前へ      目次      索引      次へ
Sun Java™ System Identity Manager 7.0 管理ガイド

第 11 章
アイデンティティー監査

この章では、監査の管理を設定して企業情報システムおよびアプリケーションの監査とコンプライアンスを監視および管理するための Identity Manager 機能について説明します。

ここでは、監査レビューの実施方法と、セキュリティー制御の持続および米国で義務付けられている法規制のコンプライアンス管理に役立つ手法の実装方法を中心とした機能について説明します。

この章では、次の概念およびタスクについて説明します。

アイデンティティー監査の目的
アイデンティティー監査について
監査の有効化
インタフェースの「コンプライアンス」エリア
監査ポリシーについて
監査ポリシーの操作
監査ポリシーの割り当て
監査ポリシーのスキャンとレポート
是正と受け入れ
定期的アクセスレビューとアテステーション
アイデンティティー監査タスクのリファレンス

---

アイデンティティー監査の目的

アイデンティティー監査ソリューションでは、以下の方法により、監査のパフォーマンスを容易に向上させることができます。

コンプライアンス違反を自動的に検出し、即時に通知することで、迅速な是正を促進する

Identity Manager の監査ポリシー機能で、違反の「規則」(条件) を定義できます。定義後は、承認されていないアクセス変更や誤ったアクセス特権など、設定されたポリシーに違反するアクションがシステムによってスキャンされます。違反が検出されると、定義されたエスカレーションチェーンに従って適切な人物またはアプリケーションに通知されます。その後、ユーザーが呼び出したタスク、またはポリシー違反によって自動的に呼び出されたワークフローで、その違反を是正 (訂正) できます。

内部監査管理の効果に関する主要な情報をオンデマンドで提供する

監査レポートに、違反や例外に関するステータス情報の概要が表示され、危険なステータスをすばやく分析できます。「レポート」タブにも、違反に関するグラフ形式のレポートが表示されます。定義したレポート特性に従って各グラフをカスタマイズし、リソース別、組織別、またはポリシー別に違反を表示できます。

アイデンティティー管理のアテステーションレビューを自動化することで操作上のリスクを減らす

ワークフロー機能で、選択したレビューアにポリシー違反およびアクセス違反を自動通知できます。

ユーザーアクティビティーの詳細を示し、法的要件を満たす包括的なレポートを作成する

「レポート」エリアで、アクセスの履歴、特権およびその他のポリシー違反に関する情報を表示する詳細レポートおよびグラフを定義できます。セキュリティー保護された包括的なアイデンティティー監査証跡がシステムに維持され、レポート機能を使用してアクセスデータやユーザープロファイルの更新について調べることができます。

セキュリティーおよび法規制のコンプライアンスを維持するための定期的なレビューのプロセスを簡素化する

定期的アクセスレビュー (PAR) を実施することで、ユーザーエンタイトルメントレコードを収集し、レビューが必要なエンタイトルメントを判断できます。さらに、PAR プロセスは指定されたアテスターに保留中のリクエストを通知し、アテスターがリクエストに対する操作を完了した場合はそのステータスまたは保留中のリクエストを更新します。

利益相反する可能性があるユーザーアカウントの機能を特定する

Identity Manager では、職務分掌レポートを使用して、利益相反する可能性がある特定の機能または特権を持つユーザーを特定することができます。

---

アイデンティティー監査について

Identity Manager では、ユーザーアカウントの特権とアクセス権を監査し、コンプライアンスを維持および保証するため、2 つの異なる機能を提供しています。それらの機能は、ポリシーベースのコンプライアンスと、定期的アクセスレビューです。

ポリシーベースのコンプライアンス

Identity Manager では監査ポリシーシステムが採用されています。これにより、管理者は、すべてのユーザーアカウントについて、会社が設定した要件に対するコンプライアンスを維持できます。

監査ポリシーを使用して、継続的コンプライアンスと定期的コンプライアンスという 2 とおりの相補的な方法でコンプライアンスを確保できます。

この 2 つの方法を相補的に使用することは、Identity Manager 以外でプロビジョニング操作が実行される可能性がある環境では特に有用です。既存の監査ポリシーを実行または遵守しないプロセスによってアカウントが変更される可能性がある場合は常に、定期的コンプライアンスが必要です。

継続的コンプライアンス

継続的コンプライアンスでは、現在のポリシーに準拠しない方法でアカウントを修正できないように、すべてのプロビジョニング操作にポリシーが適用されます。

継続的コンプライアンスを有効にするには、組織またはユーザー、あるいはその両方に監査ポリシーを割り当てます。ユーザーに対するプロビジョニング操作が発生すると、ユーザーに割り当てられたポリシーと組織に割り当てられたポリシーの両方が呼び出されます。

組織に割り当てられたポリシーは、値が 1 つで、階層的に取得されます。つまり、どのユーザーにとっても、有効な組織ポリシーが 1 つだけ存在し、そのポリシーは、最下位レベルの組織に割り当てられたものです。次に例を示します。

組織	直接割り当てられたポリシー	有効なポリシー
Austin	ポリシー A	ポリシー A
マーケティング		ポリシー A
開発	ポリシー B	ポリシー B
サポート		ポリシー B
テスト	ポリシー C	ポリシー C
財務		ポリシー A
Houston		<なし>

注	前述の例では、直接割り当てられたポリシーは、ポリシーのリストでもかまいません。

定期的コンプライアンス

定期的コンプライアンスでは、リクエストがあったときに Identity Manager によってポリシーが評価され、準拠しない条件があればコンプライアンス違反として取得されます。

定期的コンプライアンスのスキャンを実行するときに、スキャンに使用するポリシーを選択できます。スキャンプロセスでは、直接割り当てられたポリシー (ユーザーに割り当てられたポリシーと組織に割り当てられたポリシー) と、任意に選択したポリシーセットが併用されます。

Auditor 管理者機能を持つ Identity Manager 管理者は、監査ポリシーを作成し、定期的なレビューでそのポリシーのコンプライアンスとポリシー違反を監視することができます。違反は、是正手順と受け入れ手順によって管理できます。Auditor 管理者機能の詳細については、「機能とその管理について」を参照してください。

Identity Manager による監査では、ユーザーの定期的なスキャンが可能であり、監査ポリシーの実行によって、設定されているアカウント制限からの逸脱が検出されます。違反が検出されると、是正のアクティビティーが開始されます。規則には、Identity Manager に付属する標準の監査ポリシー規則、またはカスタマイズされたユーザー定義の規則を使用できます。

注	監査レビューを実施してコンプライアンスを管理するには、監査が有効にされ、コンプライアンス管理用に設定されている必要があります。詳細については、「監査の有効化」を参照してください。

ポリシーベースのコンプライアンスの論理タスクフロー

次の図は、この節で説明する監査タスクを完了するための論理タスクフローを示しています。

定期的アクセスレビュー

Identity Manager の定期的アクセスレビューを使用すると、マネージャーおよびその他の責任者は、そのつど、または定期的に、ユーザーアクセス特権のレビューと検証を行うことができます。この機能の詳細については、「定期的アクセスレビューとアテステーション」を参照してください。

---

監査の有効化

コンプライアンス管理およびアクセスレビューを開始するには、Identity Manager 監査ログシステムを有効にし、監査イベントを収集するように設定する必要があります。デフォルトで、監査システムは有効になっています。Configure Audit 機能を持つ Identity Manager 管理者が監査を設定できます。

Identity Manager には、Compliance Management 監査設定グループが用意されています。Compliance Management グループに格納されたイベントを表示または修正するには、メニューバーの「設定」を選択し、「監査」をクリックします。「監査設定」ページで、「Compliance Management」という監査グループ名を選択します。

監査設定グループの設定の詳細については、「設定」の章の「監査グループおよび監査イベントの設定」を参照してください。

監査システムでのイベントの記録方法については、第 12 章「監査ログ」を参照してください。

---

インタフェースの「コンプライアンス」エリア

監査ポリシーは、Identity Manager 管理者インタフェースの「コンプライアンス」エリアで作成および管理します。メニューバーの「コンプライアンス」を選択して、「ポリシーの管理」ページにアクセスします。このページには、自分が表示と編集の権限を持っているポリシーが一覧表示されます。また、アクセススキャンもこのエリアで管理できます。

ポリシーの管理

「ポリシーの管理」ページでは、監査ポリシーを操作して次のタスクを実行できます。

新しい監査ポリシーの作成
表示または編集するポリシーの選択
ポリシーの削除

これらのタスクの詳細については、「監査ポリシーの操作」を参照してください。

アクセススキャンの管理

アクセスレビュースキャンを定義、変更、および実行するには、「コンプライアンス」エリアの「アクセススキャンの管理」タブを使用します。このエリアで、定期的アクセスレビューで実行またはスケジュールするスキャンを定義できます。この機能の詳細については、「定期的アクセスレビューとアテステーション」を参照してください。

アクセスレビュー

「コンプライアンス」エリアの「アクセスレビュー」タブで、アクセスレビューの進行状況の監視に役立つ情報を表示できます。このタブには、スキャン結果の概要レポートと情報リンク (Web ベースインタフェースで利用可能) が表示され、情報リンクからレビューのステータスおよび保留中のアクティビティーに関するさらに詳細な情報にアクセスできます。

この機能の詳細については、「アクセスレビューの管理」を参照してください。

---

監査ポリシーについて

監査ポリシーは、1 つ以上のリソースのユーザーのセットに対するアカウント制限の定義です。この定義は、ポリシーの制限を定義する「規則」と、発生した違反を処理する「ワークフロー」から構成されます。監査スキャンでは、監査ポリシーに定義された条件を使用して、組織内で違反が発生しているかどうかを評価します。

監査ポリシーは次のコンポーネントで構成されます。

ポリシー規則。特定の違反を定義します。XPRESS、XML オブジェクト、または JavaScript 言語で作成された関数を含めることができます。
是正ワークフロー。監査スキャンでポリシー規則違反が検出されたときに、オプションとして起動されます。
是正者。ポリシー違反に応答することを承認されている、指定された管理者。是正者は、個別のユーザーでもユーザーグループでもかまいません。
組織の割り当て。このポリシーを使用できる組織を定義します。
ユーザーの割り当て。このポリシーを適用するユーザーを定義します。

