監査レポートの操作

Identity Manager には、多数の監査レポートが用意されています。次の表で、それらのレポートについて説明します。

表 15–1 監査レポートの説明

監査レポートのタイプ	説明
アクセスレビュー範囲	選択したアクセスレビューによって示されたユーザーのオーバーラップと差異を表示します。ほとんどのアクセスレビューでは、ユーザークエリーまたは何らかのメンバーシップの操作によって、ユーザーの範囲が指定されるため、厳密なユーザーセットは時間の経過とともに変化すると予想されます。このレポートには、2 つの異なるアクセスレビューによって指定されたユーザー間 (操作でレビューが効率的に行われるかどうかを確認するため)、2 つの異なるアクセスレビューによって生成されたエンタイトルメント間 (時間の経過とともに範囲が変化するかどうかを確認できる)、またはユーザーとエンタイトルメント間 (レビューの対象とされているすべてのユーザーに対して、エンタイトルメントが生成されたかどうかを確認できる) のオーバーラップまたは差異、あるいはその両方を表示することができます。
アクセスレビュー詳細	すべてのユーザーエンタイトルメントレコードの現在のステータスが表示されます。このレポートは、ユーザーの組織、アクセスレビューとアクセスレビューインスタンス、エンタイトルメントレコードの状態、およびアテスターによってフィルタリングできます。
アクセスレビューの概要	すべてのアクセスレビューに関する概要情報が表示されます。一覧表示されたアクセスレビュースキャンごとに、スキャンしたユーザー、スキャンしたポリシー、およびアテステーションアクティビティーのステータスの概要が表示されます。
アクセススキャンユーザー範囲	選択されたスキャンを比較して、スキャン範囲に含まれるユーザーを判断します。このレポートによって、オーバーラップ (すべてのスキャンに含まれるユーザー) または差異 (すべてのスキャンには含まれないが、1 つ以上のスキャンに含まれるユーザー) が表示されます。このレポートは、スキャンの用途に応じて、同一のユーザーセットを、あるいは異なるユーザーセットを網羅するように複数のアクセススキャンを編成する場合に便利です。
監査ポリシーの概要	各ポリシーの規則、是正者、ワークフローなど、すべての監査ポリシーの主要な要素の概要が表示されます。
監査属性	指定されたリソースアカウント属性の変更を示すすべての監査レコードが表示されます。  このレポートでは、格納されているすべての監査可能属性に関する監査データが調べられます。すべての拡張属性に基づいてデータが調べられます。 拡張属性は、WorkflowServices または監査可能としてマークされたリソース属性から指定できます。このレポートの設定については、「監査された属性のレポートの設定」を参照してください。
違反履歴 (監査ポリシー別)	指定された期間中に作成されたすべてのコンプライアンス違反がポリシー別にグラフ形式で表示されます。このレポートはポリシーのフィルタを適用でき、日、週、月、四半期でグループ化することができます。
ユーザーアクセス	指定されたユーザーの監査レコードとユーザー属性が表示されます。
組織別違反履歴	一定期間中に作成されたすべてのコンプライアンス違反が組織別にグラフ形式で表示されます。組織のフィルタを適用でき、日、週、月、四半期でグループ化することができます。
リソース別違反履歴	指定された期間中に作成されたすべてのコンプライアンス違反がリソース別にグラフ形式で表示されます。
職務分掌	競合テーブルに配置された職務分掌違反が表示されます。Web ベースインタフェースでは、リンクをクリックすると追加情報にアクセスできます。  このレポートは、組織でフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。
違反の概要	現在のコンプライアンス違反がすべて表示されます。このレポートは、是正者、リソース、規則、ユーザー、またはポリシーによってフィルタリングできます。

これらのレポートは、Identity Manager インタフェースの「レポート」タブから利用できます。

---

注 –

RULE_EVAL_COUNT 値は、ポリシースキャンの間に評価された規則の数と同じです。この値はレポートに含まれることがあります。

Identity Manager は、RULE_EVAL_COUNT 値を次のように計算します。

スキャンしたユーザーの数 x (ポリシー内の規則の数 + 1)

