1. Oracle Identity Governanceでのセルフ・サービス・タスクの実行
  2. セルフ・サービスの使用
  3. アクセスのリクエスト

6 アクセスのリクエスト

Oracle Identity Managerは、ロール、アプリケーション・インスタンス、権限などのエンティティのリクエストをサポートしています。これらのエンティティのリクエストには、アクセス・カタログを使用します。

この節では、以下のトピックについて説明します。

6.1 新しいアクセスのリクエスト

権限に基づいて、アクセス・カタログを使用して自分または他のユーザーのアクセスをリクエストできます。

この項では、次の各項でアクセス・カタログを使用してアクセスをリクエストする方法について説明します。

6.1.1 自分のアクセスのリクエスト

アクセス・カタログを使用すると、自分へのアクセスをリクエストできます。

自分のアクセスをリクエストするには:

  1. Oracle Identity Self Serviceにログインします。

  2. 「セルフ・サービス」タブで、「アクセスのリクエスト」ボックスをクリックし、「自己リクエスト」を選択します。アクセスのリクエスト・ウィザードの「アクセス権限の追加」ページが表示されます。「アクセス権限の追加」ページでは、リクエストする項目を検索して選択できます。このページは、次のタブで構成されます。

    • 「カタログ」: このタブでは、検索してリクエスト・カートにアクセス(エンティティ)を追加し、アクセスのリクエストを作成できます。

    • リクエスト・プロファイル: このタブでは、リクエスト・プロファイルを検索して表示し、プロファイルをカートに追加できます。リクエスト・プロファイルの詳細は、「リクエスト・プロファイルの管理」を参照してください。

  3. まだアクティブでない場合は、「カタログ」タブをクリックします。

  4. 自分にリクエストするエンティティを検索します。そのように行うには:

    1. 次のオプションのいずれかを選択します。

      • すべて: ロール、アプリケーション・インスタンスおよび権限などのすべてのエンティティを検索することを指定します。

      • アプリケーション: アプリケーション・インスタンスのみを検索することを指定します。

      • 権限: 権限を検索することを指定します。権限の検索時、関連するアプリケーション・インスタンスを指定できます。「権限」オプションを選択すると、「アプリケーション」リストが表示されます。1つ以上のアプリケーション・インスタンスの選択の詳細は、「権限検索でのアプリケーション・インスタンスの指定」を参照してください。

      • ロール: ロールのみを検索することを指定します。

    2. 「検索」フィールドで、検索キーワードを入力して、「検索」をクリックします。

      指定できる検索キーワードの詳細は、「アクセス・カタログでのキーワード検索」を参照してください。

      検索基準と一致する項目がリストされます。表6-1に示すように、項目がロール、アプリケーション・インスタンスまたは権限であるかどうかを示すアイコンが各カタログ項目とともに表示されます。

      表6-1 カタログ項目タイプを示すアイコン

      アイコン 項目タイプ

      カタログのロール・アイコン

      ロール

      カタログのアプリケーション・インスタンス・アイコン

      アプリケーション・インスタンス

      カタログの権限アイコン

      権限

  5. カタログ項目を絞り込んで、すべての項目またはアプリケーション・インスタンス、権限またはロールのいずれかのエンティティをリストできます。詳細は、「検索結果の絞込み」を参照してください。

  6. カタログ項目の詳細を表示するには、項目の情報アイコンをクリックします。項目の属性を示す「詳細情報」ページが表示されます。

    アプリケーション・インスタンスおよび権限の場合、「詳細情報」ページで属性の値を編集できます。これを行うには、アプリケーション・インスタンスまたは権限の情報アイコンをクリックして「詳細情報」ページで属性の値を変更し、「適用」をクリックします。

    ロールの場合、「詳細情報」ページに表示される属性は読取り専用であるため、変更できません。これらの属性は、カタログ管理者のみ編集できます。カタログ管理者がロールのカタログ属性を更新する場合、「ロールの詳細」ページからのみ更新できます。

    属性値を変更または確認した後、ページを閉じます。

  7. カタログ項目をリクエスト・カートに追加するには、その項目の「カートに追加」をクリックします。

    複数の項目をリクエスト・カートに追加するには、[Ctrl]キーを押しながら項目をクリックして複数の項目を選択して、「選択した項目をカートに追加」をクリックします。

    ノート:

    ワークスペースを切り替えると、カート項目は失われます。たとえば、カートに項目を追加した後、「管理」タブをクリックして「セルフ・サービス」にまた戻ると、カートに追加した項目は失われます。

    項目がカートに追加されます。ページの上部にスクロールします。カートに追加された項目の数がカート・アイコンとともに表示されます。

    カートから選択された項目を削除するには、「カートに対するカタログ項目の追加および削除」を参照してください。

    アクセスをリクエストすると、カートの各項目にはそれぞれ一時的な付与日を設定できます。カート項目に特定の日付を設定する場合は、その日付を各カート項目に手動で設定する必要があります。日付を入力しないと、開始日はデフォルトで現在の日付に設定され、終了日は空のままとなり、無期限のアクセスを示します。付与期間の詳細は、「付与期間の追加および削除」を参照してください。

    ヒント:

    リクエスト・プロファイルを使用して項目をカートに追加するには、「リクエスト・プロファイル」タブをクリックします。リクエスト・プロファイルおよびリクエスト・プロファイルを使用したリクエストの作成の詳細は、「リクエスト・プロファイルの管理」および「リクエスト・プロファイルを使用したアクセスのリクエスト」を参照してください。

