test

Sun Identity Manager 8.1 ビジネス管理者ガイド

監査ポリシーのスキャンとレポート

この節では、監査ポリシースキャンについて、および監査スキャンの実行と管理の手順について説明します。

ユーザーおよび組織のスキャン

スキャンは、選択した監査ポリシーを個々のユーザーまたは組織に対して実行します。特定の違反についてユーザーまたは組織をスキャンしたり、ユーザーまたは組織に割り当てられていないポリシーを実行したりできます。インタフェースの「アカウント」領域からスキャンを起動します。

注 –

「サーバータスク」タブから監査ポリシースキャンを起動またはスケジュールすることもできます。

Procedureユーザーアカウントまたは組織をスキャンする

  1. 管理者インタフェースで、メインメニューから「アカウント」を選択します。

  2. 「アカウント」リストで、次のいずれかの操作を行います。

    1. 1 人以上のユーザーを選択し、「ユーザーアクション」オプションリストから「スキャン」を選択します。

    2. 1 つ以上の組織を選択し、「組織アクション」オプションリストから「スキャン」を選択します。

      タスクの起動ダイアログが表示されます。図 15–1 に、監査ポリシーユーザースキャンの「タスクの起動」ページの例を示します。

      図 15–1 タスクの起動ダイアログ

      タスクの起動ダイアログを示す図

  3. 「レポートタイトル」フィールドにスキャンのタイトルを入力します。(必須)

  4. その他のオプションを指定します。

    次のオプションがあります。

    • 「レポートの概要」: レポートの説明を入力します。

    • 「ポリシーの追加」: 実行する監査ポリシーを 1 つ以上選択します。少なくとも 1 つのポリシーを選択する必要があります。

    • 「ポリシーモード」: ポリシーモードを選択します。ポリシーがすでに割り当てられているユーザーに、選択したポリシーを適用する方法を決定します。ユーザーから直接、またはユーザーが割り当てられている組織から割り当てることができます。

    • 「違反を作成しない」: 監査ポリシーを評価して違反の報告は行うが、コンプライアンス違反を作成および更新せず、是正ワークフローを実行しない場合は、このボックスを有効にします。スキャンによるタスク結果にどの違反が発生したかが示されるため、監査ポリシーのテスト時にこのオプションが役立ちます。

    • 「是正ワークフローを実行しますか?」: 監査ポリシーに割り当てられた是正ワークフローを実行する場合は、このボックスを有効にしします。監査ポリシーに是正ワークフローが定義されていない場合は、是正ワークフローは実行されません。

    • 「違反数の最大値」: このボックスを編集して、スキャンが強制終了する前にスキャンが発行できるコンプライアンス違反の最大数を設定します。この値は、チェックが厳しすぎる可能性のある監査ポリシーを実行する場合に、リスクを制限するための安全措置です。空の値は制限を設定しないことを意味します。

    • 「レポート結果を送信」: レポートの受信者を指定するには、このボックスを有効にします。また、CSV (コンマ区切り) 形式のレポートを含むファイルを添付するように設定することもできます。

    • 「デフォルトの PDF オプションを上書き」: デフォルトの PDF オプションを上書きする場合は、このボックスを有効にします。

  5. 「起動」をクリックしてスキャンを開始します。

    監査スキャンの結果のレポートを見るには、「監査レポート」を表示します。

監査レポートの操作

Identity Manager には、多数の監査レポートが用意されています。次の表で、それらのレポートについて説明します。

表 15–1 監査レポートの説明

監査レポートのタイプ 

説明 

アクセスレビュー範囲 

選択したアクセスレビューによって示されたユーザーのオーバーラップと差異を表示します。ほとんどのアクセスレビューでは、ユーザークエリーまたは何らかのメンバーシップの操作によって、ユーザーの範囲が指定されるため、厳密なユーザーセットは時間の経過とともに変化すると予想されます。このレポートには、2 つの異なるアクセスレビューによって指定されたユーザー間 (操作でレビューが効率的に行われるかどうかを確認するため)、2 つの異なるアクセスレビューによって生成されたエンタイトルメント間 (時間の経過とともに範囲が変化するかどうかを確認できる)、またはユーザーとエンタイトルメント間 (レビューの対象とされているすべてのユーザーに対して、エンタイトルメントが生成されたかどうかを確認できる) のオーバーラップまたは差異、あるいはその両方を表示することができます。 

