Sun Identity Manager 8.1 ビジネス管理者ガイド

監査ポリシーの作成

監査ポリシーを作成するには、監査ポリシーウィザードを使用します。

監査ポリシーウィザードを開く

監査ポリシーウィザードでは、監査ポリシーの作成手順を、順を追って説明します。ウィザードにアクセスするには、次の手順を使用します。

管理者インタフェースにログインします (「Identity Manager エンドユーザーインタフェースへのログイン」)。

「コンプライアンス」タブをクリックします。

「ポリシーの管理」サブタブまたはメニューが開きます。

新しい監査ポリシーを作成するには、「新規」をクリックします。

監査ポリシーの作成: 概要

ウィザードでは、次のタスクを実行して監査ポリシーを作成します。

ポリシー制限の定義に使用する規則の選択または作成
承認者の割り当てとエスカレーション制限の設定
是正ワークフローの割り当て

各ウィザード画面に表示されたタスクを完了したら、「次へ」をクリックして次の手順に進みます。

開始する前に

十分に計画してから監査ポリシーを作成してください。開始する前に、以下のタスクを完了したことを確認します。

監査ポリシーウィザードでポリシーの作成に使用する規則を特定する。選択する規則は、作成するポリシーのタイプと、定義する特定の制限によって決まります。詳細については、「必要な規則を確認する」を参照してください。
新しいポリシーに含める是正ワークフローまたは規則をインポートする。詳細については、「Identity Manager への職務分掌規則のインポート (省略可能)」を参照してください。
監査ポリシーの作成に必要な機能を持っていることを確認する。第 6 章管理の「機能とその管理について」で、必要な機能を確認してください。

必要な規則を確認する

ポリシーで指定する制限は、作成またはインポートする一連の規則に実装されます。監査ポリシーウィザードを使用して規則を作成する場合は、次の手順を実行します。

操作する特定のリソースを指定します。

リソースで有効な属性のリストからアカウント属性を選択します。

その属性に課す条件を選択します。

比較用の値を入力します。

監査ポリシーウィザードの外部で監査ポリシー規則を作成する場合は、『Sun Identity Manager Deployment Reference』の第 4 章「Working with Rules」を参照してください。

Identity Manager への職務分掌規則のインポート (省略可能)

監査ポリシーウィザードでは、職務分掌規則を作成できません。これらの規則は、Identity Manager の外部で作成し、「設定」タブの「交換ファイルのインポート」オプションを使用してインポートする必要があります。

Identity Manager へのワークフローのインポート (省略可能)

外部ワークフローをインポートする

現在 Identity Manager から利用できない是正ワークフローを使用するには、外部ワークフローをインポートします。XML エディタまたは Identity Manager IDE を使用して、カスタムワークフローを作成できます。

authType=’AuditorAdminTask’ and add subtype=’SUBTYPE_REMEDIATION_WORKFLOW’ を設定します。これらの設定オブジェクトを設定するには、Identity Manager IDE または任意の XML エディタを使用します。

「交換ファイルのインポート」オプションを使用してワークフローをインポートします。
1. 管理者インタフェースにログインします (「Identity Manager エンドユーザーインタフェースへのログイン」)。
2. 「設定」タブをクリックし、次に「交換ファイルのインポート」サブタブまたはメニューをクリックします。
  
  「交換ファイルのインポート」ページが表示されます。
3. アップロードするワークフローファイルを参照し、「インポート」をクリックします。
  
  正常にインポートされたワークフローは、監査ポリシーウィザード (「監査ポリシーの作成」) の「是正ワークフロー」のオプションリストに表示されます。

監査ポリシーの名前と説明の指定

監査ポリシーウィザードに、新しいポリシーの名前と簡単な説明を入力します (図 14–1)。

図 14–1 監査ポリシーウィザード: 名前と説明の入力画面

注 –

監査ポリシー名には、次の文字を使用できません。' (アポストロフィー)、. (ピリオド)、| (パイプ)、[ (左角括弧)、] (右角括弧)、, (コンマ)、: (コロン)、$ (ドル記号)、“ (二重引用符)、\ (バックスラッシュ)、= (等号)。

また、_ (下線)、% (パーセント記号)、^ (キャレット)、および * (アスタリスク) の使用も避けてください。

スキャン実行時のアクセス対象を、選択したリソースだけに制限する場合は、「ターゲットリソースを制限」オプションを選択します。

違反の是正として、ただちにユーザーを再スキャンする場合は、「違反の再スキャンを許可」オプションを選択します。

注 –

監査ポリシーでリソースを制限しない場合、スキャンでは、ユーザーがアカウントを持つすべてのリソースがアクセスされます。規則で使用するリソースが少ない場合は、ポリシーの適用をそれらのリソースに限定するほうが効率的です。

「次へ」をクリックして次のページに進みます。

規則のタイプを選択する

このページで、ポリシーの規則を定義または追加するプロセスを開始します。ポリシー作成時の作業の大部分は、規則の定義と作成です。

次の図に示すように、Identity Manager の規則ウィザードを使用して独自の規則を作成するか、または既存の規則を組み込むことができます。規則ウィザードでは、1 つの規則で使用できるリソースは 1 つだけです。インポートした規則では、必要なだけの数のリソースを参照できます。

