アクセスレビュースキャン

定期的アクセスレビューを開始するには、まず、1 つ以上のアクセススキャンを定義する必要があります。

アクセススキャンには、スキャン対象のユーザー、スキャンに含めるリソース、スキャンで評価するオプションの監査ポリシー、および手動でアテストするエンタイトルメントレコードを決定する規則とその実行者を定義します。

アクセスレビューのワークフロープロセス

一般的に、Identity Manager のアクセスレビューワークフローは次のようになります。

• ユーザーのリストを作成し、各ユーザーのアカウント情報を取得し、オプションの監査ポリシーを評価する

• ユーザーエンタイトルメントレコードを作成する

• 各ユーザーエンタイトルメントレコードについて、アテステーションが必要かどうかを判断する

• 作業項目を各アテスターに割り当てる

• すべてのアテスターによる承認または最初の拒否を待つ

• 指定された時間内にリクエストへの応答を受け取らなかった場合は、次のアテスターにエスカレーションする

• 解決したユーザーエンタイトルメントレコードを更新する

是正機能の詳細については、「アクセスレビュー是正」を参照してください。

必要な管理者機能

定期的アクセスレビューを実行してレビュープロセスを管理するユーザーは、「Auditor Periodic Access Review Administrator」機能を持っている必要があります。「アクセススキャン監査管理者」機能を持つユーザーは、アクセススキャンの作成と管理を行うことができます。

これらの機能を割り当てるには、ユーザーアカウントを編集してセキュリティー属性を変更します。これらの機能およびその他の機能については、第 6 章管理の 「機能とその管理について」を参照してください。