監査設定
監査設定は、1 つ以上のパブリッシャーと定義済みの複数のグループで構成されます。
監査グループは、オブジェクトタイプ、アクション、アクションの結果に基づいて、すべての監査イベントのサブセットを定義します。各パブリッシャーには 1 つ以上の監査グループが割り当てられます。デフォルトで、すべての監査グループにリポジトリパブリッシャーが割り当てられます。
監査パブリッシャーは、特定の監査出力先に監査イベントを配信します。デフォルトのリポジトリパブリッシャーは、監査レコードをリポジトリに書き込みます。それぞれの監査パブリッシャーには、実装専用のオプションを指定できます。監査パブリッシャーには、テキストフォーマッタを割り当てることができます。(テキストフォーマッタは監査イベントのテキスト表現を提供します。
監査設定 (#ID#Configuration:AuditConfiguration) オブジェクトは、sample/auditconfig.xml ファイルで定義されます。この設定オブジェクトには、汎用オブジェクトである拡張機能があります。
最上位には次の属性があります。
filterConfiguration 属性
filterConfiguration 属性には、1 つ以上のイベントがイベントフィルタを通過できるようにするための、イベントグループのリストを指定します。filterConfiguration 属性に指定した各グループには、表 10–2 に示す属性が含まれます。
表 10–2 filterConfiguration 属性
例 10–5 に、デフォルトのリソース管理グループを示します。
例 10–5 デフォルトのリソース管理グループ
<Object name=’Resource Management’> <Attribute name=’enabled’ value=’true’/> <Attribute name=’displayName’ value=’UI_RESOURCE_MGMT_GROUP_DISPLAYNAME’/> <Attribute name=’enabledEvents’> <List> <Object> <Attribute name=’objectType’ value=’Resource’/> <Attribute name=’actions’ value=’ALL’/> <Attribute name=’results’ value=’ALL’/> </Object> <Object> <Attribute name=’objectType’ value=’ResourceObject’/> <Attribute name=’actions’ value=’ALL’/> <Attribute name=’results’ value=’ALL’/> </Object> </List> </Attribute> </Object> |
Identity Manager には、デフォルトの監査イベントグループが用意されています。これらのイベントグループと、イベントグループによって有効にされるイベントについては、以降の節で説明します。
監査イベントグループは、Identity Manager 管理者インタフェースの「監査設定」ページ (「設定」 > 「監査」) で設定できます。手順については、「監査グループおよび監査イベントの設定」を参照してください。
また、「監査設定」ページでは、成功したイベントと失敗したイベントをグループごとに設定できます。このインタフェースでは、グループで有効にしたイベントの追加や変更はサポートされていません。これらの操作は、Identity Manager デバッグページ (「Identity Manager デバッグページ」) を使用して実行できます。
注 –
監査イベントグループに選択できるアクションのすべてが、ログレコードに記録されるとは限りません。また、「すべてのアクション」オプションを選択しても、一覧に表示されたすべてのアクションが、すべての監査イベントグループで利用可能になるわけではありません。
アカウント管理グループ
このグループはデフォルトで有効になっています。
表 10–3 デフォルトのアカウント管理イベントグループ|
種類 |
アクション |
|---|---|
|
Encryption Key |
すべてのアクション |
|
Identity System Account |
すべてのアクション |
|
Resource Account |
承認、作成、削除、無効化、有効化、変更、拒否、名前の変更、ロック解除 |
|
Workflow Case |
アクティビティーの終了、プロセスの終了、ワークフローの終了、アクティビティーの開始、プロセスの開始、ワークフローの開始 |
|
User |
承認、作成、削除、無効化、有効化、変更、拒否、名前の変更 |
アイデンティティーシステム外部での変更グループ
このグループはデフォルトで無効になっています。
表 10–4 Identity Manager 外部での変更イベントグループとイベント|
種類 |
アクション |
|---|---|
|
ResourceAccount |
NativeChange |
コンプライアンス管理グループ
このグループはデフォルトで有効になっています。
表 10–5 デフォルトのコンプライアンス管理イベントグループ|
種類 |
アクション |
|---|---|
|
Audit Policy |
すべてのアクション |
|
AccessScan |
すべてのアクション |
|
ComplianceViolation |
すべてのアクション |
|
Data Exporter |
すべてのアクション |
|
UserEntitlement |
アテスターによる承認、アテスターによる拒否、リクエストされた是正、リクエストされた再スキャン、終了 |
|
Access Review Workflow |
すべてのアクション |
|
Remediation Workflow |
すべてのアクション |
設定管理グループ
このグループはデフォルトで有効になっています。
表 10–6 デフォルトの設定管理イベントグループ|
種類 |
アクション |
|---|---|
