アテステーション作業の管理
アテステーションリクエストの管理は、Identity Manager の管理者インタフェースまたはユーザーインタフェースで行うことができます。この節では、アテステーションリクエストへの応答、およびアテステーションに必要な作業について説明します。
アクセスレビューの通知
スキャン中に、アテステーションリクエストの承認が必要になると、Identity Manager からアテスターに通知が送信されます。アテスターの役割が委任されている場合、そのリクエストは委任者に送信されます。複数のアテスターが定義されている場合は、それぞれのアテスターが電子メール通知を受け取ります。
Identity Manager インタフェースでは、リクエストは「アテステーション」作業項目として表示されます。保留中のアテステーション作業項目は、割り当てられたアテスターが Identity Manager にログインしたときに表示されます。
保留中のアテステーションリクエストの表示
インタフェースの「作業項目」領域からアテステーション作業項目を表示します。「作業項目」領域の「アテステーション」タブを選択すると、承認を必要としているすべてのエンタイトルメントレコードが一覧表示されます。「アテステーション」ページでは、すべての直属の部下のエンタイトルメントレコードや、直接または間接的に管理している特定のユーザーのエンタイトルメントレコードも表示できます。
エンタイトルメントレコードの操作
アテステーション作業項目には、レビューを必要とするユーザーエンタイトルメントレコードが含まれます。エンタイトルメントレコードは、ユーザーアクセス特権、割り当てられたリソース、およびポリシー違反に関する情報を提供します。
アテステーションリクエストに想定される応答を次に示します。
-
「承認」。エンタイトルメントレコードに記録された日付において適切なエンタイトルメントであることを認証します。
-
「拒否」。エンタイトルメントレコードに現時点では検証または是正できない矛盾がある可能性があることを示します。
-
「再スキャン」。再スキャンをリクエストし、ユーザーのエンタイトルメントを再評価します。
-
「転送」。別の受信者がレビューするように指定できます。
-
「拒否」。このレコードのアテステーションを適切に行えない場合、あるいは、より適切なアテスターがわからない場合にこのオプションを選びます。アテステーション作業項目は、レビュープロセスの所有者に転送されます。このオプションは、アクセスレビュータスクにレビュープロセスの所有者が定義されている場合にのみ使用できます。
指定されたエスカレーションタイムアウト時間までにアテスターがこれらのアクションのいずれかを実行することでリクエストに応答しなかった場合は、エスカレーションチェーン内の次のアテスターに通知が送信されます。通知プロセスは、応答がログに記録されるまで続行されます。
「コンプライアンス」、「アクセスレビュー」タブの順に選択し、アテステーションステータスを監視できます。
クローズループ是正
ユーザーエンタイトルメントを拒否する前に、次の手順を実行できます。
-
修正が必要なエンタイトルメントに対して、ほかのユーザーに修正をリクエストすること (是正のリクエスト) ができます。この場合、新しい是正作業項目が作成されるので、その作業項目に対して 1 人以上の是正者を割り当てます。
新しい是正者は、Identity Manager を使用して、または別の方法でユーザーを編集し、違反している箇所を是正できた場合には作業項目を是正済みとしてマークします。その時点で、ユーザーエンタイトルメントは再スキャンされ、再評価されます。
-
エンタイトルメントの再評価 (再スキャン) をリクエストします。この場合、ユーザーエンタイトルメントは再スキャンされ、評価し直されます。元のアテステーション作業項目はクローズされます。アクセススキャンに定義された規則によりエンタイトルメントにまだアテステーションが必要と判断された場合は、新しいアテステーション作業項目が作成されます。
是正のリクエスト
アクセススキャンで定義されている場合、保留中のアテステーションを別のユーザーに配信して是正してもらうことができます。
注 –
「アクセススキャンの作成」ページまたは「アクセススキャンの編集」ページの「動的エンタイトルメント」オプションで、この機能を有効にします。
別のユーザーからの是正をリクエストする
-
アテステーションのリストから 1 つ以上のエンタイトルメントを選択し、「是正のリクエスト」をクリックします。
「是正のリクエストの選択と確認」ページが表示されます。
-
ユーザー名を入力して、「追加」をクリックし、そのユーザーを「転送先」フィールドに追加します。または、「...」ボタンをクリックして、ユーザーを検索します。検索リストのユーザーを選択して、「追加」をクリックし、そのユーザーを「転送先」リストに追加します。「閉じる」をクリックして、検索領域を閉じます。
-
「コメント」フィールドにコメントを入力して、「続行」をクリックします。
自動的にアテステーションのリストに戻ります。
注 –各ユーザーエンタイトルメントの「履歴」領域に是正リクエストの詳細が表示されます。
アテステーションの再スキャン
アクセススキャンで定義されている場合、保留中のアテステーションを再スキャンし、再評価することができます。
注 –
「アクセススキャンの作成」ページまたは「アクセススキャンの編集」ページの「動的エンタイトルメント」オプションで、この機能を有効にします。
保留中のアテステーションを再スキャンする
-
アテステーションのリストから 1 つ以上のエンタイトルメントを選択し、「再スキャン」をクリックします。
「ユーザーエンタイトルメントの再スキャン」ページが表示されます。
-
「コメント」領域に再スキャンアクションに関するコメントを入力して、「続行」をクリックします。
アテステーション作業項目の転送
1 つ以上のアテステーション作業項目をほかのユーザーに転送できます。
アテステーションを転送する
-
アテステーションのリストから 1 つ以上の作業項目を選択し、「転送」をクリックします。
「転送先の選択と確認」ページが表示されます。
-
ユーザー名を「転送先」フィールドに入力します。または、「...」ボタンをクリックしてユーザー名を検索します。
-
転送アクションに関するコメントを「コメント」フィールドに入力します。
-
「続行」をクリックします。
自動的にアテステーションのリストに戻ります。
注 –各ユーザーエンタイトルメントの「履歴」領域に転送アクションの詳細が表示されます。
アクセスレビューアクションのデジタル署名
アクセスレビューアクションを処理するデジタル署名を設定できます。デジタル署名の設定については、「承認の署名」を参照してください。署名付き承認のために証明書と CRL を Identity Manager に追加するために必要な、サーバー側とクライアント側の設定について説明しています。
- © 2010, Oracle Corporation and/or its affiliates