この節では、Identity Manager の是正機能を使用して重要な資産を保護する方法について説明します。
以下のトピックで、Identity Manager 是正プロセスの要素について説明します。
Identity Manager は、未解決の (受け入れられていない) 監査ポリシーコンプライアンス違反を検出すると、是正リクエストを作成します。このリクエストは「是正者」によって処理される必要があります。是正者とは、監査ポリシー違反の評価と応答を許可されている、指定されたユーザーです。
Identity Manager では、3 レベルの是正者のエスカレーションを定義できます。是正リクエストは、まず、レベル 1 是正者に送信されます。タイムアウト時間が経過するまでにレベル 1 是正者が是正リクエストに応答しなかった場合、Identity Manager はその違反をレベル 2 是正者にエスカレーションし、新しいタイムアウト時間を開始します。タイムアウト時間が経過するまでにレベル 2 是正者が応答しなかった場合、そのリクエストはさらにレベル 3 是正者にエスカレーションされます。
是正を実行するには、そのシステムで少なくとも 1 人の是正者を指定する必要があります。任意設定ですが、各レベルに 2 人以上の是正者を指定することをお勧めします。複数の是正者を指定すると、ワークフローの遅延や停止を防ぐことができます。
これらの権限付与オプションは、authType RemediationWorkItem の作業項目用のものです。
是正作業項目の所有者
是正作業項目の所有者の直属または直属以外のマネージャー
是正作業項目の所有者が所属する組織を管理する管理者
デフォルトでは、権限付与チェックの動作は次のいずれかです。
所有者が、アクションを実行しようとしているユーザー自身である
所有者が、アクションを実行しようとしているユーザーが管理する組織に所属している
作業項目は、アクションを実行しようとしているユーザーの部下が所有している
2 番目および 3 番目のチェックを別個に設定するには、次のオプションを変更します。
「controlOrg」。有効な値は true または false です。
「subordinate」。有効な値は true または false です。
「lastLevel」。結果に含める最後の従属レベル。-1 はすべてのレベルを意味します。lastLevel の整数値は、デフォルトでは -1 に設定され、これは直属の部下と直属ではない部下を含むことを意味します。
これらのオプションは、次のファイルで追加または変更できます。
UserForm: Remediation List
Identity Manager には、監査ポリシースキャンの是正プロセスを行う標準是正ワークフローが用意されています。
標準是正ワークフローでは、コンプライアンス違反に関する情報を含む是正リクエスト (レビュータイプの作業項目) が生成され、監査ポリシーで指定された各レベル 1 是正者に電子メール通知が送信されます。是正者が違反を受け入れると、ワークフローによって既存のコンプライアンス違反オブジェクトの状態が変更され、有効期限が割り当てられます。
コンプライアンス違反は、ユーザー、ポリシー名、および規則名の組み合わせによって一意に識別されます。監査ポリシーで true と評価されたときに、このユーザー/ポリシー/規則の組み合わせによる既存の違反が存在していなければ、その組み合わせによる新しいコンプライアンス違反が作成されます。その組み合わせでの違反が存在し、その違反が受け入れられた状態になっている場合は、ワークフロープロセスによる処理は行われません。既存の違反が受け入れられていない場合、その再発回数が加算されます。
是正ワークフローの詳細については、「監査ポリシーについて」を参照してください。
デフォルトでは、各是正者は次の 3 つの応答オプションから選択できます。
是正する。是正者は、何らかの処理を実行してリソースの問題を修正したことを示します。
コンプライアンス違反が修正されると、Identity Manager は監査イベントを作成して是正をログに記録します。さらに、Identity Manager は、是正者の名前と入力されたコメントを保存します。
是正後、違反は、次の監査スキャンまで削除されません。監査ポリシーが再スキャンを許可するように設定されている場合、違反が是正されるとただちにユーザーが再スキャンされます。
受け入れる。是正者は、ユーザーが一定期間その違反を免除されるように違反の内容を受け入れます。
違反が意図的なものである場合 (たとえば、業務上 2 つのグループに所属する必要がある場合など) は、長期間にわたって違反を受け入れることができます。また、リソースのシステム管理者が休暇中で問題の修正方法がわからない場合などには、短期間だけ違反を受け入れることもできます。
Identity Manager は、違反を受け入れた是正者の名前を、免除に割り当てた有効期限および入力したコメントとともに保存します。
Identity Manager は、期限切れになった免除を検出すると、違反を受け入れた状態から保留中の状態に戻します。
