| Oracle® Fusion Middleware Oracle Identity Managerユーザーズ・ガイド 11g リリース1 (11.1.1) B66706-01 |
|
 前 |
 次 |
この章の内容は、次のとおりです。
アテステーションを使用すると、レビューアとして指定されたユーザーは、レビューする必要のあるレポートについて通知を受けることができます。これらのレポートには、他のユーザーの権限について記述されています。レビューアは、レスポンスを入力することにより、これらの権限の正確さをアテストすることができます。アテステーション・アクションは、レビューアが入力したレスポンス、関連コメント、およびレビューアが参照してアテストするデータの監査ビューとともにトラッキングと監査を受け、アカウンタビリティの完全な証跡を残します。Oracle Identity Managerでは、このプロセスをアテステーション・タスクと呼びます。
Oracle Identity Managerのアテステーションは、スケジュールされたアテステーション・プロセスの定義を介してサポートされます。アテステーション・プロセスは、Oracle Identity Managerワークフローとは異なります。アテステーション・プロセスは、構成可能なビジネス・プロセスとしてOracle Identity Managerに実装され、ユーザーのアテステーション・タスクを作成します。レビューアを務めるユーザーは、このプロセスを完了して正確な監査情報を提供する必要があります。
プロビジョニング済リソース・インスタンスのアテステーション・アクティビティのトラッキングは、リソース・オブジェクトのプロビジョニング・プロセス内のタスクにより実行されます。アテステーション・アクションに基づいてワークフロー・アクティビティを開始することができます。開始される追加アクティビティと、プロセス定義フォームやワークフロー・デザイナでモデリング可能なワークフローは、初期アテステーション・アクションに基づいて開始できます。これは、Oracle Identity Managerで定義されているプロビジョニング・プロセス内のアテステーション・サブフローにより実現されています。
アテステーション・アクティビティは、定期的にまたは必要に応じて開始できます。
レビューアは、アテステーション・タスク内の特定の権限を、レビューのため他のユーザーに委任することができます。このアクションは、別のアテステーション・タスクが作成され、委任されたユーザーに割り当てられることで行われます。
この項では、次の項目について説明します。
アテステーション・プロセスは、アテステーション・タスクを設定するメカニズムです。アテステーション・プロセスに必要な入力内容には、アテステーション・タスクを構成するコンポーネントの定義方法、およびタスクを実行する必要のあるスケジュールとアテステーション・タスクを関連付ける方法に関する情報が含まれます。この定義も、アテステーション・タスクを必要なときに開始するための基盤です。アテステーション・プロセスの定義には次の項目が含まれています。
ユーザー・スコープまたはリソース・スコープ: アテステーション・プロセスのターゲット・ユーザー権限を決定するアルゴリズムを定義します。
レビューア設定: 他のユーザーの権限をアテストするレビューアを指定します。アテステーション・プロセスでは、特定のユーザーをレビューアとして指定することも、レビューアの選択方法を抽象的に指定することもできます。たとえば、レビューアを、ユーザーのマネージャ、リソースの管理者、リソースへのアクセスの認可者、または権限を付与するロールのメンバーとして指定できます。
プロセス所有者: プロセスに関連するアクティビティの監視を割り当てられているユーザーのグループです。
このユーザーには、プロセス実行時に発生する問題がすべて通知されます。
プロセス定義を表示する権限はありますが、デフォルトでは管理権限はありません。
必要に応じていつでもプロセスを実行できます。
プロセスが一連のレビューアを定義している場合、単一のアテステーション・プロセスから複数のアテステーション・タスクが発生することもあります。このような場合、プロセスから、各レビューアに対して1つずつアテステーション・タスクが発生することになります。
アテステーション・プロセスの基本目的は、Oracle Identity Managerにアテステーション・タスクを設定することです。アテステーション・タスクはOracle Identity Managerセルフサービスのタスクリストの「アテステーション」タブに表示され、このタスクを自分で管理することも、他のユーザーに管理を委任することもできます。アテステーション・タスクの基本コンポーネントを次に示します。
タスク・ソース: アテステーション・タスクがプロセスの結果として発生したのか、別のレビューアの委任によって発生したのかを指定します。委任の場合は、タスクを委任したレビューアが誰で、どのタスクが権限のソースであるかをトラッキングする必要があります。
アテステーション・データ: アテステーション・スコープ内のユーザー権限の詳細データです。このデータは、プロビジョニングされたリソース・インスタンスのプロセス・フォームからのデータです。
アテステーション・アクション: レビューアがアテステーション・スコープで行うアクションです。アクションはアテステーション・タスク全体のレベルではなく、アテステーション・スコープ内の各権限に対して行われます。アテステーション・アクションには次のものがあります。
認証: レビューアは、特定データや詳細な権限を含む現在のフォームの権限の保持をレビュー対象ユーザーに許可することに同意しています。
却下: レビューアは、フォームのこの権限をユーザーが持つ必要がないと考えています。
拒否: レビューアは権限のアテスト業務を引き受けられません。このアクションは通常、プロセスが適切に構成されていない場合のためのもので、公開後の早い段階で有用です。
レビューアは、他の誰かにタスクの処理を求める場合にタスクを拒否します。タスクが拒否されると、そのタスクはシステム管理者ロールの任意のユーザーに割り当てられます。
委任: レビューアは別の有資格者にこの権限のアテステーションを再割当てすることを考えています。
|
注意: アテステーション・タスクは、Oracle Identity Manager定義におけるワークフロー・タスクではありません。ワークフローの一部としては作成されません。アテステーション・タスクは、ワークフロー・エンジンがサポートする動的割当て、エスカレーション、プロキシ管理などのすべてのタスク管理機能をサポートしません。 |
