アイデンティティ監査の管理

14 アイデンティティ監査の管理

Oracle Identity Managerのアイデンティティ監査機能(IDA)を使用して、職務分離(SoD)違反を検出できます。IDAの検出メカニズムは、リソースへのユーザーの実際のアクセスを継続的に監視して違反を検知する検知メカニズムを備えています。

この章では、次の各トピックでアイデンティティ監査機能について説明します。

14.1 アイデンティティ監査について

アイデンティティ監査機能は、SoD違反またはアイデンティティ監査ポリシー違反を検出します。これは、個別または組み合せて保持できない権限がユーザーに割り当てられている場合の違反です。

アイデンティティ監査により、アクセス違反が発生する可能性があるユーザーまたはロールによって保持される権限の危険が伴う可能性がある組合せを検出するルールおよびポリシーを作成でき、ポリシー違反およびポリシー違反原因が特定されます。

この機能を有効または無効にするには、「アイデンティティ監査」システム・プロパティの値をtrueまたはfalseにそれぞれ設定します。このシステム・プロパティの詳細は、『Oracle Identity Governanceの管理』のシステム・プロパティの管理に関する項を参照してください。また、Oracle Identity Managerのアップグレード済デプロイメントでは、アイデンティティ監査機能およびロール・ライフサイクル管理機能を使用するためにワークフロー・ポリシー有効システム・プロパティの値を手動で設定する必要があります。

14.2 アイデンティティ監査の概念の理解

アイデンティティ監査に関連する主要な概念には、検出メカニズム、アイデンティティ監査ルール、ルール条件、アイデンティティ監査ポリシー、スキャン定義、スキャン・ジョブ、ポリシー違反、是正者、ポリシー違反の是正およびポリシー違反レポートがあります。

アイデンティティ監査に関連する概念について、次の各トピックで説明します。

14.2.1 検出のモードについて

アイデンティティ監査では、ポリシー違反の検出に検出モードまたは予防モードを使用します。

アイデンティティ監査を使用して、SoD違反を検出できます。アイデンティティ監査の検出メカニズムは、リソースへのユーザーの実際のアクセスを継続的に監視して違反を検知する検知メカニズムを備えています。これは次のいずれかのタイプになります。

検出モード: 検出モードでは、ユーザーのアイデンティティ・ウェアハウス全体でユーザー・アクセス権限の例外または悪影響が生じる組合せを監視できます。
予防モード: 予防モードでは、リアルタイムにアクセス・カタログを介してリクエストされるアクセス権をアイデンティティ監査ポリシー違反として自動的に検出し、予防アクションを実行できます。

複数の監査ポリシーを定義することもあります。1つの監査ポリシーで、複数のユーザーに対する特定の違反が検出されます。監査ポリシーは1つ以上の監査ルールで構成され、各ルールによって違反の原因が検出されます。その後、ユーザー・プロファイルおよび関連するロール、アカウント、権限および組織がアイデンティティ監査ポリシー違反がないかスキャンされます。アイデンティティ監査ポリシーに違反するユーザー・アカウント(権限を含む)、ユーザー属性およびロール/アクセス・ポリシーはフラグを設定され、違反が解決されるまで追跡されます。ソリューションでは、監査スキャンの包括的な履歴も維持されます。

14.2.2 アイデンティティ監査ルールについて

アイデンティティ監査ルールは、ルール条件で構成されます。これらのルールは、エンティティおよびユーザー・アクセス権限に基づいて単純にも複雑にもできます。ユーザー情報、アプリケーションに関連付けられているカタログ・メタデータ、権限、ロールおよび組織メタデータに基づいてネストされた条件を使用して複雑なルールを定義できます。

1つのアイデンティティ監査ルールは複数のポリシーに関連付けることができます。ルール条件が変更されると、このルールに関連付けられているすべてのポリシーが影響を受けます。変更されたルールがシステムの既存の未解決の違反の原因である場合、原因および関連付けられた違反が条件の変更によって影響を受けます。

IF条件を入力してルールを指定できます。条件が一致すると値が戻ります。

ルールはポリシーに関連付けられます。影響を受けた違反に関連付けられているエンティティがルールに関連付けられているポリシーに対してスキャンされる場合、Oracle Identity Managerは違反に次のアクションを実行します。

Oracle Identity Managerは、変更された条件が引き続き例外を発生させているかどうかを確認します。
ルール条件で引き続き例外が発生した場合、Oracle Identity Managerは違反原因ステータスをアクティブに設定します。それ以外の場合、違反原因ステータスは非アクティブに設定されます。

アイデンティティ監査ルールは、ユーザーが所有する必要があります。どのユーザーでも、そのユーザーの管理ロール権限に関係なくルール所有者になれます。

ノート:

管理ロールおよび管理ロールの機能の詳細は、「管理ロールの管理」を参照してください。
アイデンティティ監査ポリシーに関連する次の管理ロールの機能は、Identity Self Serviceからは使用できませんが、APIからは使用できます。
- アイデンティティ監査ポリシー-ルールの割当て
- アイデンティティ監査ポリシー-ルールの割当て解除
- アイデンティティ監査ポリシー-無効化
- アイデンティティ監査ポリシー-有効化
- アイデンティティ監査ポリシー-ルールの割当て
- アイデンティティ監査ポリシー-ルールの割当て解除
- アイデンティティ監査ルール-有効化
- アイデンティティ監査ルール-無効化
- アイデンティティ監査スキャン実行-削除
APIの使用方法の詳細は、『Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のAPIの使用に関する項およびOracle Identity Governance Java APIリファレンスを参照してください。

新しいルールを既存のポリシーに追加できます。ただし、この変更は一部の既存の未解決の違反に影響を与える可能性があります。次回の変更されたポリシーのスキャン時に、この変更によって影響を受ける既存の未解決の違反が更新され、新しいルールが例外を発生させている場合に新しい違反が作成されます。

14.2.3 ルールの条件について

ルールは1つの条件を持ちます。ルールの条件はルールのIF部分であり、ポリシー評価時にルールに渡される入力値に照らしてtrueまたはfalseのいずれになるか評価されます。

条件は、ANDまたはOR演算子とともに論理的に結合できる一連の1つ以上の基準です。基準をグループ化でき、グループをANDまたはOR演算子とともに論理的に結合できます。これにより、複雑にネストされたブール式を使用できます。条件基準は、次に示されているように属性、演算子および値で構成されます。

Condition criterion = ATTRIBUTE OPERATOR VALUE

14.2.4 アイデンティティ監査ポリシーについて

アイデンティティ監査ポリシーは、SoDビジネス・ポリシーを同時に適用する監査ポリシーの集まりです。アイデンティティ監査ポリシーは、アイデンティティ監査ポリシー名、説明、重大度、作成日、更新データなどのメタデータで構成されます。アイデンティティ監査ポリシーにより、ポリシー所有者およびポリシー是正者が指定されています。

アイデンティティ監査ポリシーは、ユーザーが所有する必要があります。ポリシー所有者は、ポリシーの作成、検索、表示、変更または削除ができます。

デフォルトでは、ポリシーはルールのいずれかがtrueに評価される場合に違反を報告します。

ポリシーの定義は、アイデンティティ監査ポリシー所有者が実行します。ただし、アイデンティティ監査ポリシー違反に対してアクションを実行したり、違反を修正するのは是正者です。

14.2.5 スキャン定義について

アイデンティティ監査スキャンとは、エンティティ(ユーザー)の特定の移入に対してアイデンティティ監査ポリシーを関連するルールとともに実行するアクションです。スキャン定義では、必要なスキャンを実行して今後繰り返すためにスケジュール済タスクで使用できる特定のアイデンティティ監査スキャンの「レシピ」を指定します。

スキャン定義は、スキャンするユーザーまたは組織の基本選択と、スキャン時に評価する1つ以上のポリシーの集合で構成されます。また、他の構成設定もスキャン定義に指定できます。

スキャン定義は監査スキャン・パラメータを使用してスケジュール済タスク(スキャン・ジョブ)を構成するテンプレートとして機能します。スキャン定義自体には、スケジュール情報が含まれません。

アイデンティティ監査スキャンには次のタイプがあります。

検出スキャン: 指定されたアイデンティティ監査スキャン定義に従ってアイデンティティ監査スキャンを実行し、検出されたユーザーのSoD競合ごとに永続ポリシー違反を生成するスケジュール済ジョブ。このタイプのスキャンを使用して、アクセス権限の潜在的な問題を検出します。

