定期的アクセスレビューとアテステーション

Identity Manager では、アクセスレビューを実行するプロセスによって、マネージャーなどの責任者がユーザーアクセス特権のレビューと検証を行うことができます。このプロセスは、時間の経過とともに蓄積されたユーザー特権を識別および管理し、米国企業改革 (SOX) 法、GLBA、および米国で義務付けられているその他の規制に対するコンプライアンスを維持するのに役立ちます。

アクセスレビューは、必要なときに実行したり、定期的に実行するようにスケジュールすることができます。四半期ごとなど、アクセスレビューを定期的に実行することで、ユーザーの特権を正しいレベルに維持することができます。アクセスレビューにオプションの作業として監査ポリシースキャンを含めることもできます。

定期的アクセスレビューについて

定期的アクセスレビューは、一連の従業員が特定の時点で適切なリソースに対する適切な特権を持っていることをアテストする定期的プロセスです。

定期的アクセスレビューでは次のアクティビティーを行います。

• アクセスレビュースキャン。このスキャンでは、「ユーザーエンタイトルメント」について規則ベースの評価を実行し、アテステーションが必要かどうかを判定します。

• アテステーション。ユーザーエンタイトルメントを承認または拒否することによって、アテステーションリクエストに応答するプロセスです。

「ユーザーエンタイトルメント」は、特定のリソースセットについての、ユーザーのアカウントの詳細なレコードです。

アクセスレビュースキャン

定期的アクセスレビューを開始するには、まず、1 つ以上のアクセススキャンを定義する必要があります。

アクセススキャンには、スキャン対象のユーザー、スキャンに含めるリソース、スキャンで評価するオプションの監査ポリシー、および手動でアテストするエンタイトルメントレコードを決定する規則とその実行者を定義します。

アクセスレビューのワークフロープロセス

一般的に、Identity Manager のアクセスレビューワークフローは次のようになります。

• ユーザーのリストを作成し、各ユーザーのアカウント情報を取得し、オプションの監査ポリシーを評価する

• ユーザーエンタイトルメントレコードを作成する

• 各ユーザーエンタイトルメントレコードについて、アテステーションが必要かどうかを判断する

• 作業項目を各アテスターに割り当てる

• すべてのアテスターによる承認または最初の拒否を待つ

• 指定された時間内にリクエストへの応答を受け取らなかった場合は、次のアテスターにエスカレーションする

• 解決したユーザーエンタイトルメントレコードを更新する

是正機能の詳細については、「アクセスレビュー是正」を参照してください。

必要な管理者機能

定期的アクセスレビューを実行してレビュープロセスを管理するユーザーは、「Auditor Periodic Access Review Administrator」機能を持っている必要があります。「アクセススキャン監査管理者」機能を持つユーザーは、アクセススキャンの作成と管理を行うことができます。

これらの機能を割り当てるには、ユーザーアカウントを編集してセキュリティー属性を変更します。これらの機能およびその他の機能については、第 6 章管理の 「機能とその管理について」を参照してください。

アテステーションプロセス

アテステーションは、特定の日付に存在しているユーザーエンタイトルメントを確認するために、1 人以上の指定されたアテスターが実行するアテステーションプロセスです。アクセスレビュー中に、アテスターは電子メール通知によってアクセスレビューアテステーションリクエストの通知を受け取ります。アテスターは、Identity Manager ユーザーである必要がありますが、Identity Manager 管理者である必要はありません。

アテステーションワークフロー

Identity Manager は、レビューを必要とするエンタイトルメントレコードがアクセススキャンで検出されたときに起動される、アテステーションワークフローを使用します。アクセススキャンは、アクセススキャンで定義された規則に基づいてこの判断を行います。

アクセススキャンで評価される規則によって、ユーザーエンタイトルメントレコードを手動でアテストする必要があるか、あるいは自動的に承認または拒否できるか決まります。ユーザーエンタイトルメントレコードを手動でアテストする必要がある場合は、2 番目の規則を使用して適切なアテスターが決定されます。

手動でアテストする各ユーザーエンタイトルメントレコードは、1 人のアテスターにつき 1 つの作業項目でワークフローに割り当てられます。これらの作業項目のアテスターへの通知を、アテスターごと、スキャンごとに項目を 1 つの通知にまとめる ScanNotification ワークフローを使用して送信できます。ScanNotification ワークフローが選択されていない場合は、ユーザーエンタイトルメントごとの通知になります。この場合、1 人のアテスターが同じスキャンで複数の通知を受け取ることになり、スキャンするユーザー数によっては多数の通知になる可能性があります。

