test

Sun Identity Manager 8.1 ビジネス管理者ガイド

Procedureアクセスレビュースキャンを定義する

  1. 「コンプライアンス」、「アクセススキャンの管理」の順に選択します。

  2. 「新規」をクリックして、「新規アクセススキャンの作成」ページを表示します。

  3. アクセススキャンに名前を割り当てます。

    注 –

    アクセススキャンの名前には、次の文字を使用できません。

    ’ (アポストロフィ)、. (ピリオド)、| (パイプ)、[ (左角括弧)、] (右角括弧)、, (コンマ)、: (コロン)、$ (ドル記号)、“ (二重引用符)、\ (バックスラッシュ)、= (等号)

    また、_ (下線)、% (パーセント記号)、^ (キャレット)、および * (アスタリススク) の使用も避けてください。

  4. スキャンを識別する説明を追加します (省略可能)。

  5. 「動的エンタイトルメント」オプションを有効にして、アテスターに追加のオプションを与えます。

    次のオプションがあります。

    • 保留中のアテステーションをすぐに再スキャンして、エンタイトルメントデータを更新し、アテステーションの必要性を再評価できます。

    • 保留中のアテステーションを別のユーザーに転送して是正を依頼できます。是正後、エンタイトルメントデータは更新および再評価され、アテステーションの必要性が決定されます。

  6. 「ユーザー範囲タイプ」を指定します (必須)。

    次のオプションから選択します。

    • 「 属性条件規則に従う」。選択したユーザー範囲規則に従って、ユーザーをスキャンします。

      Identity Manager では、次のデフォルトの規則を使用できます。

      • 「All Administrators」

        注 –

        ユーザーの範囲を指定する規則を追加するには、Identity Manager IDE を使用します。Identity Manager IDE の詳細については、https://identitymanageride.dev.java.net/ を参照してください。

      • All My Reports

      • 「All Non-Administrators」

      • My Direct Reports

      • 「Users without a Manager」

    • 「リソースに割り当て」。選択した 1 つ以上のリソースにアカウントを持つすべてのユーザーをスキャンします。このオプションを選択した場合、ページにユーザー範囲リソースが表示され、リソースを指定できます。

    • 「特定のロールに従う」。指定したロールを、少なくとも 1 つ持つメンバー、またはすべて持つメンバーをスキャンします。

    • 「組織のメンバー」。選択した 1 つ以上の組織のすべてのメンバーをスキャンする場合は、このオプションを選択します。

    • 「特定のマネージャーの部下」。選択したマネージャーに報告しているすべてのユーザーをスキャンします。マネージャーの階層は、ユーザーの Lighthouse アカウントの Identity Manager 属性によって決まります。

      ユーザー範囲タイプが「組織のメンバー」または「特定のマネージャーの部下」の場合は、「範囲を再帰的に計算?」オプションを使用できます。このオプションを使用すると、管理する一連のメンバーを通して再帰的にユーザー選択が行われるようにできます。

  7. アクセスレビュースキャンで監査ポリシーもスキャンして違反を検出する場合は、このスキャンに適用する監査ポリシーを「利用可能な監査ポリシー」リストから選択し、「現在の監査ポリシー」リストに移動させます。

    アクセススキャンに監査ポリシーを追加した場合の動作は、同じユーザーセットに対して監査スキャンを実行するのと同じ結果になります。ただし、それに加えて、監査ポリシーによって検出された違反がユーザーエンタイトルメントレコードに格納されます。この情報により、ユーザーエンタイトルメントレコード内に違反が存在するかどうかを規則のロジックの一部として使用できるので、自動承認または自動拒否が容易になります。

  8. 前の手順でスキャンする監査ポリシーを選択した場合は、「ポリシーモード」オプションを使用して、アクセススキャンされる各ユーザーに対してどの監査ポリシーを実行するかを指定することができます。ユーザーレベルまたは組織レベル、あるいはその両方でユーザーにポリシーを割り当てることができます。デフォルトのアクセススキャンでは、ユーザーにまだポリシーが割り当てられていない場合にのみ、アクセススキャンで指定されたポリシーが適用されます。