検出スキャンは、スキャン定義をユーザー集団に適用して、アイデンティティ監査ポリシー違反を生成するプロセスです。スキャン定義は、ポリシーおよびユーザー選択基準で構成されます。各ポリシーには、スキャンで検出される違反が発生するアクセス権限の組合せを定義するルールが含まれます。検出スキャンは、Oracle Identity Managerのスケジュール済ジョブとして実行されます。検出された違反は、新規の場合はデータ・ストアに保持され、すでに存在する場合は更新されます。"プレビュー"モードで1つのポリシーに対するオンデマンド検出スキャンを実行する機能も使用できます。プレビュー・モードでは、検出されたプレビュー違反の集合がスキャンから戻されますが、このような違反はアクション可能ではなく一時的に保存されるだけです。
予防スキャン: 違反のリストを報告する同期(スケジュールされていない)アイデンティティ監査スキャン。このタイプのスキャンは、リクエスト・プロセス中に特定のアクセス付与の直接的な結果としてもたらされることがある仮想ポリシー違反を検出する場合に使用します。

予防スキャンは、アクセス・リクエスト・プロセスの過程で開始され、指定されたセットのIDAポリシーに対して潜在的な違反のリストを戻す同期IDAスキャンです。このタイプのスキャンを使用して、リクエスタが特定のリクエストを送信した場合にもたらされる潜在的なポリシー違反を検出します。予防スキャン違反結果が破棄されたり、リクエスタがリクエストの送信を停止する可能性があります。OIG IDAには、予防スキャンを起動するためや結果を管理するためのAPIが用意されています。予防スキャンに含まれるIDAポリシーは、アクセス・リクエスト中に評価フラグでマークされたポリシーです。

14.2.6 スキャン・ジョブについて

アイデンティティ監査スキャンをスケジュール済タスクとして保存できます。このスケジュール済タスクは、スキャン・ジョブと呼ばれます。このタスクを実行して、監査スキャンを実行できます。

アイデンティティ監査スキャンは、Identity Audit_ScanDefinitionNameを先頭に付けたスキャン定義の選択基準を使用して、監査スキャンを実行するOracle Identity System Administrationでスケジュール済タスク(スキャン・ジョブ)として効率的に保存でき、指定の日時または繰返しを使用して管理者がスケジュールできます。

個々のスキャンを独自のスケジュールで実行できる複数のスキャン・ジョブが存在する可能性があります。複数のスキャン・ジョブを同時に実行できます。

14.2.7 ポリシー違反について

アイデンティティ監査ポリシー違反が発生するのは、アイデンティティ監査ポリシーに関連付けられた1つ以上のルールが、ユーザー・アカウント(アカウント内の権限を含む)、ユーザー属性またはユーザー・ロールによって破られる場合です。

ここでの目標は、解決するまで違反を追跡するソリューションです。ソリューションでは、ポリシーごとの固有の違反と、ポリシー内で違反したユーザー、ロール、権限、アカウントなどのオブジェクトを表示する必要があります。デフォルトで、ポリシー違反が発生するのは、ポリシーに関連付けられた1つ以上のルールが、アカウント内の権限を含むユーザー・アカウント、ユーザー属性またはユーザー・ロールによって一致する場合です。

14.2.8 是正者について

アイデンティティ監査ポリシーには、1つ以上の是正者が必要です。是正者には、ロールやマネージャを指定することも、特定のロールが関連付けられているかどうかに関係なく任意のユーザーを指定することもできます。

複数のユーザーを是正者として割り当てることはできません。複数のユーザーを是正者として割り当てるには、任意のロールを是正者として割り当てることが唯一の方法です。是正者は、アイデンティティ監査ポリシー違反の修正または別の適切な是正者への違反の再割当てを行います。

アイデンティティ監査ポリシーにより、違反が発見された場合にアクションをとる役割を果たす是正者が指名されています。ポリシー違反の通知が是正者の受信ボックスに送信されます。ポリシーがスキャン中に違反を検出すると、違反がポリシーで指定された是正者に割り当てられます。新しいポリシー違反が割り当てられた場合、是正者に通知されます。是正者ロールにより、是正者は割り当てられたポリシー違反を表示および編集できます。

是正者は、元の是正者がポリシー違反の管理を行わなくなってアクションを実行することができなくなったか再利用可能になった後に別の適切な是正者にポリシー違反を再割当てできます。

14.2.9 ポリシー違反の是正の理解

ポリシー違反の是正には、ポリシー違反の原因に基づいたポリシー違反タスクの生成が含まれます。ポリシー違反は、是正プロセスで一連の状態を遷移します。

この項では、次の各トピックでポリシー違反の是正について説明します。

14.2.9.1 ポリシー違反の是正について

スキャン定義で参照されるポリシー・セットに指定されている1つ以上のルールに一致するターゲット・エンティティ(ユーザーなど)がスキャンで検出されると、アイデンティティ監査スキャンによってポリシー違反が作成されます。ポリシー違反は、(ポリシー・ルール)違反の原因の集まりとともに違反ターゲット、違反したポリシー、違反数を含む一連の属性で構成されます。職務分離競合を生成したルール条件の特定の情報を是正者に提供するため、違反の原因が含まれます。是正ワークフローを開始するために是正タスクが作成され、ポリシーで指定された是正者に割り当てられます。

14.2.9.2 違反の原因について

各違反の原因には、違反を招いたルール、条件および属性が含まれます。

14.2.9.2.1 違反原因のアクションについて

是正者は、次のアクションのいずれかを実行できます。

改善のリクエスト(是正): このアクションは、アカウント内のカタログ項目(ユーザー・ロール、アカウント、権限など)にかかわる原因に使用できます。是正者は、違反の原因として挙げられたカタログ項目の取消をリクエストします。
「修正済」として閉じる: 是正者は、プロビジョニング・システムに関係なくアクションを実行して違反の原因を修正します。
「リスクを受諾」として閉じる: このアクションは、後続のポリシー再評価で違反原因の条件を一定時間無視することを指示します。

14.2.9.2.2 違反原因の状態について

アイデンティティ監査ポリシー違反は、是正プロセスで一連の状態を遷移します。アイデンティティ監査ポリシー違反で遷移する可能性のある状態は、次のとおりです。

アクティブ: 違反原因の最初の状態。この状態は、ルール条件が依然として一致することを示します。
リスクを受諾: 是正者が「リスクを受諾」アクションを選択して一時的にルール条件を無効にした後の状態。この状態は、指定した一定期間に達し、後続のスキャンでルール条件が評価されると終了します。
手動修正済: 是正者が「「修正済み」として閉じる」アクションを実行した後の状態。
改善リクエスト済: 是正者が「改善のリクエスト」アクションを実行した後の状態。
解決済: この状態は、違反原因の条件がターゲット・エンティティに一致しなくなっていることがスキャンで検出された場合にシステムによって設定されます。通常、「解決済」状態には、是正者のアクションが適用され、アイデンティティ監査スキャンでそのことが確認された場合に達します。しかし、是正への外的変更によっても違反の原因を解決できます。

是正者は違反の原因に対してアクションを実行し、違反したポリシーのどのルールとも一致しなくなるようにアイデンティティ監査ポリシー違反を解決します。後続のスキャンでは、ポリシーが再評価(ターゲット・エンティティにルールが再適用)され、違反の原因が解決され、それに応じて違反原因のステータスが更新されたかどうかを確認します。また、是正者は、違反の原因を一定期間受諾(無視)できることを指示できます。

14.2.9.3 ポリシー違反の状態について

オープン: ポリシーで指定された是正者に割り当てられる前の、ポリシー違反の最初の状態。
割当て済: アイデンティティ監査ポリシー違反が是正者に割り当てられた後の状態。
改善中です: 最初の是正者のアクション後から是正者が是正を完了するまでの状態。
改善レビュー中: 是正に監督者が設定されている場合、ポリシー違反の状態がこの状態に移行します。ポリシー違反は、最後のレビューア・アクションまでこの状態のままです。
改善完了: 是正(および必要な場合はレビュー)後の状態。この状態から、アイデンティティ監査スキャンはポリシー違反をクローズするか再オープンします。
クローズ: アイデンティティ監査ポリシー違反が評価され、未処理の違反が検出されなくなった後の状態。管理者は、「閉じる」アクションを起動してポリシー違反を強制的にこの状態にすることもできます。