アテステーションセキュリティーアクセス

これらの権限付与オプションは、authType AttestationWorkItem の作業項目用のものです。

• 作業項目の所有者

• 作業項目の所有者の直属または直属以外のマネージャー

• 作業項目の所有者が所属する組織を管理する管理者

• 認証チェックで検証済みのユーザー

デフォルトでは、権限付与チェックの動作は次のいずれかです。

• 所有者が、アクションを実行しようとしているユーザー自身である

• 所有者が、アクションを実行しようとしているユーザーが管理する組織に所属している

• 所有者が、アクションを実行しようとしているユーザーの部下である

2 番目および 3 番目のチェックを別個に設定するには、次のフォームプロパティーを変更します。

• controlOrg — 有効な値は true または false。

• subordinate — 有効な値は true または false。

• lastLevel — 結果に含める最後の従属レベル。-1 はすべてのレベルを意味します。

lastLevel の整数値は、デフォルトでは -1 に設定されます。これは、直属の部下と直属以外の部下を含むことを意味します。

これらのオプションは、次のように追加または変更できます。

UserForm: AccessApprovalList

---

注 –

組織管理にアテステーションのセキュリティーを設定する場合 (controlOrg が true)、ほかのユーザーが所有しているアテステーションを変更するには Auditor Attestor 機能も必要です。

---

委任されたアテステーション

デフォルトの動作として、アクセススキャンワークフローは、アクセスレビューアテステーション作業項目およびアクセスレビュー是正作業項目に対して、アテステーション作業項目およびその通知用にユーザーが作成した委任設定に従います。しかし、アクセススキャンの管理者が、「委任に従う」オプションを選択解除して委任設定を無視する場合があります。アテスターがすべての作業項目を別のユーザーに委任している場合でも、アクセスレビュースキャンで「委任に従う」オプションが設定されていなければ、委任を割り当てたユーザーではなく、そのアテスターがアテステーションリクエスト通知と作業項目を受け取ることになります。

定期的アクセスレビューの計画

アクセスレビューは、どの企業でも多くの労働力と時間を要するプロセスです。Identity Manager の定期的アクセスレビュープロセスを使用すると、プロセスの多くの部分が自動化されるため、必要なコストと時間を最小限にできます。ただし、それでも時間のかかるプロセスがいくつかあります。たとえば、いくつもの場所から多数のユーザーのユーザーアカウントデータを取得するプロセスには、かなりの時間を要する場合があります。レコードを手動でアテストする作業も、時間がかかる場合があります。適切な計画を行えば、プロセスの効率を高め、必要な手間を大幅に減らすことができます。

定期的アクセスレビューの計画では、次のことを考慮する必要があります。

• スキャン時間は、ユーザー数および関連するリソースの数によって大きく異なる場合があります。

  大規模な組織で 1 回の定期的アクセスレビューを行う場合、スキャンに 1 日以上かかることがあり、手動アテステーションを完了するのに 1 週間以上かかることもあります。

  たとえば、50,000 人のユーザーと 10 のリソースを持つ組織では、次の計算によると、アクセススキャンの完了にほぼ 1 日かかる可能性があります。

  1 秒/リソース * 50000 ユーザー * 10 リソース / 5 同時スレッド = 28 時間

  リソースが各地域に散在している場合は、ネットワークの待ち時間が処理時間に加わることがあります。

• 複数の Identity Manager サーバーを使用して並行処理を行うと、アクセスレビュープロセスを高速化できます。

  各スキャンでリソースが共通していない場合は、並列スキャンの実行がもっとも効果的です。アクセスレビューを定義するときに、複数のスキャンを作成し、リソースを特定のリソースセットに制限して、スキャンごとに異なるリソースを使用するようにします。そして、タスクの起動時に、複数のスキャンを選択し、ただちに実行するようにスケジュールします。

• アテステーションワークフローと規則をカスタマイズすることにより、管理を強化して効率を向上させることができます。

  たとえば、アテスター規則を、複数のアテスターにアテステーション作業を分散させるようにカスタマイズします。そうすれば、アテステーションプロセスで、その規則に従って作業項目が割り当てられ通知が送信されます。

• アテスターエスカレーション規則を使用すると、アテステーションリクエストに対する応答時間を短くできます。

  デフォルトのエスカレーションアテスター規則を設定するか、またはカスタマイズした規則を使用して、アテスターのエスカレーションチェーンを設定します。エスカレーションタイムアウト値も指定します。

• レビュー決定規則の使用方法を理解し、手動レビューが必要なエンタイトルメントレコードの判別を自動化することで時間を節約します。

• スキャンレベルの通知ワークフローを指定して、スキャンごとにアテステーションリクエストの通知をまとめます。

スキャンタスクのチューニング

スキャンプロセス時に、複数のスレッドがユーザーのビューにアクセスし、ユーザーがアカウントを持つリソースにアクセスする可能性があります。ビューへのアクセス後、複数の監査ポリシーと規則が評価され、コンプライアンス違反が生成されることがあります。

2 つのスレッドが同じユーザービューを同時に更新することを避けるため、プロセスはユーザー名にメモリー内ロックを設定します。このロックがデフォルトで 5 秒以内に設定できない場合、スキャンタスクにエラーが書き込まれ、ユーザーはスキップされるため、同じユーザーセットを処理する同時スキャンが防止されます。

スキャンタスクへのタスク引数として提供される、いくつかの「チューニング可能パラメータ」の値を編集できます。

• clearUserLocks (ブール型)。true の場合、スキャンの開始前に、現在のすべてのユーザーロックが解除されます。

• userLock (整数)。ユーザーをロックする際の待ち時間 (ミリ秒単位)。デフォルト値は 5 秒です。負の値を設定すると、スキャン中にユーザーのロックは行いません。

