12 アイデンティティの証明の使用

アイデンティティの証明の概念には、証明のタイプ、レビューアのタイプ、証明名の書式、証明ダッシュボードが含まれます。ダッシュボードを使用すると、ダッシュボードから証明を検索、フィルタおよび表示できます。また、オフライン・モードでユーザー証明を完了したり、証明レポート生成できます。

この章では、アイデンティティの証明の概要、アイデンティティの証明のユーザー・インタフェースについて、およびアイデンティティの証明の完了方法について説明します。次の項目が含まれます。

• アイデンティティの証明の概要

• 証明のUI

• 証明名の書式

• 証明の検索と表示

• オフライン・モードでのユーザー証明の完了

• 証明レポートの生成

12.1 アイデンティティの証明の概要

アイデンティティの証明と証明のタイプ、様々なタイプのレビューア、各レビューアがアクセスできる証明のタイプを理解します。

この項では、アイデンティティの証明とは何か、それを行う理由、そしてその方法について説明します。また、アイデンティティの証明プロセスの一般的な関係者についても取り上げます。

• アイデンティティの証明とは

• アイデンティティの証明を完了させる関係者

12.1.1 アイデンティティの証明とは

アイデンティティの証明は、企業内のユーザー権限とアクセス権限をレビューして、ユーザーが認可されていない権限を取得していないことを確認するプロセスです。また、これには、各アクセス権限の承認(証明)または却下(失効化)も含まれいます。アイデンティティの証明は、ユーザー、ロール、組織、権限のエンティティに使用できます。

コンプライアンス要件を満たすために、証明を定期的に実行するようにスケジュールできます。マネージャはアイデンティティの証明機能を使用して、アプリケーションやデータにアクセスするための従業員の権限を確認します。マネージャは、アイデンティティの証明モジュールによって報告される変更に基づいて、必要に応じて従業員のアクセスを認可または失効化することができます。

作成できる証明のタイプは4種類です。各証明のタイプで、特定のユースケース(企業が一般に実行するレビューのタイプ)が扱われます。各タイプのレビューアは、アクセス関連のデータの異なるサブセットを特定の視点からレビューします。

表12-1に、Oracle Identity Managerで使用可能な4つのタイプのアイデンティティの証明を示します。

表12-1 4つのタイプのアイデンティティの証明

アイデンティティの証明のタイプ	説明
ユーザー証明	マネージャが従業員のロールへのアクセス、アカウントおよび権限を証明できます。通常、組織内の各マネージャは、直属の部下のアクセス権限をレビューします。このタイプの証明の各レビューアは、自分の直属の部下に重点を置きますが、各直属の部下のすべてのアクセス権限をレビューすることが期待されます。 ユーザー証明では、ライン・オブ・ビジネス(LOB)マネージャの視点からのレビューが最適化されます。LOBマネージャは、自分の直属の部下である各ユーザーのすべてのアクセス権限をレビューする必要があります。 また、ユーザー証明では2フェーズ・レビューがサポートされています。2フェーズ・レビューでは、ユーザー・アクセス権限は最初にマネージャによってレビューされ、続いてその他のIT所有者(ロール所有者、アプリケーション・インスタンス所有者、権限所有者など)によってレビューされます。これらはすべて、1つの証明キャンペーン内で行われます。
ロール証明	ロール所有者がロール・コンテンツやロール・メンバーを証明できます。この証明は、ロールベースのアクセス制御(RBAC)を実装している組織で使用されます。通常、ロールの所有者は、そのロールの定義(つまり、そのロールによってもたらされる一連のアクセス権限)とそのロールのメンバーシップ(そのロールが割り当てられている一連のユーザー)のレビューを担当する人物です。このタイプの証明の各レビューアは、特定のエンタープライズ・ロールに重点を置きます。 ロール証明では、ロール認可者またはロール管理者の視点からのレビューが最適化されます。ロール認可者およびロール管理者は、自分が所有者となっている各ロールの定義とメンバーシップをレビューする必要があります。
アプリケーション・インスタンス証明	この証明では、特定のシステムまたはアプリケーションを担当する人物がそのシステムまたはアプリケーションのアカウントを持つ一連のユーザーをレビューできます。レビューアは各アカウントのアクセス権限の詳細をドリルダウンして表示できます。このタイプの証明の各レビューアは、特定の1つのシステムまたはアプリケーションに重点を置きます。 アプリケーション・インスタンス証明では、アプリケーション・インスタンス認可者またはアプリケーション・インスタンス管理者の視点からのレビューが最適化されます。アプリケーション・インスタンス認可者およびアプリケーション・インスタンス管理者は、自分が所有者となっている各アプリケーションのメンバーシップ(アカウント)と一連の権限(権限割当て)をレビューする必要があります。
権限証明	権限所有者が、特定の権限を持つユーザー・アカウントを証明できます。この証明は、特定の人物が特定の権限(つまり、特定のアクセス権限を付与する属性値またはグループ・メンバーシップ)に対して責任を持っている場合に使用されます。権限所有者は、特定の権限を持つ一連のユーザー・アカウントをレビューできます。このタイプの証明の各レビューアは、1つの特定のリソース内の1つの特定の権限に重点を置きます。 権限証明では、権限認可者または権限管理者の視点からのレビューが最適化されます。権限認可者および権限管理者は、自分が所有者となっている各権限(権限定義)の定義とメンバーシップ(権限割当て)をレビューする必要があります。