14.2.10 ポリシー違反レポートについて

Oracle Business Intelligence Publisherがアイデンティティ監査ポリシー違反レポートに使用されます。レポートはBI Publisher RTFテンプレート形式で使用できます。

BI Publisherでは、適切なSQL問合せ(データ・モデルで定義)を使用してOracle Identity Managerデータベース(特にIDA表)に違反データを問い合せます。

アイデンティティ監査ポリシー違反レポートは、Oracle Identity Self Serviceの「コンプライアンス」タブの「レポート」リンクから入手できます。アイデンティティ監査ポリシー違反レポートは、ポリシー、スキャン停止日、マネージャ、是正者または選択したユーザーに対して生成できます。

アイデンティティ監査ポリシー違反レポートの生成の詳細は、「アイデンティティ監査ポリシー違反レポートの生成」を参照してください。

各種アイデンティティ監査ポリシー違反レポートの詳細は、Oracle Identity Governanceの管理のアイデンティティ監査レポートに関する項を参照してください。

14.3 アイデンティティ監査の有効化

デフォルトでは、アイデンティティ監査機能はOracle Identity Managerデプロイメントで無効です。その結果、Identity Self Serviceの「コンプライアンス」タブを使用できません。Identity Auditor Feature Set Availabilityシステム・プロパティの値をTRUEに設定すると、アイデンティティ監査を有効にできます。

アイデンティティ監査を有効にするには:

Oracle Identity System Administrationにログインします。
左側のナビゲーション・ペインの「システム管理」の下にある「システム構成」をクリックします。
「アイデンティティ監査機能セットの使用可否」システム・プロパティを検索します。このプロパティには、OIG.IsIdentityAuditorEnabledキーワードがあります。
このシステム・プロパティの値をTRUEに変更します。デフォルト値はFALSEです。この値をTRUEに変更すると、アイデンティティ監査機能が有効になります。
変更内容を保存します。
Oracle Identity Managerサーバーを再起動します。

アイデンティティ監査が有効になり、Identity Self Serviceの「コンプライアンス」タブが使用可能になります。

14.4 アイデンティティ監査の構成

アイデンティティ監査を有効にした後、アイデンティティ監査の動作方法を構成できます。これには、アイデンティティ監査オプションの設定と、アイデンティティ監査のリマインダ、通知、エスカレーション、有効期限の設定が含まれます。

この項では、アイデンティティ監査を有効にした後の構成方法について説明します。次の項目が含まれます。

14.4.1 アイデンティティ監査のオプションの設定

アイデンティティ監査を有効にした後、Identity Self Serviceを使用してアイデンティティ監査の動作方法を構成できます。

アイデンティティ監査を構成するには:

Oracle Identity Self Serviceにログインします。
「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「構成」を選択します。「構成」ページが表示されます。

「一般設定」で、表14-1で説明されているフィールドの値を指定します。

表14-1 アイデンティティ監査またはIDA構成の設定

フィールド	説明
自己是正の防止	このオプションを選択すると、是正者の属性-値が違反の原因である場合に割り当てられた是正者がポリシー違反を是正することを防止します。このオプションが選択される場合、管理者はスキャン定義が代替是正者を指定していることを確認する必要があります。プライマリ是正者を含むポリシー違反が代替是正者に割り当てられます。
スキャン実行詳細の保持期間	このフィールドは、保持期間の日数を指定します。指定の日数より古いスキャンの詳細がパージされます。データは、保持期間または期限を超えたときに、IDA_SCAN_RUN_POLICIESおよびIDA_SCAN_RUN_USERS表からのみパージされます。
ユーザー・バッチ・サイズ	このフィールドは、単一の処理スレッドのバッチ当たりのユーザーの数を指定します。
1スキャン当たりのスレッド	このフィールドは、スキャンの実行中に使用されるスレッドの数を指定します。
コンポジット名	このプロパティは、ポリシー違反タスクの生成に使用されるSOAコンポジットを指定します。デフォルト値は`default/IdentityAuditRemediation`コンポジットです。カスタム・コンポジットを使用してポリシー違反タスクを生成する場合は、このフィールドの隣にある検索アイコンをクリックし、「コンポジットの選択」ダイアログ・ボックスでコンポジットを検索して選択し、「選択」をクリックします。ノート: カスタム・アイデンティティ監査フローを使用するためのアイデンティティ監査コンポジットのカスタマイズおよびデプロイの詳細は、『Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ監査コンポジットのカスタマイズに関する項を参照してください。
ポリシー違反の原因に対する最大リスク承認期間	このフィールドは、ポリシー違反の原因に対してリスクを受諾する最大日数を指定します。

「保存」をクリックします。

「リセット」をクリックして、フィールドの値をデフォルトにリセットできます。

14.4.2 アイデンティティ監査のリマインダ、通知、エスカレーションおよび期限の構成の理解

SOAで電子メール通知が構成されていると、ポリシー違反がユーザーに割り当てられたときやポリシー違反が完了したときにデフォルトで電子メール通知が送信されます。このデフォルト構成は、Oracle SOA Composerを使用して必要に応じて変更できます。

この項では、次の各トピックでリマインダ、通知、エスカレーション、アイデンティティ監査の有効期限の構成について説明します。

14.4.2.1 アイデンティティ監査の電子メール通知およびリマインダの理解

『Oracle Identity Governanceの管理』のSOA電子メール通知の構成に関する項の説明に従って、電子メール通知がSOAで構成されている場合は、電子メール通知はデフォルトで、次のシナリオで送信されます。

ポリシー違反がユーザーに割り当てられたとき
ポリシー違反が完了したとき

デフォルトでは、ポリシー違反タスクが作成されてから1日後と2日後に、リマインダが1件ずつ送信されます。デフォルトでは、ポリシー違反にはエスカレーションまたは期限が設定されません。

14.4.2.2 アイデンティティ監査のリマインダ、通知、エスカレーションおよび期限の構成(オプション)

アイデンティティ監査のデフォルト構成を変更するには:

weblogicなどの管理資格証明を使用してOracle SOA Composerにログインします。そのためには、次のURLに移動します。

http://HOST_NAME:PORT_NUMBER/soa/composer
コンポジットを展開し、「デフォルト」をクリックしてIdentityAuditRemidiationを選択します。「イベント駆動構成」ページが表示されます。
「通知設定」セクションで、次の操作を行います。
1. タスクの割当て先は、割当てタスクおよび完了タスクの通知の受信者として選択されています。デフォルト設定を変更するために、「タスク・ステータス」列でタスクのステータスを選択し、「受信者」列で通知の受信者を選択することができます。デフォルトの通知メッセージを編集するタスクごとに鉛筆アイコンをクリックし、「OK」をクリックできます。
2. 次のドロップダウンで、リマインダのデフォルト設定を変更します。
「有効期限およびエスカレーション・ポリシー」セクションで、エスカレーションおよび有効期限のデフォルト値を変更できます。
「パブリッシュ」をクリックして、変更内容を保存します。

14.5 アイデンティティ監査ルールの管理

アイデンティティ監査ルールの管理には、アイデンティティ監査ルールの検索、ルール式を使用したルールの作成、アイデンティティ監査ルールの変更、複製および削除が含まれます。

この項では、アイデンティティ監査ルールを作成および管理する方法について説明します。内容は次のとおりです。

14.5.1 アイデンティティ監査ルールの検索

Identity Self Serviceの「ルール」ページでは、アイデンティティ監査ルールの基本検索と拡張検索を実行できます。

この項では、ルールの基本検索および拡張検索を実行する方法について説明します。

14.5.1.1 アイデンティティ監査ルールの基本検索の実行

アイデンティティ監査ルールの基本検索を実行するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「ルール」を選択します。「ルール」ページが表示されます。
拡張検索のフィールドが表示される場合、「基本」をクリックします。それ以外の場合、このステップを無視して、ステップ4に進みます。
「検索」リストから、検索するルールに従って属性を選択します。属性はルール名、説明、作成日および所有者ログインです。
「検索」ボックスで、検索基準として選択された属性の値を入力します。
検索アイコンをクリックします。検索結果が表形式で表示されます。