• scanDelay (整数)。スキャンスレッドのディスパッチ間にスリープする時間 (ミリ秒単位)。デフォルト値は 0 (遅延なし) です。この引数の値を指定すると、スキャンは遅くなりますが、システムのほかの操作の応答が速くなります。

• maxThreads (整数)。スキャンの処理に使用する同時スレッド数。デフォルト値は、5 です。リソースの応答が極めて遅い場合は、この数値を大きくすると、スキャンのスループットが向上する可能性があります。

これらのパラメータの値を変更するには、対応する「タスク定義」フォームを編集します。詳細については、『Sun Identity Manager Deployment Reference』の第 2 章「Identity Manager Forms」を参照してください。

アクセススキャンの作成

アクセスレビュースキャンを定義する

1. 「コンプライアンス」、「アクセススキャンの管理」の順に選択します。

2. 「新規」をクリックして、「新規アクセススキャンの作成」ページを表示します。

3. アクセススキャンに名前を割り当てます。

   ---

   注 –

   アクセススキャンの名前には、次の文字を使用できません。

   ’ (アポストロフィ)、. (ピリオド)、| (パイプ)、[ (左角括弧)、] (右角括弧)、, (コンマ)、: (コロン)、$ (ドル記号)、“ (二重引用符)、\ (バックスラッシュ)、= (等号)

   また、_ (下線)、% (パーセント記号)、^ (キャレット)、および * (アスタリススク) の使用も避けてください。

   ---

4. スキャンを識別する説明を追加します (省略可能)。

5. 「動的エンタイトルメント」オプションを有効にして、アテスターに追加のオプションを与えます。

   次のオプションがあります。

   • 保留中のアテステーションをすぐに再スキャンして、エンタイトルメントデータを更新し、アテステーションの必要性を再評価できます。

   • 保留中のアテステーションを別のユーザーに転送して是正を依頼できます。是正後、エンタイトルメントデータは更新および再評価され、アテステーションの必要性が決定されます。

6. 「ユーザー範囲タイプ」を指定します (必須)。

   次のオプションから選択します。

   • 「 属性条件規則に従う」。選択したユーザー範囲規則に従って、ユーザーをスキャンします。

     Identity Manager では、次のデフォルトの規則を使用できます。

     • 「All Administrators」

       ---

       注 –

       ユーザーの範囲を指定する規則を追加するには、Identity Manager IDE を使用します。Identity Manager IDE の詳細については、https://identitymanageride.dev.java.net/ を参照してください。

       ---

     • All My Reports

     • 「All Non-Administrators」

     • My Direct Reports

     • 「Users without a Manager」

   • 「リソースに割り当て」。選択した 1 つ以上のリソースにアカウントを持つすべてのユーザーをスキャンします。このオプションを選択した場合、ページにユーザー範囲リソースが表示され、リソースを指定できます。

   • 「特定のロールに従う」。指定したロールを、少なくとも 1 つ持つメンバー、またはすべて持つメンバーをスキャンします。

   • 「組織のメンバー」。選択した 1 つ以上の組織のすべてのメンバーをスキャンする場合は、このオプションを選択します。

   • 「特定のマネージャーの部下」。選択したマネージャーに報告しているすべてのユーザーをスキャンします。マネージャーの階層は、ユーザーの Lighthouse アカウントの Identity Manager 属性によって決まります。

     ユーザー範囲タイプが「組織のメンバー」または「特定のマネージャーの部下」の場合は、「範囲を再帰的に計算?」オプションを使用できます。このオプションを使用すると、管理する一連のメンバーを通して再帰的にユーザー選択が行われるようにできます。

7. アクセスレビュースキャンで監査ポリシーもスキャンして違反を検出する場合は、このスキャンに適用する監査ポリシーを「利用可能な監査ポリシー」リストから選択し、「現在の監査ポリシー」リストに移動させます。

   アクセススキャンに監査ポリシーを追加した場合の動作は、同じユーザーセットに対して監査スキャンを実行するのと同じ結果になります。ただし、それに加えて、監査ポリシーによって検出された違反がユーザーエンタイトルメントレコードに格納されます。この情報により、ユーザーエンタイトルメントレコード内に違反が存在するかどうかを規則のロジックの一部として使用できるので、自動承認または自動拒否が容易になります。

8. 前の手順でスキャンする監査ポリシーを選択した場合は、「ポリシーモード」オプションを使用して、アクセススキャンされる各ユーザーに対してどの監査ポリシーを実行するかを指定することができます。ユーザーレベルまたは組織レベル、あるいはその両方でユーザーにポリシーを割り当てることができます。デフォルトのアクセススキャンでは、ユーザーにまだポリシーが割り当てられていない場合にのみ、アクセススキャンで指定されたポリシーが適用されます。

