是正について (Sun Identity Manager 8.1 ビジネス管理者ガイド)

Sun Identity Manager 8.1 ビジネス管理者ガイド

是正について

Identity Manager は、未解決の (受け入れられていない) 監査ポリシーコンプライアンス違反を検出すると、是正リクエストを作成します。このリクエストは「是正者」によって処理される必要があります。是正者とは、監査ポリシー違反の評価と応答を許可されている、指定されたユーザーです。

是正者のエスカレーション

Identity Manager では、3 レベルの是正者のエスカレーションを定義できます。是正リクエストは、まず、レベル 1 是正者に送信されます。タイムアウト時間が経過するまでにレベル 1 是正者が是正リクエストに応答しなかった場合、Identity Manager はその違反をレベル 2 是正者にエスカレーションし、新しいタイムアウト時間を開始します。タイムアウト時間が経過するまでにレベル 2 是正者が応答しなかった場合、そのリクエストはさらにレベル 3 是正者にエスカレーションされます。

是正を実行するには、そのシステムで少なくとも 1 人の是正者を指定する必要があります。任意設定ですが、各レベルに 2 人以上の是正者を指定することをお勧めします。複数の是正者を指定すると、ワークフローの遅延や停止を防ぐことができます。

是正セキュリティーアクセス

これらの権限付与オプションは、authType RemediationWorkItem の作業項目用のものです。

是正作業項目の所有者
是正作業項目の所有者の直属または直属以外のマネージャー
是正作業項目の所有者が所属する組織を管理する管理者

デフォルトでは、権限付与チェックの動作は次のいずれかです。

所有者が、アクションを実行しようとしているユーザー自身である
所有者が、アクションを実行しようとしているユーザーが管理する組織に所属している
作業項目は、アクションを実行しようとしているユーザーの部下が所有している

2 番目および 3 番目のチェックを別個に設定するには、次のオプションを変更します。

「controlOrg」。有効な値は true または false です。
「subordinate」。有効な値は true または false です。
「lastLevel」。結果に含める最後の従属レベル。-1 はすべてのレベルを意味します。lastLevel の整数値は、デフォルトでは -1 に設定され、これは直属の部下と直属ではない部下を含むことを意味します。

これらのオプションは、次のファイルで追加または変更できます。

UserForm: Remediation List

是正ワークフローのプロセス

Identity Manager には、監査ポリシースキャンの是正プロセスを行う標準是正ワークフローが用意されています。

標準是正ワークフローでは、コンプライアンス違反に関する情報を含む是正リクエスト (レビュータイプの作業項目) が生成され、監査ポリシーで指定された各レベル 1 是正者に電子メール通知が送信されます。是正者が違反を受け入れると、ワークフローによって既存のコンプライアンス違反オブジェクトの状態が変更され、有効期限が割り当てられます。

コンプライアンス違反は、ユーザー、ポリシー名、および規則名の組み合わせによって一意に識別されます。監査ポリシーで true と評価されたときに、このユーザー/ポリシー/規則の組み合わせによる既存の違反が存在していなければ、その組み合わせによる新しいコンプライアンス違反が作成されます。その組み合わせでの違反が存在し、その違反が受け入れられた状態になっている場合は、ワークフロープロセスによる処理は行われません。既存の違反が受け入れられていない場合、その再発回数が加算されます。

是正ワークフローの詳細については、「監査ポリシーについて」を参照してください。

是正応答

デフォルトでは、各是正者は次の 3 つの応答オプションから選択できます。

是正する。是正者は、何らかの処理を実行してリソースの問題を修正したことを示します。

コンプライアンス違反が修正されると、Identity Manager は監査イベントを作成して是正をログに記録します。さらに、Identity Manager は、是正者の名前と入力されたコメントを保存します。

注 –
是正後、違反は、次の監査スキャンまで削除されません。監査ポリシーが再スキャンを許可するように設定されている場合、違反が是正されるとただちにユーザーが再スキャンされます。
受け入れる。是正者は、ユーザーが一定期間その違反を免除されるように違反の内容を受け入れます。

違反が意図的なものである場合 (たとえば、業務上 2 つのグループに所属する必要がある場合など) は、長期間にわたって違反を受け入れることができます。また、リソースのシステム管理者が休暇中で問題の修正方法がわからない場合などには、短期間だけ違反を受け入れることもできます。

Identity Manager は、違反を受け入れた是正者の名前を、免除に割り当てた有効期限および入力したコメントとともに保存します。

注 –
Identity Manager は、期限切れになった免除を検出すると、違反を受け入れた状態から保留中の状態に戻します。
転送する。是正者は、違反を解決する役割を別の人物に再割り当てします。

是正の例

ユーザーが買掛金と売掛金の両方を担当できないようにする規則を設定した企業で、あるユーザーがこの規則に違反しているという通知を受け取ったとします。

会社がその職位に別の従業員を雇用するまでの間、そのユーザーがスーパーバイザとして両方の役割を受け持つ場合は、その違反を受け入れ、最長で 6 か月間の免除を与えることができます。
ユーザーが規則に違反している場合、競合を修正し、そのリソースで問題が解決されたときに違反を是正するように Oracle ERP 管理者に依頼することもできます。または、是正リクエストを Oracle ERP 管理者に転送することができます。