「+1」が計算に含まれているのは、ポリシー違反であるかどうかを実際に決定する規則であるポリシー規則も数えられているからです。ポリシー規則は監査の規則の結果を調べ、ブール式のロジックを実行してポリシーの結果を見つけ出します。

たとえば、3 つの規則があるポリシー A と 2 つの規則があるポリシー B が存在し、10 人のユーザーをスキャンした場合、RULE_EVAL_COUNT 値は、次の計算によって 70 になります。

10 ユーザー x (3 + 1 + 2 + 1 規則)

---

監査レポートの作成

レポートを実行するには、まず、レポートテンプレートを作成する必要があります。レポートでは、レポート結果を受け取る電子メール受信者など、さまざまな条件を指定できます。レポートテンプレートを作成して保存すると、「レポートの実行」ページからそのレポートを使用できるようになります。

次の図に、定義済み監査レポートのリストが表示された「レポートの実行」ページの例を示します。

図 15–2 「レポートの実行」ページの選択項目

監査レポートを作成する

1. 管理者インタフェースで、メインメニューから「レポート」をクリックします。

   「レポートの実行」ページが開きます。

2. レポートタイプとして「監査レポート」を選択します。

3. レポートの「新規」リストからレポートを選択します。

   「レポートの定義」ページが表示されます。レポートダイアログに表示されるフィールドやレイアウトは、レポートのタイプによって異なります。レポートの条件の指定については、Identity Manager のヘルプを参照してください。

   レポート基準を入力または選択すると、次の手順を実行できます。

   • レポートを保存せずに実行できます。

     「実行」をクリックして、レポートの実行を開始します。新しいレポートを定義した場合、レポートは保存されません。また、既存のレポートを編集した場合、変更されたレポート基準は保存されません。

   • レポートを保存できます。

     「保存」をクリックして、レポートを保存します。保存後は、「レポートの実行」ページ (レポートのリスト) からそのレポートを実行できます。「レポートの実行」ページからレポートを実行したあとは、「レポートの表示」タブで、ただちにまたはあとで出力を表示することができます。

   レポートのスケジュールについては、「レポートのスケジュール」を参照してください。

監査された属性のレポートの設定

監査された属性のレポート (表 15–1) は、Identity Manager のユーザーおよびアカウントに対する属性レベルの変更を報告できます。しかし標準の監査ログでは、完全なクエリー式をサポートするのに十分な監査ログデータが生成されません。

標準の監査ログでも、変更された属性が監査ログの acctAttrChanges フィールドに書き込まれます。ただし、書き込まれた属性に対して、レポートクエリーでは変更された属性の名前に基づいてしかレコードを照合できません。レポートクエリーでは、属性の値を正確に照合することができません。

次のパラメータを指定することで、lastname 属性に対する変更を含むレコードを照合するように、このレポートを設定できます。

Attribute Name = ’acctAttrChanges’
Condition = ’contains’
Value = ’lastname’

---

注 –

データは acctAttrChanges フィールドに保存されるため、Condition=’contains’ の使用が必要です。これは複数値のフィールドではありません。基本的に、変更されたすべての属性の before/after 値を、attrname=value の形式で格納するデータ構造です。結果として、前の設定では、lastname=xxx であるすべてのインスタンスを照合するレポートクエリーが可能です。

---

特定の属性に特定の値を持つ監査レコードのみを収集することもできます。この場合は、「「監査」タブの設定」の手順に従ってください。「ワークフロー全体の監査」チェックボックスを選択し、「属性の追加」ボタンをクリックしてレポート対象として記録する属性を選択し、「保存」をクリックします。

次に、まだ有効になっていない場合は、タスクテンプレートの設定を有効にします。この場合は、「タスクテンプレートの有効化」の手順に従ってください。「選択したプロセスタイプ」リストのデフォルト値は変更せずに、「保存」をクリックするだけにしてください。

これでワークフローでは、属性の名前と値の両方の照合に適した監査レコードを提供できるようになりました。このレベルの監査を有効にするとより多くの情報を得られますが、パフォーマンスの負荷も非常に大きく、ワークフローの実行速度が低下することに注意してください。