転送する。是正者は、違反を解決する役割を別の人物に再割り当てします。
ユーザーが買掛金と売掛金の両方を担当できないようにする規則を設定した企業で、あるユーザーがこの規則に違反しているという通知を受け取ったとします。
会社がその職位に別の従業員を雇用するまでの間、そのユーザーがスーパーバイザとして両方の役割を受け持つ場合は、その違反を受け入れ、最長で 6 か月間の免除を与えることができます。
ユーザーが規則に違反している場合、競合を修正し、そのリソースで問題が解決されたときに違反を是正するように Oracle ERP 管理者に依頼することもできます。または、是正リクエストを Oracle ERP 管理者に転送することができます。
Identity Manager には、「ポリシー違反通知」電子メールテンプレートが用意されています。これを利用するには、「設定」タブを選択し、次に「電子メールテンプレート」サブタブを選択します。このテンプレートを、保留中の違反を是正者に通知するように設定できます。詳細については、第 4 章ビジネス管理オブジェクトの設定の 「電子メールテンプレートのカスタマイズ」を参照してください。
「是正」ページにアクセスするには、「作業項目」、「是正」タブの順に選択します。
このページでは、次の操作を行うことができます。
保留中の違反を表示する
ポリシー違反の優先度を設定する
1 つ以上のポリシー違反を受け入れる
1 つ以上のポリシー違反を是正する
1 つ以上の違反を転送する
是正作業項目のユーザーを編集する
「是正」ページでは、違反に対するアクションを実行する前に、違反に関する詳細を表示できます。
割り当てられている機能または Identity Manager 機能の階層の位置に応じて、ほかの是正者の違反を表示してアクションを実行することもできます。
以下のトピックは、違反の表示に関するものです。
デフォルトでは、割り当てられている保留中のリクエストは「是正」テーブルに表示されます。
「右の者に対する是正リクエスト一覧」オプションを使用すると、別の是正者に対する保留中の是正リクエストを表示できます。
直接報告される組織内のユーザーの保留中のリクエストを表示するには、「自分の直属の部下」を選択します。
保留中のリクエストを表示したい 1 人以上のユーザーを入力するか、検索するには、「ユーザーの検索」を選択します。ユーザー ID を入力して、「適用」をクリックすると、そのユーザーの保留中のリクエストが表示されます。または、「...」ボタンをクリックして、ユーザーを検索します。ユーザーを見つけて選択したら、「閉じる」をクリックして、「検索」領域を閉じます。
結果のテーブルには、リクエストごとに次の情報が表示されます。
「是正者」。割り当てられた是正者の名前。この列は、ほかの是正者の是正リクエストを表示する場合にのみ表示されます。
「ユーザー」。リクエストが作成されたユーザー。
「 監査ポリシー/リクエスト」。是正者のリクエストされたアクション。
「監査ポリシー/説明」。リクエストに関する是正のコメント。
「違反の状態」。違反の現在の状態。
「重要度」。リクエストに割り当てられた重要度 (なし、低、中、高、クリティカル)。
「優先度」。リクエストに割り当てられた優先度 (なし、低、中、高、緊急)。
「リクエスト日」: 是正リクエストが発行された日時。
各ユーザーは、その特定の是正者に関連する是正データを表示するカスタムフォームを選択できます。カスタムフォームを割り当てるには、ユーザーフォームの「コンプライアンス」タブを選択します。
完了した是正リクエストを表示するには、「自分の作業項目」タブをクリックし、次に「履歴」タブをクリックします。以前に是正した作業項目のリストが表示されます。
AuditLog レポートで生成される結果テーブルには、是正リクエストごとに次の情報が表示されます。
「タイムスタンプ」。リクエストが是正された日時
「主体」。リクエストを処理した是正者の名前
「アクション」。是正者がリクエストを受け入れたか、是正したか
「タイプ」。ComplianceViolation または User Entitlement
「オブジェクト名」。違反した監査ポリシーの名前
「リソース」。是正者のアカウント ID (または「なし」)
「ID」。ポリシー違反に関連するアカウント ID
「結果」。常に Success
テーブルのタイムスタンプをクリックすると、「監査イベントの詳細」ページが開きます。
この情報には、是正または受け入れに関する情報、イベントパラメータ (該当する場合)、監査可能属性などが含まれます。
「是正」テーブルに表示された情報を更新するには、「更新」をクリックします。新しい是正リクエストがあれば、「是正」ページのテーブルが更新されます。
ポリシー違反に優先度、重要度、またはその両方を割り当てて、ポリシー違反の優先度を設定することができます。「是正」ページから違反の優先度を設定します。
リスト内の 1 つ以上の違反を選択します。
「優先度の設定」をクリックします。
「ポリシー違反の優先度設定」ページが表示されます。