   1. 選択されたポリシーを適用し、それ以外の割り当ては無視する

   2. ユーザーにまだ割り当てられていない場合にのみ、選択されたポリシーを適用する

   3. ユーザーの割り当てに加えて、選択されたポリシーを適用する

9. (省略可能)「レビュープロセスの所有者」を指定します。定義しているアクセスレビュータスクの所有者を指定する場合は、このオプションを使用します。レビュープロセスの所有者を指定すると、アテステーションリクエストへの応答で競合が起こる可能性があるアテスターは、ユーザーエンタイトルメントを承認または却下する代わりに「拒否」できます。 その場合、アテステーションリクエストはレビュープロセスの所有者に転送されます。選択 (省略記号) ボックスをクリックして、ユーザーアカウントを検索し、選択を行います。

10. 「委任に従う」。アクセススキャンの委任を有効にする場合は、このオプションを選択します。このオプションを選択した場合、アクセススキャンでは委任設定のみが遵守されます。「委任に従う」は、デフォルトで有効になっています。

11. 「ターゲットリソースを制限」。スキャンをターゲットのリソースだけに制限する場合は、このオプションを選択します。

    この設定は、アクセススキャンの効率に直接関係します。ターゲットリソースを制限しない場合、各ユーザーエンタイトルメントレコードには、そのユーザーが関連付けられているすべてのリソースのアカウント情報が含まれます。つまり、そのスキャンでは、各ユーザーに割り当てられたすべてのリソースが問い合わせを受けます。このオプションを使用してリソースのサブセットを指定すると、Identity Manager がユーザーエンタイトルメントレコードを作成するために必要な処理時間を大幅に減らすことができます。

12. 「違反の是正を実行する」。違反が検出されたときに監査ポリシーの是正ワークフローを有効にする場合は、このオプションを選択します。

    このオプションを選択すると、割り当てられた監査ポリシーのいずれかに対する違反が検出されると、その監査ポリシーの是正ワークフローが実行されます。

    特別に必要な場合を除いて、このオプションは選択しないようにしてください。

13. 「アクセス承認ワークフロー」。デフォルトの Standard Attestation ワークフローを選択するか、またはカスタマイズしたワークフロー (使用可能な場合) を選択します。

    このワークフローは、レビュー用のユーザーエンタイトルメントレコードを適切なアテスター (アテスター規則によって決まる) に提示するために使用されます。デフォルトの Standard Attestation ワークフローでは、1 人のアテスターに対して 1 つの作業項目が作成されます。アクセススキャンにエスカレーションが指定されている場合、このワークフローでは、保留状態の時間が長すぎる作業項目のエスカレーションが行われます。ワークフローが指定されていない場合、ユーザーアテステーションは無期限に保留状態のままになります。

    .

    ---

    注 –

    この手順と次の手順で説明している Identity Auditor 規則の詳細については、『Sun Identity Manager Deployment Reference』の第 4 章「Working with Rules」を参照してください。

    ---

14. 「アテスター規則」。「Default Attestor」規則を選択するか、またはカスタマイズしたアテスター規則 (使用可能な場合) を選択します。

    アテスター規則は、ユーザーエンタイトルメントレコードを入力として受け取り、アテスター名のリストを返します。「委任に従う」が選択されている場合、アクセススキャンでは、元の名前リストにある各ユーザーが設定した委任情報に従って、名前リストが適切なユーザー名のリストに変換されます。Identity Manager ユーザーの委任がルーティングサイクルになった場合、その委任情報は破棄され、作業項目は最初のアテスターに配信されます。Default Attestor 規則では、エンタイトルメントレコードに示されたユーザーのマネージャー (idmManager) がアテスターとなり、そのユーザーの idmManager が null の場合は Configurator アカウントがアテスターとなります。マネージャーだけでなくリソースの所有者もアテステーションに携わる必要がある場合は、カスタム規則を使用する必要があります。

15. 「アテスターエスカレーション規則」。Default Escalation Attestor 規則を指定する場合、またはカスタマイズした規則 (使用可能な場合) を選択する場合は、このオプションを使用します。また、規則のエスカレーションタイムアウト値を指定することもできます。デフォルトのエスカレーションタイムアウト値は 0 日です。

    この規則は、エスカレーションタイムアウト時間が経過した作業項目のエスカレーションチェーンを指定します。Default Escalation Attestor 規則では、割り当てられたアテスターのマネージャー (idmManager) にエスカレーションされるか、または、アテスターの idmManager の値が null の場合は Configurator にエスカレーションされます。

    エスカレーションタイムアウト値は、分単位、時間単位、または日単位で指定できます。

    マニュアルには、アテスターエスカレーション規則に関する追加の情報が含まれています。

16. 「レビュー決定規則」(必須)。

    次のいずれかの規則を選択して、スキャンプロセスがエンタイトルメントレコードの処置を決定する方法を指定します。

    • 「Reject Changed Users」。同じアクセススキャン定義による最後のユーザーエンタイトルメントと異なっていて、最後のユーザーエンタイトルメントが承認されているユーザーエンタイトルメントレコードを自動的に拒否します。これを選択しない場合は、以前に承認されたユーザーエンタイトルメントから変更されたすべてのユーザーエンタイトルメントを手動でアテステーションおよび承認する必要があります。デフォルトでは、この規則に対して、ユーザービューの「アカウント」部分のみが比較されます。

