監査ポリシーについて
「監査ポリシー」は、1 つ以上のリソースのユーザーのセットに対するアカウント制限を定義します。監査ポリシーは、ポリシーの制限を定義する「規則」と、発生した違反を処理する「ワークフロー」から構成されます。監査スキャンは監査ポリシーで定義された条件を使用して、組織内で違反が起きたかどうかを評価します。
監査ポリシーは次のコンポーネントで構成されます。
-
ポリシー規則は特定の違反を定義します。ポリシー規則には、XPRESS、XML オブジェクト、または JavaScript 言語で作成された関数を含めることができます。
-
「是正ワークフロー」は、監査スキャンでポリシー規則違反が検出されたときに (オプションとして) 起動されます。
-
「是正者」は、ポリシー違反に応答することが許可されている、指定されたユーザーです。是正者は、個別のユーザーでもユーザーグループでもかまいません。
監査ポリシー規則を使用したポリシーの作成
監査ポリシー内では、規則によって、属性に基づいた競合の可能性を定義します。1 つの監査ポリシーに、広範囲のリソースを参照する多数の規則を含めることができます。規則の評価時に、規則は 1 つ以上のリソースからのユーザーアカウントデータにアクセスします。監査ポリシーで、規則に使用できるリソースを制限できます。
1 つのリソースの 1 つの属性のみをチェックする規則、または複数のリソースの複数の属性をチェックする規則を設定できます。
是正ワークフローによるポリシー違反への対応
ポリシー違反を定義する規則を作成したら、監査スキャン中に違反が検出されたときに起動するワークフローを選択します。Identity Manager には、デフォルトの標準是正ワークフローが用意されています。このワークフローは、監査ポリシースキャンに対してデフォルトの是正処理を行います。たとえば、このデフォルトの是正ワークフローでは、レベル 1 是正者として指定された各是正者に対して通知電子メールが生成され、必要な場合はそれ以下のレベルの是正者にも生成されます。
注 –
Identity Manager ワークフロープロセスと異なり、是正ワークフローには AuthType=AuditorAdminTask および SUBTYPE_REMEDIATION_WORKFLOW のサブタイプを割り当てる必要があります。監査スキャンで使用するワークフローをインポートする場合は、この属性を手動で追加する必要があります。詳細については、「Identity Manager への職務分掌規則のインポート (省略可能)」を参照してください。
是正者の指定
是正ワークフローを割り当てる場合は、1 人以上の是正者を指定する必要があります。3 レベルまでの監査ポリシーの是正者を指定できます。是正の詳細については、「コンプライアンス違反の是正と受け入れ」を参照してください。
是正者を割り当てるには、その前に是正ワークフローを割り当てる必要があります。
監査ポリシーのシナリオ例
買掛金と売掛金の責任者であり、経理部で働く従業員が担当する金額の総計が危険な額に達しないようにするための措置を講じる必要があると仮定します。このポリシーでは、買掛金の担当者が売掛金の担当も兼ねていないかどうかを確認する必要があります。
監査ポリシーには、次のものが含まれます。
-
一連の規則。それぞれ、ポリシー違反となる条件を指定します。
-
是正タスクを起動するワークフロー。
-
前述の規則で作成されたポリシー違反を参照し、それに応答する権限を持つ、指定された管理者 (是正者) のグループ。
規則によってポリシー違反 (この例では、過剰な権限を持つユーザー) が検出されると、関連付けられたワークフローで特定の是正関連タスク (指定された是正者への自動通知など) を起動することができます。
レベル 1 是正者は、監査スキャンでポリシー違反が検出されたときに連絡される最初の是正者です。監査ポリシーで 2 レベル以上の是正者が指定されている場合、この領域で指定されたエスカレーション期間を過ぎると、Identity Manager は次のレベルの是正者に通知します。
次の節の「監査ポリシーの操作」では、監査ポリシーウィザードを使用して監査ポリシーを作成する方法について説明します。
- © 2010, Oracle Corporation and/or its affiliates