アテステーションプロセス

アテステーションは、特定の日付に存在しているユーザーエンタイトルメントを確認するために、1 人以上の指定されたアテスターが実行するアテステーションプロセスです。アクセスレビュー中に、アテスターは電子メール通知によってアクセスレビューアテステーションリクエストの通知を受け取ります。アテスターは、Identity Manager ユーザーである必要がありますが、Identity Manager 管理者である必要はありません。

アテステーションワークフロー

Identity Manager は、レビューを必要とするエンタイトルメントレコードがアクセススキャンで検出されたときに起動される、アテステーションワークフローを使用します。アクセススキャンは、アクセススキャンで定義された規則に基づいてこの判断を行います。

アクセススキャンで評価される規則によって、ユーザーエンタイトルメントレコードを手動でアテストする必要があるか、あるいは自動的に承認または拒否できるか決まります。ユーザーエンタイトルメントレコードを手動でアテストする必要がある場合は、2 番目の規則を使用して適切なアテスターが決定されます。

手動でアテストする各ユーザーエンタイトルメントレコードは、1 人のアテスターにつき 1 つの作業項目でワークフローに割り当てられます。これらの作業項目のアテスターへの通知を、アテスターごと、スキャンごとに項目を 1 つの通知にまとめる ScanNotification ワークフローを使用して送信できます。ScanNotification ワークフローが選択されていない場合は、ユーザーエンタイトルメントごとの通知になります。この場合、1 人のアテスターが同じスキャンで複数の通知を受け取ることになり、スキャンするユーザー数によっては多数の通知になる可能性があります。

アテステーションセキュリティーアクセス

これらの権限付与オプションは、authType AttestationWorkItem の作業項目用のものです。

• 作業項目の所有者

• 作業項目の所有者の直属または直属以外のマネージャー

• 作業項目の所有者が所属する組織を管理する管理者

• 認証チェックで検証済みのユーザー

デフォルトでは、権限付与チェックの動作は次のいずれかです。

• 所有者が、アクションを実行しようとしているユーザー自身である

• 所有者が、アクションを実行しようとしているユーザーが管理する組織に所属している

• 所有者が、アクションを実行しようとしているユーザーの部下である

2 番目および 3 番目のチェックを別個に設定するには、次のフォームプロパティーを変更します。

• controlOrg — 有効な値は true または false。

• subordinate — 有効な値は true または false。

• lastLevel — 結果に含める最後の従属レベル。-1 はすべてのレベルを意味します。

lastLevel の整数値は、デフォルトでは -1 に設定されます。これは、直属の部下と直属以外の部下を含むことを意味します。

これらのオプションは、次のように追加または変更できます。

UserForm: AccessApprovalList

組織管理にアテステーションのセキュリティーを設定する場合 (controlOrg が true)、ほかのユーザーが所有しているアテステーションを変更するには Auditor Attestor 機能も必要です。

委任されたアテステーション

デフォルトの動作として、アクセススキャンワークフローは、アクセスレビューアテステーション作業項目およびアクセスレビュー是正作業項目に対して、アテステーション作業項目およびその通知用にユーザーが作成した委任設定に従います。しかし、アクセススキャンの管理者が、「委任に従う」オプションを選択解除して委任設定を無視する場合があります。アテスターがすべての作業項目を別のユーザーに委任している場合でも、アクセスレビュースキャンで「委任に従う」オプションが設定されていなければ、委任を割り当てたユーザーではなく、そのアテスターがアテステーションリクエスト通知と作業項目を受け取ることになります。