  8. 「次」をクリックします。「チェックアウト」ページが表示されます。

  9. 「カート詳細」セクションで、まだ開いていない場合は「リクエスト情報」を開きます。

  10. 「理由」フィールドに、リクエストの理由を入力します。これは承認者が理由を確認してリクエストを承認または拒否するためです。

  11. 「カート項目」を拡張します(まだ拡張されていない場合)。このセクションには、選択してリクエスト・カートに追加したカタログ項目がリストされます。項目ごとに、次のアイコンのいずれかが項目の送信準備を表します。

    • カタログの送信準備ができているアイコンアイコンは、項目の送信準備ができていることを示します。

    • カタログの送信準備ができていないアイコンアイコンは、項目の送信準備ができていないことを示します。

    各項目の情報アイコンをクリックして、ポップアップ・ウィンドウに項目の詳細を表示できます。

  12. (オプション) カートから項目を削除する場合、その項目の十字アイコンをクリックします。

  13. 項目をクリックして、「リクエストの詳細」セクションに項目のリクエスト詳細を表示します。このセクションには、次のタブが含まれます。

    • 付与期間: このタブは「付与期間」アイコンアイコンによって表され、すべてのタイプのエンティティに表示されます。

    • 詳細: このタブは「詳細」アイコンアイコンで示され、追加データを必要とするアプリケーション・インスタンスおよび権限についてのみ表示されます。

  14. 「付与期間」アイコンをクリックします。「付与期間」セクションは、アクセスがプロビジョニングされる場合に期間を制御できるオプションを提供します。付与期間を指定するには:

    1. リクエストの承認時にすぐにロール、アカウントまたは権限をプロビジョニングする場合、「付与はリクエストが完了するとすぐに有効になります」オプションを選択します。デフォルトで、このオプションは選択されています。

    2. 「付与はリクエストが完了するとすぐに有効になります」オプションが選択されない場合、次のフィールドの日付値を指定します。

      • 開始日: ロール、アカウントまたは権限をプロビジョニングする開始日。

      • 終了日: ロール、アカウントまたは権限が失効する終了日。

      付与期間の詳細は、「付与期間の追加および削除」を参照してください。

  15. 「詳細」アイコンをクリックします。アプリケーション・インスタンスまたは複合権限に関連するフォームが表示されます。このフォームで属性を変更できます。これらの属性は、アプリケーション・インスタンスまたは複合権限のフォーム・フィールドであり、プロビジョニング操作または変更操作の完了後にターゲット・アカウントに伝播されます。

    「詳細」アイコンは、アプリケーション・インスタンスまたは複合権限であるカート項目を選択した場合のみ表示されます。

  16. 「更新」をクリックします。選択されたカート項目に入力された値がカートで更新されます。

  17. 「発行」をクリックして要求を発行します。

    アイデンティティ監査機能が有効になっている場合は、構成されたアイデンティティ監査ルールに基づいて、「カート項目」セクションにポリシー違反の警告を表示できます。「カート項目」セクションに表示されるポリシー違反と、それを緩和する方法の詳細は、「ポリシー違反があるアクセスのリクエスト」を参照してください。

6.1.2 他のユーザーのアクセスのリクエスト

権限に基づいて、他のユーザーのアクセスをリクエストできます。

他のユーザーへのアクセスをリクエストするには:

  1. Oracle Identity Self Serviceにログインします。

  2. 「セルフ・サービス」タブで、「アクセスのリクエスト」ボックスをクリックし、「他のユーザーのためのリクエスト」を選択します。他のユーザーのためのアクセスのリクエスト・ウィザードの「ユーザーの選択」ページが表示されます。

  3. アクセスをリクエストするユーザーを検索します。ユーザーの基本検索または拡張検索を実行できます。

    • ユーザーの基本検索を実行するには:

      1. 拡張検索がアクティブである場合、「基本」をクリックします。それ以外の場合は、ステップ2に進みます。

      2. 「検索」リストから、検索するユーザーに従って属性を選択します。

      3. 「検索」フィールドで、検索のキーワードを入力します。

      4. 検索アイコンをクリックします。検索キーワードと一致するユーザーが「ユーザー」ペインにリストされます。

    • ユーザーの拡張検索を実行するには:

      1. 「詳細」をクリックします。多くの属性が表示され、それらに基づいてユーザーを検索できます。

      2. 1つ以上の属性には、リストから次で始まる、次で終わる、次と等しい、等しくない、次を含む、次を含まないなどの検索演算子を選択します。日付フィールドでは、検索演算子は次と等しい、次より前、次より後、以前、以後、間です。

      3. 1つ以上の属性の値を指定します。これらの属性に指定する値に基づいて、検索結果が表示されます。

      4. オプションで、「フィールドの追加」をクリックしてリストからフィールドを選択して、フィールドを検索基準に追加できます。追加されたフィールドとともに十字アイコンが表示されます。十字アイコンをクリックして、追加されたフィールドを削除できます。

      5. 「検索」をクリックします。検索基準と一致するユーザーが「ユーザー」ペインにリストされます。

    ノート:

    基本検索から拡張検索に切り替えて検索基準を入力した後、また基本検索に戻ると、基本検索に拡張検索の基準が入力されたままになります。基本検索ではなくなります。この問題は、基本検索と拡張検索ができるすべてのエンティティの検索画面に当てはまります。