監査ポリシー規則

監査ポリシー内では、規則によって、属性に基づいた競合の可能性を定義します。監査規則内の変数は、ユーザーに関連付けられている特定のリソースの属性のみに制限されます。1 つの監査ポリシーに、広範囲のリソースを参照する多数の規則を含めることができます。

規則に引数を渡して、規則の動作を制御することができます。また、規則では、フォームまたは是正ワークフローで維持される変数を参照または変更することもできます。

規則には、SUBTYPE_AUDIT_POLICY_RULE タイプの定義を含める必要があります。監査ポリシーウィザードで生成される規則、または監査ポリシーウィザードから参照される規則には、自動的にこのタイプが割り当てられます。

Rule subtype='SUBTYPE_AUDIT_POLICY_RULE'

規則のロジックの説明については、『Identity Manager Deployment Tools』の「Working with Rules」を参照してください。

是正ワークフロー

ポリシー違反を定義する規則を作成したあとは、監査スキャンで違反が検出されたときに起動するワークフローを選択します。Identity Manager には、監査ポリシースキャンのデフォルトの是正処理を提供するデフォルトの標準是正ワークフローが用意されています。たとえば、このデフォルトの是正ワークフローでは、レベル 1 是正者として指定された各是正者に対して通知電子メールが生成され、必要な場合はそれ以下のレベルの是正者にも生成されます。

注	Identity Manager ワークフロープロセスとは異なり、是正ワークフローには AuthType=AuditorAdminTask および SUBTYPE_REMEDIATION_WORKFLOW のタイプを割り当てる必要があります。監査スキャンで使用するワークフローをインポートする場合は、この属性を手動で追加する必要があります。詳細については、「(省略可能) ワークフローを Identity Manager にインポートする」を参照してください。

是正者

是正ワークフローを割り当てる場合は、1 人以上の是正者を指定する必要があります。3 レベルまでの承認された是正者を指定できます。是正に関する追加情報については、この章の「是正と受け入れ」を参照してください。

是正者を割り当てるには、その前に是正ワークフローを割り当てる必要があります。

監査ポリシーのシナリオ例

買掛金と売掛金の責任者は、経理部で働く従業員が担当する金額の総計が危険な額に達しないようにするための措置を講じる必要があります。このポリシーには、買掛金の担当者が売掛金の担当も兼ねていないかどうかを確認するための 4 つの規則を実装します。

ポリシー違反となる条件を 1 つずつ指定した 4 つの規則のセット
是正タスクを起動する、関連付けられたワークフロー
前述の規則で指定されたポリシー違反を表示および応答する権限を持つ、指定された管理者 (是正者) のグループ

規則によってポリシー違反 (つまり、過剰な権限を持つユーザー) が検出されると、関連付けられたワークフローで特定の是正関連タスク (指定された是正者への自動通知など) を起動することができます。

レベル 1 是正者は、監査スキャンでポリシー違反が検出されたときに連絡される最初の是正者です。監査ポリシーで 2 レベル以上の是正者が指定されている場合、このエリアで指定されたエスカレーション期間を過ぎると、Identity Manager は次のレベルに指定されている是正者に通知します。

「組織と是正ワークフロー」エリア

このポリシーを利用できる組織と、現在利用している組織の両方が表示されます。

このエリアには、監査ポリシーに関連付けられている是正ワークフローも一覧表示されます。標準是正ワークフローでは、個々のレベル 1 是正者に対して作業項目と電子メール通知が生成されます。違反の作業項目に最初に対応する是正者が、処理の続行を許可されます。ポリシーに指定されたタイムアウト制限内に是正者が対応しなかった場合、Identity Manager は、その違反をポリシー内の次のレベルの是正者にエスカレーションします (別の是正者とタイムアウトが設定されている場合)。

---

監査ポリシーの操作

Identity Manager の監査ポリシーウィザードを使用すると、監査ポリシーを簡単に設定できます。監査ポリシーの定義後、そのポリシーに対して、変更や削除など、さまざまなアクションを実行できます。この節のトピックでは、監査ポリシーおよび監査ポリシー規則を作成および管理する方法を説明します。

監査ポリシーの作成

監査ポリシーウィザードでは、監査ポリシーの作成手順を、順を追って説明します。監査ポリシーウィザードにアクセスするには、インタフェースの「コンプライアンス」エリアで「ポリシーの管理」をクリックして、新しい監査ポリシーを作成します。

ウィザードでは、次のタスクを実行して監査ポリシーを作成します。

ポリシー制限の定義に使用する規則の選択または作成
承認者の割り当てとエスカレーション制限の設定
是正ワークフローの割り当て

各ウィザード画面に表示されたタスクを完了したら、「次へ」をクリックして次の手順に進みます。

開始する前に

監査ポリシーを作成する前に、十分に計画して以下の作業を行います。

監査ポリシーウィザードでポリシーの作成に使用する規則を特定する。使用する規則は、作成するポリシーのタイプと、定義する特定の制限によって決まります。
新しいポリシーに含める是正ワークフローまたは規則をインポートする。
監査ポリシーの作成に必要な管理者機能を持っていることを確認する。必要な機能については、「機能とその管理について」を参照してください。

必要な規則の特定

ポリシーで指定する制限は、作成またはインポートする規則セットに実装されます。監査ポリシーウィザードを使用して規則を作成する場合、次の操作を行います。

操作する特定のリソースを指定します。
リソースで有効な属性のリストからアカウント属性を選択します。
その属性に課す条件を選択します。
比較用の値を入力します。

(省略可能) 職務分掌規則を Identity Manager にインポートする

監査ポリシーウィザードでは、職務分掌規則を作成できません。それらの規則は、Identity Manager 以外で作成し、「設定」タブの「交換ファイルのインポート」を使用してインポートする必要があります。

(省略可能) ワークフローを Identity Manager にインポートする

現在 Identity Manager から利用できない是正ワークフローを使用するには、次のタスクを完了して外部ワークフローをインポートします。

authType='AuditorAdminTask' を設定し、subtype='SUBTYPE_REMEDIATION_WORKFLOW' を追加します。これらの設定オブジェクトを設定するには、Identity Manager IDE または任意の XML エディタを使用します。
「交換ファイルのインポート」オプションを使用してワークフローをインポートします。この機能には「設定」タブからアクセスできます。

ワークフローが正常にインポートされると、監査ポリシーウィザードの「是正ワークフロー」のオプションリストに、そのワークフローが表示されます。

監査ポリシーの名前と説明の指定

監査ポリシーウィザードの画面 (図 11-1 を参照) で、新しいポリシーの名前と簡単な説明を入力します。

図 11-1 監査ポリシーウィザード: 名前と説明の入力画面

規則の名前を指定しない場合は、Identity Manager によって、Policy_Name::Rule1 の形式によるデフォルトの名前が割り当てられます。

スキャンの実行時のアクセス対象を、選択したリソースだけに制限する場合は、「ターゲットリソースを制限」オプションを有効にします。

注	監査ポリシーでリソースを制限しない場合、スキャンでは、ユーザーがアカウントを持つすべてのリソースがアクセスされます。規則で使用するリソースが少ない場合は、それらのリソースのみにポリシーを制限する方が効率的です。

「次へ」をクリックして次のページに進みます。

規則の選択

この画面で、ポリシーの規則を定義または追加するプロセスを開始します。ポリシー作成時の作業の大部分は、規則の定義と作成です。

図 11-2 に示すように、Identity Manager の規則ウィザードを使用して独自の規則を作成するか、または既存の規則を組み込むことができます。デフォルトでは、「規則ウィザード」オプションが選択されています。「次へ」をクリックして規則ウィザードを起動し、規則の作成手順を説明する 「規則ウィザードによる新しい規則の作成」に進みます。

図 11-2 監査ポリシーウィザード: 規則のタイプの選択画面

既存の規則の選択

新しいポリシーに既存の規則を含める場合は、規則のオプションを選択するときに「既存の規則」をクリックします。次に、「次へ」をクリックし、アクセスできる既存の監査ポリシー規則を表示して選択します。

「規則」オプションリストから追加する規則を選択し、「次へ」をクリックします。

注	以前に Identity Manager にインポートした規則の名前が表示されない場合は、「監査ポリシー規則」で説明した追加属性をその規則に追加したことを確認してください。

規則の追加

既存の規則をインポートするほかに、追加の規則を作成することもできます。規則ウィザードでは、1 つの規則で使用できるリソースは 1 つだけです。インポートした規則では、必要なだけの数のリソースを参照できます。

必要な場合は、「AND」または「OR」をクリックして、規則の追加を続行します。規則を削除するには、規則を選択して「削除」をクリックします。

ポリシー違反が発生するのは、すべての規則のブール式が true と評価した場合だけです。AND/OR 演算子で規則をグループ化すると、すべての規則が true でなくても、ポリシーが true と評価される可能性があります。Identity Manager では、true と評価された規則についてのみ、およびポリシー式が true と評価された場合にのみ違反が発生します。

是正ワークフローの選択

この画面で、このポリシーに関連付ける是正ワークフローを選択します。ここで割り当てたワークフローによって、監査ポリシー違反が検出されたときに Identity Manager で実行されるアクションが決まります。

図 11-3 監査ポリシーウィザード: 是正ワークフローの選択画面

注	XML エディタまたは Identity Manager Integrated Development Environment (IDE) で作成したワークフローのインポートについては、「(省略可能) ワークフローを Identity Manager にインポートする」を参照してください。

この是正ワークフローに関連付ける是正者を指定する場合は、「是正者の指定」を選択します。このチェックボックスを有効にして「次へ」をクリックすると、是正者の割り当て画面が表示されます。このチェックボックスを有効にしなかった場合は、組織の割り当て画面が次に表示されます。

管理者と是正タイムアウトの選択

是正者を指定した場合、この監査ポリシーの違反が検出されると、このポリシーに割り当てられた是正者に通知されます。

1 人以上のレベル 1 是正者、すなわち、指定された管理者を割り当てることができます。レベル 1 是正者は、ポリシー違反が検出されたときに、是正ワークフローによって送信される電子メールで最初に連絡を受けます。指定されたエスカレーションタイムアウト時間に達するまでにレベル 1 是正者が応答しなかった場合、Identity Manager は次に、ここに指定されたレベル 2 是正者に連絡します。エスカレーション期間が経過するまでにレベル 1 是正者もレベル 2 是正者も応答しなかった場合にのみ、Identity Manager がレベル 3 是正者に連絡します。