    • 「Review Changed Users」。同じアクセススキャン定義による最後のユーザーエンタイトルメントと異なっていて、最後のユーザーエンタイトルメントが承認されているすべてのユーザーエンタイトルメントレコードの手動アテステーションを強制します。以前に承認されたユーザーエンタイトルメントから変更されていないユーザーエンタイトルメントはすべて承認します。デフォルトでは、この規則に対して、ユーザービューの「アカウント」部分のみが比較されます。

    • 「Review Everyone」。すべてのユーザーエンタイトルメントレコードの手動アテステーションを強制します。

    「Reject Changed Users」規則と「Review Changed Users」規則では、ユーザーエンタイトルメントを、そのエンタイトルメントレコードが承認されたアクセススキャンの最後のインスタンスと比較します。

    この動作を変更するには、規則をコピーし、ユーザーデータの特定の部分のみを比較するように修正します。

    この規則は次の値を返します。

    • -1。アテステーションの必要なし

    • 0。アテステーションを自動的に却下

    • 1。手動アテステーションが必要

    • 2。アテステーションを自動的に承認

    • 3。アテステーションを自動的に是正する (自動是正)

      マニュアルには、レビュー決定規則に関する追加の情報が含まれています。

17. 「是正者規則」。自動是正の場合に、特定のユーザーのエンタイトルメントを誰が是正すべきかを決定するために使用する規則を選択します。この規則により、ユーザーの現在のユーザーエンタイトルメントと違反を調査できます。規則は是正すべきユーザーのリストを返す必要があります。規則を指定しない場合、是正は行われません。この規則は一般的に、エンタイトルメントにコンプライアンス違反がある場合に使用します。

18. 「是正ユーザーフォーム規則」。ユーザーの編集時に、アテステーション是正者に適切なフォームを選択する場合に使用する規則を選択します。是正者は独自のフォームを設定でき、このフォームより優先されます。このフォーム規則は、スキャンでカスタムフォームに一致する厳密に限定されたデータを収集する場合に設定します。

19. 「通知ワークフロー」。

    作業項目ごとに通知動作を指定する場合は、次のオプションのいずれかを選択します。

    • 「なし」。デフォルトの選択です。これを選択すると、アテスターは、アテステーションの必要があるユーザーエンタイトルメントごとに電子メール通知を受け取ります。

    • 「ScanNotification」。これを選択すると、アテステーションリクエストが 1 つの通知にまとめられます。通知には、その受信者に何件のアテステーションリクエストが割り当てられたかが示されます。

      アクセススキャンで「レビュープロセスの所有者」が指定されている場合、ScanNotification ワークフローでは、スキャンの開始時と終了時に、レビュープロセスの所有者にも通知が送信されます。「アクセススキャンの作成」を参照してください。

      ScanNotification ワークフローでは、次の電子メールテンプレートを使用します。

      • Access Scan Begin Notice

      • Access Scan End Notice

      • Bulk Attestation Notice

        ScanNotification ワークフローはカスタマイズできます。

20. 「違反の最大値」。このオプションを使用すると、コンプライアンス違反の数がここで設定した数値に達した時点で、スキャンを強制終了します。デフォルトの制限は 1000 です。フィールドを空にした場合は、制限なしを表します。

    通常、監査スキャンまたはアクセススキャンでは、ポリシー違反の数はユーザー数に比べると少ないですが、この値を設定すると、欠陥のあるポリシーによって違反数が大幅に増えた場合の保護対策になります。たとえば、次のようなシナリオを考えてみます。

    50,000 ユーザーのアクセススキャンで、ユーザーあたり 2 潤ｵ 3 個の違反が発生すると、各コンプライアンス違反の是正にかかるコストは Identity Manager システムに有害な影響を及ぼす可能性があります。

21. 「組織」。このアクセススキャンオブジェクトで使用可能な組織を選択します。これは必須フィールドです。

    「保存」をクリックしてスキャン定義を保存します。

アクセススキャンの削除

1 つ以上のアクセススキャンを削除できます。アクセススキャンを削除するには、「コンプライアンス」タブで「アクセススキャンの管理」を選択し、スキャンの名前を選択して「削除」をクリックします。

アクセスレビューの管理

アクセススキャンを定義したあと、そのスキャンをアクセスレビューの一部として使用またはスケジュールすることができます。アクセスレビューの開始後、いくつかのオプションを使用してレビュープロセスを管理できます。

詳細については、次のセクションを参照してください。

• 「アクセスレビューの起動」

• 「アクセスレビュータスクのスケジュール」

• 「アクセスレビューの進行状況の管理」

• 「スキャン属性の変更」

• 「アクセスレビューのキャンセル」

• 「アクセスレビューの削除」

アクセスレビューの起動

管理者インタフェースからアクセスレビューを起動するには、次のいずれかの方法を使用します。

• 「コンプライアンス」、「アクセスレビュー」の順に選択し、「アクセスレビュー」ページから「レビューの起動」をクリックします。

• 「サーバータスク」、「タスクの実行」の順に選択し、「タスクの実行」ページでアクセスレビュータスクを選択します。

表示された「タスクの起動」ページで、アクセスレビューの名前を指定します。「利用可能なアクセススキャン」リストでスキャンを選択し、「選択されたアクセススキャン」リストに移動させます。