  4. 「ユーザー」ペインで、そのユーザーの情報アイコンをクリックして各ユーザーの詳細を表示できます。「ユーザーの詳細」ダイアログ・ボックスには、ユーザー属性およびユーザーに割り当てられたロール、アカウントおよび権限が表示されます。「閉じる」をクリックして、「ユーザーの詳細」ダイアログ・ボックスを閉じます。

  5. 選択するユーザーごとに、「ユーザーの追加」をクリックします。ユーザーが「選択したユーザー」ペインに追加されます。

  6. 「次」をクリックします。アクセスのリクエスト・ウィザードの「アクセス権限の追加」ページが表示されます。

  7. 「自分のアクセスのリクエスト」の説明に従って、ウィザードの各ステップを完了します。

6.1.3 リクエスト・プロファイルを使用したアクセスのリクエスト

アクセスのリクエストには、リクエスト・プロファイルを使用します。

そのように行うには:

ノート:

リクエスト・プロファイルの詳細は、「リクエスト・プロファイルの管理」を参照してください。

  1. 「セルフ・サービス」タブで、「アクセスのリクエスト」ボックスをクリックし、「自己リクエスト」を選択します。アクセスのリクエスト・ウィザードの「アクセス権限の追加」ページが表示されます。

  2. 「リクエスト・プロファイル」タブをクリックします。

  3. リクエストの作成に使用するリクエスト・プロファイル名をクリックします。「カート詳細」ページが表示されます。

  4. 「ターゲット・ユーザー」セクションには、リクエストの受益者のユーザー名が表示されます。各ユーザーに対する情報アイコンをクリックすると、詳細が表示されます。

  5. リクエストに受益者を追加するには:

    1. 「追加」アイコンをクリックします。「ターゲット・ユーザーの拡張検索」ダイアログ・ボックスが表示されます。

    2. 追加する1人以上のユーザーを検索して選択します。

    3. 選択したユーザーを「選択したユーザー」リストに追加するには、「選択した項目の追加」をクリックします。または、「すべて追加」をクリックして、すべてのユーザーを「選択したユーザー」リストに追加します。

    4. 「追加」をクリックします。選択したユーザーまたは受益者が、「カート詳細のリクエスト」ページの「ユーザー」セクションに追加されます。

    また、受益者のリストから削除するユーザーを選択して、「削除」アイコンをクリックすることもできます。

  6. 必要に応じて、「理由」および「有効日」セクションで、理由とリクエストがアクティブになる有効日を各フィールドで指定します。

  7. 「カート項目」セクションで、項目の詳細を表示するカート項目を選択します。

  8. カート内の各リクエストの詳細を確認および変更した後、「送信」をクリックします。「送信」ボタンがアクティブでない場合、「送信準備ができていません」ステータスの各カート項目の「送信準備ができています」をクリックします。

    リクエストが承認のために送信され、「リクエスト・サマリー」ページが表示され、サマリー情報、ターゲット・ユーザーまたは受益者情報、およびリクエストと承認の詳細が表示されます。

6.1.4 アクセス・カタログでのキーワード検索

アクセス・カタログでキーワード検索を使用すると、エンティティ名、エンティティ表示名、または管理者がそのカタログ項目に入力したユーザー定義のタグに基づいて検索できます。エンティティとは、ロール、アプリケーション・インスタンスおよび権限を指します。

カタログ・キーワード検索には次の特徴があります。

  • アスタリスク(*)やパーセント記号(%)などのワイルドカード文字を追加する必要がありません。

  • カタログ・キーワード検索では、*や%記号が接頭辞としてサポートされません。

  • 「次で始まる」演算子を使用しているかのように検索が実行されます。

たとえば、ロール名がAct Admin、ロール表示名がAccounts Administrationのロールを検索する場合、検索キーワードをActまたはAccoまたはAccountsまたはAdminと指定できます。*untsを使用して検索しても機能しません。検索可能とマークされているカタログUDFがカタログ検索フォームに属性として自動的に表示されますが、使用するとカタログ項目を検索できます。検索可能としてのUDFのマーク付けの詳細は、Oracle Identity Governanceの管理カスタム属性の作成に関する項を参照してください。

6.1.5 権限検索でのアプリケーション・インスタンスの指定

アクセス・カタログで権限を検索する場合、権限検索の基となる関連のアプリケーション・インスタンスを1つ以上指定できます。

そのように行うには:

  1. 「新しいアクセスのリクエスト」の説明に従って、アクセスのリクエスト・ウィザードの「アクセス権限の追加」ページの「カタログ」タブに移動します。

  2. 検索するエンティティ・タイプを指定するには、「権限」オプションを選択します。「アプリケーション」リストが表示されます。

  3. 権限検索の基となるアプリケーション・インスタンスを選択します。選択したアプリケーション・インスタンスの数は、「選択したアプリケーション」リンクに示されます。この選択したアプリケーション・インスタンスの数は、さらにアプリケーション・インスタンスを再びリストから選択すると更新されます。

  4. (オプション)アプリケーション・インスタンスを1つずつ選択するかわりに、複数のアプリケーション・インスタンスを検索して選択できます。そのように行うには:

    1. 「アプリケーション」リストから、「複数の検索と選択」を選択します。「アプリケーションの選択」ダイアログ・ボックスが表示されます。

    2. 「検索」ボックスに、選択するアプリケーション・インスタンスを検索するキーワードを入力します。

    3. 「検索」アイコンをクリックします。検索キーワードに一致するアプリケーション・インスタンスが表示されます。

    4. 選択するアプリケーション・インスタンスごとに「選択」をクリックします。

      ノート:

      最大20のアプリケーション・インスタンスを同時に選択できます。

    5. 選択内容からアプリケーション・インスタンスを削除する場合は、削除するアプリケーション・インスタンスごとに「選択解除」をクリックします。

    6. 一度にすべてのアプリケーション・インスタンスを選択または選択解除するには、それぞれ「すべて選択」ボタンおよび「すべて選択解除」ボタンをクリックします。

    7. 「OK」をクリックします。アプリケーション・インスタンスが選択されます。

  5. (オプション)選択したアプリケーション・インスタンスを削除するには、「選択したアプリケーション」リンクをクリックし、削除するアプリケーション・インスタンスの隣にある「X」アイコンをクリックします。選択したアプリケーション・インスタンスをすべて削除するには、「すべてクリア」をクリックします。

「新しいアクセスのリクエスト」の説明に従って、検索キーワードを指定すると、検索を続行できます。

6.1.6 検索結果の絞込み

検索結果を絞り込んで、より正確なものにできます。

「新しいアクセスのリクエスト」の説明に従ってカタログ項目を検索した後に、検索結果を絞り込んで検索の精度を高めることができます。これを行うには、「カタログ」タブの「カテゴリ」セクションで1つ以上のカテゴリを選択し、これらのカテゴリのカタログ項目を表示します。カテゴリに属している項目をすべて表示したり非表示にするには、「すべて選択」チェック・ボックスを選択または選択解除します。

カテゴリは、アクセス・カタログでエンティティを整理するための手段です。各カタログ項目は1つのカテゴリのみに関連付けられます。カタログ項目に関するデフォルトのカテゴリには、ロール、権限、アプリケーション・インスタンスなどがあります。「詳細情報」ページでカタログ項目のカテゴリを変更または更新することによって、新規カスタム・カテゴリの定義もできます。たとえば、「カテゴリ」セクションの「権限」を選択すると、権限カテゴリに属するカタログ項目のみが表示されるように、検索結果を絞り込むことができます。

6.2 権限の階層属性の表示

権限の追加属性の表示を構成すると、リクエストの詳細画面に追加属性が表示されます。

権限の追加属性の表示を構成する方法の詳細は、Oracle Identity Governanceの管理権限の階層属性の構成に関する項を参照してください。

権限の階層属性を表示するには:

  1. 「カタログ」ページで、表示するカタログ項目を検索します。権限のカタログ項目が矢印アイコンとともに表示されます。これらの権限には、関連付けられたXMLファイルが含まれています。詳細は、Oracle Identity Governanceの管理権限の階層属性の構成に関する項を参照してください。

    一部のカタログ項目では、関連付けられたXMLファイルがカタログ項目に含まれていないため、矢印アイコンが表示されません。

  2. 矢印アイコンをクリックします。追加情報または技術用語集を含む追加詳細が新規タブに表示されます。追加詳細タブに、最上位ノードの子が表示されます。ノードの詳細を表示するには行をクリックします。
  3. 行をクリックして詳細を表示します。追加詳細が子ノードにある場合は、右側に表示されます。

    追加詳細のポップアップの上部にブレッドクラム・アイコンが表示されます。ブレッドクラムのテキストはハイパーリンクになっています。ハイパーリンクをクリックするとノード間を移動できます。

6.3 カートに対するカタログ項目の追加および削除

リクエスト・カート(カートとも呼ばれる)には、ユーザーがリクエスト・カタログから選択したカタログ項目のセットがあります。ユーザーはリクエスト・カートにカタログ項目を追加して、ロール、権限およびアプリケーション・インスタンスなどのエンティティに対するリクエストを送信できます。リクエスト・カートはユーザー・セッション間で保持されません。

カタログ項目を追加するには:

  1. アクセス・カタログを開き、カートに追加するカタログ項目を検索します。カタログ項目を検索する手順は、「新しいアクセスのリクエスト」を参照してください。
  2. 必要な場合は、「カテゴリ」セクションで1つ以上のカテゴリを選択するか選択解除して、検索結果を絞り込みます。カテゴリに属している項目をすべて表示したり非表示にするには、「すべて選択」チェック・ボックスを選択または選択解除します。
  3. リクエストするカタログ項目の「カートに追加」をクリックします。

    また、カタログから複数の項目を選択するには、システムの標準の複数選択プロセスに従った後、「選択した項目をカートに追加」をクリックします。

    カートに追加された項目の数がページの上部にカート・アイコンとともに表示されます。

  4. ページの上部で、「カート」をクリックします。「カートのリクエスト」ウィンドウがカートに追加されているすべての項目のリストとともに表示されます。
  5. カートから削除する項目ごとに、該当する項目の「削除」をクリックします。

    カートからすべての項目を削除するには、「すべて削除」をクリックします。

  6. 「閉じる」をクリックします。

6.4 付与期間の追加および削除

アクセス・カタログには、自分または他のユーザーに対するロール、アカウントおよび権限の付与期間を指定するための「開始日」および「終了日」フィールドがあります。

この項では、付与期間に関連する次の操作について説明します。

6.4.1 付与期間の指定

ロール/アカウント/権限の付与期間を指定すると、アクセスがプロビジョニングされる期間を制御できます。

アクセス権をユーザーに追加する場合、付与期間フィールドに次の機能があります。

  • 「開始日」フィールドおよび「終了日」フィールドの両方の付与期間フィールドが指定される場合、指定された開始日でのみロール/アカウント/権限がプロビジョニングされ、指定された終了日で失効することを意味します。