アテステーション・プロセスが実行されると、アテステーション・リクエストが作成され、Oracle Identity Managerデータベースに記録されます。このリクエストは、アテステーション・プロセスが実行される際の監査のために記録されます。アテステーション・リクエスト・レコードは、レポートで使用される、基本的な識別データと監査データ、および統計データから構成されています。データには次の項目が含まれています。
リクエスID: 各アテステーション・リクエストには一意の識別子があります。リクエストの結果としてOracle Identity Managerが作成する各アテステーション・タスクには、関連付けられたアテステーション・リクエストのリクエストIDがそのレコードの一部として格納されます。
プロセス実行の日付と時刻
プロセス完了の日付と時刻: プロセス完了の日付と時刻は、そのリクエストの日付と時刻とみなされます。
アテステーションで識別されている権限の総数。
アテステーション・プロセスの特定の実行で(アテステーション・プロセスのリソース・スコープの)選択基準に一致したプロビジョニング済リソースの数。
認証された権限の数
却下された権限の数
拒否された権限の数
アテステーション・タスクに割り当てられたレビューアが、タスク内のすべての権限をアテストできない場合があります。これには様々な理由が考えられます。次に例を示します。
アテステーション・タスク内の、ユーザーと権限が多すぎます。
レビューアが、権限をプロビジョニングされた理由を明確に知りません。
こうした場合、レビューアが他のユーザーをレビューに参加させたいと考えることがあります。レビューアは、タスク内の一部の権限のアテステーションを委任できます。
アテステーションを委任するには、レビューアがタスク内で権限のセットを選択し、それを他のユーザーに委任します。これにより新しいアテステーション・タスクが作成され、選択されたレビューアに割り当てられます。
この新しいタスクには、元のレビューアが選択した権限のみが含まれます。元のレビューアは、それらの権限に対するアテステーション・レスポンスを用意する責任がなくなります。委任先に割り当てられた新しいアテステーション・タスクは、その委任を実行したレビューア、その委任の作成元タスク、および他のいくつかの情報(リクエストIDなど)をトラッキングします。この新しいアテステーション・タスクは、他のアテステーション・タスクと同じ方法で処理されます。このタスクをさらに委任することもできます。図19-1に、アテステーション・ページを示します。
Oracle Identity Managerにおけるアテステーション・ライフサイクルについて、次に説明します。
この段階は、アテステーション・プロセスの実行時に開始されます。図19-2に、この段階に含まれるワークフローを示します。
アテステーション・プロセスが実行されると、最初に、対応するアテステーション・プロセス・インスタンスが作成されます。次に、このプロセスを実行したレビューアが識別されます。ほとんどの場合、レビューアは1人のみです。ただし、一連のレビューアが存在する可能性もあります。
無効なレビューアが検出された場合は、常に新しいレビューアがプロセス所有者グループから取得されます。Oracle Identity Managerにより、可能な場合は、プロセス所有者グループのメンバーのうち、レビューアとして使用されていないメンバーがこのアテステーション・リクエストに対して選択されます。これが可能でない場合は、プロセス所有者グループのすでにレビューアとして選択されているメンバーが選択されます。プロセス所有者グループのメンバーが見つからない場合は、システム管理者(XELSYSADM)がこのアテステーション・タスクのレビューアに割り当てられます。
プロセスでは、そのプロセスに定義されたアテステーション・スコープによる決定に従って、そのタスクの一環としてレビューアがアテストする必要があるすべてのユーザー権限が有効なレビューアごとに計算されます。次に、それらのユーザー権限に関連する参照および情報がタスクのアテステーション・データに追加されます。また、そのタスクの対象とする権限の数が、プロセス・インスタンスでアテステーションに対して識別された権限の総数を示す統計フィールドに追加されます。次に、電子メールがレビューアに送信されます。また、電子メール・アドレスが定義されていないレビューアについては、プロセス所有者に電子メールが送信されます。
この段階の終了時、アテステーション・タスクはすべて、レビューアのアテステーション受信ボックスにあります。
アテステーション・タスクがレビューアに割り当てられると、レビューアは電子メールを受信し、タスクは各レビューアのアテステーション受信ボックスに表示されます。レビューアは自分の受信ボックスでタスクの詳細を参照します。
レビューアは、タスク詳細のページから各権限に対して、レスポンスおよび必要に応じてコメントを入力します。これにより、タスク内のアテステーション権限の詳細に、「レスポンス入力済」のマークが付けられます。
レビューアのレスポンスに、特定の権限のアテステーション・アクティビティの委任が含まれている場合は、レビューアは委任するユーザーを入力する必要があります。レビューアはオプションとして、なぜそのユーザーにアテステーション・アクティビティを委任するか説明するコメントを入力することができます。
レビューアは、すべての権限にレスポンスを入力した後、すべてのレスポンスを送信することによって、アテステーション・タスクのアクションをコミットすることができます。
この時点で、次の段階であるアテステーション・ビジネス・プロセスが開始されます。
アテステーション・タスクは「送信済」とマークされています。この時点でアテステーション・タスクは凍結され、それ以上作業できません。アテステーション・タスクの各権限について、レスポンスがシステムによって調査されます。レスポンスが認証または却下の場合、その権限に対応するプロビジョニング済のリソース・インスタンスが、それに応じて更新されます。プロビジョニング済のリソース・インスタンスのレベルで、最後のアテステーション結果、最後のアテステーションの発生時刻、および誰がレビューアであったかが記録されます。レスポンスが拒否または委任だった場合、プロビジョニング済リソース・レベルでのアテステーション詳細は変更されません。