14.5.1.2 アイデンティティ監査ルールの拡張検索の実行

ルールの拡張検索を実行するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「ルール」を選択します。「ルール」ページが表示されます。
「詳細」をクリックします。拡張検索のフィールドが表示されます。
次のいずれかを選択します。
- すべて: 検索結果がすべての指定された検索基準と一致する必要があることを指定します。
- いずれか: 検索結果が指定された検索基準のいずれかと一致する必要があることを指定します。
1つ以上のルール名、説明、作成日および所有者ログイン属性に値を指定します。これらの属性に指定する値に基づいて、検索結果が表示されます。

属性ごとに、リストから次で始まる、次で終わる、次と等しい、等しくない、次を含む、次を含まないなどの検索演算子を選択します。日付フィールドでは、検索演算子は次と等しい、次より前、次より後、以前、以後、間です。
オプションで、「フィールドの追加」をクリックしてリストからフィールドを選択して、フィールドを検索基準に追加できます。追加されたフィールドとともに十字アイコンが表示されます。十字アイコンをクリックして、追加されたフィールドを削除できます。
「検索」をクリックします。検索結果が表形式で表示されます。

14.5.2 アイデンティティ監査ルールの作成

アイデンティティ監査ルールは、Identity Self Serviceの「ルール」ページから「作成」オプションを使用して、「条件ビルダー」にルール条件を指定することで作成できます。

アイデンティティ監査ルールを作成するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「ルール」を選択します。「ルール」ページが表示されます。
「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。ルールの作成ページが表示されます。
「名前」ボックスで、ルールの名前を入力します。これは必須フィールドです。
「説明」ボックスに、ルールの説明を入力します。
「所有者」ボックスの隣にある検索アイコンをクリックし、ユーザーを検索して選択します。
作成するルールが有効な状態になるように「有効」が「ステータス」リストで選択されていることを確認します。デフォルトで、ルールは有効な状態です。ルールを無効化するには、「ステータス」リストから「無効」を選択できます。
「条件ビルダー」セクションで、「条件」フィールドの右側にあるアイコンをクリックして、条件の作成を開始するために「条件ビルダー」ダイアログ・ボックスを開きます。「条件ビルダー」ダイアログ・ボックスでは、ルール条件に含めるために選択できるようにすべての属性を検索できます。
ユーザーなどの指定する条件に従ってエンティティ・タイプを検索します。
「ユーザー」をクリックします。ユーザー属性が表示されます。
マネージャ表示名などのルール条件に含めるユーザー属性を検索します。または、ページ番号アイコンをクリックしてユーザー属性を検索して、属性を選択できます。

「OK」をクリックします。次の式が「条件」フィールドに追加されます。
```
user.Manager Display Name
```
演算子のリストから、EQUALなどの演算子を選択します。
右側のフィールドで、Sony Palmentieriなどのマネージャ表示名を入力します。または、フィールドの横にあるアイコンをクリックして、「条件ビルダー」ダイアログ・ボックスを開くことができます。マネージャ表示名を指定するには、次のいずれかを選択します。
- 値: このオプションを選択すると、属性の特定の値を選択できます。
  
  ノート:
  
  値を選択すると、左側に基づいてそのフィールドの値のみが表示されます。ただし、値はすべての属性に対して表示されません。属性の一部には、値を入力する必要があります。
- 式: このオプションを選択すると、$(user.Country)などの選択された属性に基づいて式を指定できます。
必要な値を検索して選択し、「OK」をクリックします。値が右側のフィールドに追加され、ルール条件の最初の行の追加が完了します。

ノート:

値を検索して選択するかわりにルール条件フィールドに式を入力できます。
ルール条件に別の行を追加するには、「条件の追加」をクリックします。

ルール条件から行を削除するには、行の左側のチェック・ボックスを選択して、「削除」をクリックできます。複数のチェック・ボックスを選択して、同時に行を削除できます。
最初の行の右側にある演算子リストから、「AND」を選択します。これは1行目と2行目を有効にする必要があることを指定するためです。
左側のフィールドで、式を入力するか属性を検索して選択します。この例の目的のために、user.Job Titleを指定します。EQUAL演算子を選択して、右側のフィールドに「管理者」などの「役職」属性の値を指定します。
別の行を追加し、次を指定します。
```
user.Organization Name EQUAL Avitek
```
最初の2つの行をグループ化するには、最初の2つの行の横にあるチェック・ボックスを選択して、「グループ」をクリックします。

行の横にあるチェック・ボックスを選択して「グループ解除」をクリックし、行をグループ解除できます。

ノート:

一度にグループ化できる条件は2つのみです。3つ以上の条件を選択する場合、「グループ」ボタンは無効になっています。また、「グループ解除」ボタンが有効になるのは、グループ化されている条件の1つを選択する場合のみです。ただし、複数のグループを選択すると、このボタンは無効になります。
4行目を追加して、条件フィールドの右側にあるアイコンをクリックして「条件ビルダー」ダイアログ・ボックスを開きます。
権限を追加するには、次の選択を行います。
1. 「アプリケーション」を選択します。アプリケーション・タイプが表示されます。
2. eBusiness Suiteユーザーなどのリソースを選択して、appinstanceをクリックします。
3. アプリケーション・インスタンスとしてVision Purchasingを選択します。
4. 権限を選択しているため、「アカウント」を選択し、ワイルドカード文字(*)を選択してすべてのアカウントを指定します。
  
  最初の行の矢印をクリックして戻り、権限として「UD_EBS_RESP」を選択し、ワイルドカード文字(*)を選択してすべての責任を指定します。
  
  ノート:
  
  アプリケーション・インスタンスの場合、属性をフィルタ処理して除外するメカニズムがありません。アプリケーション・インスタンスのすべての属性がルールを書き込むことができる条件ビルダーに表示されます。
  
  ロールでは、ロール名を選択すると、ロール・エンティティの属性リストが表示されます。属性リストの表示には、アスタリスク(*)ワイルドカード文字を選択できます。
5. 「職責名」を選択します。
  
  次のように選択がダイアログ・ボックスの上部に表示されることに注意してください。
```
Home > appType[eBusiness Suite User].appinstance[Vision Purchasing].account[*].UD_EBS_RESP[*].Responsibility Name
```
6. 「OK」をクリックします。式が条件フィールドに追加されます。
7. 「EQUAL」を選択して、9~170~52448などの「職責名」の値を指定します。
別の行を追加し、条件フィールドにADユーザー・リソースの権限の式を追加します。式は、次のようになります。
```
appType[AD User].appinstance[VisionEmployeesDomain].account[*].UD_ADUSRC[*].catalog.Display Name
```
「EQUAL」を選択して、CN=Account Operators、CN=Builtin、DC=adlrg、DC=us、DC=mydomain、DC=comなどの表示名の値を指定します。
4行目と5行目をグループ化し、その間にOR演算子を指定します。演算子を指定しない場合、デフォルトはANDになります。
AND演算子を使用して1番目と2番目のグループを結合します。

ノート:

最大2つの条件をグループ化できます。したがって、AND演算子を使用してグループ化された4つの条件を持つルールを作成する場合、条件は2セットでグループ化されます。しかし、条件の1つがOR演算子を使用してグループ化されている場合、ルールは正しく更新されます。
「作成」をクリックします。ルールが作成され、「ルール」ページが表示されます。「ルール」ページの検索結果に作成したルールを表示するには、「リフレッシュ」をクリックします。

ノート:

「リスク」属性を使用してルールの条件を定義する場合、ルールを正しく評価するために、リクエストが行われる前に「リスク集計ジョブ」スケジュール済ジョブを実行する必要があります。

14.5.3 アイデンティティ監査ルールの式の理解

サンプルのアイデンティティ監査ルールには、グループ名属性をテストするためのルール、単一アカウントの単一の権限内で競合する属性値を検索するためのルール、同じアカウント内で競合する属性値を検索するためのルールなどが含まれています。