  • 開始日のみが指定される場合、指定された開始日でロール/アカウント/権限がプロビジョニングされ、アクセス権に対して適用可能な終了日はありません。

  • 終了日のみが指定される場合、ロール/アカウント/権限が即座にプロビジョニングされ、ロール/アカウント/権限が終了日に自動的に失効します。

  • 両方の付与期間フィールドが指定されない場合、ロール/アカウント/権限が即座にプロビジョニングされ、エンティティに対するロール/アカウント/権限がユーザーに無期限に残ります。

  • 操作に承認が必要な場合、ロール/アカウント/権限は承認および開始日の後にのみプロビジョニングされます(指定されている場合)。

  • 操作に承認が必要でない場合、ロール/アカウント/権限は開始日の後にのみプロビジョニングされます(指定されている場合)。

  • 付与日を未来の日付に設定すると、アクセスは次のように表示されます。

    • ロールの場合: 未来の開始日を設定すると、割当日は表示されません。

    • 権限の場合: アクセスはユーザーの権限タブに「将来の付与」ステータスで表示されます。

    • アカウントの場合: アカウントは開始日になるまで、「無効」状態です。

自分のロール/アカウント/権限をリクエストする場合の付与期間の指定の詳細は、「自分のアクセスのリクエスト」のステップ13と14を参照してください。同じステップが他のユーザーのアクセスのリクエスト時に付与期間を指定する場合に適用されます。

6.4.2 付与期間の変更

開始日は、ロール/アカウント/権限がまだプロビジョニングされていない場合のみ変更できます。終了日は、いつでも変更できます。

Identity Self Serviceの次のセクションから付与期間を変更できます。

6.4.3 アクセス権の取消し

既存のロール/アカウント/権限へのアクセス権の取消しは、すぐに実行することも未来に実行することもできます。

すぐにアクセス権を取り消すには、ロール/アカウント/権限を対応する表から選択し、「削除」をクリックします。

未来の日付にアクセス権を取り消すには、ロール/アカウント/権限を選択し、「アクション」メニューから「付与期間の変更」を選択します。「付与期間の変更」ポップアップで、「終了日」フィールドにアクセス権が取り消される日付を設定します。

6.5 リクエスト・プロファイルの管理

リクエスト・プロファイルとは、ユーザーが今後再利用するために保存されるリクエスト・カートのことです。リクエスト・プロファイルを作成、変更、削除できます。

このセクションのトピックは次のとおりです:

ノート:

リクエスト・プロファイルの作成、変更または削除を実行できるのは、カタログ管理者またはシステム管理者のみです。

6.5.1 リクエスト・プロファイルについて

リクエストのためのカタログ項目を選択すると、その項目はリクエスト・カートに追加されます。リクエスト・カートは、顧客に製品を販売するWebサイトのショッピング・カートに似ています。カートの選択した項目を表示したり、リクエスト・カートを編集して項目を追加または削除することができます。

リクエスト・プロファイルとは、ユーザーが今後再利用するために保存されるリクエスト・カートのことです。ユーザーが何千ものカタログ項目を検索せずに、リクエスト・カートを使用してエンティティのリクエストができるように、リクエスト・カートはカタログ管理者またはシステム管理者によって保存されます。

6.5.2 リクエスト・プロファイルの作成

カートにカタログ項目を追加した後、リクエスト・プロファイルを作成できます。

リクエスト・プロファイルを作成するには:

  1. Oracle Identity Self Serviceにログインします。
  2. まだアクティブでない場合、「セルフ・サービス」タブをクリックします。
  3. 「アクセスのリクエスト」ボックスをクリックして、「自己リクエスト」を選択します。
  4. 1つ以上のカタログ項目を選択し、「カートに追加」をクリックします。カタログ項目がリクエスト・カートに追加されます。
  5. 「次」をクリックします。「チェックアウト」ページがカート詳細とともに表示されます。選択したカタログ項目が「カート項目」セクションに表示されます。
  6. 「別名保存」の横にある下矢印をクリックして、「プロファイル」を選択します。「プロファイルとして保存」ダイアログ・ボックスがカートの項目のリストとともに表示されます。
  7. 「プロファイル名」フィールドに、リクエスト・プロファイルの名前を入力します。これは必須フィールドです。
  8. 「説明」フィールドに、リクエスト・プロファイルの説明を入力します。
  9. 「保存」をクリックします。リクエスト・プロファイルが作成されます。

ノート:

追加情報が指定されているカート項目でリクエスト・プロファイルを作成して保存しても、追加情報は保存されません。

6.5.3 リクエスト・プロファイルの変更

既存のリクエスト・プロファイルを変更して、カート項目を更新できます。

リクエスト・プロファイルを変更するには:

  1. アクセス・カタログを開き、「アクセス権限の追加」ページに移動します。
  2. 「リクエスト・プロファイル」タブをクリックします。
  3. 変更するリクエスト・プロファイルを探し、「カートに追加」をクリックします。「次」をクリックして「チェックアウト」ページに移動します。
  4. 「プロファイルとして保存」をクリックします。「プロファイルとして保存」ダイアログ・ボックスが表示されます。
  5. 「プロファイル名の保存」フィールドに、変更するリクエスト・プロファイルの名前を入力します。新しい名前を入力すると、新しいリクエスト・プロファイルが作成されます。既存のリクエスト・プロファイルの名前を入力した場合は、そのリクエスト・プロファイルが最近の変更で更新されます。
  6. 「説明」フィールドに、リクエスト・プロファイルの説明を入力します。
  7. 「保存」をクリックします。既存のリクエスト・プロファイルの名前を入力したのか新しい名前を入力したのかによって、リクエスト・プロファイルはそれぞれ作成または更新されます。