新しい規則を作成するか、既存の規則を使用するかを決定します。

次のオプションのいずれかを選択します。
- 新しい規則を作成する場合は、「規則ウィザード」オプションを選択します (デフォルト)。
- Identity Manager IDE を使用して作成した既存の規則を組み込む場合は、「既存の規則」オプションを選択します。

「次へ」をクリックします。

手順 1 の選択に基づいて、次のいずれかの操作を行います。
- 「規則ウィザード」を選択した場合は、「規則ウィザードを使用した新しい規則を作成する」に進み、説明されている手順に従ってください。
- 「既存の規則」を選択した場合は、「既存の規則を選択する」に進み、説明されている手順に従ってください。

既存の規則を選択する

新しいポリシーに既存の規則を含めるには、「規則の種類の選択」画面で「既存の規則」を選択し、「次へ」をクリックします。次に、「既存の規則の選択」ドロップダウンメニューから既存の監査ポリシー規則を選択します。

注 –

以前に Identity Manager にインポートした規則の名前が表示されない場合は、「監査ポリシー規則を使用したポリシーの作成」で説明した追加属性を規則に追加していることを確認してください。

「次へ」をクリックします。

「規則の追加」に進みます。

規則ウィザードを使用した新しい規則を作成する

監査ポリシーウィザードで「規則ウィザード」を選択して規則を作成する場合は、次の節で説明するページに情報を入力していきます。

新しい規則に名前を付けて説明する

オプションの作業として新しい規則に名前を付けて説明します。このページでは、Identity Manager で規則が表示されるときに規則名の横に表示される説明テキストを入力します。規則の内容を示す簡潔でわかりやすい説明を入力します。この説明は、Identity Manager の「ポリシー違反のレビュー」ページ内に表示されます。

図 14–2 監査ポリシーウィザード: 規則の説明の入力画面

たとえば、Oracle ERP responsibilityKey の Payable User 属性値と Receivable User 属性値の両方を持つユーザーを検出する規則を作成する場合は、「説明」フィールドに「Payable User と Receivable User の両方の役割を持つユーザーを検出する」などのテキストを入力します。

規則に関する追加情報を入力する場合は、「コメント」フィールドを使用します。

規則で参照するリソースの選択

このページでは、規則で参照するリソースを選択します。各規則変数は、このリソースの属性に対応している必要があります。このオプションリストには、表示アクセス権を持つすべてのリソースが表示されます。この例では、「Oracle ERP」が選択されています。

図 14–3 監査ポリシーウィザード: リソースの選択画面

注 –

使用可能な各リソースアダプタのほとんどの属性 (ただし全部ではない) がサポートされています。利用可能な特定の属性の詳細については、『Sun Identity Manager 8.1 Resources Reference 』を参照してください。

「次へ」をクリックして次のページに進みます。

規則式の作成

この画面では、新しい規則の規則式を入力します。この例では、Oracle ERP responsibilityKey の Payable User 属性値を持つユーザーは、Receivable User 属性値を同時に持つことができないという規則を作成します。

規則式を作成する

使用可能な属性のリストからユーザー属性を選択します。この属性は、規則変数に直接対応します。

リストから論理条件を選択します。有効な条件には、「=」(等しい)、「!=」(等しくない)、「<」(より小さい)、「<=」(より小さいまたは等しい)、「>」(より大きい)、「>=」(より大きいまたは等しい)、「が true である」、「が null である」、「が null でない」、「が空の文字列である」、および「が右の文字列を含む」があります。この例では、使用できる属性条件のリストから「contains」を選択します。

式の値を入力します。たとえば、「Payable user」と入力した場合は、responsibilityKeys 属性の Payable user値を持つ Oracle ERP ユーザーを指定したことになります。

(省略可能) 「AND」または「OR」の演算子をクリックし、行を追加して、別の式を作成します。

図 14–4 監査ポリシーウィザード: 規則式の選択画面

この規則はブール値を返します。両方のステートメントが true の場合、ポリシー規則は、ポリシー違反となる TRUE の値を返します。

注 –

Identity Manager では、入れ子になった規則の制御はサポートされません。また、監査ポリシーウィザードを使用して、規則間で異なるブール演算子を使用したポリシーを作成すると、評価の順序が指定されていないため、予期しない結果となる可能性があります。

複雑な規則式の場合は、監査ポリシーウィザードを使用するのではなく、XML エディタを使用して規則を作成してください。XML エディタを使用すると、必要な場所で否定を指定し、ルール間で 1 つのブール演算子のみを使用するようにできます。

次のコード例は、この画面で作成した規則の XML を示しています。

<Description>Payable User/Receivable User</Description>
  <RuleArgument name=’resource’ value=’Oracle ERP’>
    <Comments>Resource specified when  audit policy was created.</Comments>
    <String>Oracle ERP</String>
  </RuleArgument>
    <and>
      <contains>
        <ref>accounts[Oracle ERP].responsibilityKeys</ref>
        <s>Receivable User</s>
      </contains>
      <contains>
        <ref>accounts[Oracle ERP].responsibilityKeys</ref>
        <s>Payables User</s>
      </contains>
    </and>
    <MemberObjectGroups>
      <ObjectRef type=’ObjectGroup’ id=’#ID#Top’ name=’Top’/>
    </MemberObjectGroups>
</Rule>