この項では、次のアイデンティティ監査ルールのサンプルについて説明します。

ルール条件にアカウントの権限が含まれる場合のルールの作成方法には制限があります。カタログベースの条件を使用するアイデンティティ監査ルールは、アカウントの新規作成/変更リクエストで権限が子フォーム・データとしてリクエストされている場合、一致しません。たとえば、ユーザーがActiveDirectoryグループ権限をアカウント・リクエストの一環としてADグループ形式でリクエストした場合、次のルール・オペランドはADグループの名前に一致しません。
```
appType[AD User].appInstance[VisionADAppInst].account[*].UD_ADUSRC[*].catalog.Display Name
```
この制限に対処するには、次に示すように、グループ名属性(Group Name)に対してオペランドを直接試す必要があります。
```
appType[AD User].appInstance[VisionADAppInst].account[*].UD_ADUSRC[*].Group Name
```
次のルールは、識別子文字#を使用して、単一アカウントの単一権限内で競合する属性値を検索する方法を示しています。
```
appType[*].appInstance[*].account[#x].UD_VISDUMC[#x].VISDUM lookup == 8~CN=VISDUM1,DC=abc,DC=com
AND
appType[*].appInstance[*].account[#x].UD_VISDUMC[#x].ss == admin
```
この例では、どちらのルール条件も同じ権限(太字)を参照しています。

次のルールは、識別子を使用してアカウント・インスタンスを固定し、同じアカウント内で競合する属性値を検索する方法を示しています。

appType[AD User].appInstance[VisionADAppInst].account[#x].Organization Name == 6~OU=Vision,DC=oia,DC=mydomain,DC=com
AND
appType[AD User].appInstance[VisionADAppInst].account[#x].Department == avitek

14.5.4 アイデンティティ監査ルールの変更

アイデンティティ監査ルールの管理には、ルールを検索して開いてから、「条件ビルダー」を使用してルール条件を編集する操作が含まれます。

ルールを変更するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「ルール」を選択します。「ルール」ページが表示されます。
変更するルールを検索します。ルールの検索の詳細は、「アイデンティティ監査ルールの検索」を参照してください。
次のいずれかの方法で変更するルールを開きます。
- ルール名をクリックします。
- 行の左側をクリックして、ルールを選択します。「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。
ルールの編集ページが表示されます。このページの属性の変更、ルール条件の追加/変更/削除またはルール条件のグループ化/グループ化解除を行うことができます。
(オプション) 「アイデンティティ監査ルールの作成」で使用する例のために、ロールのルール条件を使用した行を追加します。次のようにルール条件を指定します。
```
role[*].Role Name EQUAL Avitek User Administrator
```
ルール条件の追加およびグループ化の詳細は、「アイデンティティ監査ルールの作成」を参照してください。
2番目のグループと最後の行の間にAND演算子を指定します。演算子を指定しない場合、デフォルトはANDになります。ルール条件は図14-1のようになります。

図14-1 ルール条件

「図14-1 ルール条件」の説明
「更新」をクリックします。

14.5.5 アイデンティティ監査ルールの複製

ルールを複製して、ルールに指定したルール条件を別のルールで使用できます。

ルールを複製するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「ルール」を選択します。「ルール」ページが表示されます。
複製するルールを検索します。ルールの検索の詳細は、「アイデンティティ監査ルールの検索」を参照してください。
行の左側をクリックして、ルールを選択します。
「アクション」メニューから、「複製」を選択します。または、ツールバーにある「複製」をクリックします。選択されたルールの複製がルール名に番号が追加されて作成されます。

複製したルールを変更し、新しいルールを作成できます。

14.5.6 アイデンティティ監査ルールの削除

ポリシーまたはポリシー違反がルールに関連付けられていない場合、ルールを削除できます。

ルールを削除するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「ルール」を選択します。「ルール」ページが表示されます。
削除するルールを検索します。ルールの検索の詳細は、「アイデンティティ監査ルールの検索」を参照してください。
行の左側をクリックして、削除するルールを選択します。
「アクション」メニューから「削除」を選択します。または、ツールバーにある「削除」をクリックします。

確認を求めるメッセージ・ボックスが表示されます。
「はい」をクリックして確認します。

14.6 アイデンティティ監査ポリシーの管理

アイデンティティ監査ポリシーの管理には、アイデンティティ監査ポリシーの検索、作成、変更、複製および削除とアイデンティティ監査ポリシーの結果のプレビューが含まれます。

この項では、アイデンティティ監査ポリシーの作成および管理方法を説明します。内容は次のとおりです。

14.6.1 アイデンティティ監査ポリシーの検索

Identity Self Serviceの「ポリシー」ページでは、アイデンティティ監査ポリシーの基本検索と拡張検索を実行できます。

この項では、アイデンティティ監査ポリシーの基本検索および拡張検索の実行方法について説明します。

14.6.1.1 アイデンティティ監査ポリシーの基本検索の実行

アイデンティティ監査ポリシーの基本検索を実行するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「ポリシー」を選択します。「ポリシー」ページが表示されます。
拡張検索のフィールドが表示される場合、「基本」をクリックします。それ以外の場合、このステップを無視して、ステップ4に進みます。
「検索」リストから、検索するポリシーに従って属性を選択します。
「検索」ボックスで、検索基準として選択された属性の値を入力します。
検索アイコンをクリックします。検索結果が表形式で表示されます。

14.6.1.2 アイデンティティ監査ポリシーの拡張検索の実行

ポリシーの拡張検索を実行するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「ポリシー」を選択します。「ポリシー」ページが表示されます。
「詳細」をクリックします。拡張検索のフィールドが表示されます。
次のいずれかを選択します。
- すべて: 検索結果がすべての指定された検索基準と一致する必要があることを指定します。
- いずれか: 検索結果が指定された検索基準のいずれかと一致する必要があることを指定します。
1つ以上のポリシー属性の値を指定します。これらの属性に指定する値に基づいて、検索結果が表示されます。

属性ごとに、リストから次で始まる、次で終わる、次と等しい、等しくない、次を含む、次を含まないなどの検索演算子を選択します。日付フィールドでは、検索演算子は次と等しい、次より前、次より後、以前、以後、間です。
オプションで、「フィールドの追加」をクリックしてリストからフィールドを選択して、フィールドを検索基準に追加できます。追加されたフィールドとともに十字アイコンが表示されます。十字アイコンをクリックして、追加されたフィールドを削除できます。
「検索」をクリックします。検索結果が表形式で表示されます。

14.6.2 アイデンティティ監査ポリシーの作成

アイデンティティ監査ポリシーは、Identity Self Serviceの「ポリシー」ページから「作成」オプションを使用して、ポリシー属性の値を指定し、ポリシーに1つ以上のルールを追加することで作成できます。

アイデンティティ監査ポリシーを作成するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「ポリシー」を選択します。「ポリシー」ページが表示されます。
「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「ポリシーの作成」ページが表示されます。

表14-2の説明に従って、「ポリシーの作成」ページのフィールドに値を入力します。

表14-2 「ポリシーの作成」ページのフィールド

フィールド	説明
名前	アイデンティティ監査ポリシー名。
説明	アイデンティティ監査ポリシーの説明。
ステータス	デフォルトで「有効」であるアイデンティティ監査ポリシーのステータス。
所有者	ポリシー所有者の表示名。このフィールドの隣にある検索アイコンをクリックし、ポリシー所有者を検索して選択します。
タイプ	ポリシー・タイプは、デフォルトで「アイデンティティ監査」です。タイプ「アイデンティティ監査」のポリシーのみをポリシーの作成ページから作成できるため、この値を変更できません。
重大度	このポリシーによって生成されたポリシー違反に関連付けられている高、中または低などの重大度レベルを選択します。
リクエスト時に評価	このオプションは、ユーザーのアクセス・リクエスト中にポリシー違反を表示する場合に選択します。ユーザーは、リクエストの取消または違反のあるリクエストの送信ができます。
「「リスクを受諾」として閉じる」アクションの無効化	ポリシーに対応する違反に対して「「リスクを受諾」として閉じる」アクションを無効にするには、このオプションを選択します。
ワークフロー名	「リクエスト時に評価」オプションを選択した場合にユーザーのアクセス中に呼び出されるワークフロー名。デフォルトでは、`default/Identity/AuditRemediation`ワークフローが選択されます。
是正者	ポリシーによって生成された違反の是正者を指定します。これを行うには、次のいずれかを選択します。ユーザー: このオプションを選択して、是正者としてユーザーを指定します。「検索」アイコンをクリックし、ユーザーを検索して選択します。マネージャ: 違反が生成されるユーザーのマネージャを是正者にする場合、このオプションを選択します。ロール: 特定のロールのメンバーを是正者にする場合、このオプションを選択します。「検索」アイコンをクリックし、ロールを検索して選択します。

