定期的アクセスレビューについて (Sun Identity Manager 8.1 ビジネス管理者ガイド)

Sun Identity Manager 8.1 ビジネス管理者ガイド

定期的アクセスレビューについて

定期的アクセスレビューは、一連の従業員が特定の時点で適切なリソースに対する適切な特権を持っていることをアテストする定期的プロセスです。

定期的アクセスレビューでは次のアクティビティーを行います。

アクセスレビュースキャン。このスキャンでは、「ユーザーエンタイトルメント」について規則ベースの評価を実行し、アテステーションが必要かどうかを判定します。
アテステーション。ユーザーエンタイトルメントを承認または拒否することによって、アテステーションリクエストに応答するプロセスです。

「ユーザーエンタイトルメント」は、特定のリソースセットについての、ユーザーのアカウントの詳細なレコードです。

アクセスレビュースキャン

定期的アクセスレビューを開始するには、まず、1 つ以上のアクセススキャンを定義する必要があります。

アクセススキャンには、スキャン対象のユーザー、スキャンに含めるリソース、スキャンで評価するオプションの監査ポリシー、および手動でアテストするエンタイトルメントレコードを決定する規則とその実行者を定義します。

アクセスレビューのワークフロープロセス

一般的に、Identity Manager のアクセスレビューワークフローは次のようになります。

ユーザーのリストを作成し、各ユーザーのアカウント情報を取得し、オプションの監査ポリシーを評価する
ユーザーエンタイトルメントレコードを作成する
各ユーザーエンタイトルメントレコードについて、アテステーションが必要かどうかを判断する
作業項目を各アテスターに割り当てる
すべてのアテスターによる承認または最初の拒否を待つ
指定された時間内にリクエストへの応答を受け取らなかった場合は、次のアテスターにエスカレーションする
解決したユーザーエンタイトルメントレコードを更新する

是正機能の詳細については、「アクセスレビュー是正」を参照してください。

必要な管理者機能

定期的アクセスレビューを実行してレビュープロセスを管理するユーザーは、「Auditor Periodic Access Review Administrator」機能を持っている必要があります。「アクセススキャン監査管理者」機能を持つユーザーは、アクセススキャンの作成と管理を行うことができます。

これらの機能を割り当てるには、ユーザーアカウントを編集してセキュリティー属性を変更します。これらの機能およびその他の機能については、第 6 章管理の「機能とその管理について」を参照してください。

アテステーションプロセス

アテステーションは、特定の日付に存在しているユーザーエンタイトルメントを確認するために、1 人以上の指定されたアテスターが実行するアテステーションプロセスです。アクセスレビュー中に、アテスターは電子メール通知によってアクセスレビューアテステーションリクエストの通知を受け取ります。アテスターは、Identity Manager ユーザーである必要がありますが、Identity Manager 管理者である必要はありません。

アテステーションワークフロー

Identity Manager は、レビューを必要とするエンタイトルメントレコードがアクセススキャンで検出されたときに起動される、アテステーションワークフローを使用します。アクセススキャンは、アクセススキャンで定義された規則に基づいてこの判断を行います。

アクセススキャンで評価される規則によって、ユーザーエンタイトルメントレコードを手動でアテストする必要があるか、あるいは自動的に承認または拒否できるか決まります。ユーザーエンタイトルメントレコードを手動でアテストする必要がある場合は、2 番目の規則を使用して適切なアテスターが決定されます。

手動でアテストする各ユーザーエンタイトルメントレコードは、1 人のアテスターにつき 1 つの作業項目でワークフローに割り当てられます。これらの作業項目のアテスターへの通知を、アテスターごと、スキャンごとに項目を 1 つの通知にまとめる ScanNotification ワークフローを使用して送信できます。ScanNotification ワークフローが選択されていない場合は、ユーザーエンタイトルメントごとの通知になります。この場合、1 人のアテスターが同じスキャンで複数の通知を受け取ることになり、スキャンするユーザー数によっては多数の通知になる可能性があります。

アテステーションセキュリティーアクセス

これらの権限付与オプションは、authType AttestationWorkItem の作業項目用のものです。

作業項目の所有者
作業項目の所有者の直属または直属以外のマネージャー
作業項目の所有者が所属する組織を管理する管理者
認証チェックで検証済みのユーザー

デフォルトでは、権限付与チェックの動作は次のいずれかです。

所有者が、アクションを実行しようとしているユーザー自身である
所有者が、アクションを実行しようとしているユーザーが管理する組織に所属している
所有者が、アクションを実行しようとしているユーザーの部下である

2 番目および 3 番目のチェックを別個に設定するには、次のフォームプロパティーを変更します。

controlOrg — 有効な値は true または false。
subordinate — 有効な値は true または false。
lastLevel — 結果に含める最後の従属レベル。-1 はすべてのレベルを意味します。

lastLevel の整数値は、デフォルトでは -1 に設定されます。これは、直属の部下と直属以外の部下を含むことを意味します。

これらのオプションは、次のように追加または変更できます。

UserForm: AccessApprovalList

注 –

組織管理にアテステーションのセキュリティーを設定する場合 (controlOrg が true)、ほかのユーザーが所有しているアテステーションを変更するには Auditor Attestor 機能も必要です。

委任されたアテステーション

デフォルトの動作として、アクセススキャンワークフローは、アクセスレビューアテステーション作業項目およびアクセスレビュー是正作業項目に対して、アテステーション作業項目およびその通知用にユーザーが作成した委任設定に従います。しかし、アクセススキャンの管理者が、「委任に従う」オプションを選択解除して委任設定を無視する場合があります。アテスターがすべての作業項目を別のユーザーに委任している場合でも、アクセスレビュースキャンで「委任に従う」オプションが設定されていなければ、委任を割り当てたユーザーではなく、そのアテスターがアテステーションリクエスト通知と作業項目を受け取ることになります。