「ユーザー・アテステーション・イベントが発生しました」タスクが、リソース・インスタンスのプロビジョニング・プロセスに挿入されます。これにより、定義されている場合にはアテステーション・ドリブンのワークフローが開始されます。コメントはすべてタスクのメモ・フィールドに保存されます。
タスクのアテステーション権限の詳細に、レスポンス送信済のマークが付けられます。図19-4に、アテステーション・タスクのレスポンス送信後のイベント・フローを示します。
次の統計情報が、プロセス・インスタンスに基づいて更新されます。
認証された権限の数
却下された権限の数
拒否された権限の数
委任された権限の数
すべての権限を処理した後で、フォローアップ・アクションのサブフローが開始されます。このフローでは、プロセスによって、タスクの権限のいずれかに対するレスポンスが拒否されたかどうかが調べられます。そのような権限があった場合、プロセスは拒否アクションの詳細を概説した電子メールをプロセス所有者に送信します。
次に、タスクの権限のいずれかに対するレスポンスが委任されたかどうかが調べられます。そのような権限があった場合、レビューアが委任先として選択したすべてのユーザーが識別され、それぞれのアテステーション・タスクが作成されます。各アテステーション・タスクは、レビューアがそのユーザーに委任した権限のみに関するものです。委任されたユーザーは、電子メールで委任を通知されます。
委任されたアテステーション・タスクがすべて作成されると、サブフローは終了し、メイン・フローに合流します。図19-5に、フォローアップ・アクション・サブフローのイベントのフローを示します。
フォローアップ・サブフローが完了すると、アテステーション・タスクには「完了」のマークが付けられます。
アテステーション・エンジンにはアテステーション・ライフサイクルが実装されます。これはOracle Identity Managerアーキテクチャのサービスで、指示を受信して特定のアテステーション・プロセスを開始するためのAPIを公開します。このAPIは、アテステーション・スケジュール済タスクに加えて、「アテステーション・プロセスの詳細」ページの「即時実行」ボタンからもコールされて、オンデマンドの実行をサポートします。アテステーション・プロセスを開始する両方のドライバをサポートしています。
アテステーション・エンジンでは、JMSメッセージ・サービスを使用して、オフラインの待機中プロセスを実行します。これにより、パフォーマンスが向上します。
|
注意: アテステーションはユーザー・プロファイル監査データのエントリに依存します。アテステーション・プロセスに含まれるユーザーの監査エントリが生成されていない場合、レビューアは、アテステーションでユーザーおよびプロセス・フォーム情報を表示できません。このような状況を避けるため、アテステーションを実行する前に、「監査メッセージの発行タスク」スケジュール済タスクが実行されていることを確認してください。 |
この新しいシステムのスケジュール済タスクは、Oracle Identity Managerで定義されているアテステーション・プロセスの調査と、システムで必要なアテステーション・タスクの作成を担当します。
このスケジュール済タスクの機能は次のとおりです。
デフォルトでは、このスケジュール済タスクは毎晩実行されるように設定されています。このスケジュールは、必要に応じて変更できます。
このスケジュール済タスクは、すべてのアクティブな(システム管理者でない)アテステーション・プロセスに対するアテステーション・プロセス定義表を調査します。
プロセスの次のスケジュール済タスクの実行時間が経過していることが検出された場合、タスクはアテステーション・エンジンへの呼出しを送信して、アテステーション・プロセスを開始します。
アテステーション・アクティビティからのトリガーをリスニングするように、Oracle Identity Managerで事前定義されているプロビジョニング・プロセスを拡張できます。これにより、プロビジョニング・ワークフローの一部として、アテステーションの発生(拒否の場合は発生しない)に対応し、したがってアテステーションの発生時に開始される、カスタムのワークフローを定義できます。これは2つの目的に役立ちます。
フローのデフォルトのアテステーション・タスク(「ユーザー・アテステーション・イベントが発生しました」)は、特定のユーザー権限のアテステーション履歴の監査証跡を提供します。
リソース・インスタンスが適切なタイプのアテステーション・プロセスによってアテストされるたびに、このタスクのインスタンスが1つ発生します。
タスク上に設定されたレスポンス・コードは、レビューアが入力したレスポンスの種類を示しています。
タスク作成者のタグを付けられたユーザーは、レビューアが誰であるかを示しています。
ユーザーが入力したコメントはすべて、タスクのメモ・フィールドに入ります。
レスポンスが生成したタスクを使用すると、デフォルト・タスクがワークフローを開始して、受け取った特定のアテステーション・レスポンスに対応することができます。このため、特定のリソースについて、却下のレスポンスによってプロビジョニング・プロセスの該当するワークフロー・タスク(たとえばアカウントの無効化など)が開始されるように指定できます。
アテステーション・エンジンは、アテステーション・プロセスの一環として、各種の関係者に電子メールを送信します。電子メールの内容を構成できるようにするために、Oracle Identity Managerの「電子メール定義」ストアの「一般」タイプの電子メール・テンプレートが使用可能になります。コンテキストに依存するよう、電子メールでは、必要な値に置き換えられる各種の変数が含まれます。
このテンプレートは、アテステーション・タスクが割り当てられているレビューアに送信する電子メールを作成するために使用されます。
「Notify Attestation Reviewer」テンプレートの変数を次に示します。
| 変数 | 説明 |
|---|---|
|
Attestation Definition.Process Name |
アテステーション・プロセスの名前 |
|
Attestation Definition.Process Code |
アテステーション・プロセスのコード |
|
Attestation Task.Task Assigned Date |
アテステーション・タスクが割り当てられた日付 |
「Notify Attestation Reviewer」テンプレートにより定義された電子メール・メッセージの件名行を次に示します。