アクセスレビュー詳細 

すべてのユーザーエンタイトルメントレコードの現在のステータスが表示されます。このレポートは、ユーザーの組織、アクセスレビューとアクセスレビューインスタンス、エンタイトルメントレコードの状態、およびアテスターによってフィルタリングできます。 

アクセスレビューの概要 

すべてのアクセスレビューに関する概要情報が表示されます。一覧表示されたアクセスレビュースキャンごとに、スキャンしたユーザー、スキャンしたポリシー、およびアテステーションアクティビティーのステータスの概要が表示されます。 

アクセススキャンユーザー範囲 

選択されたスキャンを比較して、スキャン範囲に含まれるユーザーを判断します。このレポートによって、オーバーラップ (すべてのスキャンに含まれるユーザー) または差異 (すべてのスキャンには含まれないが、1 つ以上のスキャンに含まれるユーザー) が表示されます。このレポートは、スキャンの用途に応じて、同一のユーザーセットを、あるいは異なるユーザーセットを網羅するように複数のアクセススキャンを編成する場合に便利です。 

監査ポリシーの概要 

各ポリシーの規則、是正者、ワークフローなど、すべての監査ポリシーの主要な要素の概要が表示されます。 

監査属性 

指定されたリソースアカウント属性の変更を示すすべての監査レコードが表示されます。 

このレポートでは、格納されているすべての監査可能属性に関する監査データが調べられます。すべての拡張属性に基づいてデータが調べられます。 拡張属性は、WorkflowServices または監査可能としてマークされたリソース属性から指定できます。このレポートの設定については、「監査された属性のレポートの設定」を参照してください。

違反履歴 (監査ポリシー別) 

指定された期間中に作成されたすべてのコンプライアンス違反がポリシー別にグラフ形式で表示されます。このレポートはポリシーのフィルタを適用でき、日、週、月、四半期でグループ化することができます。 

ユーザーアクセス 

指定されたユーザーの監査レコードとユーザー属性が表示されます。 

組織別違反履歴 

一定期間中に作成されたすべてのコンプライアンス違反が組織別にグラフ形式で表示されます。組織のフィルタを適用でき、日、週、月、四半期でグループ化することができます。 

リソース別違反履歴 

指定された期間中に作成されたすべてのコンプライアンス違反がリソース別にグラフ形式で表示されます。 

職務分掌 

競合テーブルに配置された職務分掌違反が表示されます。Web ベースインタフェースでは、リンクをクリックすると追加情報にアクセスできます。 

このレポートは、組織でフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。 

違反の概要 

現在のコンプライアンス違反がすべて表示されます。このレポートは、是正者、リソース、規則、ユーザー、またはポリシーによってフィルタリングできます。 

これらのレポートは、Identity Manager インタフェースの「レポート」タブから利用できます。

注 –

RULE_EVAL_COUNT 値は、ポリシースキャンの間に評価された規則の数と同じです。この値はレポートに含まれることがあります。

Identity Manager は、RULE_EVAL_COUNT 値を次のように計算します。

スキャンしたユーザーの数 x (ポリシー内の規則の数 + 1)

「+1」が計算に含まれているのは、ポリシー違反であるかどうかを実際に決定する規則であるポリシー規則も数えられているからです。ポリシー規則は監査の規則の結果を調べ、ブール式のロジックを実行してポリシーの結果を見つけ出します。