是正者の割り当ては省略可能です。このオプションを選択する場合は、「是正者の指定」チェックボックスを有効にして、次の画面に進みます。

図 11-4 監査ポリシーウィザード: レベル 1 是正者の選択エリア

このポリシーにアクセスできる組織の選択

図 11-5 に示すように、この画面では、このポリシーを表示および編集できる組織を選択します。

図 11-5 監査ポリシーウィザード: 閲覧を許可された組織の割り当て画面

ポリシーを作成すると、「コンプライアンス」タブから表示できるポリシーのリストにそのポリシーが表示されます。

規則ウィザードによる新しい規則の作成

監査ポリシーウィザードで「規則ウィザード」を選択して規則を作成する場合は、次の節で説明する画面に情報を入力していきます。

新しい規則の名前と説明の指定

(省略可能) この画面では、Identity Manager で規則が表示されるときに規則名の横に表示される説明テキストを入力します。規則の内容を示す簡潔でわかりやすい説明を入力します。この説明は、Identity Manager の「ポリシー違反のレビュー」ページ内に表示されます。

図 11-6 監査ポリシーウィザード: 規則の説明の入力画面

たとえば、Oracle ERP responsibilityKey の Payable User 属性値と Receivable User 属性値の両方を持つユーザーを検出する規則を作成する場合であれば、「説明」フィールドに「Payable User と Receivable User の両方の役割を持つユーザーを検出する」のようにテキストを入力します。

規則に関する追加情報を入力する場合は、「コメント」フィールドを使用します。

規則で参照するリソースの選択

この画面では、規則で参照するリソースを選択します。各規則変数は、このリソースの属性に対応している必要があります。このオプションリストには、表示アクセス権を持つすべてのリソースが表示されます。この例では、「Oracle ERP」が選択されています。

図 11-7 監査ポリシーウィザード: リソースの選択画面

注	使用可能な各リソースアダプタのほとんどの属性 (ただし全部ではない) がサポートされています。使用可能な個々の属性については、『Identity Manager Resources Reference』を参照してください。

「次へ」をクリックして次のページに進みます。

規則式の作成

この画面では、新しい規則の規則式を入力します。この例では、Oracle ERP responsibilityKey の Payable User 属性値を持つユーザーは Receivable User 属性値を同時に持つことができないという規則を作成します。

使用可能な属性のリストからユーザー属性を選択します。この属性は、規則変数に直接対応します。
リストから論理条件を選択します。有効な条件には、「=」(等しい)、「!=」(等しくない)、「<」(より小さい)、「<=」(より小さいまたは等しい)、「>」(より大きい)、「>=」(より大きいまたは等しい)、「is true」、「is null」、「is not null」、および「contains」があります。この例では、使用できる属性条件のリストから「contains」を選択します。
式の値を入力します。たとえば、「Payable user」と入力した場合は、responsibilityKeys の Payable user 属性値を持つ Oracle ERP ユーザーを指定したことになります。
(省略可能)「AND」または「OR」演算子をクリックし、行を追加して、別の式を作成します。

図 11-8 監査ポリシーウィザード: 規則式の選択画面

この規則はブール値を返します。両方のステートメントが true の場合、規則は、ポリシー違反となる TRUE の値を返します。

注	Identity Manager では、入れ子になった規則の制御はサポートされません。複数の規則が指定されている場合は常に、最初は AND 演算子、次に OR に従ってポリシーが評価されます。たとえば、R1 AND R2 AND R3 or R4 AND R5 は、 (R1 + R2 + R3) | (R4 + R5) と解釈されます。

次のコード例は、この画面で作成した規則の XML を示しています。

コード例 11-1 新しく作成した規則の XML 構文の例

<Description>Payable User/Receivable User</Description>   <RuleArgument name='resource' value='Oracle ERP'>     <Comments>Resource specified when audit policy was created.</Comments>     <String>Oracle ERP</String>   </RuleArgument>     <and>       <contains>         <ref>accounts[Oracle ERP].responsibilityKeys</ref>         <s>Receivable User</s>       </contains>       <contains>         <ref>accounts[Oracle ERP].responsibilityKeys</ref>         <s>Payables User</s>       </contains>     </and>     <MemberObjectGroups>       <ObjectRef type='ObjectGroup' id='#ID#Top' name='Top'/>     </MemberObjectGroups> </Rule>

規則から式を削除するには、属性条件を選択して「削除」をクリックします。

「次へ」をクリックして監査ポリシーウィザードを続行します。さらに、ウィザードを使用して新しい規則を作成するか、既存の規則を追加するかのいずれかの方法で規則を追加することもできます。

監査ポリシーの編集

監査ポリシーに関する一般的な編集タスクは次のとおりです。

規則を追加または削除する
このポリシーにアクセスできる組織のリストを調整する
各レベルの是正に関連付けられたエスカレーションタイムアウトを変更する
このポリシーに関連付けられた是正ワークフローを変更する

ポリシーの編集ページ

監査ポリシー名の列でポリシーの名前をクリックして「監査ポリシーの編集」ページを開きます。「監査ポリシーの編集」ページが開きます。このページでは、監査ポリシーに関する情報が次のエリアに分類されています。

識別と規則のエリア
是正者とエスカレーションタイムアウトのエリア
ワークフローと組織のエリア

図 11-9 「監査ポリシーの編集」ページ: 識別と規則のエリア

ページのこのエリアでは、次の操作を行うことができます。

ポリシー名と説明の編集
規則の追加または削除

注	この製品で既存の規則を直接編集することはできません。Identity Manager IDE または XML エディタを使用して規則を編集してから、Identity Manager にインポートします。その後、以前のバージョンの規則を削除して、改訂バージョンの規則を追加します。

監査ポリシー名と説明の編集

ポリシーの「説明」フィールドと「規則名」フィールドを編集するには、各フィールド内のテキストを選択し、新しいテキストを入力します。

ポリシーの規則の削除

規則名の前にある「選択」ボタンをクリックし、「削除」をクリックします。

ポリシーへの規則の追加

「追加」をクリックして新しいフィールドを追加し、そのフィールドで、追加する規則を選択します。

ポリシーで使用する規則の変更

「規則名」列で、選択リストから別の規則を選択します。

「是正者」エリア

図 11-10 に、ポリシーの是正者を割り当てるための「是正者」エリアを示します。

図 11-10 「監査ポリシーの編集」ページ: 是正者の割り当て

ページのこのエリアでは、次の操作を行うことができます。

ポリシーの是正者の削除または割り当て
エスカレーションタイムアウトの調整

是正者の削除または割り当て

1 つ以上の是正者レベルで是正者を選択します。是正者を選択するには、各是正者レベルで、左の列の名前を選択し、 を使用して右の列に移動させます。少なくとも 1 人の是正者を選択する必要があります。

エスカレーションタイムアウトの調整

タイムアウト値を選択し、新しい値を入力します。デフォルトのタイムアウト値は 60 分です。

是正ワークフローと組織のエリア

図 11-11 に、監査ポリシーの是正ワークフローと組織を指定するエリアを示します。

図 11-11 「監査ポリシーの編集」ページ: 是正ワークフローと組織

ページのこのエリアでは、次の操作を行うことができます。

ポリシー違反の発生時に起動する是正ワークフローを変更する。
このポリシーにアクセスできる組織を調整する。

是正ワークフローの変更

ポリシーに割り当てられたワークフローを変更するには、オプションリストから別のワークフローを選択します。デフォルトでは、ワークフローは監査ポリシーに割り当てられません。

注	監査ポリシーにワークフローが割り当てられていない場合、違反はどの是正者にも割り当てられません。

リストから是正ワークフローを選択し、「保存」をクリックします。

組織の閲覧許可の割り当てまたは削除

この監査ポリシーを使用できる組織を調整し、「保存」をクリックします。

監査ポリシーの削除

監査ポリシーをシステムから削除すると、そのポリシーを参照する違反もすべて削除されます。

「ポリシーの管理」をクリックしてポリシーを表示した時に、インタフェースの「コンプライアンス」エリアからポリシーを削除できます。監査ポリシーを削除するには、ポリシーのリストからポリシー名を選択し、「削除」をクリックします。

監査ポリシーのトラブルシューティング

通常、監査ポリシーに関する問題に対処するにはポリシー規則のデバッグが最善の方法です。

規則のデバッグ

規則をデバッグするには、規則コードに次のトレース要素を追加します。

<block trace='true'>
<and>
   <contains>
      <ref>accounts[AD].firstname</ref>
      <s>Sam</s>
   </contains>
   <contains>
      <ref>accounts[AD].lastname</ref>
      <s>Smith</s>
   </contains>
</and>
</block>

問題: 自分のワークフローが Identity Manager インタフェースに表示されない

そのワークフローに subtype='SUBTYPE_REMEDIATION_WORKFLOW' 属性を追加したことを確認します。このサブタイプが指定されていないワークフローは Identity Manager インタフェースに表示されません。

---

監査ポリシーの割り当て

組織に監査ポリシーを割り当てるには、少なくとも「Assign Organization Audit Policies」機能を持っている必要があります。ユーザーに監査ポリシーを割り当てるには、「Assign User Audit Policies」機能を持っている必要があります。「Assign Audit Policies」機能を持つユーザーは、これらの両方の機能を持ちます。

組織レベルのポリシーを割り当てるには、「アカウント」タブで「組織」を選択し、「割り当てられた監査ポリシー」リストでポリシーを選択します。

ユーザーレベルのポリシーを割り当てるには、「アカウント」タブで「ユーザー」をクリックします。次に、ユーザーフォームの「コンプライアンス」タブを選択し、「割り当てられた監査ポリシー」リストでポリシーを選択します。

---

監査ポリシーのスキャンとレポート

この節では、監査ポリシースキャンについて、および監査スキャンの実行と管理の手順について説明します。

ユーザーおよび組織のスキャン

スキャンは、選択した監査ポリシーを個々のユーザーまたは組織に対して実行する方法の １ つです。特定の違反についてユーザーまたは組織をスキャンしたり、ユーザーまたは組織に割り当てられていないポリシーを実行したりできます。インタフェースの「アカウント」エリアからスキャンを起動できます。