    1. 選択されたポリシーを適用し、それ以外の割り当ては無視する

    2. ユーザーにまだ割り当てられていない場合にのみ、選択されたポリシーを適用する

    3. ユーザーの割り当てに加えて、選択されたポリシーを適用する

  9. (省略可能)「レビュープロセスの所有者」を指定します。定義しているアクセスレビュータスクの所有者を指定する場合は、このオプションを使用します。レビュープロセスの所有者を指定すると、アテステーションリクエストへの応答で競合が起こる可能性があるアテスターは、ユーザーエンタイトルメントを承認または却下する代わりに「拒否」できます。 その場合、アテステーションリクエストはレビュープロセスの所有者に転送されます。選択 (省略記号) ボックスをクリックして、ユーザーアカウントを検索し、選択を行います。

  10. 「委任に従う」。アクセススキャンの委任を有効にする場合は、このオプションを選択します。このオプションを選択した場合、アクセススキャンでは委任設定のみが遵守されます。「委任に従う」は、デフォルトで有効になっています。

  11. 「ターゲットリソースを制限」。スキャンをターゲットのリソースだけに制限する場合は、このオプションを選択します。

    この設定は、アクセススキャンの効率に直接関係します。ターゲットリソースを制限しない場合、各ユーザーエンタイトルメントレコードには、そのユーザーが関連付けられているすべてのリソースのアカウント情報が含まれます。つまり、そのスキャンでは、各ユーザーに割り当てられたすべてのリソースが問い合わせを受けます。このオプションを使用してリソースのサブセットを指定すると、Identity Manager がユーザーエンタイトルメントレコードを作成するために必要な処理時間を大幅に減らすことができます。

  12. 「違反の是正を実行する」。違反が検出されたときに監査ポリシーの是正ワークフローを有効にする場合は、このオプションを選択します。

    このオプションを選択すると、割り当てられた監査ポリシーのいずれかに対する違反が検出されると、その監査ポリシーの是正ワークフローが実行されます。

    特別に必要な場合を除いて、このオプションは選択しないようにしてください。

  13. 「アクセス承認ワークフロー」。デフォルトの Standard Attestation ワークフローを選択するか、またはカスタマイズしたワークフロー (使用可能な場合) を選択します。

    このワークフローは、レビュー用のユーザーエンタイトルメントレコードを適切なアテスター (アテスター規則によって決まる) に提示するために使用されます。デフォルトの Standard Attestation ワークフローでは、1 人のアテスターに対して 1 つの作業項目が作成されます。アクセススキャンにエスカレーションが指定されている場合、このワークフローでは、保留状態の時間が長すぎる作業項目のエスカレーションが行われます。ワークフローが指定されていない場合、ユーザーアテステーションは無期限に保留状態のままになります。

    .

    注 –

    この手順と次の手順で説明している Identity Auditor 規則の詳細については、『Sun Identity Manager Deployment Reference』の第 4 章「Working with Rules」を参照してください。

  14. 「アテスター規則」。「Default Attestor」規則を選択するか、またはカスタマイズしたアテスター規則 (使用可能な場合) を選択します。

    アテスター規則は、ユーザーエンタイトルメントレコードを入力として受け取り、アテスター名のリストを返します。「委任に従う」が選択されている場合、アクセススキャンでは、元の名前リストにある各ユーザーが設定した委任情報に従って、名前リストが適切なユーザー名のリストに変換されます。Identity Manager ユーザーの委任がルーティングサイクルになった場合、その委任情報は破棄され、作業項目は最初のアテスターに配信されます。Default Attestor 規則では、エンタイトルメントレコードに示されたユーザーのマネージャー (idmManager) がアテスターとなり、そのユーザーの idmManager が null の場合は Configurator アカウントがアテスターとなります。マネージャーだけでなくリソースの所有者もアテステーションに携わる必要がある場合は、カスタム規則を使用する必要があります。

  15. 「アテスターエスカレーション規則」。Default Escalation Attestor 規則を指定する場合、またはカスタマイズした規則 (使用可能な場合) を選択する場合は、このオプションを使用します。また、規則のエスカレーションタイムアウト値を指定することもできます。デフォルトのエスカレーションタイムアウト値は 0 日です。

    この規則は、エスカレーションタイムアウト時間が経過した作業項目のエスカレーションチェーンを指定します。Default Escalation Attestor 規則では、割り当てられたアテスターのマネージャー (idmManager) にエスカレーションされるか、または、アテスターの idmManager の値が null の場合は Configurator にエスカレーションされます。