A new attestation task for attestation process Attestation Definition.Process Name has been added to your attestation inbox
このテンプレートは、アテステーション・タスクを委任されたレビューアに送信する電子メールを作成するために使用されます。
「Notify Delegated Reviewers」テンプレートの変数を次に示します。
| 変数 | 説明 |
|---|---|
|
Attestation Definition.Process Name |
アテステーション・プロセスの名前 |
|
Attestation Definition.Process Code |
アテステーション・プロセスのコード |
|
Attestation Task.Task Assigned Date |
アテステーション・タスクが割り当てられた日付 |
|
Attestation Task.Delegated By First Name |
委任を行ったレビューアの名 |
|
Attestation Task.Delegated By Last Name |
委任を行ったレビューアの姓 |
|
Attestation Task.Delegated By User Id |
委任を行ったレビューアのユーザーID |
「Notify Delegated Reviewers」テンプレートにより定義された電子メール・メッセージの件名行を次に示します。
Attestation Task.Delegated By User Id has delegated to you an attestation task from attestation process Attestation Definition.Process Name
メッセージの本文には次の情報が含まれます。
The attestation task details are as follows Process Name: Attestation Definition.Process Name Process Code: Attestation Definition.Process Code Data Type: Access Rights Assigned Date: Attestation Task.Task Assigned Date Delegated By: Attestation Task.Delegated By First Name Attestation Task.Delegated By Last Name [Attestation Task.Delegated By User Id]
「Notify Declined Attestation Entitlements」テンプレートは、拒否された権限アテステーション・タスクについてプロセス所有者に通知するために送信する電子メールを作成するために使用されます。
「Notify Process Owner about Declined Attestation Entitlements」テンプレートの変数を次に示します。
| 変数 | 説明 |
|---|---|
|
Attestation Request.Request Id |
アテステーション・リクエストのID |
|
Attestation Definition.Process Name |
アテステーション・プロセスの名前 |
|
Attestation Task.Reviewer First Name |
レビューアの名 |
|
Attestation Task.Reviewer Last Name |
レビューアの姓 |
|
Attestation Task.Reviewer User Id |
レビューアのユーザーID |
|
Attestation Data.Provisioned User First Name |
アテストされるユーザーの名 |
|
Attestation Data.Provisioned User Last Name |
アテストされるユーザーの姓 |
|
Attestation Data.Provisioned User Id |
証明されるユーザーのユーザーID |
|
Attestation Data.Resource Name |
アテストされるリソースの名前 |
|
Attestation Data.Entitlement Descriptive Data |
アテストされる権限の説明データ |
「Notify Process Owner about Declined Attestation Entitlements」テンプレートにより定義された電子メール・メッセージの件名行を次に示します。
User access rights in attestation request Attestation Request.Request Id have been declined by Attestation Task.Reviewer User Id
メッセージの本文は次のとおりです。
Attestation of the following user access rights were declined by the reviewer. Reviewer: Attestation Task.Reviewer First Name Attestation Task.Reviewer Last Name [Attestation Task.Reviewer User Id] Attestation Process: Attestation Definition.Process Name Attestation Request ID: request Attestation Request.Request Id Access Rights Data: Attestation Data.Provisioned User First Name Attestation Data.Provisioned User Last Name [Attestation Data.Provisioned User User Id] - Attestation Data.Resource Name - Attestation Data.Entitlement Descriptive Data
「Attestation Reviewers With No Email Defined」テンプレートは、電子メール・アドレスが定義されていないレビューアについて、プロセス所有者に通知するために送信する電子メールを作成するために使用されます。