|
Configuration |
すべてのアクション |
|
UserForm |
すべてのアクション |
|
Rule |
すべてのアクション |
|
EmailTemplate |
すべてのアクション |
|
LoginConfig |
すべてのアクション |
|
Policy |
すべてのアクション |
|
XmlData |
インポート |
|
Log |
すべてのアクション |
イベント管理グループ
このグループはデフォルトで有効になっています。
表 10–7 デフォルトのイベント管理イベントグループ|
種類 |
アクション |
|---|---|
|
|
通知 |
|
TestNotification |
通知 |
ログイン/ログオフグループ
このグループはデフォルトで有効になっています。
表 10–8 デフォルトの Identity Manager ログイン/ログオフイベントグループ|
種類 |
アクション |
|---|---|
|
User |
資格失効、ロック、ログイン、ログアウト、ロック解除、ユーザー名の復元 |
パスワード管理グループ
このグループはデフォルトで有効になっています。
表 10–9 デフォルトのパスワード管理イベントグループとイベント|
種類 |
アクション |
|---|---|
|
Resource Account |
パスワードの変更、パスワードのリセット |
リソース管理グループ
このグループはデフォルトで有効になっています。
表 10–10 デフォルトのリソース管理イベントグループとイベント|
種類 |
アクション |
|---|---|
|
Resource |
すべてのアクション |
|
Resource Object |
すべてのアクション |
|
ResourceForm |
すべてのアクション |
|
ResourceAction |
すべてのアクション |
|
AttrParse |
すべてのアクション |
|
Workflow Case |
アクティビティーの終了、プロセスの終了、ワークフローの終了、アクティビティーの開始、プロセスの開始、ワークフローの開始 |
ロール管理グループ
このグループはデフォルトで無効になっています。
表 10–11 デフォルトのロール管理イベントグループとイベント|
種類 |
アクション |
|---|---|
|
Role |
すべてのアクション |
セキュリティー管理グループ
このグループはデフォルトで有効になっています。
表 10–12 デフォルトのセキュリティー管理イベントグループとイベント|
種類 |
アクション |
|---|---|
|
Capability |
すべてのアクション |
|
EncryptionKey |
すべてのアクション |
|
Organization |
すべてのアクション |
|
Admin Role |
すべてのアクション |
サービスプロバイダ グループ
このグループはデフォルトで有効になっています。
表 10–13 サービスプロバイダ イベントグループとイベント|
種類 |
アクション |
|---|---|
|
Directory User |
チャレンジ応答、作成、削除、変更、操作後コールアウト、操作前コールアウト、秘密の質問の回答の更新、ユーザー名の復元 |
タスク管理グループ
このグループはデフォルトで無効になっています。
表 10–14 タスク管理イベントグループとイベント|
種類 |
アクション |
|---|---|
|
TaskInstance |
すべてのアクション |
|
TaskDefinition |
すべてのアクション |
|
TaskSchedule |
すべてのアクション |
|
TaskResult |
すべてのアクション |
|
ProvisioningTask |
すべてのアクション |
extendedTypes 属性
com.waveset.object.Type クラスに追加する新しいタイプを、それぞれ監査できます。新しいタイプには一意の 2 文字のデータベースキーが割り当てられ、このキーはデータベースに格納されます。新しいタイプはすべて、さまざまな監査レポートインタフェースに追加されます。フィルタされずにデータベースにログされる新しいタイプは、監査イベントグループの enabledEvents 属性にそれぞれ追加する必要があります (enabledEvents 属性の説明を参照)。
関連付けられた com.waveset.object.Type を持たない対象を監査したり、既存のタイプをさらに細かく表したりする必要が生じる場合があります。
たとえば、WSUser オブジェクトは、ユーザーのアカウント情報をすべてリポジトリに格納します。監査プロセスは、各イベントに USER タイプとしてマークを付けるのではなく、WSUser オブジェクトを 2 つの異なる監査タイプ (Resource Account と Identity Manager Account) に分割します。このようにオブジェクトを分割することにより、監査ログでの特定のアカウント情報が検索しやすくなります。
extendedObjects 属性に追加することによって、拡張された監査タイプを追加します。拡張された各オブジェクトには、次の表に示す属性が必要になります。
表 10–15 拡張されたオブジェクトの属性|
引数 |
種類 |
説明 |
|---|---|---|
|
name |
String |
タイプの名前。 これは AuditEvents の作成時とイベントフィルタリング中に使用されます。 |
|
displayName |
String |
タイプの名前を表すメッセージカタログキー。 |
|
logDbKey |
String |
ログテーブルにこのオブジェクトを格納するときに使用する 2 文字のデータベースキー。予約済みの値については、「監査ログデータベースマッピング」を参照してください。 |
|
supportedActions |
List |
オブジェクトタイプがサポートするアクション。この属性は、ユーザーインタフェースから監査クエリーを作成するときに使用されます。この値が NULL である場合、すべてのアクションが、このオブジェクトタイプのクエリーで取り得る値として表示されます。 |