複数のスキャンを選択した場合は、次のいずれかの起動オプションを選択できます。

• すぐに起動 。「起動」ボタンをクリックすると、ただちにスキャンの実行が開始されます。起動タスクで複数のスキャンに対してこのオプションを選択した場合は、各スキャンが並行して実行されます。

• 起動までの待機時間。アクセスレビュータスクを起動した時間を基準として、スキャンを起動するまでの待機時間を指定することができます。

---

注 –

1 つのアクセスレビューセッションで複数のスキャンを開始できます。ただし、各スキャンのユーザー数が多いと、スキャンプロセスの完了に長時間かかる可能性があることを考慮してください。それぞれの状況に応じた方法でスキャンを管理することをお勧めします。たとえば、1 つのスキャンをただちに実行し、その他のスキャンは時間をずらしてスケジュールすることもできます。

---

アクセスレビュープロセスを開始するには、「起動」をクリックします。

---

注 –

アクセスレビューに割り当てる名前は重要です。同じ名前で定期的に実行されたアクセスレビューを、いくつかのレポートで比較できます。

---

アクセスレビューを起動すると、プロセスの手順を示すワークフロープロセス図が表示されます。

アクセスレビュータスクのスケジュール

アクセスレビュータスクは、「サーバータスク」領域でスケジュールできます。たとえば、定期的にアクセスレビューを行う場合は、「スケジュールの管理」を選択し、スケジュールを定義します。毎月、または四半期ごとにタスクを実行するようにスケジュールできます。

スケジュールを定義するには、「タスクのスケジュール」ページでアクセスレビュータスクを選択し、タスクスケジュールの作成ページに情報を入力します。

「保存」をクリックして、スケジュールしたタスクを保存します。

---

注 –

Identity Manager では、アクセスレビュータスクの結果は、デフォルトで 1 週間保存されます。1 週間に 1 回よりも短い間隔でレビューをスケジュールする場合は、「結果オプション」を「削除」に設定します。「結果オプション」が「削除」に設定されていない場合は、前のタスク結果がまだ存在しているため新しいレビューは実行されません。

---

アクセスレビューの進行状況の管理

アクセスレビューの進行状況を監視するには、「アクセスレビュー」タブを使用します。この機能には「コンプライアンス」タブからアクセスします。

「アクセスレビュー」タブから、すべてのアクティブなアクセスレビューおよび以前に処理されたアクセスレビューの概要をレビューできます。一覧表示されるアクセスレビューごとに、次の情報が表示されます。

• 「ステータス」。レビュープロセスの現在のステータス。初期化中、終了中、終了、進行中のスキャンの数、スケジュールされているスキャンの数、アテステーションを待機中、完了のいずれかになります。

• 「起動日」。アクセスレビュータスクを開始する日付 (タイムスタンプ)。

• 「全ユーザー数」。スキャンされるユーザーの総数。

• 「エンタイトルメントの詳細」。テーブルの追加の列に、ステータス別のエンタイトルメントの総数を表示します。これには、保留中、承認済み、拒否済み、終了、是正済みのエンタイトルメントの詳細と、エンタイトルメント総数が含まれます。

  是正済みの列は、現在 REMEDIATING 状態のエンタイトルメント数が示されます。エンタイトルメントの是正後、PENDING 状態に移行するため、アクセスレビューの終了時、この列の値はゼロになります。

レビューの詳細情報を表示するには、そのレビューを選択して概要レポートを開きます。

図 15–5 に、アクセスレビュー概要レポートの例を示します。

図 15–5 「アクセスレビュー概要レポート」ページ

「組織 (Organization)」または「アテスター (Attestors)」フォームタブをクリックし、オブジェクト別に分類されたスキャン情報を表示します。

「アクセスレビュー概要レポート」を実行することにより、レポートのこの情報をレビューおよびダウンロードすることもできます。

スキャン属性の変更

アクセススキャンの設定後、スキャンを編集して新しいオプションを指定できます。 たとえば、スキャンするターゲットリソースの指定、アクセススキャンの実行中に違反をスキャンする監査ポリシーの指定などを行うことができます。

スキャン定義を編集するには、「アクセススキャン」リストから目的のスキャンを選択し、「アクセスレビュースキャンの編集」ページで属性を変更します。

スキャン定義の変更を保存するには、「保存」をクリックする必要があります。

---

注 –

アクセススキャンの範囲を変更すると、レビュー決定規則でユーザーエンタイトルメントを以前のユーザーエンタイトルメントレコードと比較している場合、その規則に影響する可能性があるため、新しく獲得されるユーザーエンタイトルメントレコードの情報が変わることがあります。