「Notify Process Owner About Reviewers with No Email Defined」テンプレートの変数は次のとおりです。
| 変数 | 説明 |
|---|---|
|
Attestation Request.Request Id |
アテステーション・リクエストのID |
|
Attestation Definition.Process Name |
アテステーション・プロセスの名前 |
|
Attestation Request.Request Creation Date |
アテステーション・リクエストが作成された日付 |
|
Attestation Task.Reviewer First Name |
無効なレビューアの名 |
|
Attestation Task.Reviewer Last Name |
無効なレビューアの姓 |
|
Attestation Task.Reviewer User Id |
無効なレビューアのユーザーID |
「Notify Process Owner About Reviewers with No Email Defined」テンプレートにより定義される電子メールの件名行を次に示します。
E-mail address is not defined for some of the reviewers in attestation process Attestation Definition.Process Name, request Attestation Request.Request Id
メッセージの本文は次のとおりです。
The following attestation reviewers do not have e-mail addresses defined. Attestation requests have been generated for these reviewers and can be accessed by logging in to Oracle Identity Manager. However, notification e-mails were not sent. Attestation process: Attestation Definition.Process Name Attestation Request ID: request Attestation Request.Request Id Request date: Attestation Request.Request Creation Date Reviewers Without Email: Attestation Task.Reviewer First Name Attestation Task.Reviewer Last Name [Attestation Task.Reviewer User Id]
Oracle Identity Manager管理およびユーザー・コンソールのメニュー項目から、アテステーション・プロセスの構成ページにアクセスできます。Oracle Identity Manager管理者は、このページを使用して次を実行できます。
新しいアテステーション・プロセスの定義
既存のプロセスの管理
非定型アテステーション・プロセスの開始
最上位の「アテステーション」メニューには、Oracle Identity Manager拡張管理の「ポリシー」セクションへの次のリンクが表示されます。
アテステーション・プロセスの作成
アテステーション・プロセスの管理
これらのメニュー項目は、拡張管理のすべてのメニュー項目を管理する同一の委任管理権限により管理されています。
これらのメニュー項目は定義済ですが、Oracle Identity Managerのグループには割り当てられていません。監査コンプライアンス・コンポーネントがインストールされている場合、それらはOracle Identity Managerの「システム管理者」グループに割り当てられます。
アテステーションには次の依存性があります。
ユーザー・プロファイル監査機能を有効にする必要があります。
履歴データは、少なくともプロセス・フォーム・レベルまで収集する必要があります。
監査レベルが必要なレベルより下に設定されている場合、アテステーションに関連するメニュー項目のリンクをクリックすると「アテステーション機能は使用できません」ページが生成され、ユーザーによるアテステーション・プロセスの定義ができなくなります。
監査レベルはXL.UserProfileAuditDataCollectionというシステム・プロパティで制御されており、アテステーション機能では、この値が少なくとも「リソース・フォーム」に設定される必要があります。
|
注意: この項で説明する手順には、Oracle Identity Managerの権限モデルが適用されています。このモデルではターゲット(たとえばユーザー)のリストを、ログインしているユーザーが読取りアクセス権を持っているターゲットのみに制限します。 |
アテステーション・プロセスを作成するには、次の手順を実行します。
Oracle Identity Manager拡張管理の「ようこそ」ページの「アテステーション構成」リストで、「作成」をクリックします。
「ステップ1: プロセスの定義」ページが表示されます。
フィールドに値を入力して「続行」をクリックします。次の表にフィールドの説明を示します。
| フィールド | 説明 |
|---|---|
|
名前 |
アテステーション・プロセスの一意の名前。名前は、システム管理者であるアテステーション・プロセスおよび削除されたアテステーション・プロセスの中で一意である必要があります。 |
|
コード |
プロセスの識別コード(32文字以下)。コードは、システム管理者であるアテステーション・プロセスおよび削除されたアテステーション・プロセスの中で一意である必要があります。 注意: コードを使用すると、アテステーション・プロセスの定義をより詳細に識別できます。ただし、「コード」フィールドに値を指定しない場合、アテステーション・プロセスは一意の名前により識別されます。 |
|
説明 |
アテステーション・プロセスの詳細説明です。 |
「ステップ2: ユーザー・スコープの定義」ページ:
「属性」リストから属性を選択します。「属性」リストには、FormMetaData.xmlファイルで指定されたユーザー属性およびユーザー・フォームのユーザー定義属性が表示されます。選択した属性は、アテステーション・プロセスが適用されるユーザーが合致する必要のある基準を指定するために使用されます。