	「サーバータスク」タブから監査ポリシースキャンを起動することもできます。

「アカウント」エリアからユーザーアカウントまたは組織のスキャンを開始するには、次の手順に従います。

「アカウント」タブをクリックします。
「アカウント」リストで、次のいずれかの操作を行います。
1 人以上のユーザーを選択し、「ユーザーアクション」オプションリストから「スキャン」を選択します。
1 つ以上の組織を選択し、「組織アクション」オプションリストから「スキャン」を選択します。

タスクの起動ダイアログが表示されます。表 11-2 は、監査ポリシーユーザースキャンの「タスクの起動」ページの例です。

図 11-12 タスクの起動ダイアログ



「レポートタイトル」フィールドにスキャンのタイトルを指定します。このフィールドは必須です。任意で、「レポートの概要」フィールドにスキャンの説明を指定できます。
実行する監査ポリシーを 1 つ以上選択します。少なくとも 1 つのポリシーを指定する必要があります。
「ポリシーモード」を選択します。これにより、ポリシーが割り当てられているユーザーに対して、選択したポリシーをどのように適用するかが決まります。ここで、ユーザーに割り当てられているポリシーとは、ユーザーに直接割り当てられたポリシーと、ユーザーが所属している組織に割り当てられたポリシーの両方が該当します。
監査ポリシーに割り当てられた是正ワークフローを実行する場合は、「是正ワークフローを実行しますか?」を選択します。監査ポリシーに是正ワークフローが定義されていない場合は、是正は実行されません。
レポートの受信者を指定する場合は、「レポート結果を送信」を選択します。また、Identity Manager が CSV (カンマ区切り値) 形式のレポートを格納したファイルを添付するように設定することもできます。
デフォルトの PDF オプションに優先して適用する場合は、「デフォルトの PDF オプションを上書き」チェックボックスを有効にします。
「起動」をクリックしてスキャンを開始します。

監査スキャンの結果のレポートを見るには、「監査レポート」を表示します。

監査レポートの操作

Identity Manager には、さまざまな監査レポートが用意されています。次の表で、それらのレポートについて説明します。

表 11-1 監査レポートの説明 

監査レポートのタイプ	説明
アクセスレビュー詳細レポート	すべてのユーザーエンタイトルメントレコードの現在のステータスが表示されます。このレポートは、ユーザーの組織、アクセスレビューとアクセスレビューインスタンス、エンタイトルメントレコードの状態、およびアテスターによってフィルタリングできます。
アクセスレビュー概要レポート	すべてのアクセスレビューに関する概要情報が表示されます。一覧表示されたアクセスレビュースキャンごとに、スキャンしたユーザー、スキャンしたポリシー、およびアテステーションアクティビティーのステータスの概要が表示されます。
監査ポリシーの概要レポート	各ポリシーの規則、是正者、ワークフローなど、すべての監査ポリシーの主要な要素の概要が表示されます。
監査属性レポート	指定されたリソースアカウント属性の変更を示すすべての監査レコードが表示されます。 このレポートでは、格納されているすべての監査可能属性に関する監査データが調べられます。すべての拡張属性に基づいてデータが調べられます。拡張属性は、WorkflowServices または監査可能としてマークされたリソース属性から指定できます。
監査ポリシー別違反履歴	指定された期間中に作成されたすべてのコンプライアンス違反がポリシー別にグラフ形式で表示されます。このレポートは、ポリシーでフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。
ユーザーアクセスレポート	指定されたユーザーの監査レコードとユーザー属性が表示されます。
組織別違反履歴	一定期間中に作成されたすべてのコンプライアンス違反が組織別にグラフ形式で表示されます。組織でフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。
リソース別違反履歴	指定された期間中に作成されたすべてのコンプライアンス違反がリソース別にグラフ形式で表示されます。
職務分掌レポート	競合テーブルに配置された職務分掌違反が表示されます。Web ベースインタフェースでは、リンクをクリックすると追加情報にアクセスできます。 このレポートは、組織でフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。
違反の概要レポート	現在のコンプライアンス違反がすべて表示されます。このレポートは、是正者、リソース、規則、ユーザー、またはポリシーによってフィルタリングできます。

これらのレポートは、Identity Manager インタフェースの「レポート」タブから利用できます。

監査レポートの作成

レポートを生成するには、まず、そのレポートを作成する必要があります。レポートでは、レポート結果を受け取る電子メール受信者など、さまざまな条件を指定できます。レポートを作成して保存すると、「レポートの実行」ページからそのレポートを使用できるようになります。

図 11-13 に、定義済み監査レポートのリストが表示された「レポートの実行」ページの例を示します。

図 11-13 「レポートの実行」ページの選択項目

監査レポートを作成するには、次の手順に従います。

メニューバーで「レポート」を選択します。
レポートタイプとして「監査レポート」を選択し、レポートの「新規」リストから、次のいずれかのレポートオプションを選択します。
アクセスレビュー詳細レポート
アクセスレビュー概要レポート
監査ポリシーの概要レポート
監査属性レポート
監査ポリシー別違反履歴
ユーザーアクセスレポート
組織別違反履歴
リソース別違反履歴
職務分掌レポート
違反の概要レポート

レポートダイアログが表示されます。レポートダイアログに表示されるフィールドやレイアウトは、レポートのタイプによって異なります。レポートの条件の指定については、オンラインヘルプを参照してください。

レポートの条件を入力および選択したら、次を実行できます。

保存せずにレポートを実行する - 「実行」をクリックしてレポートの実行を開始します。Identity Manager はレポート (新しいレポートを定義した場合) または変更したレポート条件 (既存のレポートを編集した場合) を保存しません。
レポートを保存する - 「保存」をクリックしてレポートを保存します。保存後は、「レポートの実行」ページ (レポートのリスト) からそのレポートを実行できます。

「レポートの実行」ページからレポートを実行したあとは、「レポートの表示」タブで、ただちにまたはあとで出力を表示することができます。

レポートのスケジュールについては、「レポートのスケジュール」を参照してください。

---

是正と受け入れ

この節では、Identity Manager の是正機能を使用して重要な資産を保護する方法について説明します。以下のトピックで、Identity Manager 是正プロセスの要素について説明します。

是正について
是正電子メールテンプレート
是正機能の割り当て
「是正」ページの操作
是正リクエストの表示
ポリシー違反の受け入れ
ポリシー違反の是正
是正リクエストの転送

是正について

Identity Manager は、未解決の (受け入れられていない) 監査ポリシー違反を検出すると、是正リクエストを作成します。このリクエストは「是正者」によって処理される必要があります。是正者とは、監査ポリシー違反の評価と応答を許可されている、指定された管理者です。

Identity Manager では、3 レベルの是正者のエスカレーションを定義できます。是正リクエストは、まず、レベル 1 是正者に送信されます。タイムアウト時間が経過するまでにレベル 1 是正者が是正リクエストに応答しなかった場合、Identity Manager はその違反をレベル 2 是正者にエスカレーションし、新しいタイムアウト時間を開始します。タイムアウト時間が経過するまでにレベル 2 是正者が応答しなかった場合、そのリクエストはさらにレベル 3 是正者にエスカレーションされます。

是正を実行するには、そのシステムで少なくとも 1 人の是正者を指定する必要があります。任意設定ですが、各レベルに 2 人以上の是正者を指定することをお勧めします。複数の是正者を指定すると、ワークフローの遅延や停止を防ぐことができます。

是正者を割り当てる手順については、「是正機能の割り当て」を参照してください。

是正ワークフローのプロセス

Identity Manager では、デフォルトで、監査ポリシースキャンの是正処理を行う標準是正ワークフローが実装されます。

標準是正ワークフローでは、コンプライアンス違反に関する情報を含む是正リクエスト (レビュータイプの作業項目) が生成され、監査ポリシーで指定された各レベル 1 是正者に電子メール通知が送信されます。是正者が違反を受け入れると、ワークフローによって既存のコンプライアンスオブジェクトの状態が変更され、有効期限が割り当てられます。

コンプライアンス違反は、ユーザー、ポリシー名、および規則名の組み合わせによって一意に識別されます。監査ポリシーで true と評価されたときに、このユーザー/ポリシー/規則の組み合わせによる既存の違反が存在していなければ、その組み合わせによる新しいコンプライアンス違反が作成されます。その組み合わせでの違反が存在し、その違反が受け入れられた状態になっている場合は、ワークフロープロセスによる処理は行われません。既存の違反が受け入れられていない場合、その再発回数が加算されます。

是正ワークフローの詳細については、「監査ポリシーについて」を参照してください。

是正応答

デフォルトでは、各是正者は次の 3 つの応答オプションから選択できます。

「是正済み」: 是正者は、何らかの処理を行ってリソースの問題を修正したことを示します。

コンプライアンス違反が修正されると、Identity Manager は監査イベントを作成して是正をログに記録します。さらに、Identity Manager は、是正者の名前および是正者が入力したコメントを保存します。

注	違反は、次の監査スキャンまで削除されません。

「受け入れる」: 是正者は、ユーザーが一定期間その違反を免除されるように違反の内容を受け入れます。

違反が意図的なものである場合 (たとえば、業務上 2 つのグループに所属する必要がある場合など) は、長期間にわたって違反を受け入れることができます。また、リソースのシステム管理者が休暇中で問題の修正方法がわからない場合などには、短期間だけ違反を受け入れることもできます。

Identity Manager は、違反を受け入れた是正者の名前を、その人物が免除に割り当てた有効期限および入力したコメントとともに保存します。

注	Identity Manager は、期限切れになった免除を検出すると、受け入れられた違反を保留中の違反に戻します。

「転送」: 是正者は、違反を解決する役割を別の人物に再割り当てします。

次の転送オプションから選択します。

「Peer」 - 是正者機能を持つユーザー (デフォルト)
「Controlled」 - 管理下にある是正者機能を持つユーザー
「すべて」 - 是正者機能を持つすべてのユーザー

たとえば、ユーザーが買掛金と売掛金の両方を担当できないようにする規則を設定した企業で、あるユーザーがこの規則に違反しているという通知を受け取ったとします。

会社がその職位に別の従業員を雇用するまでの間、そのユーザーがスーパーバイザとして両方の役割を受け持つ場合は、その違反を受け入れ、最長で 6 か月間の免除を与えることができます。
ユーザーが規則に違反している場合、競合を修正し、そのリソースで問題が解決されたときに違反を是正するように Oracle ERP 管理者に依頼することもできます。