スケジュール済ジョブによって、指定された証明の定義に基づいて証明が生成されます。Oracle Identity Managerでは、証明の定義内の選択基準を適用して、レビュー対象およびレビュー実施者となる権限割当て(および/または権限定義)が選択されます。Oracle Identity Managerによって、各プライマリ・レビューアの個別の証明が生成されます。また、各プライマリ・レビューアのレビュー・タスクも生成されます。Oracle Identity Managerでは、プライマリ・レビューアが行項目を別のレビューアに委任または再割当てするたびに新しいレビュー・タスクが生成されます。各レビューアが自分に割り当てられたレビュー・タスクを処理すると、証明全体が更新されます。各証明の全体的進行状況は、ダッシュボードで確認できます。

12.1.2 アイデンティティの証明を完了させる関係者

アイデンティティの証明では、組織の人員がユーザー権限データ、ロール・コンテンツ・データ、アプリケーション・インスタンス・データおよび権限データをレビューして証明できます。

この項では、一般的にアイデンティティの証明プロセスに関与するユーザーのタイプと、その各ユーザー・タイプが認証または取り消すことができる証明について説明します。Oracle Identity Managerでは、アイデンティティの証明プロセスに関与する人員をレビューアと呼びます。

表12-2に、アイデンティティの証明に関与するレビューアを示します。

表12-2 アイデンティティの証明のレビューア

レビューア名	説明	アクセスできる証明タイプ
証明者	あらゆる種類の証明の確認と完了を担当する人物を示す一般的な用語です。	ユーザー証明 ロール証明 アプリケーション・インスタンス証明 権限証明
ユーザー・マネージャ	直属の部下を持つマネージャ。ユーザーはユーザー・マネージャにレポートします。	ユーザー権限
ビジネス・レビューア	ビジネス主導の視点から他のユーザーのアクセス権限をレビューする、企業内のユーザー。通常、これは、自分の直属の部下であるユーザーのアクセス権限に対して責任を持つライン・オブ・ビジネス(LOB)マネージャです。 ノート: LOBは、業種またはビジネス機能のカテゴリです。たとえば、LOBマネージャは、販売など、企業内のビジネス機能に向けられています。	ユーザー証明 ロール証明 アプリケーション・インスタンス証明 権限証明
プライマリ・レビューア	特定の行項目のセットの証明決定に最終的な責任を持つ人物。プライマリ・レビューアは、行項目を別のユーザーに再割当てできます。その場合、そのユーザーはその行項目の新しいプライマリ・レビューアになり、元のプライマリ・レビューアはその行項目を表示できなくなります。また、プライマリ・レビューアは、自分の行項目のいずれかを別のユーザーに委任することもできます。その場合、そのユーザーはその行項目の委任レビューアになりますが、プライマリ・レビューアは引き続きその行項目に対して責任を持ちます。 ノート: 明細項目の詳細は、「ライン・オブ・ビジネスと明細項目」を参照してください。	ユーザー証明 ロール証明 アプリケーション・インスタンス証明 権限証明
テクニカル・レビューア	技術的な視点から他のユーザーのアクセス権限をレビューする、企業内のユーザー。通常、これは、アクセス権限を正しく指定すること、つまり、企業内のアクセスを特定のアクセス権限に限定することに責任を持つITエキスパートまたはアプリケーション所有者です。	ユーザー証明
委任レビューア	証明作業を補佐するために割り当てられた人物。委任レビューアは、特定の行項目のセットに対する証明決定に副次的な責任を持ちます。ただし、最終的な責任は依然としてプライマリ・レビューアにあります。委任レビューアが行った決定は、最終的にプライマリ・レビューアに返されます。プライマリ・レビューアはその決定をオーバーライドできます。	ユーザー証明 ロール証明 アプリケーション・インスタンス証明 権限証明
最終レビューア	証明決定に対する最終決定権を持つ人物。最終レビューアは、他のレビューアの証明決定をレビューして、その決定をオーバーライドできます。 最終レビューは、2フェーズ・レビューの後にのみ(かつ、管理者が最終レビューが有効になるように証明定義を構成している場合のみ)実行されます。1番目のフェーズのプライマリ・レビューアは、最初の2つのフェーズですべてのレビューアによって実行された証明アクションの最終レビューを行うことができます。	ユーザー証明