    エスカレーションタイムアウト値は、分単位、時間単位、または日単位で指定できます。

    マニュアルには、アテスターエスカレーション規則に関する追加の情報が含まれています。

  16. 「レビュー決定規則」(必須)。

    次のいずれかの規則を選択して、スキャンプロセスがエンタイトルメントレコードの処置を決定する方法を指定します。

    • 「Reject Changed Users」。同じアクセススキャン定義による最後のユーザーエンタイトルメントと異なっていて、最後のユーザーエンタイトルメントが承認されているユーザーエンタイトルメントレコードを自動的に拒否します。これを選択しない場合は、以前に承認されたユーザーエンタイトルメントから変更されたすべてのユーザーエンタイトルメントを手動でアテステーションおよび承認する必要があります。デフォルトでは、この規則に対して、ユーザービューの「アカウント」部分のみが比較されます。

    • 「Review Changed Users」。同じアクセススキャン定義による最後のユーザーエンタイトルメントと異なっていて、最後のユーザーエンタイトルメントが承認されているすべてのユーザーエンタイトルメントレコードの手動アテステーションを強制します。以前に承認されたユーザーエンタイトルメントから変更されていないユーザーエンタイトルメントはすべて承認します。デフォルトでは、この規則に対して、ユーザービューの「アカウント」部分のみが比較されます。

    • 「Review Everyone」。すべてのユーザーエンタイトルメントレコードの手動アテステーションを強制します。

    「Reject Changed Users」規則と「Review Changed Users」規則では、ユーザーエンタイトルメントを、そのエンタイトルメントレコードが承認されたアクセススキャンの最後のインスタンスと比較します。

    この動作を変更するには、規則をコピーし、ユーザーデータの特定の部分のみを比較するように修正します。

    この規則は次の値を返します。

    • -1。アテステーションの必要なし

    • 0。アテステーションを自動的に却下

    • 1。手動アテステーションが必要

    • 2。アテステーションを自動的に承認

    • 3。アテステーションを自動的に是正する (自動是正)

      マニュアルには、レビュー決定規則に関する追加の情報が含まれています。

  17. 「是正者規則」。自動是正の場合に、特定のユーザーのエンタイトルメントを誰が是正すべきかを決定するために使用する規則を選択します。この規則により、ユーザーの現在のユーザーエンタイトルメントと違反を調査できます。規則は是正すべきユーザーのリストを返す必要があります。規則を指定しない場合、是正は行われません。この規則は一般的に、エンタイトルメントにコンプライアンス違反がある場合に使用します。

  18. 「是正ユーザーフォーム規則」。ユーザーの編集時に、アテステーション是正者に適切なフォームを選択する場合に使用する規則を選択します。是正者は独自のフォームを設定でき、このフォームより優先されます。このフォーム規則は、スキャンでカスタムフォームに一致する厳密に限定されたデータを収集する場合に設定します。

  19. 「通知ワークフロー」。

    作業項目ごとに通知動作を指定する場合は、次のオプションのいずれかを選択します。

    • 「なし」。デフォルトの選択です。これを選択すると、アテスターは、アテステーションの必要があるユーザーエンタイトルメントごとに電子メール通知を受け取ります。

    • 「ScanNotification」。これを選択すると、アテステーションリクエストが 1 つの通知にまとめられます。通知には、その受信者に何件のアテステーションリクエストが割り当てられたかが示されます。

      アクセススキャンで「レビュープロセスの所有者」が指定されている場合、ScanNotification ワークフローでは、スキャンの開始時と終了時に、レビュープロセスの所有者にも通知が送信されます。「アクセススキャンの作成」を参照してください。

      ScanNotification ワークフローでは、次の電子メールテンプレートを使用します。

      • Access Scan Begin Notice

      • Access Scan End Notice

      • Bulk Attestation Notice

        ScanNotification ワークフローはカスタマイズできます。

  20. 「違反の最大値」。このオプションを使用すると、コンプライアンス違反の数がここで設定した数値に達した時点で、スキャンを強制終了します。デフォルトの制限は 1000 です。フィールドを空にした場合は、制限なしを表します。

    通常、監査スキャンまたはアクセススキャンでは、ポリシー違反の数はユーザー数に比べると少ないですが、この値を設定すると、欠陥のあるポリシーによって違反数が大幅に増えた場合の保護対策になります。たとえば、次のようなシナリオを考えてみます。

    50,000 ユーザーのアクセススキャンで、ユーザーあたり 2 潤オ 3 個の違反が発生すると、各コンプライアンス違反の是正にかかるコストは Identity Manager システムに有害な影響を及ぼす可能性があります。

  21. 「組織」。このアクセススキャンオブジェクトで使用可能な組織を選択します。これは必須フィールドです。

    「保存」をクリックしてスキャン定義を保存します。