是正電子メールテンプレート

Identity Manager には、「ポリシー違反情報」電子メールテンプレートが用意されています。これを利用するには、「設定」タブを選択し、次に「電子メールテンプレート」サブタブを選択します。このテンプレートを、保留中の違反を是正者に通知するように設定できます。詳細については、「電子メールテンプレートのカスタマイズ」を参照してください。

是正機能の割り当て

企業内の管理者に是正機能を割り当てるには、次の手順に従います。

「アカウント」タブをクリックし、「アカウント」リストの管理アカウントをクリックして「ユーザーの編集」ページを開きます。
「ユーザーの編集」ページで、「セキュリティー」サブタブをクリックします。
「利用可能な機能」リストで「Auditor 是正者」を選択し、 ボタンを使用して「割り当てられた機能」リストに移動させます。
完了したら、「保存」をクリックします。

注	Auditor 是正者機能の詳細については、「機能とその管理について」を参照してください。

「是正」ページの操作

「是正」ページにアクセスするには、Identity Manager で「作業項目」を選択し、「是正」タブを選択します。

このページでは、次の操作を行うことができます。

保留中の是正リクエストおよび完了した是正リクエストをすべて表示する
1 つ以上の是正リクエストを受け入れる
1 つ以上の是正リクエストを是正する
1 つ以上の是正リクエストを転送する

是正リクエストの表示

「是正」ページでは、是正リクエストを実行する前に、その是正リクエストに関する詳細を表示できます。

注	割り当てられている機能によっては、ほかの是正者や管理者に対する是正リクエストを表示して実行できる場合もあります。

以下のトピックは、是正リクエストの表示に関するものです。

「保留中のリクエストの表示」
「完了したリクエストの表示」
「「是正」テーブルのリクエストの並べ替え」
「テーブルの更新」

保留中のリクエストの表示

デフォルトでは、自分のログイン名と保留中のリクエストが「是正」テーブルに表示されます。

「右の者に対する是正リクエストリスト」オプションを使用すると、別の是正者に対する保留中の是正リクエストを表示できます。

別の是正者の保留中のリクエストを表示するには、その是正者のログイン名を選択します。
保留中のすべてのリクエストを表示するには、「すべての是正者」を選択します。

結果のテーブルには、リクエストごとに次の情報が表示されます。

「是正者」: 割り当てられた是正者の名前。

注	自分自身の是正リクエストを表示している場合は、「是正者」列は表示されません。

「リクエスト」: 是正者にリクエストされるアクション。ポリシー違反に関する詳細情報を表示し、リクエストを処理するには、そのリクエストのテキストをクリックします。
「リクエスト日」: 是正リクエストが発行された日時。
「説明」: ポリシー違反の簡単な説明。

完了したリクエストの表示

完了した是正リクエストを表示するには、「自分の作業項目」タブをクリックし、次に「履歴」タブをクリックします。以前に是正した作業項目のリストが表示されます。

結果のテーブル (AuditLog レポートで生成される) には、是正リクエストごとに次の情報が表示されます。

「タイムスタンプ」: リクエストが是正された日時
「主体」: リクエストを処理した是正者の名前
「アクション」: 是正者がリクエストを受け入れたのか是正したのかを示す
「タイプ」: 常に「ComplianceViolation」が表示される
「オブジェクト名」: 違反した監査ポリシーの名前
「リソース」: 是正者のアカウント ID (「なし」と表示されることもある)
「ID」: 常に「なし」と表示される
「結果」: 常に「成功」と表示される

テーブルのタイムスタンプをクリックすると、「監査イベントの詳細」ページが開きます。

「監査イベントの詳細」ページには、完了したリクエストに関する情報が表示されます。この情報には、是正または受け入れに関する情報、イベントパラメータ (該当する場合)、監査可能属性などが含まれます。

「OK」をクリックすると「Configurator により是正済み」ページに戻り、「Configurator により是正済み」ページで「OK」をクリックすると、「是正」ページに戻ります。

「是正」テーブルのリクエストの並べ替え

「是正」テーブルの内容を並べ替えるには、テーブルヘッダーをクリックします。1 回クリックすると昇順に、もう一度クリックすると降順に並べ替えられます。

「是正」タブで保留中のリクエストを並べ替えるには、次の操作を行います。

是正者名のアルファベット順に並べ替えるには、「是正者」をクリックします。
リクエスト名のアルファベット順に並べ替えるには、「リクエスト」をクリックします。
日時の経過順に並べ替えるには、「リクエスト日」をクリックします。
リクエストの説明のアルファベット順に並べ替えるには、「説明」をクリックします。

「履歴」タブで完了したリクエストを並べ替えるには、次の操作を行います。

日時の経過順に並べ替えるには、「タイムスタンプ」をクリックします。
リクエストを処理した是正者の名前をアルファベット順に並べ替えるには、「主体」をクリックします。
アクションのアルファベット順に並べ替えるには、「アクション」をクリックします。
違反ポリシー名のアルファベット順に並べ替えるには、「オブジェクト名」をクリックします。

注	「タイプ」、「リソース」、「ID」、および「結果」の列には常に同じ値が表示されるので、これらの列で並べ替える意味はありません。

テーブルの更新

「是正」テーブルに表示された情報を更新するには、「更新」をクリックします。新しいポリシー違反があれば、「是正」ページのテーブルが更新されます。

ポリシー違反の受け入れ

「是正」ページまたは「ポリシー違反のレビュー」ページで、ポリシー違反を受け入れることができます。

「是正」ページでの操作

「是正」ページで保留中のポリシー違反を受け入れるには、次の手順に従います。

テーブルの行を選択して、受け入れるリクエストを指定します。
1 つまたは複数のリクエストを受け入れ対象に指定するには、それぞれのチェックボックスを有効にします。
テーブルに一覧表示されたすべてのリクエストを受け入れるには、テーブルヘッダーのチェックボックスを有効にします。

注	Identity Manager では、受け入れアクションを説明するコメントは 1 セットしか入力できません。関連する違反であるためコメントが 1 つで十分な場合を除いては、一括受け入れを実行しないでください。

「受け入れる」をクリックします。

次のような「ポリシー違反を受け入れる」ページ (または「複数のポリシー違反を受け入れる」ページ) が表示されます。

図 11-14 「ポリシー違反を受け入れる」ページ



「説明」フィールドに、受け入れに関するコメントを入力します。このフィールドは必須です。

コメントは、このアクションの監査証跡として利用されるので、ひととおりの有用な情報を入力する必要があります。たとえば、ポリシー違反を受け入れる理由、日付、免除期間の選択理由などを説明します。

免除の有効期限を指定します。「有効期限」フィールドに日付 (YYYY-MM-DD 形式) を直接入力するか、または ボタンをクリックしてカレンダから日付を選択します。

注	日付を入力しない場合、免除期間は無期限となります。

完了したら、「OK」をクリックして変更を保存し、「是正」ページに戻ります。

ポリシー違反の是正

1 つ以上のポリシー違反を是正するには、次の手順に従います。

テーブル内のチェックボックスを使用して、是正するリクエストを指定します。
1 つまたは複数のリクエストを是正対象に指定するには、それぞれのチェックボックスを有効にします。
テーブルに一覧表示されたすべてのリクエストを是正するには、テーブルヘッダーのチェックボックスを有効にします。

複数のリクエストを選択した場合、Identity Manager では、是正アクションを説明するコメントは 1 セットしか入力できません。関連する違反であるためコメントが 1 つで十分な場合を除いては、一括是正を実行しないでください。

「是正済み」をクリックします。
「ポリシー違反の是正」ページ (または「複数のポリシー違反の是正」ページ) が表示されます。
「コメント」フィールドに、是正に関するコメントを入力します。

コメントは、このアクションの監査証跡として利用されるので、ひととおりの有用な情報を入力する必要があります。たとえば、ポリシー違反の是正理由や日付などを説明します。

完了したら、「OK」をクリックして変更を保存し、「是正」ページに戻ります。

是正リクエストの転送

必要な場合は、1 つ以上の是正リクエストをほかの是正者に転送できます。その場合は次の手順に従います。

テーブル内のチェックボックスを使用して、転送するリクエストを指定します。
テーブルに一覧表示されたすべてのリクエストを転送するには、テーブルヘッダーのチェックボックスを有効にします。
1 つまたは複数のリクエストを転送するには、それぞれのチェックボックスを有効にします。
「転送」をクリックします。
「転送先の選択と確認」ページが表示されます。

図 11-15 「転送先の選択と確認」ページ



「転送先」オプションリストからほかの是正者の名前を選択し、「OK」をクリックします。

「是正」ページが再表示され、テーブルの「是正者」列に新しい是正者の名前が表示されます。

---

定期的アクセスレビューとアテステーション

Identity Manager では、アクセスレビューを実行するプロセスによって、マネージャーなどの責任者がユーザーアクセス特権のレビューと検証を行うことができます。このプロセスは、時間の経過とともに蓄積されたユーザー特権を識別および管理し、米国企業改革 (SOX) 法、HIPAA、および米国で義務付けられているその他の規制に対するコンプライアンスを維持するのに役立ちます。

アクセスレビューは、必要なときに実行できます。また、四半期ごとなど、定期的に実行されるようにスケジュールすることもできます。アクセスレビューを実行することで、正しいレベルのユーザー特権を維持できます。アクセスレビューに監査スキャンを含めることもできます。

定期的アクセスレビューについて

定期的アクセスレビューは、従業員セットが特定の時点で適切なリソースに対する適切な特権を持っていることをアテストする定期的プロセスです。

定期的アクセスレビューでは次のアクティビティーを行います。

アクセスレビュースキャン - これは、自分が定義して実行または実行をスケジュールしたスキャンです。このスキャンでは、指定したユーザーセットの「ユーザーエンタイトルメント」を評価し、規則ベースの評価を実行してアテステーションが必要かどうかを決定します。
アテステーション - これは、ユーザーエンタイトルメントを承認または却下することによってアテステーションリクエストに応答するプロセスです。

「ユーザーエンタイトルメント」は、ユーザーのアカウントまたは特定のリソースセットの詳細を示すレコードです。

アクセスレビュースキャン

定期的アクセスレビューを開始するには、まず、1 つ以上の「アクセススキャン」を定義する必要があります。

アクセススキャンには、スキャン対象のユーザー、スキャンに含めるリソース、スキャンで評価する監査ポリシー、および手動でアテストするエンタイトルメントレコードを決定する規則とその実行者を定義します。