12.2 証明のUI

Identity Self Serviceで「保留中の証明」ページと証明ダッシュボードを使用すると、証明オブジェクトを表示および操作できます。

Oracle Identity Self Serviceで次のものを使用して証明オブジェクトを表示し、操作できます。

• 「保留中の証明」ページ: 「保留中の証明」ページには、ログイン・ユーザーに割り当てられているタスクすべてが単一の画面に表示されます。これにより、ログイン・ユーザーはタスク・ビューをフィルタしてユーザー・プリファレンス(割当て済タスク、完了済タスク、情報がリクエストされたタスクなど)に含めることができます。タスクを選択して新しいタブでそのタスクを開き、そのタスクに対して必要なアクションを実行できます。これにより、様々なタブでそれらのタスクを開いて一度に複数のタスクを処理できます。

  「保留中の証明」ページにアクセスするには、Oracle Identity Self Serviceにログインし、「セルフ・サービス」タブで「証明」ボックスをクリックします。

  関連項目:

  「保留中の証明」ページの詳細と「保留中の証明」ページを使用して実行できる操作の詳細は、「証明レビュー・タスクの管理」を参照してください。

• ダッシュボード: アイデンティティの証明ダッシュボードには、システム内の進行中の証明と完了した証明の概要が表示されます。ダッシュボードに表示される証明は、ユーザーのロールによって異なります。証明の管理者または証明ビューアの管理ロールを持つユーザーは、システム内のすべての証明を表示できます。管理ユーザー以外のユーザー(マネージャなど)は、そのユーザーがプライマリ・レビューアとして割り当てられている証明をすべて表示できます。プライマリ・レビューアまたは証明ビューアの管理ロールを持つユーザーは、証明情報を表示できます。証明の管理者の管理ロールを割り当てられたユーザーは、すべての証明を表示でき、進行中の証明に対して基本アクションを実行できます。プライマリ・レビューアは、ダッシュボードの証明に対してアクションを実行できません。

  ダッシュボードにアクセスするには、Oracle Identity Self Serviceにログインして「コンプライアンス」タブをクリックし、「アイデンティティの証明」ボックスをクリックして「ダッシュボード」を選択します。

12.3 証明名の書式

証明タスク名は、レビュー・フェーズおよびレビューアによって異なる書式で表示されます。

表12-3に、各種レビュー・フェーズでの証明タスク名を示します。

関連項目:

