フォレンジッククエリーの設定

フォレンジッククエリーを使用すると、データウェアハウスに格納されているデータを Identity Manager で読み取ることができます。このクエリーは、ユーザー、ロール、または関連するデータタイプの現在値または履歴値に基づいて、ユーザーやロールを特定できます。フォレンジッククエリーは「ユーザーの検索」や「ロールの検索」のレポートと似ていますが、履歴値に対して一致条件を評価できる点が異なります。 また、照会しようとしているユーザーやロールとはデータタイプが異なる属性を検索できる点が異なります。

フォレンジッククエリーの目的は、Identity Manager を使用して結果に対するアクションを実行することです。フォレンジッククエリーは汎用のレポートツールではありません。

フォレンジッククエリーでは次のような質問をすることができます。

• 時間 A と時間 B の間にシステム X にアクセスしたのはどのユーザーか。 そのアクセスを承認したのはだれか。

• 過去 48 時間でいくつのプロビジョニングリクエストが処理されたか。 各リクエストの所要時間はどれだけだったか。

フォレンジッククエリーの結果は、保存することができません。ウェアハウスデータに関する一般的なレポートは、市販のレポートツールで作成するようにしてださい。

クエリーの作成

フォレンジッククエリーでは、ユーザーオブジェクトやロールオブジェクトを検索できます。クエリーは非常に複雑にすることができ、作成者は関連するデータタイプについて 1 つ以上の属性の条件を選択できます。ユーザーのフォレンジッククエリーでは、データタイプが User、Account、ResourceAccount、Role、Entitlement、および WorkItem である属性を検索できます。ロールのフォレンジッククエリーでは、データタイプが Role、User、および WorkItem である属性を検索できます。

1 つのデータタイプ内で、すべての属性条件の論理積が求められるため、一致と判定されるにはすべての条件が満たされる必要があります。デフォルトでは、データタイプ全体にわたる一致の論理積が求められますが、「OR の使用」チェックボックスを選択すると、データタイプ全体にわたる一致の論理和が求められます。

ウェアハウスでは、1 つのユーザーオブジェクトまたはロールオブジェクトについて複数のレコードが含まれていることがあり、1 つのクエリーで、同一のユーザーまたはロールについて複数の一致が返される可能性があります。これらの一致を区別する助けになるように、日付の範囲によって各データタイプに制約を設定できます。 そのようにすると、指定した日付の範囲にあるレコードのみが一致だと見なされます。関連するデータタイプはそれぞれ日付の範囲で制約を設定できるため、次の形式のクエリーを発行することができます。

find all Users with Resource Account on ERP1 between May and July 2005 
who were attested by Fred Jones between June and August 2005

日付の範囲は午前零時から午前零時です。たとえば、範囲が 2007 年 5 月 3 日から 2007 年 5 月 5 日であれば 48 時間です。2007 年 5 月 5 日からのレコードは含まれません。

各属性条件のオペランド (比較対象の値) は、クエリー定義の一部として指定する必要があります。スキーマでは、一部の属性で可能な値のセットが限定されるよう制限が設定されており、その他の属性には制限がありません。たとえば、ほとんどのデータフィールドは、YYYY-MM-DD HH:mm:ss の形式で入力する必要があります。

ウェアハウス内のデータ量が多い可能性があり、クエリーが複雑であるため、クエリーの結果が生成されるまで長い時間がかかることがあります。フォレンジッククエリーの実行中にクエリーページから移動すると、クエリーの結果を確認できなくなります。

フォレンジッククエリーを作成する

1. 管理者インタフェースで、メインメニューの「コンプライアンス」をクリックします。

   「監査ポリシー」ページ (「ポリシーの管理」タブ) が開きます。

2. 「フォレンジッククエリー」二次タブをクリックします。

   「データウェアハウスの検索」ページが開きます。

   図 16–5 「データウェアハウスの検索」ページ (フォレンジッククエリー)

   
   

3. 「タイプ」ドロップダウンメニューから、ユーザーレコードとロールレコードのどちらを検索するかを選択します。

4. 照会した各データタイプの結果について Identity Manager で論理和を求める場合は、「OR の使用」チェックボックスを選択します。デフォルトでは、結果の論理積を求める処理が実行されます。

5. フォレンジッククエリーに含める予定のデータタイプが示されているタブを選択します。

   1. 「条件の追加」をクリックします。一連のドロップダウンメニューが表示されます。

   2. 左側のドロップダウンメニューからオペランド (チェックする条件) を選択し、右側のドロップダウンメニューから実行する比較のタイプを選択します。次に、検索する文字列または整数を入力します。使用できるオペランドのリストは外部のスキーマで定義されています。各オペランドの説明については、オンラインヘルプを参照してください。

   3. オプションの作業として、日付の範囲を選択してクエリーの範囲を絞り込みます。

      必要に応じて、現在選択されているデータタイプにさらに条件を追加します。フォレンジッククエリーの定義の一部になるすべてのデータタイプについて、この手順を繰り返します。

6. 選択可能な属性から、フォレンジッククエリーの結果に表示する属性を選択します。

7. 「結果表示を次の件数に限定」フィールドに値を指定します。複数のデータタイプからの条件を使用する場合、各タイプのサブクエリーに制限が適用され、最終結果はすべてのサブクエリーの共通部分になります。そのため、サブクエリーの制限が原因で、最終結果から一部のレコードが除外される場合があります。

8. 「検索」をクリックしてフォレンジッククエリーをただちに実行するか、クエリーを再利用できるように「クエリーの保存」をクリックします。フォレンジッククエリーの再使用については、「フォレンジッククエリーの保存」を参照してください。

フォレンジッククエリーの保存

クエリーを設定 (オプションの作業として、クエリーを実行して必要な結果が生成されることを確認) したら、あとで実行するためにクエリーを保存できます。

フォレンジッククエリーを保存する

1. 「データウェアハウスの検索」ページから、「クエリーの保存」をクリックします。「フォレンジッククエリーの保存」ページが開きます。

2. クエリーの名前を説明を指定します。

3. 「条件値の保存」チェックボックスを選択し、「データウェアハウスの検索」ページで入力した条件の値 (文字列と整数) を保存します。このチェックボックスを選択しない場合、保存したフォレンジッククエリーはテンプレートとして機能し、クエリーを実行するたびに値を入力する必要があります。

4. 保存されたクエリーはどのユーザーでも実行できますが、デフォルトでは、クエリーを修正できるのはクエリーの作成者だけです。ほかのユーザーがクエリーを変更できるようにするには、「ほかのユーザーがこのクエリーを変更することを許可」チェックボックスを選択します。

5. クエリーではユーザーオブジェクトまたはロールオブジェクトが返されるため、結果にオブジェクトのどちらのオブジェクトの属性を表示するかを選択できます。「表示する属性」リストに含まれない属性を表示する場合は、「データエクスポータの設定」ページに移動し、表示可能な新しい属性をユーザーまたはロールのタイプに追加します。

クエリーの読み込み

任意のユーザーが保存した任意のクエリーを読み込むことができますが、変更できるのは自分が作成したクエリーか、ほかのユーザーが作成したもののうち、だれでも修正可能とマークされたクエリーのみです。

フォレンジッククエリーを読み込む

1. 「データウェアハウスの検索」ページから、「クエリーの読み込み」をクリックします。「フォレンジッククエリーの読み込み」ページが開きます。クエリーがテンプレートとして保存されている場合は、「クエリーの概要」列に「未完了のクエリー」と表示されます。

2. クエリーの左側にあるチェックボックスを選択し、「クエリーの読み込み」をクリックします。