アクセスレビューのワークフロープロセス

一般に、Identity Manager アクセスレビュープロセスは次のように動作します。

ユーザーのリストを作成し、各ユーザーのアカウント情報を取得し、監査ポリシーを評価する
ユーザーエンタイトルメントレコードを作成する
各ユーザーエンタイトルメントレコードについて、アテステーションが必要かどうかを判断する
作業項目を各アテスターに割り当てる
すべてのアテスターによる承認または最初の却下を待つ
指定された時間内にリクエストへの応答を受け取らなかった場合は、次のアテスターにエスカレーションする
解決したユーザーエンタイトルメントレコードを更新する

必要な管理者機能

定期的アクセスレビューを実行してレビュープロセスを管理するユーザーは、「定期的アクセスレビュー監査管理者」機能を持っている必要があります。「アクセススキャン監査管理者」機能を持つユーザーは、アクセススキャンの作成と管理を行うことができます。

これらの機能を割り当てるには、ユーザーアカウントを編集してセキュリティー属性を変更します。これらの機能およびその他の監査機能の詳細については、「機能とその管理について」を参照してください。

アテステーション

アテステーションは、特定の日付に存在しているユーザーエンタイトルメントを確認するために、1 人以上の指定されたアテスターが実行するアテステーションプロセスです。アクセスレビュー中に、アテスターは電子メール通知によってアクセスレビューアテステーションリクエストの通知を受け取ります。アテスターは、Identity Manager ユーザーである必要がありますが、Identity Manager 管理者である必要はありません。

アテステーションワークフロー

Identity Manager は、レビューを必要とするエンタイトルメントレコードがアクセススキャンで検出されたときに起動されるアテステーションワークフローを使用します。ワークフローは、アクセススキャンで定義された規則に基づいてこの判断を行います。

アクセススキャンで評価される規則によって、ユーザーエンタイトルメントレコードを手動でアテストする必要があるか、あるいは自動的に承認または却下できるか決まります。ユーザーエンタイトルメントレコードを手動でアテストする必要がある場合は、2 番目の規則を使用して適切なアテスターが決定されます。

手動でアテストする各ユーザーエンタイトルメントレコードは、1 人のアテスターにつき 1 つの作業項目でワークフローに割り当てられます。これらの作業項目のアテスターへの通知を、スキャンごとに項目を 1 つの通知にまとめる ScanNotification ワークフローを使用して送信できます。ScanNotification ワークフローが選択されていない場合は、ユーザーエンタイトルメントごとの通知になります。この場合、1 人のアテスターが同じスキャンで複数の通知を受け取ることになり、スキャンするユーザー数によっては多数の通知になる可能性があります。

アテステーションセキュリティーアクセス

次の Identity Manager ユーザーは、アテステーション作業項目へのアクセスを承認されます。

作業項目の所有者
作業項目の所有者の直属または直属以外のマネージャー
作業項目の所有者が所属する組織を管理する管理者
認証チェックで検証済みのユーザー

これらの認証オプションは、authType AttestationWorkItem の作業項目用のものです。デフォルトでは、認証チェックの動作は次のようになります。

所有者は、アクションを実行しようとしているユーザーである、または
所有者は、アクションを実行しようとしているユーザーが管理する組織に属している、または
所有者は、アクションを実行しようとしているユーザーの部下である

2 番目および 3 番目のチェックを別個に設定するには、次のオプションを変更します。

controlOrg - 有効な値は「true」または「false」
subordinate - 有効な値は「true」または「false」
firstLevel - 結果に含める最初の従属レベル。0 は直属の部下を意味する
lastLevel - 結果に含める最後の従属レベル。-1 はすべてのレベルを意味する

firstLevel と lastLevel の整数値は、デフォルトで直属の部下を意味する 0 と直属ではない部下を意味する -1 に設定されます。

これらのオプションは、次のファイルで追加または変更できます。

UserForm: AccessApprovalList approval/editAttestation.jsp

委任されたアテステーション

デフォルトでは、アクセススキャンワークフローでは、アテステーション作業項目および通知に関してユーザーが作成した委任が使用されます。しかし、アクセススキャンの管理者が、「委任に従う」オプションを選択解除して委任設定を無視する場合があります。アテスターがすべての作業項目を別のユーザーに委任している場合でも、アクセスレビュースキャンで「委任に従う」オプションが設定されていなければ、委任を割り当てたユーザーではなく、そのアテスターがアテステーションリクエスト通知と作業項目を受け取ることになります。

定期的アクセスレビューの計画

アクセスレビューは、どの企業でも多くの労働力と時間を要するプロセスです。Identity Manager 定期的アクセスレビュープロセスを使用すると、プロセスの多くの部分が自動化されるため、必要なコストと時間を最小限にできます。ただし、それでも時間のかかるプロセスがいくつかあります。たとえば、いくつもの場所から多数のユーザーのユーザーアカウントデータを取得するプロセスには、かなりの時間を要する場合があります。レコードを手動でアテストする作業も、時間がかかる場合があります。適切な計画を行えば、プロセスの効率を高め、必要な手間を大幅に減らすことができます。

定期的アクセスレビューの計画では、次のことを考慮する必要があります。

スキャン時間は、ユーザー数および関連するリソースの数によって大きく異なる場合があります。

大規模な組織で 1 回の定期的アクセスレビューを行う場合、スキャンに 1 日以上かかることがあり、手動アテステーションを完了するのに 1 週間以上かかることもあります。

たとえば、50,000 人のユーザーと 10 のリソースを持つ組織では、次の計算によると、アクセススキャンの完了にほぼ 1 日かかる可能性があります。

1 秒/リソース * 50000 ユーザー * 10 リソース / 5 同時スレッド = 28 時間

リソースが各地域に散在している場合は、さらに処理時間が増えます。

複数の Identity Manager サーバーを使用して並行処理を行うと、アクセスレビュープロセスをスピードアップできます。

各スキャンでリソースが共通していない場合は、並列スキャンの実行がもっとも効果的です。アクセスレビューを定義するときに、複数のスキャンを作成し、リソースを特定のリソースセットに制限して、スキャンごとに異なるリソースを使用するようにします。そして、タスクの起動時に、複数のスキャンを選択し、ただちに実行するようにスケジュールします。

アテステーションワークフローおよび規則をカスタマイズすることにより、管理を強化して効率を高めることができます。

たとえば、アテスター規則を、複数のアテスターにアテステーション作業を分散させるようにカスタマイズします。そうすれば、アテステーションプロセスで、その規則に従って作業項目が割り当てられ通知が送信されます。

アテスターエスカレーション規則を使用すると、アテステーションリクエストに対する応答時間を短くできます。

デフォルトのエスカレーションアテスター規則を設定するか、またはカスタマイズした規則を使用して、アテスターのエスカレーションチェーンを設定します。エスカレーションタイムアウト値も指定します。

レビュー決定規則の使用方法を理解し、手動レビューが必要なエンタイトルメントレコードの判別を自動化することで時間を節約します。
スキャンレベルの通知ワークフローを指定して、スキャンごとにアテステーションリクエストの通知をまとめます。

アクセススキャンの作成

アクセスレビュースキャンを定義するには、次の手順に従います。

「コンプライアンス」>「アクセススキャンの管理」を選択します。
「新規アクセススキャンの作成」ページで、アクセススキャンに名前を割り当てます。
必要に応じて、そのスキャンを特定する説明を追加します。
「ユーザー範囲タイプ」で、次のいずれかのオプションを選択します。このフィールドは必須です。
「組織のメンバー」 - 選択した 1 つ以上の組織のすべてのメンバーをスキャンする場合は、このオプションを選択します。
「特定のマネージャーの部下」 - 選択したマネージャーに直属するすべてのユーザーをスキャンする場合は、このオプションを選択します。マネージャーの階層は、ユーザーの Lighthouse アカウントの Identity Manager 属性によって決まります。
「属性条件規則に従う」 - スキャンするユーザーのタイプを指定する規則を選択する場合は、このオプションを選択します。Identity Manager では、次の規則を使用できます。
「All Administrators」
「All Non-Administrators」
「Users without a Manager」

注	ユーザーの範囲を指定する規則を追加するには、Identity Manager Integrated Development Environment (IDE) を使用します。詳細については、『Identity Manager Deployment Tools』を参照してください。

ユーザー範囲タイプが「組織のメンバー」または「特定のマネージャーの部下」の場合は、「範囲を再帰的に計算?」オプションを使用できます。このオプションを使用すると、管理する一連のメンバーを通して再帰的にユーザー選択が行われるようにできます。

アクセスレビュースキャンで監査ポリシーもスキャンして違反を検出する場合は、このスキャンに適用する監査ポリシーを「利用可能な監査ポリシー」リストから選択し、「現在の監査ポリシー」リストに移動させます。

アクセススキャンに監査ポリシーを追加した場合の動作は、同じユーザーセットに対して監査スキャンを実行するのと同じ結果になります。ただし、それに加えて、監査ポリシーによって検出された違反がユーザーエンタイトルメントレコードに格納されます。この情報により、ユーザーエンタイトルメントレコード内に違反が存在するかどうかを規則のロジックの一部として使用できるので、自動承認または自動却下が容易になります。

前の手順で監査ポリシーのスキャンも選択した場合は、「ポリシーモード」オプションを使用して、指定したユーザーに対してどの監査ポリシーを実行するかをアクセススキャンで判別する方法を指定することができます。ユーザーレベルまたは組織レベル、あるいはその両方でユーザーにポリシーを割り当てることができます。デフォルトのアクセススキャンでは、ユーザーにまだポリシーが割り当てられていない場合にのみ、アクセススキャンで指定されたポリシーが適用されます。
選択されたポリシーを適用し、それ以外の割り当ては無視する
ユーザーにまだ割り当てられていない場合にのみ、選択されたポリシーを適用する
ユーザーの割り当てに加えて、選択されたポリシーを適用する
(省略可能) 「レビュープロセスの所有者」を指定します。定義しているアクセスレビュータスクの所有者を指定する場合は、このオプションを使用します。レビュープロセスの所有者を指定すると、アテステーションリクエストへの応答で競合が起こる可能性があるアテスターは、ユーザーエンタイトルメントを承認または却下する代わりに「拒否」できます。その場合、アテステーションリクエストはレビュープロセスの所有者に転送されます。選択 (省略記号) ボックスをクリックして、ユーザーアカウントを検索し、選択を行います。
「委任に従う」 - アクセススキャンの委任を有効にする場合は、このオプションを選択します。このオプションを選択した場合、アクセススキャンでは委任設定のみが遵守されます。「委任に従う」は、デフォルトで有効になっています。
「ターゲットリソースを制限」 - ターゲットのリソースのみにスキャンを制限する場合は、このオプションを選択します。