規則から式を削除するには、属性条件を選択して「削除」をクリックします。

「次へ」をクリックして監査ポリシーウィザードを続行します。既存の規則を追加するか、もう一度ウィザードを使用して、より多くの規則を追加することができます。

規則の追加

既存の規則をインポートするか、ウィザードを使用して、追加規則を作成することができます。詳細については、「規則のタイプを選択する」を参照してください。

必要な場合は、「AND」または「OR」の演算子をクリックして、規則の追加を続行します。規則を削除するには、規則を選択して「削除」をクリックします。

ポリシー違反が発生するのは、すべての規則のブール式が true と評価した場合だけです。規則を AND または OR の演算子でグループ化すると、すべての規則が true でなくても、ポリシーが true に評価される場合があります。Identity Manager は、true に評価された規則に対してのみ、およびポリシー式が true に評価された場合のみ、違反を作成します。

注 –

是正ワークフローの選択

この画面で、このポリシーに関連付ける是正ワークフローを選択します。ここで割り当てたワークフローによって、監査ポリシー違反が検出されたときに Identity Manager で実行されるアクションが決まります。

注 –

違反が検知された監査ポリシーごとに 1 つのワークフローが起動します。各ワークフローには、特定のポリシーのポリシースキャンによって作成されたコンプライアンス違反ごとに、1 つまたは複数の作業項目が含まれます。

図 14–5 監査ポリシーウィザード: 是正ワークフローの選択画面

注 –

XML エディタまたは Identity Manager IDE で作成したワークフローのインポートについては、「Identity Manager への職務分掌規則のインポート (省略可能)」を参照してください。

「是正ユーザーフォーム規則」ドロップダウンメニューを使用して、是正を通してユーザーを編集するときに適用するユーザーフォームを判定する規則を選択します。デフォルトでは、是正作業項目に対応してユーザーを編集する是正者は、是正者に割り当てられたユーザーフォームを使用します。監査ポリシーで是正ユーザーフォームを指定すると、このフォームが代わりに使用されます。これにより、監査ポリシーで対応する特定の問題を示す場合に、厳密に限定されたフォームを使うことができます。

この是正ワークフローに関連付ける是正者を指定する場合は、「是正者の指定」チェックボックスを選択します。このオプションを選択して「次へ」をクリックすると、是正者の割り当てページが表示されます。このオプションを選択しなかった場合は、監査ポリシーウィザードの組織の割り当て画面が表示されます。

是正者と是正タイムアウトの選択

是正者を指定した場合、この監査ポリシーの違反が検出されると、このポリシーに割り当てられた是正者に通知されます。さらに、デフォルトのワークフローで是正作業項目が是正者に割り当てられます。Identity Manager ユーザーはだれでも、是正者になることができます。

1 人以上のレベル 1 是正者、すなわち、指定されたユーザーを割り当てることができます。レベル 1 是正者は、ポリシー違反が検出されたときに、是正ワークフローによって送信される電子メールで最初に連絡を受けます。レベル 1 是正者が応答する前に、指定したエスカレーションタイムアウト期間が経過すると、Identity Manager は続いて、ここで指定したレベル 2 是正者に連絡します。エスカレーションタイムアウト期間が経過するまでに、レベル 1 是正者とレベル 2 是正者のどちらも応答しなかった場合のみ、Identity Manager はレベル 3 是正者に連絡します。

注 –

選択した最高レベルの是正者に対してエスカレーションタイムアウト値を指定した場合、エスカレーションがタイムアウトすると、リストから作業項目が削除されます。デフォルトでは、エスカレーションタイムアウトは 0 に設定されます。この場合、作業項目は期限切れにならず、是正者のリストに残ります。

是正者の割り当ては省略可能です。このオプションを選択する場合は、「是正者の指定」チェックボックスを有効にして、次の画面に進みます。

是正者の利用可能リストにユーザーを追加するには、ユーザー ID を入力して、「追加」をクリックします。または、「...」ボタンをクリックして、ユーザー名を検索します。「が次の文字列で始まる」フィールドに文字を入力し、「検索」をクリックします。検索リストからユーザーを選択したら、「追加」をクリックして、是正者のリストに追加します。「閉じる」をクリックして、検索領域を閉じます。

是正者のリストからユーザー ID を削除するには、リストでユーザー ID を選択して、「削除」をクリックします。

図 14–6 監査ポリシーウィザード: レベル 1 是正者の選択領域

このポリシーにアクセスできる組織の選択

この画面を使用して、このポリシーを表示および編集できる組織を選択します (図 14–7)。

図 14–7 監査ポリシーウィザード: 閲覧を許可された組織の割り当て画面

組織を選択したら、「完了」をクリックして監査ポリシーを作成し、「ポリシーの管理」ページに戻ります。新しく作成したポリシーがこのリストに表示されます。