1つ以上のルールをポリシーに追加するには:
1. 「追加」をクリックします。「ルールの追加」ダイアログ・ボックスが表示されます。
2. ポリシーに追加するルールを検索します。これを行うには、検索リストからルール属性名を選択し、検索フィールドの検索基準を入力して、検索アイコンをクリックします。検索基準に一致するルールが結果表にリストされます。
3. ポリシーに追加する1つ以上のルールを選択して、「選択した項目の追加」をクリックします。すべてのルールを選択するには、「すべて追加」をクリックできます。選択されたルールが「選択したルール」表に追加されます。
4. 「選択」をクリックします。選択されたルールが「ポリシーの作成」ページの表に追加されます。
5. (オプション) 「ポリシーの作成」ページの表からルールを削除するには、ルールを選択して、「削除」をクリックします。
「作成」をクリックします。ポリシーが作成されます。ポリシーが「ポリシー」ページにリストされます。ポリシーのプレビューを実行できます。

14.6.3 アイデンティティ監査ポリシーの変更

アイデンティティ監査ポリシーの変更には、ポリシーを検索して開いてから、ポリシー属性の値を変更してルールを追加または削除する操作が含まれます。

アイデンティティ監査ポリシーを変更するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「ポリシー」を選択します。「ポリシー」ページが表示されます。
変更するポリシーを検索します。ポリシーの検索の詳細は、「アイデンティティ監査ポリシーの検索」を参照してください。
次のいずれかの方法で変更するポリシーを開きます。
- ポリシー名をクリックします。
- 行の左側をクリックして、ポリシーを選択します。「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。
「ポリシーの編集」ページが表示されます。このページの属性を変更して、ルールを追加/削除できます。ポリシーに関連付けられたルールの追加/削除の詳細は、「アイデンティティ監査ポリシーの作成」を参照してください。
「更新」をクリックします。ポリシーが変更されます。

14.6.4 アイデンティティ監査ポリシーの複製

ポリシーを複製すると、別のポリシーのポリシーに指定されたルールを使用できます。

ルールを複製するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「ポリシー」を選択します。「ポリシー」ページが表示されます。
複製するルールを検索します。ルールの検索の詳細は、「アイデンティティ監査ルールの検索」を参照してください。
行の左側をクリックして、ルールを選択します。
「アクション」メニューから、「複製」を選択します。または、ツールバーにある「複製」をクリックします。選択されたルールの複製がルール名に番号が追加されて作成されます。

複製したルールを変更し、新しいルールを作成できます。

14.6.5 アイデンティティ監査ポリシーの削除

ポリシーまたはポリシー違反がルールに関連付けられていない場合、ルールを削除できます。

ルールを削除するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「ポリシー」を選択します。「ポリシー」ページが表示されます。
削除するルールを検索します。ルールの検索の詳細は、「アイデンティティ監査ルールの検索」を参照してください。
行の左側をクリックして、削除するルールを選択します。
「アクション」メニューから「削除」を選択します。または、ツールバーにある「削除」をクリックします。

確認を求めるメッセージ・ボックスが表示されます。
「はい」をクリックして確認します。

14.6.6 アイデンティティ監査ポリシーの結果のプレビュー

アイデンティティ監査ポリシーの結果をプレビューして、スキャンの結果として生成されるポリシー違反を把握できます。ポリシーをプレビューする場合、ポリシー違反が表示されますが、違反は是正者に割り当てられません。

アイデンティティ監査ポリシーの結果をプレビューするには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「ポリシー」を選択します。「ポリシー」ページが表示されます。
変更するポリシーを検索します。ポリシーの検索の詳細は、「アイデンティティ監査ポリシーの検索」を参照してください。
プレビューするポリシーを選択します。
「アクション」メニューから、「プレビュー」を選択します。または、ツールバーにある「プレビュー」をクリックします。「基本選択」ページが表示されます。
次のオプションのいずれかを選択して、スキャンする一連のユーザーを選択します。
- すべての組織: すべての組織をスキャンすることを指定します。
- 選択した組織: 1つ以上の組織をスキャンすることを指定します。このオプションを選択した後、「組織の追加」をクリックして、1つ以上の組織を検索して選択し、「選択」をクリックします。
- すべてのユーザー: すべてのユーザーをスキャンすることを指定します。
- ユーザー基準: 基準と一致するユーザーをスキャンするために基準パラメータを指定します。ユーザー基準を指定するには:
  1. 「基準パラメータ」セクションで、次のいずれかを選択します。
    
    すべて: すべてのパラメータが一致することを指定します。
    
    いずれか: いずれかのパラメータが一致する必要があることを指定します。
  2. 「マネージャ」および「組織」フィールドに値を入力します。
  3. オプションで、「拡張」をクリックして基準に追加の属性を含めることができます。
  4. 「結果の更新とプレビュー」をクリックします。選択された基準が「基準文字列」セクションに追加されます。
- 選択したユーザー: スキャンする1つ以上のユーザーを指定します。このオプションを選択した後、「ユーザーの追加」をクリックして、1つ以上のユーザーを検索して選択し、「選択」をクリックします。
「発行」をクリックします。スキャンが送信されます。
スキャンで検出されたポリシー違反を表示するには、「ポリシー」ページでポリシーを選択して、「スキャンの表示」をクリックします。または、「アクション」メニューから「スキャンの表示」を選択します。

「スキャン」ページがスキャンの結果とともに表示されます。スキャン名、スキャンのステータス、開始時間、終了時間、スキャンしたユーザーの数および違反の数が表に表示されます。
スキャン名をクリックします。または、「開く」をクリックします。「ポリシー違反」ページがすべてのポリシー違反のリストとともに表示されます。

是正者は、スキャンの実行後にセルフ・サービスの「ポリシー違反」でポリシー違がわかります。
各ポリシー名をクリックして「違反の詳細」ページにポリシー違反の詳細を表示できます。このページには次のセクションがあります。
- 違反の詳細: ポリシー属性、ステータス、検出数および違反を生成するユーザー名の詳細を表示します。
- アクセスの詳細: 違反の原因、違反したルール、違反のステータスと属性およびコメント(ある場合)を表示します。

14.7 スキャン定義の管理

スキャン定義の管理には、スキャン定義の検索、作成および変更と、スキャンの実行および確認が含まれます。

この項では、スキャン定義を作成して管理する方法について説明します。次の項目が含まれます。

14.7.1 スキャン定義の検索

Identity Self Serviceの「スキャン定義」ページでは、スキャン定義の基本検索と拡張検索を実行できます。

この項では、スキャン定義の基本検索および拡張検索の実行方法について説明します。

14.7.1.1 スキャン定義の基本検索の実行

スキャン定義の基本検索を実行するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「スキャン定義」を選択します。「スキャン定義」ページが表示されます。
拡張検索のフィールドが表示される場合、「基本」をクリックします。それ以外の場合、このステップを無視して、ステップ4に進みます。
「検索」リストから、検索するスキャン定義に従って属性を選択します。
「検索」ボックスで、検索基準として選択された属性の値を入力します。
検索アイコンをクリックします。検索結果が表形式で表示されます。

14.7.1.2 スキャン定義の拡張検索の実行

スキャン定義の拡張検索を実行するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「スキャン定義」を選択します。「スキャン定義」ページが表示されます。
「詳細」をクリックします。拡張検索のフィールドが表示されます。
次のいずれかを選択します。
- すべて: 検索結果がすべての指定された検索基準と一致する必要があることを指定します。
- いずれか: 検索結果が指定された検索基準のいずれかと一致する必要があることを指定します。
1つ以上の属性の値を指定します。これらの属性に指定する値に基づいて、検索結果が表示されます。

属性ごとに、リストから次で始まる、次で終わる、次と等しい、等しくない、次を含む、次を含まないなどの検索演算子を選択します。日付フィールドでは、検索演算子は次と等しい、次より前、次より後、以前、以後、間です。
オプションで、「フィールドの追加」をクリックしてリストからフィールドを選択して、フィールドを検索基準に追加できます。追加されたフィールドとともに十字アイコンが表示されます。十字アイコンをクリックして、追加されたフィールドを削除できます。
「検索」をクリックします。検索結果が表形式で表示されます。