|
mapsToType |
String |
(オプション) 該当する場合、このタイプにマップされる com.waveset.object.Type の名前。この属性は、イベントでまだ指定されていない場合、オブジェクトの組織のメンバーシップを解決しようとするときに使用されます。 |
|
organizationalMembership |
List |
(オプション) このタイプのイベントにまだ組織のメンバーシップが割り当てられていない場合、このイベントを配置する組織 ID のデフォルトのリスト。 |
すべての顧客固有のキーには # の記号を先頭に付け、新しい内部キーが追加されたときにキーが重複するのを防止します。
例 10–6 に、拡張タイプの Identity Manager アカウントを示します。
例 10–6 拡張タイプの Identity Manager アカウント
<Object name=’LighthouseAccount’> <Attribute name=’displayName’ value=’LG_LIGHTHOUSE_ACCOUNT’/> <Attribute name=’logDbKey’ value=’LA’/> <Attribute name=’mapsToType’ value=’User’/> <Attribute name=’supportedActions’> <List> <String>Disable</String> <String>Enable</String> <String>Create</String> <String>Modify</String> <String>Delete</String> <String>Rename</String> </List> </Attribute> </Object> |
extendedActions 属性
監査アクションは通常、com.waveset.security.Right オブジェクトにマップします。新しい Right オブジェクトを追加するときに、一意の 2 文字の logDbKey を指定する必要があります。 これはデータベースに格納されます。監査する必要のある特定のアクションに対応する権利がない状況に遭遇することがあります。extendedActions 属性のオブジェクトのリストに追加することにより、アクションを拡張できます。
それぞれの extendedActions オブジェクトは、表 10–16 に示す属性を含んでいる必要があります。
表 10–16 extendedAction の属性|
属性 |
種類 |
説明 |
|---|---|---|
|
name |
String |
アクションの名前。 これは AuditEvents の作成時とイベントのフィルタ中に使用されます。 |
|
displayName |
String |
アクションの名前を表すメッセージカタログキー。 |
|
logDbKey |
String |
ログテーブルにこのアクションを格納するときに使用する 2 文字のデータベースキー。 予約済みの値については、「監査ログデータベースマッピング」を参照してください。 |
すべての顧客固有のキーには # の記号を先頭に付け、新しい内部キーが追加されたときにキーが重複するのを防止します。
表 10–16 に、ログアウトのアクションを追加する例を示します。
例 10–7 ログアウトのアクションの追加
<Object name=’Logout’> <Attribute name=’displayName’ value=’LG_LOGOUT’/> <Attribute name=’logDbKey’ value=’LO’/> </Object> |
extendedResults 属性
監査のタイプおよびアクションを拡張する以外に、結果を追加できます。デフォルトで、成功と失敗の 2 つの結果があります。extendedResults 属性のオブジェクトのリストに追加することにより、結果を拡張できます。
それぞれの extendedResults オブジェクトは、表 10–17 に示す属性を含んでいる必要があります。
表 10–17 extendedResults の属性|
属性 |
種類 |
説明 |
|---|---|---|
|
name |
String |
結果の名前。 これは AuditEvents での状態の設定時とイベントのフィルタ中に使用されます。 |
|
displayName |
String |
結果の名前を表すメッセージカタログキー。 |
|
logDbKey |
String |
ログテーブルにこの結果を格納するときに使用する 1 文字のデータベースキー。予約済みの値については、「データベースキー」のタイトルの節を参照してください。 |
すべての顧客固有のキーには 0 ~ 9 の範囲を使用して、新しい内部キーを追加するときにキーの重複を防止します。
publishers 属性
publishers リスト中の各項目は汎用オブジェクトです。各 publishers オブジェクトには次の属性があります。
表 10–18 publishers の属性|
属性 |
種類 |
説明 |
|---|---|---|
|
class |
String |
パブリッシャークラスの名前。 |
|
displayName |
String |
パブリッシャーの名前を表すメッセージカタログキー。 |
|
description |
String |
パブリッシャーの説明。 |
|
filters |
List |
このパブリッシャーに割り当てられた監査グループのリスト。 |
|
formatter |
String |
テキストフォーマッタの名前 (存在する場合)。 |
|
options |
List |
パブリッシャーオプションのリスト。これらのオプションはパブリッシャーに固有のものです。 このリストの各項目は、PublisherOption のマップ表現です。例については、sample/auditconfig.xml を参照してください。 |
- © 2010, Oracle Corporation and/or its affiliates