「条件」リストから条件を選択します。「条件」リストに表示される値は、選択した属性のタイプに応じて異なります。たとえば、「属性」フィールドで「ユーザーID」を選択した場合、条件として「含む」、「含まない」、「完全一致」および「完全一致でない」が表示されます。また「開始日」属性を選択した場合、条件として「前」、「後」および「間」が表示されます。
「値」フイールドに、ユーザー属性の値を入力します。
「再帰的」オプションを選択します。「再帰的」チェック・ボックスは、ユーザー・スコープを定義する際に子エンティティを含めるエンティティに対して使用します。たとえば、ユーザー・スコープで「組織」を選択し、次に「再帰的」を選択すると、すべての下位組織も操作の対象となります。
「追加」をクリックしてユーザー・スコープ表に新規行を追加し、「続行」をクリックします。ユーザー・スコープ表に複数の行を追加した場合、アテステーション・プロセスは、ユーザー・スコープのすべての属性条件に一致するユーザーにのみ適用されます。
「ステップ3: リソース・スコープの定義」ページで、次のようにアテステーション・プロセスのリソースを選択します。
「属性」リストから、次の表で示したリソース属性のいずれかを選択します。
| 属性 | 式 | 説明 |
|---|---|---|
|
名前 |
フルテキストまたはワイルドカード |
リソースの名前。 |
|
タイプ |
「すべて」または「サブセット」の選択オプションを持つ参照値 |
リソースのタイプ。 |
|
リソース監査目的 |
「すべて」または「サブセット」の選択オプションを持つ参照値 |
プロビジョニングされるリソースに割り当てられる監査目的。たとえば、そのリソースが財務的に意味を持つかどうかを示す。 「リソース監査目的」の詳細は、「リソースの詳細の表示」を参照してください。 |
|
管理者ユーザー・グループ |
「すべて」または「サブセット」の選択オプションを持つ参照値 |
リソースの管理権限を持つユーザー・グループ。 |
|
認可ユーザー・グループ |
「すべて」または「サブセット」の選択オプションを持つ参照値 |
リソースの認可者または承認者であるユーザー・グループ。 |
|
リソース・ステータス |
フルテキストまたはワイルドカード |
リソースがユーザーにプロビジョニングされる際に表示されるステータス(「認証」、「却下」、「オープン」、「クローズ」など)。 |
「条件」リストから検索条件を選択します。
「値」フイールドに、リソース属性の値を入力します。
「追加」をクリックしてリソース・スコープ表に新規行を追加し、「続行」をクリックします。リソース・スコープ表に複数の行を追加した場合、アテステーション・プロセスは、リソース・スコープのすべての属性条件に一致するリソースにのみ適用されます。
「ステップ4: 管理詳細の定義」ページで、次の手順を実行して、データをアテストするレビューア、アテステーション・プロセスのスケジュール、猶予期間およびプロセス所有者を定義します。
「レビューア」リストから、アテステーション・プロセスのレビューアのタイプ(ある特定のユーザー、ロール・メンバー、リソース管理者など)を選択します。次に、隣にある「参照フィールド」からレビューアを選択します。
レビューアのタイプとして「ロール・メンバー」を選択した場合は、特定のアテステーション・タスクをレビューするロールを選択する必要があります。作成されて実行されたアテステーション・タスクは、次の条件に基づいて、選択したロールに割り当てられます。
- アテステーション・タスクは、「無効」および「削除」状態でないすべてのユーザーに割り当てられます。
- そのロールのレビューアが受益者でもある場合、アテステーション・タスクはそのユーザーには割り当てられません。
- 前述のチェック後、ロールに適格なユーザーがいない場合は、システム管理者ロールのすべてのユーザーにタスクが割り当てられます。
アテステーション・プロセスを1回実行するか、または特定の日数、月数または年数ごとに繰り返し実行するかといったアテステーション・プロセスのスケジュールを指定します。
猶予期間、つまり、このアテステーション・プロセスで生成されたアテステーション・タスクに各レビューアが応答する必要がある期間の日数を指定します。
「開始日」フィールドで、アテステーション・プロセスの開始日を指定します。
「プロセス所有者グループ」参照フィールドで、アテステーション・プロセスの所有者であるグループを指定します。
アテステーション・プロセスがレビューアに拒否された場合に、プロセス所有者に電子メールで通知するには、「レビューアがアテステーション・リクエストを拒否した場合、プロセス所有者に電子メール」を選択します。次に、「続行」をクリックします。
「ステップ5: 情報検証ページ」で、アテステーション・プロセスの詳細を確認した後、「プロセスの作成」をクリックします。
アテステーション・プロセス定義が正常に作成されたことを示すメッセージが表示されるページに切り替わります。プロセス名をクリックすると、「アテステーション・プロセスの詳細」ページが表示されます。別のアテステーション・プロセスを作成するには、「別のアテステーション・プロセス定義を作成」をクリックします。
「アテステーション・プロセスの詳細」ページの詳細は、「アテステーション・プロセスの管理」を参照してください。
アテステーション・プロセスを管理するには次の手順を実行します。
「ようこそ」ページで、「アテステーション・プロセスの管理」をクリックし、次に「管理」をクリックします。「アテステーション・プロセスの管理」ページが表示されます。
「アテステーション・プロセスの管理」ページで、管理するアテステーション・プロセスの検索基準を入力します。アテステーション・プロセス名、プロセス・コード、レビューア・タイプまたはプロセス所有者で検索できます。検索基準を入力した後、「検索」をクリックします。検索基準に一致するアテステーション・プロセスが「アテステーション・プロセスの詳細」ページに表示されます。表示されるのは、ログインした管理者が権限に基づいてまたはプロセス所有者グループのメンバーであるという理由で表示を許可されているアテステーション・プロセスです。このページには削除されたプロセスは表示されません。このページに表示される列を次の表に示します。
| 列 | 説明 |
|---|---|
|
名前 |
プロセスの名前を指定します。 |
|
コード |
アテステーション・プロセスのコードを指定します。 |
|
説明 |
プロセスの説明を指定します。 |
|
ステータス |