---

アクセスレビューのキャンセル

「アクセスレビュー」ページで「終了」をクリックすると、選択された進行中のレビューを停止します。

レビューを終了すると、次のアクションが発生します。

• スケジュールされたスキャンがすべてスケジュール解除される

• アクティブなスキャンがすべて停止される

• 保留中のすべてのワークフローと作業項目が削除される

• 保留中のすべてのアテステーションにキャンセルのマークが付けられる

• ユーザーが完了したすべてのアテステーションが変更されないままになる

アクセスレビューの削除

「アクセスレビュー」ページで「削除」をクリックして、選択されたレビューを削除します。

アクセスレビューのタスクのステータスが「TERMINATED」または「COMPLETED」の場合、そのアクセスレビューを削除できます。進行中のアクセスレビュータスクは、終了させなければ削除できません。

アクセスレビューを削除すると、そのレビューで生成されたすべてのユーザーエンタイトルメントレコードも削除されます。削除アクションは監査ログに記録されます。

アクセスレビューを削除するには、「アクセスレビュー」ページから、「削除」をクリックします。

---

注 –

アクセスレビューをキャンセルし、削除すると、大量の Identity Manager オブジェクトやタスクを更新する可能性があるため、完了するまでに数分かかることがあります。処理の進行状況は、「サーバータスク」、「すべてのタスク」の順に選択し、タスクの結果を表示して確認できます。

---

アテステーション作業の管理

アテステーションリクエストの管理は、Identity Manager の管理者インタフェースまたはユーザーインタフェースで行うことができます。この節では、アテステーションリクエストへの応答、およびアテステーションに必要な作業について説明します。

アクセスレビューの通知

スキャン中に、アテステーションリクエストの承認が必要になると、Identity Manager からアテスターに通知が送信されます。アテスターの役割が委任されている場合、そのリクエストは委任者に送信されます。複数のアテスターが定義されている場合は、それぞれのアテスターが電子メール通知を受け取ります。

Identity Manager インタフェースでは、リクエストは「アテステーション」作業項目として表示されます。保留中のアテステーション作業項目は、割り当てられたアテスターが Identity Manager にログインしたときに表示されます。

保留中のアテステーションリクエストの表示

インタフェースの「作業項目」領域からアテステーション作業項目を表示します。「作業項目」領域の「アテステーション」タブを選択すると、承認を必要としているすべてのエンタイトルメントレコードが一覧表示されます。「アテステーション」ページでは、すべての直属の部下のエンタイトルメントレコードや、直接または間接的に管理している特定のユーザーのエンタイトルメントレコードも表示できます。

エンタイトルメントレコードの操作

アテステーション作業項目には、レビューを必要とするユーザーエンタイトルメントレコードが含まれます。エンタイトルメントレコードは、ユーザーアクセス特権、割り当てられたリソース、およびポリシー違反に関する情報を提供します。

アテステーションリクエストに想定される応答を次に示します。

• 「承認」。エンタイトルメントレコードに記録された日付において適切なエンタイトルメントであることを認証します。

• 「拒否」。エンタイトルメントレコードに現時点では検証または是正できない矛盾がある可能性があることを示します。

• 「再スキャン」。再スキャンをリクエストし、ユーザーのエンタイトルメントを再評価します。

• 「転送」。別の受信者がレビューするように指定できます。

• 「拒否」。このレコードのアテステーションを適切に行えない場合、あるいは、より適切なアテスターがわからない場合にこのオプションを選びます。アテステーション作業項目は、レビュープロセスの所有者に転送されます。このオプションは、アクセスレビュータスクにレビュープロセスの所有者が定義されている場合にのみ使用できます。

指定されたエスカレーションタイムアウト時間までにアテスターがこれらのアクションのいずれかを実行することでリクエストに応答しなかった場合は、エスカレーションチェーン内の次のアテスターに通知が送信されます。通知プロセスは、応答がログに記録されるまで続行されます。

「コンプライアンス」、「アクセスレビュー」タブの順に選択し、アテステーションステータスを監視できます。

クローズループ是正

ユーザーエンタイトルメントを拒否する前に、次の手順を実行できます。

• 修正が必要なエンタイトルメントに対して、ほかのユーザーに修正をリクエストすること (是正のリクエスト) ができます。この場合、新しい是正作業項目が作成されるので、その作業項目に対して 1 人以上の是正者を割り当てます。

  新しい是正者は、Identity Manager を使用して、または別の方法でユーザーを編集し、違反している箇所を是正できた場合には作業項目を是正済みとしてマークします。その時点で、ユーザーエンタイトルメントは再スキャンされ、再評価されます。

• エンタイトルメントの再評価 (再スキャン) をリクエストします。この場合、ユーザーエンタイトルメントは再スキャンされ、評価し直されます。元のアテステーション作業項目はクローズされます。アクセススキャンに定義された規則によりエンタイトルメントにまだアテステーションが必要と判断された場合は、新しいアテステーション作業項目が作成されます。