この設定は、アクセススキャンの効率に直接関係します。ターゲットリソースを制限しない場合、各ユーザーエンタイトルメントレコードには、そのユーザーが関連付けられているすべてのリソースのアカウント情報が含まれます。つまり、そのスキャンでは、各ユーザーに割り当てられたすべてのリソースが問い合わせを受けます。このオプションを使用してリソースのサブセットを指定すると、Identity Manager がユーザーエンタイトルメントレコードを作成するために必要な処理時間を大幅に減らすことができます。

「Execute Violation Remediation」 - 違反が検出された場合に監査ポリシーの是正ワークフローを有効にする場合は、このオプションを選択します。

このオプションを選択すると、割り当てられた監査ポリシーのいずれかに対する違反が検出されると、その監査ポリシーの是正ワークフローが実行されます。

「アクセス承認ワークフロー」 - デフォルトの標準アテステーションワークフローを選択するか、またはカスタマイズしたワークフロー (使用可能な場合) を選択します。

このワークフローは、レビュー用のユーザーエンタイトルメントレコードを適切なアテスター (アテスター規則によって決まる) に提示するために使用されます。デフォルトの標準アテステーションワークフローでは、1 人のアテスターに対して 1 つの作業項目が作成されます。アクセススキャンにエスカレーションが指定されている場合、このワークフローでは、保留状態の時間が長すぎる作業項目のエスカレーションが行われます。ワークフローが指定されていない場合、ユーザーアテステーションは無期限に保留状態のままになります。

「アテスター規則」 - 「Default Attestor」規則を選択するか、またはカスタマイズしたアテスター規則 (使用可能な場合) を選択します。

アテスター規則は、ユーザーエンタイトルメントレコードを入力として受け取り、アテスター名のリストを返します。「委任に従う」が選択されている場合、アクセススキャンでは、元の名前リストにある各ユーザーが設定した委任情報に従って、名前リストが適切なユーザー名のリストに変換されます。Identity Manager ユーザーの委任がルーティングサイクルになった場合、その委任情報は破棄され、作業項目は最初のアテスターに配信されます。「Default Attestor」規則では、エンタイトルメントレコードに示されたユーザーのマネージャー (idmManager) がアテスターとなり、そのユーザーの idmManager が null の場合は Configurator アカウントがアテスターとなります。マネージャーだけでなくリソースの所有者もアテステーションに携わる必要がある場合は、カスタム規則を使用する必要があります。規則のカスタマイズについては、『Identity Manager Deployment Tools』を参照してください。

「アテスターエスカレーション規則」 - 「Default Escalation Attestor」規則を指定する場合、またはカスタマイズした規則 (使用可能な場合) を選択する場合は、このオプションを使用します。また、規則のエスカレーションタイムアウト値を指定することもできます。

この規則は、エスカレーションタイムアウト時間が経過した作業項目のエスカレーションチェーンを指定します。「Default Escalation Attestor」規則では、割り当てられたアテスターのマネージャー (idmManager) にエスカレーションされるか、または、アテスターの idmManager の値が null の場合は Configurator にエスカレーションされます。

エスカレーションタイムアウト値は、分単位、時間単位、または日単位で指定できます。

「レビュー決定規則」 - スキャンプロセスがエンタイトルメントレコードの処置を決定する方法を指定する場合は、次のいずれかの規則を選択します。このフィールドは必須です。
「Reject Changed Users」 - 同じアクセススキャン定義による最後のユーザーエンタイトルメントと異なっていて、最後のユーザーエンタイトルメントが承認されているユーザーエンタイトルメントレコードを自動的に却下します。これを選択しない場合は、以前に承認されたユーザーエンタイトルメントから変更されたすべてのユーザーエンタイトルメントを手動でアテステーションおよび承認する必要があります。
「Review Changed Users」 - 同じアクセススキャン定義による最後のユーザーエンタイトルメントと異なっていて、最後のユーザーエンタイトルメントが承認されているすべてのユーザーエンタイトルメントレコードの手動アテステーションを強制します。以前に承認されたユーザーエンタイトルメントから変更されていないユーザーエンタイトルメントはすべて承認します。
「Review Everyone」 - すべてのユーザーエンタイトルメントレコードの手動アテステーションを強制します。

注	「Reject Changed Users」規則と「Review Changed Users」規則では、ユーザーエンタイトルメントを、そのエンタイトルメントレコードが承認されたアクセススキャンの最後のインスタンスと比較します。 この動作を変更するには、規則をコピーし、アカウントデータの選択部分のみの比較に制限するように変更します。規則のカスタマイズについては、『Identity Manager Deployment Tools』を参照してください。

「通知ワークフロー」 - 作業項目ごとに通知動作を指定する場合は、次のオプションのいずれかを選択します。
「なし」 - これがデフォルトの選択です。これを選択すると、アテスターは、アテステーションの必要があるユーザーエンタイトルメントごとに電子メール通知を受け取ります。
「ScanNotification」 - これを選択すると、アテステーションリクエストが 1 つの通知にまとめられます。通知には、その受信者に何件のアテステーションリクエストが割り当てられたかが示されます。

アクセススキャンで「レビュープロセスの所有者」が指定されている場合、ScanNotification ワークフローでは、スキャンの開始時と終了時に、レビュープロセスの所有者にも通知が送信されます。手順 7 を参照してください。

ScanNotification ワークフローでは、次の電子メールテンプレートを使用します。

Access Scan Begin Notice
Access Scan End Notice
Bulk Attestation Notice

ScanNotification ワークフローはカスタマイズできます。

「違反の最大値」 - このオプションを使用すると、コンプライアンス違反の数がここで設定した数値に達した時点で、スキャンを強制終了します。デフォルトの制限は 1000 です。フィールドの値を空にした場合は、制限なしと同じです。

通常、監査スキャンまたはアクセススキャンでは、ポリシー違反の数はユーザー数に比べると少ないですが、この値を設定すると、欠陥のあるポリシーによって違反数が大幅に増えた場合の保護対策になります。たとえば、次のようなシナリオを考えてみます。

50,000 ユーザーのアクセススキャンで、ユーザーあたり 2 〜 3 個の違反が発生すると、各コンプライアンス違反の是正にかかるコストは Identity Manager システムに有害な影響を及ぼす可能性があります。

「組織」 - このアクセススキャンオブジェクトで使用可能な組織を選択します。これは必須フィールドです。

「保存」をクリックしてスキャン定義を保存します。

アクセススキャンの削除

1 つ以上のアクセススキャンを削除できます。アクセススキャンを削除するには、「コンプライアンス」タブで「アクセススキャンの管理」を選択し、スキャンの名前を選択して「削除」をクリックします。

アクセスレビューの管理

アクセススキャンを定義したあと、そのスキャンをアクセスレビューの一部として使用またはスケジュールすることができます。アクセスレビューの開始後、いくつかのタスクを使用してレビュープロセスを管理できます。

アクセスレビューの起動と管理には、以下のタスクを使用します。

アクセスレビューの起動
アクセスレビュータスクのスケジュール
アクセスレビューの進行状況の管理
スキャン属性の変更
アクセスレビューのキャンセル

アクセスレビューの起動

アクセスレビューを起動するには、管理者インタフェースの「サーバータスク」>「タスクの実行」エリアで、「アクセスレビュー」タスクを選択します。「タスクの起動」ページで、アクセスレビューの名前を指定します。「利用可能なアクセススキャン」リストでスキャンを選択し、「選択されたアクセススキャン」リストに移動させます。複数のスキャンを選択した場合は、次のいずれかの起動オプションを選択できます。

「すぐに起動」 - 「起動」ボタンをクリックすると、ただちにスキャンの実行が開始されます。起動タスクで複数のスキャンに対してこのオプションを選択した場合は、各スキャンが並行して実行されます。
「起動までの (待機時間)」 - アクセスレビュータスクの起動を基準として、スキャンを起動するまでの待機時間を指定することができます。

注	1 つのアクセスレビューセッションで複数のスキャンを開始できます。ただし、各スキャンのユーザー数が多いと、スキャンプロセスの完了に数日間かかる可能性があることを考慮してください。それぞれの状況に応じた方法でスキャンを管理することをお勧めします。たとえば、1 つのスキャンをただちに実行し、その他のスキャンは時間をずらしてスケジュールすることもできます。

アクセスレビュープロセスを開始するには、「起動」をクリックします。

注	アクセスレビューに割り当てる名前は重要です。同じ名前で定期的に実行されたアクセスレビューを、いくつかのレポートで比較できます。

アクセスレビューを起動すると、プロセスの手順を示すワークフロープロセス図が表示されます。

アクセスレビュータスクのスケジュール

アクセスレビュータスクは、「サーバータスク」エリアでスケジュールできます。たとえば、定期的にアクセスレビューを行う場合は、「スケジュールの管理」タブでスケジュールを定義します。毎月、または四半期ごとにタスクを実行するようにスケジュールできます。

スケジュールを定義するには、「タスクのスケジュール」ページでタスクを選択し、タスクスケジュールの作成ページに情報を入力します。

「保存」をクリックして、スケジュールしたタスクを保存します。

注	Identity Manager では、アクセスレビュータスクの結果は、デフォルトで 1 週間維持されます。1 週間よりも短い間隔でレビューをスケジュールする場合は、「結果オプション」を「削除」に設定します。「結果オプション」が「削除」に設定されていない場合は、前のタスク結果がまだ存在しているため新しいレビューは実行されません。

アクセスレビューの進行状況の管理

アクセスレビューの進行状況を監視するには、「アクセスレビュー」タブを使用します。この機能には「コンプライアンス」タブからアクセスします。

図 11-16 「アクセスレビュー」ページ

前の図に示されているように、「アクセスレビュー」タブでは、すべてのアクティブなアクセスレビューおよび以前に処理されたアクセスレビューの概要をレビューできます。一覧表示されるアクセスレビューごとに、次の情報が表示されます。

