Sun Identity Manager 8.1 ビジネス管理者ガイド

コンプライアンス違反の是正と受け入れ

この節では、Identity Manager の是正機能を使用して重要な資産を保護する方法について説明します。

以下のトピックで、Identity Manager 是正プロセスの要素について説明します。

是正について

Identity Manager は、未解決の (受け入れられていない) 監査ポリシーコンプライアンス違反を検出すると、是正リクエストを作成します。このリクエストは「是正者」によって処理される必要があります。是正者とは、監査ポリシー違反の評価と応答を許可されている、指定されたユーザーです。

是正者のエスカレーション

Identity Manager では、3 レベルの是正者のエスカレーションを定義できます。是正リクエストは、まず、レベル 1 是正者に送信されます。タイムアウト時間が経過するまでにレベル 1 是正者が是正リクエストに応答しなかった場合、Identity Manager はその違反をレベル 2 是正者にエスカレーションし、新しいタイムアウト時間を開始します。タイムアウト時間が経過するまでにレベル 2 是正者が応答しなかった場合、そのリクエストはさらにレベル 3 是正者にエスカレーションされます。

是正を実行するには、そのシステムで少なくとも 1 人の是正者を指定する必要があります。任意設定ですが、各レベルに 2 人以上の是正者を指定することをお勧めします。複数の是正者を指定すると、ワークフローの遅延や停止を防ぐことができます。

是正セキュリティーアクセス

これらの権限付与オプションは、authType RemediationWorkItem の作業項目用のものです。

デフォルトでは、権限付与チェックの動作は次のいずれかです。

2 番目および 3 番目のチェックを別個に設定するには、次のオプションを変更します。

これらのオプションは、次のファイルで追加または変更できます。

UserForm: Remediation List

是正ワークフローのプロセス

Identity Manager には、監査ポリシースキャンの是正プロセスを行う標準是正ワークフローが用意されています。

標準是正ワークフローでは、コンプライアンス違反に関する情報を含む是正リクエスト (レビュータイプの作業項目) が生成され、監査ポリシーで指定された各レベル 1 是正者に電子メール通知が送信されます。是正者が違反を受け入れると、ワークフローによって既存のコンプライアンス違反オブジェクトの状態が変更され、有効期限が割り当てられます。

コンプライアンス違反は、ユーザー、ポリシー名、および規則名の組み合わせによって一意に識別されます。監査ポリシーで true と評価されたときに、このユーザー/ポリシー/規則の組み合わせによる既存の違反が存在していなければ、その組み合わせによる新しいコンプライアンス違反が作成されます。その組み合わせでの違反が存在し、その違反が受け入れられた状態になっている場合は、ワークフロープロセスによる処理は行われません。既存の違反が受け入れられていない場合、その再発回数が加算されます。

是正ワークフローの詳細については、「監査ポリシーについて」を参照してください。

是正応答

デフォルトでは、各是正者は次の 3 つの応答オプションから選択できます。

是正の例

ユーザーが買掛金と売掛金の両方を担当できないようにする規則を設定した企業で、あるユーザーがこの規則に違反しているという通知を受け取ったとします。

是正電子メールテンプレート

Identity Manager には、「ポリシー違反通知」電子メールテンプレートが用意されています。これを利用するには、「設定」タブを選択し、次に「電子メールテンプレート」サブタブを選択します。このテンプレートを、保留中の違反を是正者に通知するように設定できます。詳細については、第 4 章ビジネス管理オブジェクトの設定「電子メールテンプレートのカスタマイズ」を参照してください。

「是正」ページでの操作

「是正」ページにアクセスするには、「作業項目」、「是正」タブの順に選択します。

このページでは、次の操作を行うことができます。

ポリシー違反の表示

「是正」ページでは、違反に対するアクションを実行する前に、違反に関する詳細を表示できます。

割り当てられている機能または Identity Manager 機能の階層の位置に応じて、ほかの是正者の違反を表示してアクションを実行することもできます。

以下のトピックは、違反の表示に関するものです。

保留中のリクエストの表示

デフォルトでは、割り当てられている保留中のリクエストは「是正」テーブルに表示されます。

「右の者に対する是正リクエスト一覧」オプションを使用すると、別の是正者に対する保留中の是正リクエストを表示できます。

結果のテーブルには、リクエストごとに次の情報が表示されます。


注 –

各ユーザーは、その特定の是正者に関連する是正データを表示するカスタムフォームを選択できます。カスタムフォームを割り当てるには、ユーザーフォームの「コンプライアンス」タブを選択します。


