監査ポリシーの編集

監査ポリシーに関する一般的な編集タスクは次のとおりです。

• 規則を追加または削除する

• ターゲットリソースを変更する

• ポリシーにアクセスできる組織のリストを調整する

• 各レベルの是正に関連付けられたエスカレーションタイムアウトを変更する

• ポリシーに関連付けられた是正ワークフローを変更する

ポリシーの編集ページ

監査ポリシー名の列でポリシーの名前をクリックして「監査ポリシーの編集」ページを開きます。このページでは、監査ポリシーに関する情報が次の領域に分類されています。

• 識別と規則の領域

• 是正者とエスカレーションタイムアウトの領域

• ワークフローと組織の領域

  

ページのこの領域では、次の操作を行うことができます。

• ポリシーの説明の編集

• 規則の追加または削除

---

注 –

この製品で既存の規則を直接編集することはできません。Identity Manager IDE または XML エディタを使用して規則を編集し、これを Identity Manager にインポートします。その後、以前のバージョンの規則を削除して、改訂バージョンの規則を追加します。

---

監査ポリシーの説明の編集

監査ポリシーの説明を編集するには、「説明」フィールド内のテキストを選択し、新しいテキストを入力します。

オプションの編集

オプションの作業として、「ターゲットリソースを制限」オプションまたは「違反の再スキャンを許可」オプションを選択するか、選択解除します。

ポリシーの規則の削除

ポリシーの規則を削除するには、規則名の前にある「選択」ボタンをクリックし、「削除」をクリックします。

ポリシーへの規則の追加

「追加」をクリックして新しいフィールドを追加し、そのフィールドで、追加する規則を選択します。

ポリシーで使用する規則の変更

「規則名」列で、選択リストから別の規則を選択します。

「是正者」領域

図 14–8 に、ポリシーにレベル 1、レベル 2、およびレベル 3 の是正者を割り当てる、「是正者」領域の一部を示します。

図 14–8 「監査ポリシーの編集」ページ: 是正者の割り当て

ページのこの領域では、次の操作を行うことができます。

• ポリシーの是正者の削除または割り当て

• エスカレーションタイムアウトの調整

是正者の削除または割り当て

ユーザー ID を入力して 1 つ以上の是正レベルに対して是正者を選択し、「追加」をクリックします。ユーザー ID を検索するには、「...」ボタンをクリックします。少なくとも 1 人の是正者を選択する必要があります。

是正者を削除するには、リストでユーザー ID を選択し、「削除」をクリックします。

エスカレーションタイムアウトの調整

タイムアウト値を選択し、新しい値を入力します。デフォルトでは、タイムアウト値は設定されていません。

---

注 –

選択した最高レベルの是正者に対してエスカレーションタイムアウト値を指定した場合、エスカレーションがタイムアウトすると、リストから作業項目が削除されます。

---

是正ワークフローと組織の領域

図 14–9 に、監査ポリシーの是正ワークフローと組織を指定する領域を示します。

図 14–9 「監査ポリシーの編集」ページ: 是正ワークフローと組織

ページのこの領域では、次の操作を行うことができます。

• ポリシー違反の発生時に起動する是正ワークフローを変更する

• 是正ユーザーフォーム規則を選択する

• このポリシーにアクセスできる組織を調整する

是正ワークフローの変更

ポリシーに割り当てられたワークフローを変更するには、オプションリストから別のワークフローを選択します。デフォルトでは、ワークフローは監査ポリシーに割り当てられません。

---

注 –

監査ポリシーにワークフローが割り当てられていない場合、違反はどの是正者にも割り当てられません。

---

リストから是正ワークフローを選択し、「保存」をクリックします。

是正ユーザーフォーム規則の選択

オプションの作業として、是正によってユーザーを編集する際に適用されるユーザーフォームを生成する規則を選択します。

組織の閲覧許可の割り当てまたは削除

この監査ポリシーを使用できる組織を調整し、「保存」をクリックします。

サンプルポリシー

Identity Manager には、「監査ポリシー」リストからアクセス可能な次のサンプルポリシーが用意されています。

• IDM Role Comparison Policy

• IDM Account Accumulation Policy

IDM Role Comparison Policy

このサンプルポリシーを使用すると、Identity Manager ロールで指定されている属性と、ユーザーの現在の属性を比較できます。このポリシーは、ロールに指定されたすべてのリソース属性がユーザーに設定されていることを確認するためのものです。

このポリシーは次の場合に違反を検知します。

• ロールに指定されたリソース属性がユーザーに含まれていない

• ユーザーのリソース属性が、ロールに指定されているものと異なる

IDM Account Accumulation Policy

このサンプルポリシーでは、ユーザーが保有するすべてのアカウントが、そのユーザーによって保有されている少なくとも 1 つのロールによって参照されていることを確認します。

ユーザーに割り当てられているリソースアカウントのうち、いずれか 1 つでも現在ユーザーに割り当てられているどのロールからも明示的に参照されていない場合、このポリシーに違反します。