オプションの作業として違反の重要度を設定します。選択項目は、「なし」、「低」、「中」、「高」、「クリティカル」です。
オプションの作業として違反の優先度を設定します。選択項目は、「なし」、「低」、「中」、「高」、「緊急」です。
選択が完了したら、「OK」をクリックします。是正のリストに戻ります。
重要度と優先度の値は、タイプ CV (コンプライアンス違反) の是正項目にのみ設定できます。
「是正」ページまたは「ポリシー違反のレビュー」ページで、ポリシー違反を受け入れることができます。
テーブルの行を選択して、受け入れるリクエストを指定します。
1 つまたは複数のリクエストを受け入れ対象に指定するには、それぞれのオプションを有効にします。
テーブルに一覧表示されたすべてのリクエストを受け入れるには、テーブルヘッダーのオプションを有効にします。
Identity Manager では、受け入れアクションを説明するコメントは 1 セットしか入力できません。関連する違反であるためコメントが 1 つで十分な場合を除いては、一括受け入れを実行しないでください。
受け入れ可能なリクエストは、コンプライアンス違反を含むリクエストのみです。ほかの是正リクエストは受け入れることができません。
「受け入れる」をクリックします。
次のような「ポリシー違反を受け入れる」ページ (または「複数のポリシー違反を受け入れる」ページ) が表示されます。
「説明」フィールドに、受け入れに関するコメントを入力します。(必須)
コメントは、このアクションの監査証跡として利用されるので、ひととおりの有用な情報を入力する必要があります。たとえば、ポリシー違反を受け入れる理由、日付、免除期間の選択理由などを説明します。
免除の有効期限を指定します。「有効期限」フィールドに日付 (YYYY-MM-DD 形式) を直接入力するか、日付のボタンをクリックしてカレンダから日付を選択します。
日付を入力しない場合、免除期間は無期限となります。
「OK」をクリックして変更を保存し、「是正」ページに戻ります。
テーブル内のチェックボックスを使用して、是正するリクエストを指定します。
1 つまたは複数のリクエストを是正対象に指定するには、それぞれのチェックボックスを有効にします。
テーブルに一覧表示されたすべてのリクエストを是正するには、テーブルヘッダーのチェックボックスを有効にします。
複数のリクエストを選択した場合、Identity Manager では、是正アクションを説明するコメントは 1 セットしか入力できません。関連する違反であるためコメントが 1 つで十分な場合を除いては、一括是正を実行しないでください。
「是正」をクリックします。
「ポリシー違反の是正」ページ (または「複数のポリシー違反の是正」ページ) が表示されます。
「コメント」フィールドに、是正に関するコメントを入力します。
「OK」をクリックして変更を保存し、「是正」ページに戻ります。
ユーザーに直接割り当てられている (ユーザーアカウントや組織の割り当てによって割り当てられている) 監査ポリシーは、そのユーザーの違反の是正時に常に再評価されます。
1 つ以上の是正リクエストをほかの是正者に転送できます。
テーブル内のチェックボックスを使用して、転送するリクエストを指定します。
テーブルに一覧表示されたすべてのリクエストを転送するには、テーブルヘッダーのチェックボックスを有効にします。
1 つまたは複数のリクエストを転送するには、それぞれのチェックボックスを有効にします。
「転送」をクリックします。
「転送先の選択と確認」ページが表示されます。
「転送先」フィールドに是正者の名前を入力して、「OK」をクリックします。または、「...」ボタンをクリックして、是正者の名前を検索します。検索リストから名前を選択し、「設定」をクリックして、「転送先」フィールドにその名前を入力します。「閉じる」をクリックして、検索領域を閉じます。
「是正」ページが再表示され、テーブルの「是正者」列に新しい是正者の名前が表示されます。
適切なユーザー編集機能を持つ場合、関連付けられたエンタイトルメント履歴に説明されているとおり、是正作業項目から、ユーザーを編集して問題を是正できます。
ユーザーを編集するには、「是正リクエストのレビュー」ページから、「ユーザーの編集」をクリックします。表示される「ユーザーの編集」ページには、次の項目が表示されます。
この作業項目について、ユーザーに関連付けられているエンタイトルメント履歴
ユーザーの属性
ここに表示されるオプションは、「アカウント」領域から使用できる「ユーザーの編集」フォームのオプションと同じです。
ユーザーを変更したら、「保存」をクリックします。
ユーザーを編集し、保存すると、ユーザーの更新ワークフローが実行されます。このワークフローに承認プロセスが含まれている場合があるため、ユーザーアカウントを変更し、保存してもしばらくの間、有効にならない可能性があります。監査ポリシーで再スキャンが許可されており、ユーザーの更新ワークフローが完了していない場合、後続のポリシースキャンで同じ違反が検出されることがあります。