アテステーション・プロセスが有効であるかシステム管理者であるかを示します。 |
|
タイプ |
リソースのタイプを指定します。 |
|
ユーザー・スコープ |
アテステーション・プロセスの一部となるユーザーのスコープを指定します。 |
|
リソース・スコープ |
アテステーション・プロセスのスコープ内にあるリソースを指定します。 |
|
レビューア・タイプ |
レビューアのタイプを示します。 |
|
レビューア名 |
レビューアの名前を示します。 |
|
スケジュール |
プロセスが1回のみ、または毎日、毎月または毎年といったスケジュールで実行されるかを示します。 |
|
最終開始 |
アテステーション・プロセスが最後に実行されたタイミングを指定します。 |
|
次回開始 |
スケジュールによりプロセスが次回実行されるタイミングを指定します。 |
|
プロセス所有者グループ |
プロセス所有者グループを示します。また、アテステーション・リクエストがレビューアに拒否された場合に、プロセス所有者に電子メールで通知するかどうかも示します。 |
|
前回の完了 |
このプロセスのインスタンスが最後に完了したタイミングを指定します。 |
ここでは次のトピックについて説明します。
アテステーション・プロセスを編集するには次の手順を実行します。
「アテステーション・プロセスの詳細」ページで、「編集」をクリックします。
「アテステーション・プロセスの編集」ページでアテステーション・プロセスに必要な変更を加え、「保存」をクリックします。
「アテステーション・プロセスの編集」ページのフィールドは、「アテステーション・プロセスの作成」で表示されるフィールドと同じです。
アクティブなアテステーション・プロセスを削除するには、次の手順を実行します。
「アテステーション・プロセスの詳細」ページで、「無効化」をクリックします。
「無効化」ボタンが表示されるのは、プロセスがアクティブである場合のみです。
「アテステーションの無効化の確認」ページで「無効化の確認」をクリックします。
アテステーション・プロセスを有効化できるのは、次の開始時刻が未来で、プロセスが無効化されている場合のみです。
アテステーション・プロセスを有効化するには次の手順を実行します。
「アテステーション・プロセスの詳細」ページで、「有効化」をクリックします。
「有効化」ボタンが表示されるのは、プロセスが無効化されている場合のみです。
「アテステーションの有効化の確認」ページで「有効化の確認」をクリックします。
アテステーション・プロセスの編集、無効化および削除を実行できるのは、必要な権限を持つプロセス管理者のみです。
アテステーション・プロセスを削除するには次の手順を実行します。
「アテステーション・プロセスの詳細」ページで、「削除」をクリックします。
ページで「削除の確認」をクリックします。
この機能を使用すると、未スケジュールのアテステーション・プロセスを実行できます。アテステーション・プロセスを実行するには、「アテステーション・プロセスの詳細」ページで「即時実行」をクリックします。これにより、アテステーション・スケジュールとは独立してアテステーション・プロセスが開始されます。
未スケジュールのアテステーション・プロセスを開始できるのは、プロセス所有者グループのユーザーのみです。
アテステーション・プロセスのための管理グループの追加、削除および更新のタスクは、ユーザーおよび組織のために管理グループを更新するタスクに類似しています。
アテステーション・プロセスの管理者を管理するには、「アテステーション・プロセスの詳細」ページの「追加詳細」リストから「管理者」を選択します。「管理グループ」ページが表示されます。このページを使用して、アテステーション・プロセスのための管理者の追加や削除、および管理者権限の更新を行うことができます。
アテステーション・プロセス定義の権限モデルは次のとおりです。
アテステーション・プロセス定義を表示するには、ユーザーは次のいずれかである必要があります。
「管理者グループ」において適切な読取り権限を持つグループのメンバー
プロセス所有者であるグループのメンバー
アテステーション・プロセス定義を編集するには、ユーザーは、「管理者グループ」において必要な書込み権限を持つグループのメンバーである必要があります。
アテステーション・プロセス定義を削除するには、ユーザーは、「管理者グループ」において必要な削除権限を持つグループのメンバーである必要があります。
アテステーション・プロセスの実行履歴を表示するには、「アテステーション・プロセスの詳細」ページの「追加詳細」リストから「実行履歴」を選択します。「アテステーション・プロセス実行履歴」ページが表示されます。
「アテステーション・プロセス実行履歴」表には次の列があります。
| 列 | 説明 |
|---|---|
|
リクエストID |
実行されたアテステーション・プロセス・インスタンスのID。 |
|
レビューア |
アテステーション・プロセスのレビューアの名前。 |
|
開始日 |
リクエストが開始された日付と時刻。 |
|
完了日 |
リクエストが完了した日付と時刻。 リクエストが保留中の場合は、「未完了」と表示されます。 |
「アテステーション・プロセス実行履歴」ページで、「リクエストID」リンクをクリックすると「リクエストの詳細」ページが開きます。このページでは、状態が認証済か、却下されたか、オープンか、クローズかに応じてリクエストをフィルタリングできます。
自分がメンバーであるグループが所有するアテステーション・プロセスの状態を表示するには、アテステーション・ダッシュボードを使用します。
アテステーション・ダッシュボードを使用するには、拡張管理の「ようこそ」ページで、「イベント管理」の下にある「アテステーション・ダッシュボードの起動」をクリックします。または、「イベント管理」タブをクリックし、「アテステーション」リストから「アテステーション・ダッシュボード」を選択します。「アテステーション・ダッシュボード」ページには、自分がメンバーであるグループが所有するアテステーション・プロセスの状態がリストされた表が表示されます。「アテステーション・ダッシュボード」表には、次の表に示す列が表示されます。
| 列 | 説明 |
|---|---|
|
プロセス・コード |
アテステーション・プロセス・コード。 |
|
プロセス名 |
プロセスの名前。アテステーション・プロセス名のリンクをクリックすると「アテステーション・プロセスの詳細」ページが表示されます。 |
|
前回の完了 |