ノート:

「開始日」、「終了日」または「有効日」に追加または指定した値は、リクエスト・プロファイルに保存されません。

6.5.4 リクエスト・プロファイルの削除

不要または使用されていないリクエスト・ポリシーを削除します。

リクエスト・プロファイルを削除するには:

  1. アクセス・カタログの「アクセス権限の追加」ページを開きます。
  2. 「カタログ」ページの「リクエスト・プロファイル」セクションで、リクエスト・プロファイルに対応する行の「X」アイコンをクリックします。
  3. 表示される「確認」ダイアログ・ボックスで、「はい」をクリックします。

    リクエスト・プロファイルが削除されます。

6.6 リクエストのトラッキング

トラッキングするリクエストを検索して、リクエストの詳細を表示できます。ユーザーがリクエスタの場合は、下書きリクエストの変更、送信または削除ができます。

この項では、リクエストを検索してトラッキングする方法について説明します。

6.6.1 トラッキング・リクエストの検索

「リクエストのトラッキング」ページを使用して、リクエストの単純検索および拡張検索を実行します。

リクエストをトラッキングするには:

  1. Identity Self Serviceで、まだアクティブでない場合に「セルフ・サービス」タブをクリックします。

  2. 「リクエストのトラッキング」ボックスのアイコンをクリックします。「リクエストのトラッキング」ページが表示されます。

  3. トラッキングするリクエストを検索します。リクエストに対して基本検索および拡張検索を実行できます。

    リクエストの基本検索を実行するには:

    1. 「検索」リストから、指定する検索パラメータに従って属性名を選択します。

    2. 「検索」ボックスで、選択した属性の値を入力します。

    3. 検索アイコンをクリックします。

    リクエストの拡張検索を実行するには:

    1. 「詳細」をクリックします。

    2. 次のいずれかを選択します。

      • すべて: このオプションを選択すると、検索はAND条件で実行されます。つまり、検索操作によって、指定されたすべての検索基準に一致するリクエストが返されます。

      • いずれか: このオプションを選択すると、検索はOR条件で実行されます。つまり、検索操作によって、指定された検索基準のいずれかに一致するリクエストが返されます。

    3. 「リクエストID」などの検索可能なリクエスト属性フィールドで、値を指定します。属性値にはワイルドカード文字(*)を含めることができます。

      一部の属性については、「参照」またはドロップダウンから属性値を選択します。たとえば、「承認待ちのリクエスト」ステータスのリクエストをすべて検索するには、「ステータス」リストから、「次と等しい」検索演算子を選択し、隣のリストから「承認待ちのリクエスト」を選択します。

    4. 指定した各属性値に対して、リストから検索演算子を選択します。たとえば、「リクエストID」で次の検索演算子を使用できます。

      • 次で始まる

      • 次で終わる

      • 次と等しい

      • 次と等しくない

      • 次を含む

      • 次を含まない

      他のフィールドについては(たとえば「ステータス」、「リクエスト・タイプ」、「受益者」および「リクエスタ」)、「次と等しい」および「次と等しくない」演算子のみが利用できます。

      日付タイプのフィールドの検索演算子は、次のとおりです。

      • 次と等しい

      • 次と等しくない

      • 次より前

      • 次より後

      • それ以前

      • それ以後

    5. 検索可能なリクエスト属性を「リクエストのトラッキング」ページに追加するには、「フィールドの追加」をクリックして、属性のリストから属性を選択します。

      たとえば、リクエスタによってすべてのリクエストをトラッキングする場合は、「リクエスタ」属性を検索可能なフィールドとして追加し、検索条件を指定できます。

    6. 必要に応じて、「リセット」をクリックし、指定した検索条件をリセットします。通常、このステップを実行すると、指定した検索条件を削除し、新しい検索条件を指定します。

    7. 「検索」をクリックします。検索結果が表形式で表示されます。

  4. 実行したリクエスト検索で多数のレコードが表示される場合は、リクエスト検索結果をフィルタ処理できます。そのように行うには:

    1. 「表示」リストから、次のいずれかを選択します。

      • 自分で要求したリクエスト: デフォルトで選択されています。ログイン・ユーザーによって作成されたリクエストが返されます。

      • 自分に対して要求されたリクエスト: ログインしたユーザーが受益者またはターゲット・ユーザーとして存在するリクエストが返されます。

      • Reporteeに対して: このオプションを使用できるのは、ログイン・ユーザーがユーザーのマネージャである場合です。

      • ユーザーに対して: このオプションを使用できるのは、ログイン・ユーザーにユーザー管理者ロールまたはヘルプデスク管理ロールが付与されている場合です。

      • すべて: 検索結果のすべてのリクエストが返されます。このオプションを使用できるのは、ログイン・ユーザーに「システム管理者」ロールが付与されている場合です。

    2. 「リクエストID」または「ステータス」などのいずれかの列で検索結果のリクエストをソートするには、列で「昇順ソート」または「降順ソート」矢印をクリックします。検索結果のリクエストは、選択した列でソートされます。