• 証明タスクの詳細は、「証明タスク」を参照してください。

• ユーザー証明に対する複数フェーズ・レビューのレビュー・フェーズの詳細は、「ユーザー証明における複数フェーズ・レビューの理解」を参照してください。

表12-3 証明名の書式

レビュー・フェーズ	名前の書式	例
フェーズ1 (P1)	CERT_DEFINITION[ P1_PRIMARY_REVIEWER ]	Q1 Access 2012[ Robert Klein ]
フェーズ1 再割当て	CERT_DEFINITION[ P1_PRIMARY_REVIEWER ]Reassigned[ NEW_PRIMARY_REVIEWER ]	Q1 Access 2012[ Robert Klein ]Reassigned[ Jane Doe ]
フェーズ1 委任	CERT_DEFINITION[ P1_PRIMARY_REVIEWER ]Delegated[ P1_DELEGATED_REVIEWER ]	Q1 Access 2012[ Robert Klein ]Delegated[ Jane Doe ]
フェーズ1 検証	CERT_DEFINITION[ P1_PRIMARY_REVIEWER ]Verification	Q1 Access 2012[ Robert Klein ]Verification
フェーズ2 (P2)	CERT_DEFINITION[ P1_PRIMARY_REVIEWER ]Roles[ P2_TECHNICAL_REVIEWER ]	Q1 Access 2012[ Robert Klein ]Roles[ Terence Hill ]
フェーズ2 (P2)	CERT_DEFINITION[ P1_PRIMARY_REVIEWER ]Application Instances[ P2_TECHNICAL_REVIEWER ]	Q1 Access 2012[ Robert Klein ]Application Instances[ Martha Smith ]
フェーズ2 (P2)	CERT_DEFINITION[ P1_PRIMARY_REVIEWER ]Entitlements[ P2_TECHNICAL_REVIEWER ]	Q1 Access 2012[ Robert Klein ]Entitlements[ Hattori Hanzo ]
フェーズ2 再割当て	CERT_DEFINITION[ P1_PRIMARY_REVIEWER ]Roles[ P2_TECHNICAL_REVIEWER ]Reassigned[ NEW_P2_TECHNICAL_REVIEWER ]	Q1 Access 2012[ Robert Klein ]Roles[ Terrence Hill ]Reassigned[ Jane Doe ]
フェーズ2 再割当て	CERT_DEFINITION[ P1_PRIMARY_REVIEWER ]Application Instances[ P2_TECHNICAL_REVIEWER ]Reassigned[ NEW_P2_TECHNICAL_REVIEWER ]	Q1 Access 2012[ Robert Klein ]Application Instances[ Martha Smith ]Reassigned[ Jane Doe ]
フェーズ2 再割当て	CERT_DEFINITION[ P1_PRIMARY_REVIEWER ]Entitlements[ P2_TECHNICAL_REVIEWER ]Reassigned[ NEW_P2_TECHNICAL_REVIEWER ]	Q1 Access 2012[ Robert Klein ]Entitlements[ Hattori Hanzo ]Reassigned[ Jane Doe ]
フェーズ2 委任	CERT_DEFINITION[ P1_PRIMARY_REVIEWER ]Roles[ P2_TECHNICAL_REVIEWER ]Delegated[ NEW_P2_TECHNICAL_REVIEWER ]	Q1 Access 2012[ Robert Klein ]Roles[ Terrence Hill ]Delegated[ Jane Doe ]
フェーズ2 委任	CERT_DEFINITION[ P1_PRIMARY_REVIEWER ]Application Instances[ P2_TECHNICAL_REVIEWER ]Delegated[ NEW_P2_TECHNICAL_REVIEWER ]	Q1 Access 2012[ Robert Klein ]Application Instances[ Martha Smith ]Delegated[ Jane Doe ]
フェーズ2 委任	CERT_DEFINITION[ P1_PRIMARY_REVIEWER ]Entitlements[ P2_TECHNICAL_REVIEWER ]Delegated[ NEW_P2_TECHNICAL_REVIEWER ]	Q1 Access 2012[ Robert Klein ]Entitlements[ Hattori Hanzo ]Delegated[ Jane Doe ]
フェーズ2 検証	CERT_DEFINITION[ P1_PRIMARY_REVIEWER ]Roles[ P2_TECHNICAL_REVIEWER ]Verification	Q1 Access 2012[ Robert Klein ]Roles[ Terence Hill ]Verification
フェーズ2 検証	CERT_DEFINITION[ P1_PRIMARY_REVIEWER ]Application Instances[ P2_TECHNICAL_REVIEWER ]Verification	Q1 Access 2012[ Robert Klein ]Application Instances[ Martha Smith ]Verification
フェーズ2 検証	CERT_DEFINITION[ P1_PRIMARY_REVIEWER ]Entitlements[ P2_TECHNICAL_REVIEWER ]Verification	Q1 Access 2012[ Robert Klein ]Entitlements[ Hattori Hanzo ]Verification
最終レビュー	CERT_DEFINITION[ P1_PRIMARY_REVIEWER ]Final Review	Q1 Access 2012[ Robert Klein ]Final Review

12.4 証明の検索と表示

ダッシュボードを使用すると、証明を検索、ソート、表示したり、プレアップグレード証明にアクセスできます。

この項では、証明ダッシュボードでの証明の検索およびフィルタの方法と、証明の詳細の表示方法について説明します。次の項目が含まれます。

• ダッシュボードでの証明の検索

• 証明検索結果のソート

• ダッシュボードからの証明の表示

• ダッシュボードでのプレアップグレード証明へのアクセス

12.4.1 ダッシュボードでの証明の検索

ダッシュボードでは、証明の基本検索および拡張検索を実行できます。

この項の内容は次のとおりです。

• 証明の基本検索の実行

• 証明の拡張検索の実行

12.4.1.1 証明の基本検索の実行

証明の基本検索を実行するには:

1. Oracle Identity Self Serviceにログインします。
2. 「コンプライアンス」タブをクリックします。
3. 「アイデンティティの証明」ボックスをクリックして、「ダッシュボード」を選択します。「ダッシュボード」ページが表示されます。
4. 「検索」リストで、次のいずれかを選択して、リストの隣にあるボックスに検索基準を入力します。

   • 証明名: 証明名で証明を検索する場合。

   • 組織名: その証明用に選択した組織名で証明を検索する場合。

   • タイプ: 証明タイプで証明を検索する場合。

   • 作成日: 証明の作成日で証明を検索する場合。

5. 「検索」アイコンをクリックします。検索基準に一致する証明が検索結果表に表示されます。

   ヒント:

   検索結果表のデータをソートするには、列名の上にマウス・ポインタを置きます。上向きと下向きの矢印が列名の上に表示されます。上向き矢印をクリックすると、昇順にソートされます。下向き矢印をクリックすると、降順にソートされます。

12.4.1.2 証明の拡張検索の実行

証明の拡張検索を実行するには:

1. Oracle Identity Self Serviceにログインします。
2. 「コンプライアンス」タブをクリックします。
3. 「アイデンティティの証明」ボックスをクリックして、「ダッシュボード」を選択します。ダッシュボードが開き、表に証明のリストが表示されます。この表は、「名前」、「完了率」、「組織」などの列で構成されています。

   表の列として表示される証明の属性の表示/非表示を切り替えるように表をパーソナライズできます。また、表に表示される列の順序を変えることもできます。

4. 列の表示/非表示の切り替えや列の順序の変更を行うには、「検索結果のパーソナライズ」の手順に従います。
5. 「証明の検索」セクションで、「拡張」をクリックします。
6. 次のオプションのいずれかを選択します。

   • すべて: 検索結果がすべての指定された検索基準と一致する必要があることを指定します。

   • いずれか: 検索結果が指定された検索基準のいずれかと一致する必要があることを指定します。

7. 証明検索属性に値を入力します。
8. 検索アイコンをクリックします。検索基準に一致する証明が表に表示されます。

   ヒント:

   検索結果表のデータをソートするには、列名の上にマウス・ポインタを置きます。上向きと下向きの矢印が列名の上に表示されます。上向き矢印をクリックすると、昇順にソートされます。下向き矢印をクリックすると、降順にソートされます。

9. (オプション)証明検索結果を絞り込めます。これを行うには、「表示」リストで、次のいずれかを選択してダッシュボードに表示される証明のリストをフィルタします。

   • 新規と進行中: 自分に割り当てられた証明と進行中の証明が表示されます。

   • 新規: 自分に割り当てられた新規の証明のみが表示されます。

   • 進行中: 進行中の証明のみが表示されます。

   • 完了: 完了状態の証明が表示されます。

   • 有効期限切れ: 終了日が過ぎた証明が表示されます。

   • すべて: 新規、進行中、有効期限切れの証明など、すべてのタイプの証明が表示されます。

12.4.2 証明検索結果のソート

証明の検索結果は、昇順と降順でソートできます。

証明検索結果は、昇順または降順にソートできます。これを行うには、「検索結果のデータのソート」を参照してください。

Oracle Identity Managerのこのリリースでは、証明の完了率別に証明をソートしてリストできます。ダッシュボードの証明検索結果で「完了率」列の上にマウス・ポインタを置くと、上向きと下向きの矢印キーを表示できます。上向き矢印キーをクリックすると昇順の完了率で証明がソートされ、下向き矢印キーをクリックすると降順の完了率で証明がソートされます。

12.4.3 ダッシュボードからの証明の表示

ダッシュボードで証明を表示できるのは、プライマリ・レビューア(証明の作成プロセスで証明者として選択されたレビューア)のみです。

「保留中の証明」ページまたはダッシュボードから証明の詳細を開いて表示できます。ただし、ダッシュボードではすべてのユーザーが証明を表示できるわけではありません。ダッシュボードで証明を表示できるのは、プライマリ・レビューア(証明の作成プロセスで証明者として選択されたレビューア)のみです。その他すべてのユーザーが証明タスクにアクセスできるのは、「保留中の証明」ページからのみです。たとえば、委任レビューアは、ダッシュボードで特定の証明を表示できませんが、「保留中の証明」ページで証明タスクを表示できます。同様に、ユーザー証明のフェーズ2のレビューアはダッシュボードで証明を表示できません。管理ユーザー以外の場合、ダッシュボードでは、証明に対して監視を目的とした読取り専用のアクセスができます。