最後のインスタンスの前に実行されたインスタンスが完了した日付と時刻。存在しない場合、値は「なし」です。これは、目的のアテステーション・リクエストの「アテステーション・リクエストの詳細」ページに移動するリンクです。 |
|
現在のリクエスト日 |
このプロセスの最後のインスタンスが実行された日付と時刻。実行されていない場合、値は「新規」です。これは、目的のアテステーション・リクエストの「アテステーション・リクエストの詳細」ページに移動するリンクです。 |
|
現在完了 |
最後に実行されたインスタンスが完了した日付と時刻。完了していない場合、値は「保留」です。 |
|
全レコード |
アテステーションに対して識別されている権限および最後のプロセス・インスタンスの一部としてアテステーションの対象とされている権限の総数。 |
|
認証済 |
最後のアテステーション・プロセス・インスタンスで認可された権限の数。 |
|
却下 |
最後のアテステーション・プロセス・インスタンスで却下された権限の数。 |
|
オープン |
レビューアによりレスポンスが入力されなかったすべてのオープン・レコード。 |
「アテステーション・ダッシュボード」ページからドリルダウン・ページにアクセスできます。ドリルダウン・ページには、アテステーション・プロセスの特定の実行で処理するすべての権限のアテステーション詳細が表示されます。
アテステーション・リクエスト詳細を表示するには、次の手順を実行します。
「アテステーション・ダッシュボード」ページの表に表示された「前回の完了」フィールドまたは「現在のリクエスト・ページ」フィールドのリンクをクリックします。
「アテステーション・リクエストの詳細」ページには、選択したアテステーション・プロセスのリクエスト詳細が、次の列を含む表とともに表示されます。
| 列 | 説明 |
|---|---|
|
ユーザー |
権限がアテスト対象となっているユーザー。データはリンクとして表示されます。このリンクをクリックすると、「ユーザー・プロファイル」ページが表示され、アテステーション日のユーザーの詳細が表示されます。 |
|
リソース |
アテストされる権限の基盤であるリソース。データはリンクとして表示されます。リンクをクリックすると、ページが表示され、アテステーション日の権限のプロセス・フォーム・データが表示されます。 |
|
記述データ |
プロビジョニング・リソース・インスタンスの説明。 |
|
コメント |
リクエストのコメントまたはステータス。この値は次のいずれかです。
|
|
アテステーション結果 |
アテステーションに対して入力された最後のレスポンス。 |
|
レビューア |
レスポンスを入力したユーザー。データはリンクとして表示されます。このリンクをクリックすると、「ユーザー・プロファイル」ページが表示され、現在のユーザーの詳細が表示されます。 |
|
委任パス |
権限のアテステーションが委任を経由して実行された場合、この列の「表示」リンクを使用して、「委任パスの詳細」ページを表示できます。委任が発生しなかった場合、「なし」と表示されます。 |
|
コメント |
レビューア・コメント。長いコメントは切り捨てられ、ツールチップを使用してコメントの全文が表示されます。 |
委任が必要なアテステーション・リクエストには、「委任パス」列にリンクが含まれます。
リンクをクリックすると、「委任パス」ページに、アテステーション・リクエストの委任パスに関する情報が表示されます。
「アテストされたデータ」フィールドには、アテスト対象権限の詳細が表示されます。値は、ユーザー情報、リソース名および記述データをまとめて次の形式で構成されます。
User_First_Name User_Last_Name [User_ID] - Resource_Name - Descriptive_Data
「委任パス」ページの表にあるフィールドは次のとおりです。
| 列 | 説明 |
|---|---|
|
レビューア |
アテストする権限が割り当てられたレビューア。データはリンクとして表示されます。このリンクをクリックすると、現在のユーザー・プロファイル・データが表示されます。 |
|
アテステーション結果 |
レビューアにより行われるアクション。最初のレコードを除き、値は常に「委任済」です。 |
|
アテステーション日 |
レビューアのアテステーション・レスポンスの日付と時刻。 |
|
コメント |
レビューア・コメント。長いコメントは切り捨てられ、ツールチップを使用してコメントの全文が表示されます。 |
アテステーション・プロセスの一部として、アテステーション・エンジンは様々な段階で電子メールを関係者に送信します。電子メールの内容は、Oracle Identity Managerの「電子メール定義」ストアの「一般」タイプの電子メール・テンプレートを使用して構成できます。
テンプレートでは、フォーム・ユーザーはXELSYSADMと定義されます。これは別のユーザーに変更できます。電子メール・アドレスが、このテンプレートを使用するように選択されたユーザーに対して定義されていることを確認してください。定義されていない場合、通知の送信に失敗することがあります。
次の電子メール通知テンプレートを使用できます。
Notify Attestation Reviewer: アテステーション・タスクがレビューアに割り当てられたときに電子メールを送信するために使用されます。
Notify Delegated Reviewers: アテステーション・タスクがレビューアに委任されたときにレビューアに電子メールを送信するために使用されます。
Notify Declined Attestation Entitlements: レビューアが権限を拒否した場合に、「プロセス所有者グループ」のユーザーに電子メールを送信するために使用されます。
Attestation Reviewers With No Email Defined: どのレビューアにも電子メール・アドレスが定義されていない場合に、「プロセス所有者グループ」のユーザーに電子メールを送信するために使用されます。
アテステーション猶予期間チェッカーと呼ばれるシステムのスケジュール済タスクは、Oracle Identity Managerで定義されているアテステーション・プロセスを調査し、必要なアテステーション・タスクを作成するために使用されます。
アテステーション猶予期間チェッカー・スケジュール済タスクの機能は次のとおりです。
このスケジュール済タスクが、デフォルトで30分間隔で実行されるように設定されています。これは、必要に応じて変更できます。
このスケジュール済タスクでは、すべてのアクティブなアテステーション・プロセスを調査します。