是正のリクエスト

アクセススキャンで定義されている場合、保留中のアテステーションを別のユーザーに配信して是正してもらうことができます。

---

注 –

「アクセススキャンの作成」ページまたは「アクセススキャンの編集」ページの「動的エンタイトルメント」オプションで、この機能を有効にします。

---

別のユーザーからの是正をリクエストする

1. アテステーションのリストから 1 つ以上のエンタイトルメントを選択し、「是正のリクエスト」をクリックします。

   「是正のリクエストの選択と確認」ページが表示されます。

2. ユーザー名を入力して、「追加」をクリックし、そのユーザーを「転送先」フィールドに追加します。または、「...」ボタンをクリックして、ユーザーを検索します。検索リストのユーザーを選択して、「追加」をクリックし、そのユーザーを「転送先」リストに追加します。「閉じる」をクリックして、検索領域を閉じます。

3. 「コメント」フィールドにコメントを入力して、「続行」をクリックします。

   自動的にアテステーションのリストに戻ります。

   ---

   注 –

   各ユーザーエンタイトルメントの「履歴」領域に是正リクエストの詳細が表示されます。

   ---

アテステーションの再スキャン

アクセススキャンで定義されている場合、保留中のアテステーションを再スキャンし、再評価することができます。

---

注 –

「アクセススキャンの作成」ページまたは「アクセススキャンの編集」ページの「動的エンタイトルメント」オプションで、この機能を有効にします。

---

保留中のアテステーションを再スキャンする

1. アテステーションのリストから 1 つ以上のエンタイトルメントを選択し、「再スキャン」をクリックします。

   「ユーザーエンタイトルメントの再スキャン」ページが表示されます。

2. 「コメント」領域に再スキャンアクションに関するコメントを入力して、「続行」をクリックします。

アテステーション作業項目の転送

1 つ以上のアテステーション作業項目をほかのユーザーに転送できます。

アテステーションを転送する

1. アテステーションのリストから 1 つ以上の作業項目を選択し、「転送」をクリックします。

   「転送先の選択と確認」ページが表示されます。

2. ユーザー名を「転送先」フィールドに入力します。または、「...」ボタンをクリックしてユーザー名を検索します。

3. 転送アクションに関するコメントを「コメント」フィールドに入力します。

4. 「続行」をクリックします。

   自動的にアテステーションのリストに戻ります。

   ---

   注 –

   各ユーザーエンタイトルメントの「履歴」領域に転送アクションの詳細が表示されます。

   ---

アクセスレビューアクションのデジタル署名

アクセスレビューアクションを処理するデジタル署名を設定できます。デジタル署名の設定については、「承認の署名」を参照してください。署名付き承認のために証明書と CRL を Identity Manager に追加するために必要な、サーバー側とクライアント側の設定について説明しています。

アクセスレビューレポート

Identity Manager には、アクセスレビューの結果を評価するために使用できる、次のレポートが用意されています。

• アクセスレビュー範囲レポート。ユーザーエンタイトルメントのオーバーラップまたは相違、あるいはその両方を含むユーザーのリストが、レポートの定義に応じて、表形式で表示されます。このレポートには、どのアクセスレビューにオーバーラップや相違が含まれているかを示す追加の列が含まれる場合もあります。

• アクセスレビュー詳細レポート。このレポートには、次の情報が表形式で表示されます。

  • 「名前」。ユーザーエンタイトルメントレコードの名前

  • 「ステータス」。レビュープロセスの現在のステータス。初期化中、終了中、終了、進行中のスキャンの数、スケジュールされているスキャンの数、アテステーションを待機中、完了のいずれかになります。

  • 「アテスター」。そのレコードのアテスターとして割り当てられた Identity Manager ユーザー

  • 「スキャン日」。スキャンの実行が記録されたタイムスタンプ

  • 「処理日」。エンタイトルメントレコードがアテストされた日付 (タイムスタンプ)

  • 「組織」。エンタイトルメントレコード内のユーザーの組織

  • 「マネージャー」。スキャンされたユーザーのマネージャー

  • 「リソース」。このユーザーエンタイトルメントに取得された、ユーザーがアカウントを持つリソース

  • 「違反」。レビューで検出された違反の数

  • ユーザーエンタイトルメントレコードを開くには、レポートで名前をクリックします。「アクセスレビューレポート」に、ユーザーエンタイトルメントレコードビューに表示される情報の例を示します。

    

• アクセスレビュー概要レポート。

  このレポートは、「アクセスレビューの進行状況の管理」でも説明されています。また、図 15–5 に、このレポートを示しています。このレポートには、レポート用に選択したアクセススキャンに関する次の概要情報が表示されます。

  • 「レビュー名」。アクセススキャンの名前

  • 「日付」。レビューが起動された時のタイムスタンプ

  • 「User Count」。レビューでスキャンされたユーザー数

  • 「エンタイトルメント数」。生成されたエンタイトルメントレコードの数

  • 「承認済み」。承認されたエンタイトルメントレコードの数

  • 「却下済み」。拒否されたエンタイトルメントレコードの数

  • 「保留中」。保留中のエンタイトルメントレコードの数

  • 「却下済み」。取り消されたエンタイトルメントレコードの数

    これらのレポートは、「レポートの実行」ページから PDF (Portable Document Format) 形式または CSV (カンマ区切り値) 形式でダウンロードできます。