完了したリクエストの表示

完了した是正リクエストを表示するには、「自分の作業項目」タブをクリックし、次に「履歴」タブをクリックします。以前に是正した作業項目のリストが表示されます。

AuditLog レポートで生成される結果テーブルには、是正リクエストごとに次の情報が表示されます。

テーブルのタイムスタンプをクリックすると、「監査イベントの詳細」ページが開きます。

この情報には、是正または受け入れに関する情報、イベントパラメータ (該当する場合)、監査可能属性などが含まれます。

テーブルの更新

「是正」テーブルに表示された情報を更新するには、「更新」をクリックします。新しい是正リクエストがあれば、「是正」ページのテーブルが更新されます。

ポリシー違反の優先度の設定

ポリシー違反に優先度、重要度、またはその両方を割り当てて、ポリシー違反の優先度を設定することができます。「是正」ページから違反の優先度を設定します。

Procedure違反の優先度または重要度を編集する

  1. リスト内の 1 つ以上の違反を選択します。

  2. 「優先度の設定」をクリックします。

    「ポリシー違反の優先度設定」ページが表示されます。

  3. オプションの作業として違反の重要度を設定します。選択項目は、「なし」、「低」、「中」、「高」、「クリティカル」です。

  4. オプションの作業として違反の優先度を設定します。選択項目は、「なし」、「低」、「中」、「高」、「緊急」です。

  5. 選択が完了したら、「OK」をクリックします。是正のリストに戻ります。


    注 –

    重要度と優先度の値は、タイプ CV (コンプライアンス違反) の是正項目にのみ設定できます。


ポリシー違反の受け入れ

「是正」ページまたは「ポリシー違反のレビュー」ページで、ポリシー違反を受け入れることができます。

「是正」ページでの操作

Procedure「是正」ページで保留中のポリシー違反を受け入れる

  1. テーブルの行を選択して、受け入れるリクエストを指定します。

    • 1 つまたは複数のリクエストを受け入れ対象に指定するには、それぞれのオプションを有効にします。

    • テーブルに一覧表示されたすべてのリクエストを受け入れるには、テーブルヘッダーのオプションを有効にします。

    Identity Manager では、受け入れアクションを説明するコメントは 1 セットしか入力できません。関連する違反であるためコメントが 1 つで十分な場合を除いては、一括受け入れを実行しないでください。

    受け入れ可能なリクエストは、コンプライアンス違反を含むリクエストのみです。ほかの是正リクエストは受け入れることができません。

  2. 「受け入れる」をクリックします。

    次のような「ポリシー違反を受け入れる」ページ (または「複数のポリシー違反を受け入れる」ページ) が表示されます。

    図 15–3 「ポリシー違反を受け入れる」ページ

    「複数のポリシー違反を受け入れる」ページを示す図

  3. 「説明」フィールドに、受け入れに関するコメントを入力します。(必須)

    コメントは、このアクションの監査証跡として利用されるので、ひととおりの有用な情報を入力する必要があります。たとえば、ポリシー違反を受け入れる理由、日付、免除期間の選択理由などを説明します。

  4. 免除の有効期限を指定します。「有効期限」フィールドに日付 (YYYY-MM-DD 形式) を直接入力するか、日付のボタンをクリックしてカレンダから日付を選択します。


    注 –

    日付を入力しない場合、免除期間は無期限となります。


  5. 「OK」をクリックして変更を保存し、「是正」ページに戻ります。

ポリシー違反の是正

Procedure1 つ以上のポリシー違反を是正する

  1. テーブル内のチェックボックスを使用して、是正するリクエストを指定します。

    • 1 つまたは複数のリクエストを是正対象に指定するには、それぞれのチェックボックスを有効にします。

    • テーブルに一覧表示されたすべてのリクエストを是正するには、テーブルヘッダーのチェックボックスを有効にします。

      複数のリクエストを選択した場合、Identity Manager では、是正アクションを説明するコメントは 1 セットしか入力できません。関連する違反であるためコメントが 1 つで十分な場合を除いては、一括是正を実行しないでください。

  2. 「是正」をクリックします。

  3. 「ポリシー違反の是正」ページ (または「複数のポリシー違反の是正」ページ) が表示されます。

  4. 「コメント」フィールドに、是正に関するコメントを入力します。

  5. 「OK」をクリックして変更を保存し、「是正」ページに戻ります。


    注 –

    ユーザーに直接割り当てられている (ユーザーアカウントや組織の割り当てによって割り当てられている) 監査ポリシーは、そのユーザーの違反の是正時に常に再評価されます。


是正リクエストの転送

1 つ以上の是正リクエストをほかの是正者に転送できます。

Procedure是正リクエストを転送する

  1. テーブル内のチェックボックスを使用して、転送するリクエストを指定します。

    • テーブルに一覧表示されたすべてのリクエストを転送するには、テーブルヘッダーのチェックボックスを有効にします。

    • 1 つまたは複数のリクエストを転送するには、それぞれのチェックボックスを有効にします。

  2. 「転送」をクリックします。

    「転送先の選択と確認」ページが表示されます。

    図 15–4 「転送先の選択と確認」ページ

    「転送先の選択と確認」ページを示す図

  3. 「転送先」フィールドに是正者の名前を入力して、「OK」をクリックします。または、「...」ボタンをクリックして、是正者の名前を検索します。検索リストから名前を選択し、「設定」をクリックして、「転送先」フィールドにその名前を入力します。「閉じる」をクリックして、検索領域を閉じます。

    「是正」ページが再表示され、テーブルの「是正者」列に新しい是正者の名前が表示されます。

是正作業項目のユーザーの編集

適切なユーザー編集機能を持つ場合、関連付けられたエンタイトルメント履歴に説明されているとおり、是正作業項目から、ユーザーを編集して問題を是正できます。

ユーザーを編集するには、「是正リクエストのレビュー」ページから、「ユーザーの編集」をクリックします。表示される「ユーザーの編集」ページには、次の項目が表示されます。

ユーザーを変更したら、「保存」をクリックします。


注 –

ユーザーを編集し、保存すると、ユーザーの更新ワークフローが実行されます。このワークフローに承認プロセスが含まれている場合があるため、ユーザーアカウントを変更し、保存してもしばらくの間、有効にならない可能性があります。監査ポリシーで再スキャンが許可されており、ユーザーの更新ワークフローが完了していない場合、後続のポリシースキャンで同じ違反が検出されることがあります。