14.7.2 スキャン定義の作成

スキャン定義は、Identity Self Serviceの「スキャン定義」ページから「作成」オプションを使用して、スキャン定義の値、ポリシー選択方針、基本選択および構成パラメータを指定することで作成できます。

スキャン定義を作成するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「スキャン定義」を選択します。「スキャン定義」ページが表示されます。
「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。スキャン定義の作成ウィザードの「属性」ページが表示されます。
一般ポリシー情報セクションで、「名前」ボックスにスキャン定義名を入力します。これは必須フィールドです。
「説明」ボックスに、スキャン定義の説明を入力します。
「所有者」ボックスで、スキャン定義の所有者のユーザー名を指定します。検索アイコンをクリックして、所有者としてユーザーを検索して選択できます。これは必須フィールドです。
「次」をクリックします。スキャン定義の作成ウィザードの「ポリシーの選択」ページが表示されます。
「ポリシー選択方針」リストから、次のオプションのいずれかを選択します。
- すべてのポリシー: このオプションを選択して、すべてのアイデンティティ監査ポリシーをスキャン定義に関連付けます。
- 選択したポリシー: このオプションを選択して、スキャン定義に関連付けるために選択するポリシーを関連付けます。これを行うには、「ポリシーの追加」をクリックして、ポリシーを検索して選択します。
- ポリシー基準: このオプションを選択して、ポリシーをスキャン定義に動的に関連付ける基準パラメータを指定します。そのように行うには:
  1. 次のオプションのいずれかを選択します。
    
    すべて: すべてのパラメータが一致する必要があることを指定します。
    
    いずれか: いずれかのパラメータが一致する必要があることを指定します。
  2. 「ポリシー名」および「説明」フィールドの値を入力します。
  3. オプションで、「拡張」をクリックして基準に追加の属性を含めることができます。
  4. 「結果の更新とプレビュー」をクリックします。選択された基準が「基準文字列」セクションに追加されます。
「次」をクリックします。「スキャン定義の作成」ウィザードの「基本選択」ページが表示されます。
「基本選択」セクションで、このスキャン定義を使用してスキャンするユーザーを指定します。次のオプションのいずれかを選択して、スキャンする一連のユーザーを選択します。
- すべての組織: すべての組織をスキャンすることを指定します。
- 選択した組織: 1つ以上の組織をスキャンすることを指定します。このオプションを選択した後、「組織の追加」をクリックして、1つ以上の組織を検索して選択し、「選択」をクリックします。
- すべてのユーザー: すべてのユーザーをスキャンすることを指定します。
- ユーザー基準: 基準と一致するユーザーをスキャンするために基準パラメータを指定します。ユーザー基準を指定するには:
  1. 「基準パラメータ」セクションで、次のいずれかを選択します。
    
    すべて: すべてのパラメータが一致することを指定します。
    
    いずれか: いずれかのパラメータが一致する必要があることを指定します。
  2. 「マネージャ」および「組織」フィールドに値を入力します。
  3. オプションで、「拡張」をクリックして基準に追加の属性を含めることができます。
  4. 「結果の更新とプレビュー」をクリックします。選択された基準が「基準文字列」セクションに追加されます。
- 選択したユーザー: スキャンする1つ以上のユーザーを指定します。このオプションを選択した後、「ユーザーの追加」をクリックして、1つ以上のユーザーを検索して選択し、「選択」をクリックします。
「次」をクリックします。スキャン定義の作成ウィザードの「構成」ページが表示されます。
(オプション) スキャン定義の所有者が是正アクションをとらないようにする場合、「自己是正の防止」オプションを選択します。次に、「代替是正者ID」リストから次のオプションのいずれかを選択して、是正者として異なるユーザーを指定する必要があります。
- ユーザー・マネージャ: ポリシー違反が検出されたユーザーのマネージャを是正者として指定します。
- 選択したユーザー: 選択したユーザーを是正者として指定します。これを行うには、検索アイコンをクリックして、ユーザーを検索して選択します。
自己是正を防止しない場合、デフォルト設定を受け入れて、「次」をクリックします。スキャン定義の作成ウィザードの「サマリー」ページが表示されます。
指定した属性、ポリシー、基本選択および構成を確認して、「終了」をクリックします。スキャン定義が作成されます。

スキャン定義の作成後に初めて実行されると、スケジュール済ジョブが作成され、定期的に実行されるよう構成できます。

14.7.3 スキャン定義の変更

スキャン定義の変更には、スキャン定義を検索して開いてから、スキャン定義属性の値、ポリシー、基本選択および構成を変更する操作が含まれます。

スキャン定義を変更するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「スキャン定義」を選択します。「スキャン定義」ページが表示されます。
次の方法のいずれかで変更するスキャン定義を開きます。
- スキャン定義名をクリックします。
- スキャン定義を選択して、「開く」をクリックします。または、「アクション」メニューから「開く」を選択します。
スキャン定義詳細ページが表示されます。
「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。スキャン定義の作成ウィザードの「属性」ページが表示されます。
「属性」、「ポリシー」、「基本選択」および「構成」タブで属性および選択を変更できます。これらのタブで使用できるオプションの詳細は、「スキャン定義の作成」を参照してください。
「適用」をクリックします。スキャン定義が正常に変更されます。

14.7.4 スキャンの実行および表示

スキャンの実行は、Identity System Administrationの「スケジューラ」セクションまたはIdentity Self Serviceの「スキャン定義」ページのどちらかを使用して実行できます。

スキャンの実行は、次のいずれかの方法で実行できます。

アイデンティティ・システム管理の「スケジューラ」セクションから、スキャン定義の作成時に生成されたスケジュール済ジョブを実行します。スケジュール済ジョブの詳細は、『Oracle Identity Governanceの管理』のスケジューラの管理に関する項を参照してください。
この項での説明に従って、Identity Self Serviceの「スキャン定義」ページから実行します。

スキャン定義に基づいてスキャンを実行してスキャンを表示するには:

「スキャン定義」ページで、実行するスキャン定義を選択します。
ツールバーの「即時実行」をクリックします。このボタンをクリックすると、選択されたスキャン定義の対応するスキャン・ジョブが実行され、ポリシー違反が検出されます。また、ポリシー違反が各是正者に割り当てられます。
スキャン・ジョブ実行の結果を表示するには、スキャン定義を選択して、ツールバーの「スキャンの表示」をクリックします。または、「アクション」メニューから「スキャンの表示」を選択します。

「スキャン」ページがスキャンの結果とともに表示されます。スキャン名、スキャンのステータス、開始時間、終了時間、スキャンしたユーザーの数および違反の数が表に表示されます。
スキャン名をクリックします。「ポリシー違反」ページがすべてのポリシー違反のリストとともに表示されます。
各ポリシー名をクリックして「違反の詳細」ページにポリシー違反の詳細を表示できます。このページには次のセクションがあります。
- 違反の詳細: ポリシー属性、ステータス、検出数および違反を生成するユーザー名の詳細を表示します。
- アクセスの詳細: 違反の原因、違反したルール、違反のステータスと属性およびコメント(ある場合)を表示します。このセクションでは、是正の違反またはリクエストを閉じることができます。
「違反の詳細」ページを閉じます。

14.8 ポリシー違反の管理

ポリシー違反の管理には、ポリシー違反の検索、オープン、完了およびクローズ、ポリシー違反の原因の是正またはクローズおよびポリシー違反レポートの生成が含まれます。

この項では、「ポリシー違反」ページからアイデンティティ監査ポリシー違反を管理する方法について説明します。次の項目が含まれます。

14.8.1 Identity Self Serviceの「アイデンティティ監査ポリシー違反」ページの概要

アイデンティティ監査ポリシー違反の管理には、Identity Self Serviceの「保留中の違反」ページまたは「ポリシー違反」ページのどちらかを使用できます。

アイデンティティ監査ポリシー違反は、Identity Self Serviceの次のセクションから管理できます。

「保留中の違反」ページ: 自分に割り当てられているアイデンティティ監査ポリシー違反の是正者として、「保留中の違反」ページを使用して保留中の違反にアクセスしてアクションを実行できます。詳細は、「保留中の違反の管理」を参照してください。

「ポリシー違反」ページ: Identity Self Serviceの「コンプライアンス」タブから開ける「ポリシー違反」ページを使用して、管理目的のためにアイデンティティ監査ポリシー違反を表示してアクションを実行できます。

