定期的アクセスレビューの計画

アクセスレビューは、どの企業でも多くの労働力と時間を要するプロセスです。Identity Manager の定期的アクセスレビュープロセスを使用すると、プロセスの多くの部分が自動化されるため、必要なコストと時間を最小限にできます。ただし、それでも時間のかかるプロセスがいくつかあります。たとえば、いくつもの場所から多数のユーザーのユーザーアカウントデータを取得するプロセスには、かなりの時間を要する場合があります。レコードを手動でアテストする作業も、時間がかかる場合があります。適切な計画を行えば、プロセスの効率を高め、必要な手間を大幅に減らすことができます。

定期的アクセスレビューの計画では、次のことを考慮する必要があります。

• スキャン時間は、ユーザー数および関連するリソースの数によって大きく異なる場合があります。

  大規模な組織で 1 回の定期的アクセスレビューを行う場合、スキャンに 1 日以上かかることがあり、手動アテステーションを完了するのに 1 週間以上かかることもあります。

  たとえば、50,000 人のユーザーと 10 のリソースを持つ組織では、次の計算によると、アクセススキャンの完了にほぼ 1 日かかる可能性があります。

  1 秒/リソース * 50000 ユーザー * 10 リソース / 5 同時スレッド = 28 時間

  リソースが各地域に散在している場合は、ネットワークの待ち時間が処理時間に加わることがあります。

• 複数の Identity Manager サーバーを使用して並行処理を行うと、アクセスレビュープロセスを高速化できます。

  各スキャンでリソースが共通していない場合は、並列スキャンの実行がもっとも効果的です。アクセスレビューを定義するときに、複数のスキャンを作成し、リソースを特定のリソースセットに制限して、スキャンごとに異なるリソースを使用するようにします。そして、タスクの起動時に、複数のスキャンを選択し、ただちに実行するようにスケジュールします。

• アテステーションワークフローと規則をカスタマイズすることにより、管理を強化して効率を向上させることができます。

  たとえば、アテスター規則を、複数のアテスターにアテステーション作業を分散させるようにカスタマイズします。そうすれば、アテステーションプロセスで、その規則に従って作業項目が割り当てられ通知が送信されます。

• アテスターエスカレーション規則を使用すると、アテステーションリクエストに対する応答時間を短くできます。

  デフォルトのエスカレーションアテスター規則を設定するか、またはカスタマイズした規則を使用して、アテスターのエスカレーションチェーンを設定します。エスカレーションタイムアウト値も指定します。

• レビュー決定規則の使用方法を理解し、手動レビューが必要なエンタイトルメントレコードの判別を自動化することで時間を節約します。

• スキャンレベルの通知ワークフローを指定して、スキャンごとにアテステーションリクエストの通知をまとめます。

スキャンタスクのチューニング

スキャンプロセス時に、複数のスレッドがユーザーのビューにアクセスし、ユーザーがアカウントを持つリソースにアクセスする可能性があります。ビューへのアクセス後、複数の監査ポリシーと規則が評価され、コンプライアンス違反が生成されることがあります。

2 つのスレッドが同じユーザービューを同時に更新することを避けるため、プロセスはユーザー名にメモリー内ロックを設定します。このロックがデフォルトで 5 秒以内に設定できない場合、スキャンタスクにエラーが書き込まれ、ユーザーはスキップされるため、同じユーザーセットを処理する同時スキャンが防止されます。

スキャンタスクへのタスク引数として提供される、いくつかの「チューニング可能パラメータ」の値を編集できます。

• clearUserLocks (ブール型)。true の場合、スキャンの開始前に、現在のすべてのユーザーロックが解除されます。

• userLock (整数)。ユーザーをロックする際の待ち時間 (ミリ秒単位)。デフォルト値は 5 秒です。負の値を設定すると、スキャン中にユーザーのロックは行いません。

• scanDelay (整数)。スキャンスレッドのディスパッチ間にスリープする時間 (ミリ秒単位)。デフォルト値は 0 (遅延なし) です。この引数の値を指定すると、スキャンは遅くなりますが、システムのほかの操作の応答が速くなります。

• maxThreads (整数)。スキャンの処理に使用する同時スレッド数。デフォルト値は、5 です。リソースの応答が極めて遅い場合は、この数値を大きくすると、スキャンのスループットが向上する可能性があります。

これらのパラメータの値を変更するには、対応する「タスク定義」フォームを編集します。詳細については、『Sun Identity Manager Deployment Reference』の第 2 章「Identity Manager Forms」を参照してください。