関連項目:

ユーザー証明に対する複数フェーズ・レビューのレビュー・フェーズの詳細は、「ユーザー証明における複数フェーズ・レビューの理解」を参照してください。

ダッシュボードから証明の詳細を開いて表示するには:

1. Oracle Identity Self Serviceの「コンプライアンス」タブで、「アイデンティティの証明」ボックスをクリックして「ダッシュボード」を選択します。「ダッシュボード」ページが表示されます。
2. 詳細を表示する証明を選択します。選択した証明のサマリーが「詳細情報」セクションに表示されます。このセクションは次のタブで構成されています。

   • 証明の詳細: 選択した証明の名前、完了率、ロール数、アカウント数、権限数、ユーザー数などの証明属性が表示されます。証明に対してクローズループ是正がアクティブになっている場合は、リクエスト・ページへのリンクも表示されます。

     クローズド・ループ是正および是正のトラッキングの詳細は、「クローズド・ループ是正および是正のトラッキングについて」を参照してください。「リクエストのトラッキング」ページの詳細は、「リクエストのトラッキング」を参照してください。

   • 証明タスク: 選択した証明の一部である証明タスクのリストが表示されます。これは読取り専用のアクセスのビューであり、ユーザーは証明タスクに対してアクションを実行できません。

   • レポート: 証明レポートを作成できます。このタブは、Oracle Identity Managerでレポート・オプションが構成されている場合にのみ表示されます。詳細は、「証明レポートの生成」を参照してください。

3. 「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックするか、証明名をクリックして証明を開きます。選択した証明の詳細が証明の詳細ページに表示されます。

   「保留中の証明」ページとダッシュボードの両方で、証明名をクリックして証明の詳細を開くこともできます。

   証明の詳細は表形式で表示されます。表の列の表示/非表示の切り替えおよび順序変更を行うことができます。詳細は、「検索結果のパーソナライズ」を参照してください。さらに、このページに保存された検索機能を使用して詳細を検索できます。保存された検索の作成および使用の詳細は、「保存された検索の使用」を参照してください。

   ノート:

   削除されたユーザー・アカウントのクリーンアップ・ジョブによってユーザーがOracle Identity Governanceから削除されると、「ユーザーの詳細」ページの「ユーザー情報」フィールドに空の詳細またはx文字が表示されることがあります。

12.4.4 ダッシュボードでのプレアップグレード証明へのアクセス

「証明メンテナンス・ジョブ」スケジュール済ジョブを実行して、ダッシュボードのプレアップグレード証明に入力します。

以前のバージョンからOracle Identity Managerをアップグレードしていると、証明ダッシュボードで使用可能な証明はありません。ダッシュボードにアップグレード前の証明を移入するには、「証明メンテナンス・ジョブ」スケジュール済ジョブを実行します。このスケジュール済ジョブとそのパラメータの詳細は、『Oracle Identity Governanceの管理』の事前定義済のスケジュール済タスクに関する項を参照してください。

「証明メンテナンス・ジョブ」スケジュール済ジョブが完了するまでに必要な時間は、アップグレード前の証明の数とそのコンテンツによって異なります。アップグレードしたシステムにアップグレード前の証明が多数あると、このジョブが終了するまでに長時間かかることがあります。このジョブは、同時に少数(Batch Sizeパラメータによって異なります)の証明を処理します。

ジョブの完了前にジョブ実行が中断されると、そのジョブによって正常に処理された証明のみが証明ダッシュボードに表示されます。このジョブはリエントラントであり、必要に応じて複数回実行できます。アップグレード前の証明ごとに1回処理して、関連データを移入します。証明メンテナンス・ジョブの実行は、その他の機能に影響しません。このジョブは、アップグレード前の証明がダッシュボードで見つからない場合に実行します。

12.5 オフライン・モードでのユーザー証明の完了

ダッシュボードでは、オフライン・モードでユーザー証明を操作できます。オフライン証明は、その他のエンティティ(ロール、組織、権限など)には許可されません。

この項では、オフライン・モードでのユーザー証明について説明します。次の項目が含まれます。

• オフライン・モードでのユーザー証明の理解

• オフライン・モードでのユーザー証明の処理

12.5.1 オフライン・モードでのユーザー証明の理解

オフライン・ユーザー証明の使用の可否は、Identity Self Serviceで「証明構成」ページの「インタラクティブExcelの有効化」オプションを有効または無効にすることで制御します。