「ステータス」 - レビュープロセスの現在のステータス。初期化中、終了中、終了、進行中のスキャンの数、スケジュールされているスキャンの数、アテステーションを待機中、完了のいずれかになります。
「起動日」 - アクセスレビュータスクが開始された日付 (タイムスタンプ)。
「全ユーザー数」 - スキャン対象のユーザーの総数。
「合計エンタイトルメント数」 - レビューで生成されたエンタイトルメントレコードの総数。
「保留中のエンタイトルメント数」 - まだアテストされていないエンタイトルメントレコードの数。

レビューの詳細情報を表示するには、そのレビューを選択して概要レポートを開きます。

図 11-17 に、アクセスレビュー概要レポートの例を示します。

図 11-17 「アクセスレビュー概要レポート」ページ

Web ベースインタフェースでリンクをクリックすると、各アクセススキャン、組織、およびアテスターに関するステータス情報にアクセスできます。

「アクセスレビュー概要レポート」を実行することにより、レポートのこの情報をレビューおよびダウンロードすることもできます。

スキャン属性の変更

アクセススキャンの設定後、スキャンを編集して新しいオプションを指定できます。たとえば、スキャンするターゲットリソースの指定、アクセススキャンの実行中に違反をスキャンする監査ポリシーの指定などを行うことができます。

スキャン定義を編集するには、「アクセススキャン」リストから目的のスキャンを選択し、「アクセスレビュースキャンの編集」ページで属性を変更します。

スキャン定義の変更を保存するには、「保存」をクリックする必要があります。

注	アクセススキャンの範囲を変更すると、レビュー決定規則でユーザーエンタイトルメントを以前のユーザーエンタイトルメントレコードと比較している場合、その規則に影響する可能性があるため、新しく獲得されるユーザーエンタイトルメントレコードの情報が変わることがあります。

アクセスレビューのキャンセル

「アクセスレビュー」タブで「終了」をクリックすると、選択された進行中のレビューを停止できます。レビューを終了すると、次のアクションが発生します。

スケジュールされたスキャンがすべてスケジュール解除される
アクティブなスキャンがすべて停止される
保留中のすべてのワークフローと作業項目が削除される
保留中のすべてのユーザーエンタイトルメントにキャンセルのマークが付けられる
ユーザーが完了したすべてのアテステーションが変更されないままになる

アクセスレビュータスクの削除

アクセスレビュータスクのステータスが「終了」または「完了」の場合、そのタスクを削除できます。進行中のアクセスレビュータスクは、終了させなければ削除できません。

アクセスレビュータスクを削除すると、そのレビューで生成されたすべてのユーザーエンタイトルメントレコードも削除されます。削除アクションは監査ログに記録されます。

アクセスレビュータスクを削除するには、メニューバーの「サーバータスク」を選択し、「タスクの実行」>「アクセスレビューの削除」を選択します。

アテステーション作業の管理

アテステーションリクエストの管理は、Identity Manager の管理者インタフェースまたはユーザーインタフェースで行うことができます。この節では、アテステーションリクエストへの応答、およびアテステーションに必要な作業について説明します。

アクセスレビューの通知

スキャン中、アテステーションリクエストの承認が必要になると、Identity Manager からアテスターに通知が送信されます。アテスターの役割が委任されている場合、そのアテステーションリクエストは委任者に送信されます。複数のアテスターが定義されている場合は、それぞれのアテスターが電子メール通知を受け取ります。

Identity Manager インタフェースでは、リクエストは「アテステーション」作業項目として表示されます。保留中のアテステーション作業項目は、割り当てられたアテスターが Identity Manager にログインしたときに表示されます。

保留中のリクエストの表示

インタフェースの「作業項目」エリアからアテステーション作業項目を表示します。「作業項目」エリアの「アテステーション」タブを選択すると、承認を必要としているすべてのエンタイトルメントレコードが一覧表示されます。「アテステーション」ページでは、すべての直属の部下のエンタイトルメントレコードや、直接または間接的に管理している特定のユーザーのエンタイトルメントレコードも表示できます。

「自分の作業項目」タブには、割り当ての各カテゴリと、各カテゴリでの自分の保留中作業項目数が表示されます。

エンタイトルメントレコードのレビューと承認

アテステーション作業項目には、レビューを必要とするユーザーエンタイトルメントレコードが含まれます。エンタイトルメントレコードは、ユーザーアクセス特権、割り当てられたリソース、およびポリシー違反に関する情報を提供します。

アテステーションリクエストに想定される応答を次に示します。

「承認」 - エンタイトルメントレコードに記録された日付において適切なエンタイトルメントであることを認証します。
「却下」 - エンタイトルメントレコードに現時点では検証できない矛盾がある可能性があることを示します。
「転送」 - 別の受信者がレビューするように指定できます。
「拒否」 - このレコードのアテステーションには不適切であり、より適切なアテスターがわからないことを示します。アテステーション作業項目は、レビュープロセスの所有者に転送されます。このオプションは、アクセスレビュータスクにレビュープロセスの所有者が定義されている場合にのみ使用できます。

指定されたエスカレーションタイムアウト時間までにアテスターがこれらのアクションのいずれかを実行することでリクエストに応答しなかった場合は、エスカレーションチェーン内の次のアテスターに通知が送信されます。通知プロセスは、応答がログに記録されるまで続行されます。

「コンプライアンス」>「アクセスレビュー」タブで、アテステーションステータスを監視できます。

アクセスレビューレポート

Identity Manager では、次のレポートでアクセスレビューの結果を評価できます。

「アクセスレビュー詳細レポート」 - このレポートには、以下の情報が表形式で表示されます。
「名前」 - ユーザーエンタイトルメントレコードの名前
「ステータス」 - レビュープロセスの現在のステータス。初期化中、終了中、終了、進行中のスキャンの数、スケジュールされているスキャンの数、アテステーションを待機中、完了のいずれかになります。
「アテスター」 - そのレコードのアテスターとして割り当てられた Identity Manager ユーザー
「スキャン日」 - スキャンが行われた日付として記録されたタイムスタンプ
「処理日」 - エンタイトルメントレコードがアテストされた日付 (タイムスタンプ)
「組織」 - エンタイトルメントレコード内のユーザーの組織
「マネージャー」 - スキャンされたユーザーのマネージャー
「リソース」 - このユーザーエンタイトルメントに取得された、ユーザーがアカウントを持つリソース
「違反」 - レビューで検出された違反の数

ユーザーエンタイトルメントレコードを開くには、レポート内で名前をクリックします。図 11-18 は、ユーザーエンタイトルメントレコードの情報の表示例を示します。

図 11-18 ユーザーエンタイトルメントレコード

「アクセスレビュー概要レポート」 - このレポートは、「アクセスレビューの進行状況の管理」でも説明されており、図 11-17 にも示されています。このレポートには、レポート用に選択したアクセススキャンに関する以下の概要情報が表示されます。
「Name」 - アクセススキャンの名前
「Status」 - レビューが起動された時のタイムスタンプ
「User Count」 - レビューでスキャンされたユーザーの数
「Entitlement Count」 - 生成されたエンタイトルメントレコードの数
「Approved」 - 承認されたエンタイトルメントレコードの数
「Rejected」 - 却下されたエンタイトルメントレコードの数
「Pending」 - まだ保留中のエンタイトルメントレコードの数
「Canceled」 - キャンセルされたエンタイトルメントレコードの数

これらのレポートは、「レポートの実行」ページから PDF (Portable Document Format) 形式または CSV (カンマ区切り値) 形式でダウンロードできます。

---

アイデンティティー監査タスクのリファレンス

表 11-2 は、通常実行されるアイデンティティー監査タスクのクイックリファレンスです。この表では、各タスクを開始するための主要な Identity Manager インタフェースの場所を示します。そのタスクを実行できる場所または方法がほかにもある場合には、それらも示します。

表 11-2 アイデンティティー監査タスクのリファレンス 

操作	ナビゲーション
監査ポリシーの作成、編集、または削除	「コンプライアンス」タブ、「ポリシーの管理」サブタブ
是正者の定義および是正ワークフローの割り当て	「コンプライアンス」タブ、「ポリシーの管理」サブタブ
1 人以上のユーザーまたは 1 つ以上の組織に対する監査スキャンの実行	「アカウント」タブ、「ユーザーアクション」リストまたは「組織アクション」リストから「スキャン」を選択
ポリシー違反是正リクエストに対する応答	「作業項目」タブ、「是正」サブタブ
ポリシー違反の受け入れ	「作業項目」タブ、「是正」サブタブ
是正されたポリシー違反のレビュー	「作業項目」タブ、「是正」サブタブ
監査ポリシーレポートの生成	「レポート」タブ、「レポートの実行」サブタブ
監査の無効化または有効化	「設定」タブ、「監査」サブタブ
イベント監査取得のセットアップ	「設定」タブ、「監査」サブタブ
管理者監査機能の編集	「セキュリティー」タブ、「機能」サブタブ
監査通知用の電子メールテンプレートのセットアップ	「設定」タブ、「電子メールテンプレート」サブタブ
データファイル/規則のインポート (XML 形式のフォームなど)	「設定」タブ、「交換ファイルのインポート」サブタブ
アクセスレビュースキャンの定義	「コンプライアンス」タブ、「スキャンの管理」サブタブ
アクセスレビューの実行	「サーバータスク」タブ、「タスクの実行」サブタブ
アクセスレビューの終了	「コンプライアンス」タブ、「アクセスレビュー」サブタブ
アクセスレビューのスケジュール	「サーバータスク」タブ、「スケジュールの管理」サブタブ
定期的アクセスレビューのセットアップ	「コンプライアンス」タブ、「アクセススキャンの管理」サブタブ
アクセスレビューステータスの監視	「コンプライアンス」タブ、「アクセスレビュー」サブタブ
アテスターの割り当て	「コンプライアンス」タブ、「アクセススキャンの管理」サブタブ
アテスターの作業の実行 (ユーザーエンタイトルメントのレビューと保証)	「作業項目」タブ、「自分の作業項目」タブ、「アテステーション」サブタブ
職務分掌レポートのレビュー	「レポート」タブ、「レポートの実行」サブタブ

前へ      目次      索引      次へ

---

Part No: 820-0138.   Copyright 2006 Sun Microsystems, Inc. All rights reserved.