監査ポリシーの名前と説明の指定
監査ポリシーウィザードに、新しいポリシーの名前と簡単な説明を入力します (図 14–1)。
図 14–1 監査ポリシーウィザード: 名前と説明の入力画面
注 –
監査ポリシー名には、次の文字を使用できません。' (アポストロフィー)、. (ピリオド)、| (パイプ)、[ (左角括弧)、] (右角括弧)、, (コンマ)、: (コロン)、$ (ドル記号)、“ (二重引用符)、\ (バックスラッシュ)、= (等号)。
また、_ (下線)、% (パーセント記号)、^ (キャレット)、および * (アスタリスク) の使用も避けてください。
スキャン実行時のアクセス対象を、選択したリソースだけに制限する場合は、「ターゲットリソースを制限」オプションを選択します。
違反の是正として、ただちにユーザーを再スキャンする場合は、「違反の再スキャンを許可」オプションを選択します。
注 –
監査ポリシーでリソースを制限しない場合、スキャンでは、ユーザーがアカウントを持つすべてのリソースがアクセスされます。規則で使用するリソースが少ない場合は、ポリシーの適用をそれらのリソースに限定するほうが効率的です。
「次へ」をクリックして次のページに進みます。
規則のタイプを選択する
このページで、ポリシーの規則を定義または追加するプロセスを開始します。ポリシー作成時の作業の大部分は、規則の定義と作成です。
次の図に示すように、Identity Manager の規則ウィザードを使用して独自の規則を作成するか、または既存の規則を組み込むことができます。規則ウィザードでは、1 つの規則で使用できるリソースは 1 つだけです。インポートした規則では、必要なだけの数のリソースを参照できます。
-
新しい規則を作成するか、既存の規則を使用するかを決定します。
次のオプションのいずれかを選択します。
-
新しい規則を作成する場合は、「規則ウィザード」オプションを選択します (デフォルト)。
-
Identity Manager IDE を使用して作成した既存の規則を組み込む場合は、「既存の規則」オプションを選択します。
-
-
「次へ」をクリックします。
-
手順 1 の選択に基づいて、次のいずれかの操作を行います。
-
「規則ウィザード」を選択した場合は、「規則ウィザードを使用した新しい規則を作成する」に進み、説明されている手順に従ってください。
-
「既存の規則」を選択した場合は、「既存の規則を選択する」に進み、説明されている手順に従ってください。
-
既存の規則を選択する
新しいポリシーに既存の規則を含めるには、「規則の種類の選択」画面で「既存の規則」を選択し、「次へ」をクリックします。次に、「既存の規則の選択」ドロップダウンメニューから既存の監査ポリシー規則を選択します。
注 –
以前に Identity Manager にインポートした規則の名前が表示されない場合は、「監査ポリシー規則を使用したポリシーの作成」で説明した追加属性を規則に追加していることを確認してください。
「次へ」をクリックします。
「規則の追加」に進みます。
規則ウィザードを使用した新しい規則を作成する
監査ポリシーウィザードで「規則ウィザード」を選択して規則を作成する場合は、次の節で説明するページに情報を入力していきます。
新しい規則に名前を付けて説明する
オプションの作業として新しい規則に名前を付けて説明します。このページでは、Identity Manager で規則が表示されるときに規則名の横に表示される説明テキストを入力します。規則の内容を示す簡潔でわかりやすい説明を入力します。この説明は、Identity Manager の「ポリシー違反のレビュー」ページ内に表示されます。
図 14–2 監査ポリシーウィザード: 規則の説明の入力画面
たとえば、Oracle ERP responsibilityKey の Payable User 属性値と Receivable User 属性値の両方を持つユーザーを検出する規則を作成する場合は、「説明」フィールドに「Payable User と Receivable User の両方の役割を持つユーザーを検出する」などのテキストを入力します。
規則に関する追加情報を入力する場合は、「コメント」フィールドを使用します。
規則で参照するリソースの選択
このページでは、規則で参照するリソースを選択します。各規則変数は、このリソースの属性に対応している必要があります。このオプションリストには、表示アクセス権を持つすべてのリソースが表示されます。この例では、「Oracle ERP」が選択されています。
図 14–3 監査ポリシーウィザード: リソースの選択画面
注 –
使用可能な各リソースアダプタのほとんどの属性 (ただし全部ではない) がサポートされています。利用可能な特定の属性の詳細については、『Sun Identity Manager 8.1 Resources Reference 』を参照してください。
「次へ」をクリックして次のページに進みます。
規則式の作成
この画面では、新しい規則の規則式を入力します。この例では、Oracle ERP responsibilityKey の Payable User 属性値を持つユーザーは、Receivable User 属性値を同時に持つことができないという規則を作成します。
規則式を作成する
-
使用可能な属性のリストからユーザー属性を選択します。この属性は、規則変数に直接対応します。
-
リストから論理条件を選択します。有効な条件には、「=」(等しい)、「!=」(等しくない)、「<」(より小さい)、「<=」(より小さいまたは等しい)、「>」(より大きい)、「>=」(より大きいまたは等しい)、「が true である」、「が null である」、「が null でない」、「が空の文字列である」、および「が右の文字列を含む」があります。この例では、使用できる属性条件のリストから「contains」を選択します。
-
式の値を入力します。たとえば、「Payable user」と入力した場合は、responsibilityKeys 属性の Payable user値を持つ Oracle ERP ユーザーを指定したことになります。
-
(省略可能) 「AND」または「OR」の演算子をクリックし、行を追加して、別の式を作成します。
図 14–4 監査ポリシーウィザード: 規則式の選択画面
この規則はブール値を返します。両方のステートメントが true の場合、ポリシー規則は、ポリシー違反となる TRUE の値を返します。
注 –Identity Manager では、入れ子になった規則の制御はサポートされません。また、監査ポリシーウィザードを使用して、規則間で異なるブール演算子を使用したポリシーを作成すると、評価の順序が指定されていないため、予期しない結果となる可能性があります。
複雑な規則式の場合は、監査ポリシーウィザードを使用するのではなく、XML エディタを使用して規則を作成してください。XML エディタを使用すると、必要な場所で否定を指定し、ルール間で 1 つのブール演算子のみを使用するようにできます。
次のコード例は、この画面で作成した規則の XML を示しています。
<Description>Payable User/Receivable User</Description> <RuleArgument name=’resource’ value=’Oracle ERP’> <Comments>Resource specified when audit policy was created.</Comments> <String>Oracle ERP</String> </RuleArgument> <and> <contains> <ref>accounts[Oracle ERP].responsibilityKeys</ref> <s>Receivable User</s> </contains> <contains> <ref>accounts[Oracle ERP].responsibilityKeys</ref> <s>Payables User</s> </contains> </and> <MemberObjectGroups> <ObjectRef type=’ObjectGroup’ id=’#ID#Top’ name=’Top’/> </MemberObjectGroups> </Rule>規則から式を削除するには、属性条件を選択して「削除」をクリックします。
「次へ」をクリックして監査ポリシーウィザードを続行します。既存の規則を追加するか、もう一度ウィザードを使用して、より多くの規則を追加することができます。
- © 2010, Oracle Corporation and/or its affiliates