ユーザー証明データをローカル・コンピュータにダウンロードして、Oracle Identity Managerとのアクティブ・セッションがなくてもMicrosoft Excelを使用してオフライン・モードでユーザー証明データを処理することもできます。証明に対して決定を行った後、Oracle Identity Managerに接続して決定をアップロードできます。このオプションの使用の可否は、Oracle Identity Self Serviceで「証明構成」ページの「インタラクティブExcelの有効化」オプションを有効または無効にすることで制御できます。このオプションの詳細は、「証明オプションの構成」を参照してください。

ノート:

• ユーザー証明データをローカル・コンピュータにダウンロードしてオフライン・モードで処理するオプションは、ユーザー証明のみで使用できます。この機能は、ロール証明、アプリケーション・インスタンス証明および権限証明では使用できません。

• この機能が動作するには、Microsoft Excel 2016またはExcel for Microsoft Office 365が必要です。この機能にMicrosoft Excelを構成するには:

  1. Oracle Application Developmentデスクトップ統合開発者ガイドのExcelとADFデスクトップ統合の連携の構成に関する項に記載されている前提条件が満たされていることを確認してください。

  2. Oracle Application Developmentデスクトップ統合開発者ガイドのADFデスクトップ統合のランタイム・エディションのインストール方法に関する項の説明に従って構成を1回実行します。

• Oracle Access Managerを使用した環境で稼働しているアプリケーションの場合は、ADFデスクトップ統合のリモート・サーブレットのURLがOracle Access Managerの保護リソースとして構成されていることを確認します。ADFデスクトップ統合のリモート・サーブレットの場所を次に示します。

  http://IDM_HOST.IDM_DOMAIN.com:OIG_PORT/identity/adfdiRemoteServlet

「インタラクティブExcelの有効化」オプションが有効になっている場合は、ユーザー証明の証明の詳細ページと証明のサマリー・ページの「アクション」メニューで「編集可能なExcelにダウンロード」メニュー・オプションが使用可能になります。

12.5.2 オフライン・モードでのユーザー証明の処理

ユーザー証明データをローカル・コンピュータにダウンロードして、Oracle Identity Managerとのアクティブ・セッションがなくてもMicrosoft Excelを使用してオフライン・モードでユーザー証明データを処理することもできます。証明に対して決定を行った後、Oracle Identity Managerに接続して決定をアップロードできます。

オフライン・モードでユーザー証明を処理するには:

1. ダッシュボードまたは「保留中の証明」ページからユーザー証明を開きます。
2. 「アクション」メニューから「編集可能なExcelにダウンロード」を選択します。メッセージ・ボックスが開き、ファイルを開くオプションと保存するオプションが表示されます。
3. 「次で開く」を選択します。
4. Microsoft Office Excel (デフォルト)ではなく「Microsoft Office Excel」が選択されていることを確認してください。Microsoft Office Excel (デフォルト)は、この機能のプラグインが有効化されないバージョンのExcelです。
5. 「OK」をクリックします。アプリケーションが実行されているスプレッドシートのダウンロード元のサーバーに接続するかどうかを確認するメッセージ・ボックスが表示されます。
6. 「はい」をクリックします。Oracle Identity Self Serviceにログインするためのページが表示されます。これにより、作業対象のデータをダウンロードする前にセキュリティの別のレイヤーが追加されます。
7. 資格証明を入力してOracle Identity Self Serviceにログインします。ユーザー証明データがスプレッドシートにダウンロードされます。
8. 「証明」タブをクリックします。レコードを処理するときに使用できるオプションのリストが表示されます。図12-1に、「証明」タブを示します。

   図12-1 「証明」タブ

   
   「図12-1 「証明」タブ」の説明
9. 各ユーザーのドロップダウンから決定を選択します。決定を選択すると、「変更済」列に変更を示すフラグが表示されます。グレー表示されている領域は読取り専用領域です。この領域で変更を行うことはできません。

   「証明」以外の決定は、特定の条件を満たしていないかぎり更新できません。結果的にデータ・アップロードは失敗します。これらのエラーを表示するには、「ステータス」列の下の「エラー」フィールドをダブルクリックします。次に、再度アップロードを試みる前に必要なアクションを実行してエラーを修正できます。実行できるアクションは次のとおりです。

   • 失効: コメントが必要です。

   • 棄権: コメントが必要です。

   • 条件付きで証明: コメントおよび終了日が必要です。

   ノート:

   ユーザーとカタログの両方のユーザー定義フィールド(UDF)データは、スプレッドシートに読取り専用の列として表示されます。

10. 決定の選択が終わったら、「サーバーに保存」をクリックして、データを元のサーバーにアップロードできます。ユーザー証明の画面のユーザー・データが更新されます。

ノート:

スプレッドシート・データをアップロードするときに、アプリケーション・インスタンスの決定と権限の決定が異なる場合は、どちらのデータが先にサーバーにアップロードされたかによってサーバー側で権限の決定が上書きされることがあります。つまり、ある順序でダウンロードされたデータは、それと同じ順序でアップロードされます。

たとえば、権限を失効させて、アカウントを「条件付きで証明」として証明した場合、サーバーで権限が更新された後にアカウントが最後に更新されると、その権限も「条件付きで証明」として証明される可能性があります。

回避方法として、Excelファイルをもう一度ダウンロードして、サーバー上で更新された最終値を検証します。

すでに完了した証明のスプレッドシートのダウンロードを試みると、別のバージョンのスプレッドシートがダウンロードされます。このスプレッドシートでは、すべての列が読取り専用としてマークされ、「サーバーに保存」ボタンは使用できません。

12.6 証明レポートの生成

証明レポートは、ダッシュボードまたは「保留中の証明」ページから生成できます。

この項では、次の各トピックで証明レポートの生成について説明します。

• 証明の生成について

• ダッシュボードからの証明レポートの生成

• 証明ページからのエクスポート済証明レポートの生成

12.6.1 証明の生成について

アイデンティティの証明ではOracle BI Publisherレポートが使用されます。これらのレポートでは、Oracle Identity Managerデータベースの証明の表からデータが選択されます。

レポートの書式と内容を制御する特定のテンプレートがあります。たとえば、証明レポートの多くは、各行項目および詳細のアクション履歴からの詳細が含まれているテンプレートと、それらが含まれていないもう1つのテンプレートを備えています。

Oracle Identity Managerでは、事前定義済またはデフォルトの証明レポートのリストが用意されています。デフォルトの証明レポートの詳細は、Oracle Identity Governanceの管理の証明レポートに関する項を参照してください。

12.6.2 ダッシュボードからの証明レポートの生成

ダッシュボードの「レポート」タブを使用して、HTM形式またはPDF形式の証明レポートを生成します。

ダッシュボードを使用して証明レポートを生成するには:

1. Oracle Identity Self Serviceで、「コンプライアンス」タブをクリックします。「アイデンティティの証明」ボックスをクリックして、「ダッシュボード」を選択します。

2. レポートを生成する証明を検索して選択します。選択した証明の「詳細情報」セクションが表示されます。

3. 「レポート」タブをクリックします。

4. 「レポート・タイプ」で、「証明の完了」、「証明済」、「失効」、「棄権済」または「条件付きで証明済」を選択します。

5. 「レポート書式出力」リストから、生成するレポートの書式を選択します(「HTML」や「PDF」など)。

6. 「アクション履歴の表示」オプションを選択して、アクション履歴またはその証明のすべてのレビューアによって実行されたアクションの証跡をレポートに含めます。このオプションの選択を解除すると、アクション履歴は証明レポートに表示されません。

7. 「レポートの生成」をクリックします。選択したオプション(「HTML」や「PDF」など)に証明情報がエクスポートされます。

   ヒント:

   ステップ5でレポート書式として「Excel」を選択すると、レポートを開くときにエラー・メッセージが表示されます。これは、Microsoftからのセキュリティ・アラートです。無視してかまいません。ただし、このメッセージが表示されないようにする場合は、次のステップを実行します。

   1. Windowsレジストリに移動します。

   2. HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Excel\Securityキーを検索して、そこに移動します。

   3. 次の値を設定します。

      (DWORD)"ExtensionHardening" = 0
      

12.6.3 証明ページからのエクスポート済証明レポートの生成

「保留中の証明」ページを使用して、証明タスクをPDFまたはExcelにエクスポートします。

「保留中の証明」ページを使用して証明レポートを生成するには:

1. Oracle Identity Self Serviceで、「セルフ・サービス」タブをクリックします。「証明」ボックスをクリックします。「保留中の証明」ページが表示されます。
2. 進行中の証明タスクの名前をクリックして、その証明タスクの1ページ目を開きます。
3. 「アクション」メニューから「PDFにエクスポート」または「Excelにエクスポート」を選択します。

   PDFまたはExcelにエクスポートされた証明タスクは、完全な証明レポートと同等です。