たとえば、3 つの規則があるポリシー A と 2 つの規則があるポリシー B が存在し、10 人のユーザーをスキャンした場合、RULE_EVAL_COUNT 値は、次の計算によって 70 になります。

10 ユーザー x (3 + 1 + 2 + 1 規則)

監査レポートの作成

レポートを実行するには、まず、レポートテンプレートを作成する必要があります。レポートでは、レポート結果を受け取る電子メール受信者など、さまざまな条件を指定できます。レポートテンプレートを作成して保存すると、「レポートの実行」ページからそのレポートを使用できるようになります。

次の図に、定義済み監査レポートのリストが表示された「レポートの実行」ページの例を示します。

図 15–2 「レポートの実行」ページの選択項目

定義済み監査レポートのリストが表示された「レポートの実行」ページの例

Procedure監査レポートを作成する

  1. 管理者インタフェースで、メインメニューから「レポート」をクリックします。

    「レポートの実行」ページが開きます。

  2. レポートタイプとして「監査レポート」を選択します。

  3. レポートの「新規」リストからレポートを選択します。

    「レポートの定義」ページが表示されます。レポートダイアログに表示されるフィールドやレイアウトは、レポートのタイプによって異なります。レポートの条件の指定については、Identity Manager のヘルプを参照してください。

    レポート基準を入力または選択すると、次の手順を実行できます。

    • レポートを保存せずに実行できます。

      「実行」をクリックして、レポートの実行を開始します。新しいレポートを定義した場合、レポートは保存されません。また、既存のレポートを編集した場合、変更されたレポート基準は保存されません。

    • レポートを保存できます。

      「保存」をクリックして、レポートを保存します。保存後は、「レポートの実行」ページ (レポートのリスト) からそのレポートを実行できます。「レポートの実行」ページからレポートを実行したあとは、「レポートの表示」タブで、ただちにまたはあとで出力を表示することができます。

    レポートのスケジュールについては、「レポートのスケジュール」を参照してください。

監査された属性のレポートの設定

監査された属性のレポート (表 15–1) は、Identity Manager のユーザーおよびアカウントに対する属性レベルの変更を報告できます。しかし標準の監査ログでは、完全なクエリー式をサポートするのに十分な監査ログデータが生成されません。

標準の監査ログでも、変更された属性が監査ログの acctAttrChanges フィールドに書き込まれます。ただし、書き込まれた属性に対して、レポートクエリーでは変更された属性の名前に基づいてしかレコードを照合できません。レポートクエリーでは、属性の値を正確に照合することができません。

次のパラメータを指定することで、lastname 属性に対する変更を含むレコードを照合するように、このレポートを設定できます。

Attribute Name = ’acctAttrChanges’
Condition = ’contains’
Value = ’lastname’
注 –

データは acctAttrChanges フィールドに保存されるため、Condition=’contains’ の使用が必要です。これは複数値のフィールドではありません。基本的に、変更されたすべての属性の before/after 値を、attrname=value の形式で格納するデータ構造です。結果として、前の設定では、lastname=xxx であるすべてのインスタンスを照合するレポートクエリーが可能です。

特定の属性に特定の値を持つ監査レコードのみを収集することもできます。この場合は、「「監査」タブの設定」の手順に従ってください。「ワークフロー全体の監査」チェックボックスを選択し、「属性の追加」ボタンをクリックしてレポート対象として記録する属性を選択し、「保存」をクリックします。

次に、まだ有効になっていない場合は、タスクテンプレートの設定を有効にします。この場合は、「タスクテンプレートの有効化」の手順に従ってください。「選択したプロセスタイプ」リストのデフォルト値は変更せずに、「保存」をクリックするだけにしてください。

これでワークフローでは、属性の名前と値の両方の照合に適した監査レコードを提供できるようになりました。このレベルの監査を有効にするとより多くの情報を得られますが、パフォーマンスの負荷も非常に大きく、ワークフローの実行速度が低下することに注意してください。