14.8.2 ポリシー違反の検索

Identity Self Serviceの「ポリシー違反」ページでは、ポリシー違反の基本検索と拡張検索を実行できます。

この項では、ポリシー違反の基本検索および拡張検索の実行方法について説明します。

14.8.2.1 ポリシー違反の基本検索の実行

ポリシー違反の基本検索を実行するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「ポリシー違反」を選択します。「ポリシー違反」ページが表示されます。
拡張検索のフィールドが表示される場合、「基本」をクリックします。それ以外の場合、このステップを無視して、ステップ4に進みます。
「検索」リストから、検索するポリシー違反に従って属性を選択します。
「検索」ボックスで、検索基準として選択された属性の値を入力します。
検索アイコンをクリックします。検索結果が表形式で表示されます。

14.8.2.2 ポリシー違反の拡張検索の実行

ポリシー違反の拡張検索を実行するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「ポリシー違反」を選択します。「ポリシー違反」ページが表示されます。
「詳細」をクリックします。拡張検索のフィールドが表示されます。
次のいずれかを選択します。
- すべて: 検索結果がすべての指定された検索基準と一致する必要があることを指定します。
- いずれか: 検索結果が指定された検索基準のいずれかと一致する必要があることを指定します。
1つ以上の属性の値を指定します。これらの属性に指定する値に基づいて、検索結果が表示されます。

属性ごとに、リストから次で始まる、次で終わる、次と等しい、等しくない、次を含む、次を含まないなどの検索演算子を選択します。日付フィールドでは、検索演算子は次と等しい、次より前、次より後、以前、以後、間です。
オプションで、「フィールドの追加」をクリックしてリストからフィールドを選択して、フィールドを検索基準に追加できます。追加されたフィールドとともに十字アイコンが表示されます。十字アイコンをクリックして、追加されたフィールドを削除できます。
「検索」をクリックします。検索結果が表形式で表示されます。

14.8.3 ポリシー違反の詳細を開く

ポリシー違反に対してアクションを実行する前に、是正者はポリシー違反を開いて詳細を確認する必要があります。

ポリシー違反を開くには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「アイデンティティ監査」ボックスをクリックして、「ポリシー違反」を選択します。「ポリシー違反」ページが表示されます。
各ポリシー名をクリックして「違反の詳細」ページにポリシー違反の詳細を表示できます。

「違反の詳細」ページで、違反の是正、クローズ、完了などのポリシー違反に対するアクションを実行できます。ポリシー違反に対して実行できるアクションの詳細は、「ポリシー違反の原因の是正またはクローズ」を参照してください。
まだアクティブでない場合、「詳細」タブをクリックします。このタブには、次のセクションがあります。
- 違反の詳細: ポリシー属性、ステータス、検出数および違反を生成するユーザー名の詳細を表示します。
- アクセスの詳細: 違反の原因、違反したルール、違反のステータスと属性およびコメント(ある場合)を表示します。「ポリシー違反の原因の是正またはクローズ」で説明されているように、このセクションを使用すると、違反のクローズまたは是正のリクエストができます。
  
  「違反したルール」列の情報アイコンの上にマウス・ポインタを置いて、ルール名、説明、ルール条件などの違反したルールの詳細とともにポップアップを表示できます。
「アクション履歴」タブをクリックします。このタブには、現在の状態までのポリシーのすべてのアクションが表示されます。

14.8.4 ポリシー違反の完了

ポリシー違反の完了には、ポリシー違反を検索して選択する操作と「完了」をクリックする操作が含まれます。

ポリシー違反を完了するには:

「ポリシー違反の詳細を開く」の説明に従って、ポリシー違反ページを開きます。
完了するポリシー違反を検索します。ポリシー違反の検索の詳細は、「ポリシー違反の検索」を参照してください。
完了するポリシー違反を選択します。
ポリシー違反を完了するには、ポリシー名をクリックしてポリシー違反の詳細を開き、「詳細」タブの「完了」をクリックします。

14.8.5 ポリシー違反のクローズ

ポリシー違反のクローズには、ポリシー違反を検索して選択する操作と「閉じる」をクリックする操作が含まれます。

ポリシー違反を閉じるには:

「ポリシー違反の詳細を開く」の説明に従って、ポリシー違反ページを開きます。
閉じるポリシー違反を検索します。
閉じるポリシー違反を選択します。
「アクション」メニューから「閉じる」を選択します。または、ツールバーにある「閉じる」をクリックします。

14.8.6 ポリシー違反の原因の是正またはクローズ

ポリシー違反の原因の是正またはクローズには、「是正」、「「修正済み」として閉じる」および「「リスクを受諾」として閉じる」の3つのオプションが含まれます。

ポリシー違反の原因を是正または閉じるには:

「ポリシー違反の詳細を開く」の説明に従って、ポリシー違反の詳細を開きます。
「詳細」タブの「アクセスの詳細」で、是正またはクローズする違反の原因を選択します。
次のいずれかを実行します。
- 是正: 違反の原因を是正するには、「アクション」メニューから「改善のリクエスト」を選択します。または、ツールバーにある「是正」をクリックします。ユーザー、マネージャ、ロールなどの是正のために選択したアクターに応じて、ポリシー違反の原因が割り当てられます。
- 「修正済み」として閉じる: 修正済みとして違反の原因を閉じるには、「アクション」メニューから「「修正済み」として閉じる」を選択します。または、ツールバーにある「閉じる」をクリックして、「「修正済」として閉じる」を選択します。「コメントの入力」ダイアログ・ボックスが表示されます。コメントを入力して、「送信」をクリックします。
- 「リスクを受諾」として閉じる: 違反のリスクを受諾してポリシー違反の原因を閉じるには、「アクション」メニューから「「リスクを受諾」として閉じる」を選択します。または、ツールバーにある「閉じる」をクリックして、「「リスクを受諾」として閉じる」を選択します。「コメントの入力」ダイアログ・ボックスが表示されます。「有効期限」フィールドで、まだ存在する場合に違反を再度開く日付を指定します。「コメント」フィールドで、コメントを入力して、「送信」をクリックします。
  
  ノート:
  監査ポリシーの作成中またはポリシーの変更中に「「リスクを受諾」として閉じる」アクションを無効化するオプションを選択した場合、このオプションは無効になります。

14.8.7 アイデンティティ監査ポリシー違反レポートの生成

アイデンティティ監査レポートの生成には、レポート・タイプ、レポート・カテゴリおよびレポート形式の指定が含まれます。

アイデンティティ監査ポリシー違反レポートを生成するには:

Identity Self Serviceで、「コンプライアンス」タブをクリックします。
「レポート」ボックスをクリックします。「アイデンティティ監査レポート」ページが表示されます。
「レポート・タイプ」リストから、生成するレポートのタイプを選択します。各レポート・タイプの詳細は、『Oracle Identity Governanceの管理』のアイデンティティ監査レポートに関する項を参照してください。
「カテゴリ」リストから、次のいずれかを選択します。
- 是正者別: ポリシー違反レポートの是正者別にレポートを生成する場合。検索アイコンをクリックし、是正者ユーザーを検索して選択します。
- スキャン停止日別: 指定した日付範囲で実行されたスキャン別にレポートを生成する場合。「開始」フィールドと「終了」フィールドに日付を指定します。
- ポリシー別: アイデンティティ監査ポリシー別にレポートを生成する場合。検索アイコンをクリックし、ポリシーを検索して選択します。
- マネージャ別: ポリシー違反が発生したユーザー・エンティティのマネージャ別にレポートを生成する場合。検索アイコンをクリックし、マネージャ・ユーザーを検索して選択します。
- ユーザー別: ポリシー違反が発生したユーザー別にレポートを生成する場合。検索アイコンをクリックし、ユーザーを検索して選択します。
「レポート・フォーマット」リストから、レポート形式を選択します。使用可能なレポート形式は、PDF、HTMLおよびExcelです。
「生成」をクリックします。レポートが生成されると、開いたり、ダウンロードできます。
必要に応じて、指定した電子メール・アドレスにメールを介してレポートを送信する場合は「電子メールを送信」をクリックできます。電子メール・アドレス、メールの件名、電子メールの本文など、電子メールに関する詳細を指定します。「OK」をクリックします。