイトルメントレコードの数

「キャンセル済み」 - キャンセルされたエンタイトルメントレコードの数

これらのレポートは、「レポートの実行」ページから PDF (Portable Document Format) 形式または CSV (カンマ区切り値) 形式でダウンロードできます。

アクセスレビュー是正

コンプライアンス違反の是正と受け入れ、およびアクセスレビューの是正は、「作業項目」タブの「是正」エリアから管理します。ただし、この 2 つの是正タイプには違いがあります。この節では、アクセスレビューの是正の一意の動作、「コンプライアンス違反の是正と受け入れ」で説明している是正タスクおよび情報との違いを説明します。

アクセスレビュー是正について

アテスターがユーザーエンタイトルメントを是正するように要求する場合、Standard Attestation ワークフローによって、是正リクエストを作成します。このリクエストは「是正者」によって処理される必要があります。是正者とは、是正リクエストの評価と応答を許可されている、指定されたユーザーです。

問題は是正のみ可能で、受け入れることはできません。問題が解決されるまで、アテステーションを続行できません。

アクセスレビューによって是正者が指定された場合、アクセスレビューダッシュボードで、レビューにかかわるすべてのアテスターと是正者が追跡されます。

是正者のエスカレーション

アクセスレビューの是正リクエストは、最初の是正者より上にエスカレーションされません。

是正ワークフローのプロセス

アクセスレビューの是正のロジックは、Standard Attestation ワークフローに定義します。

アテスターがユーザーエンタイトルメントの是正をリクエストした場合、Standard Attestation ワークフローは次のようになります。

是正が必要なユーザーエンタイトルメントに関する情報を含む是正リクエスト (タイプ accessReviewRemediation) を生成します。

リクエストされた是正者に電子メールを送信します。

新しい是正者は、Identity Manager を使用して、または別の方法でユーザーを編集し、違反している箇所を是正できた場合には作業項目を是正済みとしてマークします。その時点で、ユーザーエンタイトルメントは再スキャンされ、再評価されます。

是正応答

デフォルトでは、アクセスレビュー是正者は次の 3 つの応答オプションから選択できます。

「是正」 －是正者は、何らかの処理を行なって問題を修正したことを示します。

「転送」 －是正者は、是正リクエストを解決するために別の人物に再割り当てします。

「ユーザーの編集」 －是正者は、問題を是正するためにユーザーを直接編集します。

「是正」ページの操作

アクセスレビュー是正作業項目であるすべての是正作業項目の「タイプ」列に、UE (ユーザーエンタイトルメント) と表示されます。

サポートされないアクセスレビュー是正アクション

アクセスレビュー是正では、優先度と受け入れ機能がサポートされません。

アイデンティティー監査タスクのリファレンス

表 11-3 は、通常実行されるアイデンティティー監査タスクのクイックリファレンスです。この表では、各タスクを開始するための主要な Identity Manager インタフェースの場所を示します。そのタスクを実行できる場所または方法がほかにもある場合には、それらも示します。

表 11-3 アイデンティティー監査タスクのリファレンス
操作	ナビゲーション
監査ポリシーの作成、編集、または削除	「コンプライアンス」タブ、「ポリシーの管理」サブタブ
監査ポリシーの是正者の定義および是正ワークフローの割り当て	「コンプライアンス」タブ、「ポリシーの管理」サブタブ
1 人以上のユーザーまたは 1 つ以上の組織に対する監査スキャンの実行	「アカウント」タブ、「ユーザーアクション」リストまたは「組織アクション」リストから「スキャン」を選択
ポリシー違反是正リクエストに対する応答	「作業項目」タブ、「是正」サブタブ
ポリシー違反の受け入れ	「作業項目」タブ、「是正」サブタブ
是正されたポリシー違反のレビュー	「作業項目」タブ、「是正」サブタブ
監査ポリシーレポートの生成	「レポート」タブ、「レポートの実行」サブタブ
監査の無効化または有効化	「設定」タブ、「監査」サブタブ
イベント監査取得のセットアップ	「設定」タブ、「監査」サブタブ
管理者監査機能の編集	「セキュリティー」タブ、「機能」サブタブ
監査通知用の電子メールテンプレートのセットアップ	「設定」タブ、「電子メールテンプレート」サブタブ
データファイル/規則のインポート (XML 形式のフォームなど)	「設定」タブ、「交換ファイルのインポート」サブタブ
アクセスレビュースキャンの定義	「コンプライアンス」タブ、「スキャンの管理」サブタブ
アクセスレビューの実行	「コンプライアンス」タブ、「アクセスレビュー」サブタブ
アクセスレビューの終了	「コンプライアンス」タブ、「アクセスレビュー」サブタブ
アクセスレビューのスケジュール	「サーバータスク」タブ、「スケジュールの管理」サブタブ
定期的アクセスレビューのセットアップ	「コンプライアンス」タブ、「アクセススキャンの管理」サブタブ
アクセスレビューステータスの監視	「コンプライアンス」タブ、「アクセスレビュー」サブタブ
アテスターの設定	「コンプライアンス」タブ、「アクセススキャンの管理」サブタブ
アテスターの作業の実行 (ユーザーエンタイトルメントのレビューと保証)	「作業項目」タブ、「自分の作業項目」タブ、「アテステーション」サブタブ
職務分掌レポートのレビュー	「レポート」タブ、「レポートの実行」サブタブ

前へ目次索引次へ
Sun Java™ System Identity Manager 7.1 管理ガイド