  5. リクエスト検索結果で、リクエストをクリックして、リクエストの詳細を表示します。リクエストの詳細が、次の情報を含むページに表示されます。

    • サマリー情報: このセクションには、リクエストID、リクエスト・ステータス、有効日などの一般的なリクエストの詳細が表示されます。

    • ターゲット・ユーザー: このセクションには、リクエストの受益者またはターゲット・ユーザーが表示されます。

    • 関連リクエスト: このセクションには、オープン・リクエスト(ある場合)に関連するリクエストが表示されます。

    • リクエストの詳細: このタブには、リクエストされたカタログ項目が表示されます。項目を選択すると、その項目のサマリー情報が表示されます。

    • 承認の詳細: このタブには、リクエストが割当てられている各承認者による、リクエスト承認のステータスが表示されます。

      ノート:

      HelpDeskユーザーおよび受益者は、リクエスト承認の詳細を確認できます。ただし、リクエスト・サマリー・ページにコメントまたは添付を追加することはできません。

6.6.2 下書きリクエストのトラッキング

リクエスタは、リクエストを将来の変更、送信または削除用に保存できます。これは、リクエスタがリクエストの送信前に追加情報を待っている場合に役に立ちます。

下書きリクエストの変更、送信または削除ができるのはリクエスタのみです。他のユーザーが保存した下書きリクエストをシステム管理者や受益者などのユーザーが表示することはできません。

下書きリクエストをトラッキングするには:

  1. 「セルフ・サービス」タブで、「リクエストのトラッキング」ボックスのアイコンをクリックします。「リクエストのトラッキング」ページが表示されます。
  2. 「ステータス」リストから「次と等しい」検索演算子を選択し、隣のリストから「リクエストの下書きが作成されました」を選択します。
  3. 「検索結果」リージョンの「表示」リストから、「自分で要求したリクエスト」フィルタを選択します。
  4. (オプション)「リクエストのトラッキング」で説明している、その他の検索基準を使用します。
  5. 「検索」をクリックします。検索結果が表形式で表示されます。

    下書きリクエストの取消しまたはクローズはできません。下書きリクエストを削除するには、リクエストを選択して「リクエストの削除」をクリックします。

    下書きリクエストを開いて変更または送信を行うには、「リクエストID」列のリンクをクリックします。「下書きリクエストの編集」ページで、「送信」をクリックすると下書きリクエストを送信できます。「送信」ボタンがアクティブでない場合は、「カート項目」リージョンでカート項目をそれぞれ選択および編集し、「送信準備ができています」をクリックします。リクエスト・データを変更および保存するには、「下書きリクエストの更新」をクリックします。

ノート:

下書きモードで保存されたリクエスト・データにはパスワードなどの機密情報を含めないでください。たとえそれらがリクエストを下書きとして保存する前に入力したものであっても同様です。

6.7 リクエストの削除

不要になったリクエストを削除します。

リクエストを削除するには:

  1. 「セルフ・サービス」タブで、「リクエストのトラッキング」ボックスのアイコンをクリックします。「リクエストのトラッキング」ページが表示されます。
  2. 削除するリクエストを検索して選択します。
  3. 「アクション」メニューから、「リクエストの削除」を選択します。または、ツールバーにある「リクエストのクローズ」をクリックします。
  4. 確認メッセージ・ボックスで「はい」をクリックします。リクエストが削除され、リクエストの受益者およびリクエスタに通知が送信されます。

    ノート:

    • 通知の構成は、SOAコンポジットのヒューマン・タスクで実行できます。

    • リクエストの承認、タスクの再割当て、タスクの却下などのリクエスト関連のタスクの詳細は、「統合された受信ボックスの使用方法」を参照してください。

6.8 リクエストの取消し

リクエスタはリクエストを取り消すことができますが、取り消すことができるのは実行フェーズが開始されていないリクエストのみです。また、受益者はリクエストを取り消すことができません。

取り消すことができるのは、次のステージにあるリクエストです。

  • 承認の取得

  • 承認済

    ノート:

    • 承認されたリクエストは、そのリクエストが「リクエストが完了待ちです」ステータスにある場合を除きクローズできません。

    • 下書きリクエストが「リクエストの下書きが作成されました」ステータスの場合は取り消すことができません。

    • 「承認の取得」ステージに存在するリクエストをクローズした場合は、承認者のタスク・リストにある保留中のすべての承認が削除されます。

リクエストを取り消すには:

  1. 「セルフ・サービス」タブで、「リクエストのトラッキング」ボックスのアイコンをクリックします。「リクエストのトラッキング」ページが表示されます。
  2. 取り消すリクエストを検索します。検索結果には、各リクエストに「リクエストの取消し」ボタンを含む、検索基準に一致するリクエストのリストが表示されます。
  3. 取り消すリクエストに対して、「リクエストの取消し」をクリックします。または、リクエストIDをクリックしてリクエストの詳細を開いてから、「リクエストの詳細」ページで、「リクエストの取消し」をクリックします。
  4. 確認メッセージ・ボックスで「はい」をクリックします。リクエストが取り消され、リクエストの受益者およびリクエスタに通知が送信されます。取消しが成功した場合、リクエストは「リクエストが取り消されました」ステージに移動します。リクエストに関連付けられている保留中の承認タスクは取り消されます。

6.9 リクエストのクローズ

管理者は、実行フェーズを開始していないリクエストを途中でクローズできます。これには、承認を待機しているすべてのリクエスト、または承認を完了しているが操作を開始していないすべてのリクエストが含まれます。

次の状態のリクエストをクローズできます。

  • 承認の取得

  • 承認済

ノート:

  • 承認されたリクエストは、そのリクエストが「リクエストが完了待ちです」ステータスにある場合を除きクローズできません。

  • 下書きリクエストが「リクエストの下書きが作成されました」ステータスの場合はクローズできません。

  • 「承認の取得」ステージに存在するリクエストをクローズした場合は、承認者のタスク・リストにある保留中のすべての承認が削除されます。

リクエストをクローズするには:

  1. 「セルフ・サービス」タブで、「リクエストのトラッキング」ボックスのアイコンをクリックします。「リクエストのトラッキング」ページが表示されます。
  2. クローズするリクエストを検索します。検索条件に一致するリクエストが、表形式で表示されます。
  3. クローズするリクエストを選択します。
  4. 「アクション」メニューから「リクエストのクローズ」を選択します。または、ツールバーにある「リクエストのクローズ」アイコンをクリックします。
  5. 確認メッセージ・ボックスで「はい」をクリックします。リクエストがクローズされ、このリクエストのリクエスタとターゲット・ユーザーに通知が送信されます。リクエストが正常にクローズされると、リクエストは「リクエストがクローズされました」ステージに移動します。

    ノート:

    • 通知の構成は、SOAコンポジットのヒューマン・タスクで実行できます。

    • リクエストの承認、タスクの再割当て、タスクの却下などのリクエスト関連のタスクの詳細は、「保留中の承認の管理」を参照してください。

6.10 ポリシー違反があるアクセスのリクエスト

既知のアクセス違反があるリクエストを送信できます。

次の項では、ポリシー違反があるアクセスのリクエストについて説明します。

6.10.1 ポリシー違反があるアクセスのリクエストについて

アクセスのリクエストが送信され、アイデンティティ監査機能が有効になっている場合、潜在的なアクセス違反を検出するためにリクエスト・データの情報がスキャンされます。

リクエストされているアクセスとともに、ユーザーに現在割り当てられているアクセスの組合せが監査ポリシーに合致する場合に、違反が発生します。

たとえば、次のルールで構成されているアイデンティティ監査ポリシーを考えてみます。

role[*].Role Name EQUAL AP Expense Approver
AND
role[*].Role Name EQUAL AP Merchandise Vendor Approver

このルールでは、ユーザーがAP経費承認者ロールとAP商品ベンダー承認者ロールの両方を同時に持つことができないことを指定しています。この状況が発生した場合、ポリシー違反になります。

違反が検出されると、最初のリクエストはリクエスタに戻され、ページはリフレッシュされて違反が表示されます。

違反の原因となる各カート項目は「ポリシー違反」アイコンアイコンで示され、警告メッセージ全体が表示されます。メッセージをクリックすると、検出されたすべての違反の全体ビューが表示されます。

既知の違反があるリクエストの送信は依然として可能で、「違反付きの送信」ボタンをクリックします。

図6-1に、ポリシー違反を示している「チェックアウト」ページを示します。

図6-1 ポリシー違反

図6-1の説明が続きます
「図6-1 ポリシー違反」の説明

6.10.2 ポリシー違反の移行とリクエストの送信

ポリシー違反があるリクエストを緩和し、リクエストを送信するための修正ステップを行うことができます。

ポリシー違反を緩和してリクエストを送信するには、次のステップを実行します。

  1. アクセス・カタログの「チェックアウト」ページで、「ポリシー違反」をクリックします。「ポリシー違反」ダイアログ・ボックスが、ポリシー違反の原因となるカート項目とともに表示されます。図6-2に示すように、違反したポリシー名、違反の原因、違反の原因となる属性、違反の重大度が表示されます。

    図6-2 「ポリシー違反」ダイアログ・ボックス

    図6-2の説明が続きます
    「図6-2 「ポリシー違反」ダイアログ・ボックス」の説明
  2. 「ポリシー違反」ダイアログ・ボックスを閉じます。
  3. カート項目の「X」アイコンをクリックして、ポリシー違反の原因となる項目を削除します。この項の例では、AP経費承認者ロールまたはAP商品ベンダー承認者ロールのいずれかを削除すると、ポリシー違反が解除されます。

    ポリシー違反アイコンとポリシー違反警告は表示されなくなり、「違反付きの送信」ボタンが「送信」に変ります。

  4. 「発行」をクリックして要求を発行します。

    または、ポリシー違反があるリクエストを送信するには、「違反付きの送信」をクリックします。

6.10.3 進行中のリクエストの予測ポリシー検証

アイデンティティ監査ポリシーの検証は、処理中のリクエストに対して行われます。

デフォルトでは、アイデンティティ監査ポリシーは、プロビジョニング済、有効または無効な状態のアカウントに対してリクエストされている権限を検証します。この検証は、アプリケーションおよび権限のリクエストが承認待ちの場合には適用されません。たとえば、ターゲット・ユーザーにはすでにアプリケーション・インスタンスが関連付けられており、アカウントに権限の一部があるか、まったくなく、アイデンティティ監査ポリシー・ルールには、権限Aと権限Bを一緒にプロビジョニングできないとされているとします。権限Aのリクエストが送信されると、リクエストは承認のために保留されます。同時に、Oracle Identity Governanceで権限Bに対して別のリクエストを発行できます。

Oracle Identity Governanceバンドル・パッチ12.2.1.4.210428を適用すると、進行中のリクエスト、つまり承認待ちのアプリケーションおよび権限リクエストに対してアイデンティティ監査ポリシーの検証が行われます。したがって、前述の例では、権限Bのリクエストを送信すると、ポリシー違反が発生します。