1. Oracle Identity Role Intelligenceの管理
  2. ロール・マイニング・タスクの管理

4 ロール・マイニング・タスクの管理

Identity Role Intelligenceユーザー・インタフェース使用して、ロール・マイニング・タスクを作成、変更、検索、コピーおよび実行します。

この項には次の情報が含まれます:

4.1 Identity Role Intelligenceへのサインイン

Identity Role Intelligenceユーザー・インタフェースにサインインするには:
  1. 次のURLにナビゲートします。

    http://HOST_NAME:PORT/oiri/ui/v1/console

    OIRIアカウントのサインイン・ページが表示されます。
  2. ユーザー名とパスワードを入力します。
  3. 「サインイン」をクリックします。
    Identity Role Intelligenceホーム・ページが表示されます。
Identity Role Intelligenceユーザー・インタフェースに対して正常に認証されました。

4.2 ロール・マイニング・タスクの作成

ロール・エンジニアは、ロール・マイニングを使用して、論理的にグループ化して候補ロールを形成し、Oracle Identity Governanceに発行できる様々なデータ・ソース間の類似の権限に基づいて、ユーザー間の関係を検出します。

ロール・マイニング・タスクを作成するには:

  1. Identity Role Intelligenceホーム・ページの「新規の処理を開始」タイルで、「新規タスクを作成します。」をクリックします。

    または、「アプリケーション・ナビゲーション」メニュー・アイコンをクリックし、「すべてのタスク」をクリックして、ページの右上にある「新規タスク」をクリックすることもできます。

    新しいロール・マイニング・タスクを作成するためのデータを選択する「新規タスク」ページが表示されます。
  2. 「ユーザー」タブで、ロール・マイニング・タスクに含めるユーザーのグループをフィルタして選択します。これを行うには:

    ノート:

    「ユーザー」タブには、権限が割り当てられているユーザーがリストされます。このタブには、OIRIデータベース内のすべてのユーザーがリストされるわけではありません。

    1. 左側の列で「組織」などのフィルタ基準をクリックします。組織は、右側の列に階層的に表示されます。

      左側の列には、ユーザーを選択するためのフィルタ基準が表示されます。たとえば、組織、マネージャ、ロール、ジョブ・コードまたは国に基づいてユーザーを選択できます。

    2. 右側の列にリストされている1つ以上の組織または下位組織を選択します。または、検索フィールドに組織名を入力して[Enter]を押し、組織を選択することもできます。

      組織検索は、少なくとも1つの権限メンバーシップを持つユーザーを含む組織でのみサポートされます。ただし、組織階層には、権限メンバーシップを持つユーザーがいない親組織が含まれている場合があります。このような親組織は検索できません。

      ノート:

      複数の行を選択してから他の行をクリックすると、以前の選択が解除されます。[Ctrl]キーを押しながら、複数の組織を選択できます。これは、ユーザーおよび権限の選択にも当てはまります。

      組織は、ページの右側にある「選択した基準」タイルに含まれています。つまり、選択された組織に属するユーザーが、ロール・マイニング・タスクに含まれています。

    3. 「選択したデータからユーザーを検索」を展開します。選択した組織に属するすべてのユーザーがリストされます。ユーザー名または検索基準(ユーザー名の最初の文字など)を検索フィールドに入力し、[Enter]を押すと、タスクに含める1人以上のユーザーが選択されているかどうかを確認できます。
    4. 左側の列の次のフィルタ基準をクリックし、その基準に基づいてユーザーを選択します。たとえば、マネージャであるGloria OsborneとRussell Petersonに報告しているすべてのユーザーを選択します。

      選択したマネージャは、「選択した基準」タイルに含まれています。

    5. ユーザーを選択するための拡張フィルタ基準を指定する場合は、左側の列で「拡張」をクリックします。次に、1つ以上のユーザー属性を展開し、ユーザーの選択基準を指定します。

      「拡張」セクションには、「部門番号」、「従業員番号」、「従業員タイプ」、「地域」、「電子メール」および「都道府県」のデフォルトのユーザー属性が表示されます。また、カスタム・ユーザー属性がOIRIデータベースにインポートされている場合は、カスタム・ユーザー属性も「拡張」セクションに表示されます。カスタム属性の値を検索して、ロール・マイニング・タスクの選択した基準に含めることができます。OIRIへのカスタム属性のインポートの詳細は、「OIRIデータベースへのカスタム属性のインポート」を参照してください。

    6. 同様に、フィルタ基準に基づいて、必要なすべてのユーザーを選択します。
    7. 「選択した基準」タイルで、正しいフィルタおよびサブフィルタが選択されていることを確認します。または、選択から基準を除外する場合は、十字アイコンをクリックして削除します。
  3. 「アプリケーション」タブをクリックします。アプリケーションは、「ユーザー」タブでのユーザーの選択に基づいて、このタブにリストされます。

    ノート:

    「アプリケーション」タブには、関連付けられた権限がユーザーに割り当てられているアプリケーションがリストされます。ユーザーがアカウントを持っていても、対応する権限がないと、アプリケーションはリストされません。

  4. ロール・マイニング・タスクに含めるアプリケーションを左側の列で1つ以上選択します。選択したアプリケーションが「選択した基準」タイルに含まれます。
  5. 「権限」タブをクリックします。権限は、「ユーザー」タブおよび「アプリケーション」タブでのユーザーおよびアプリケーションの選択に基づいて、このタブにリストされます。

    ノート:

    「権限」タブには、ユーザーに割り当てられている権限がリストされます。このタブには、OIRIデータベース内のすべての権限がリストされるわけではありません。

  6. ロール・マイニング・タスクに含める権限を左側の列で1つ以上選択します。選択した権限が「選択した基準」タイルに含まれます。
  7. すべての選択が完了したら、次のいずれかをクリックします:
    • 保存: クリックすると、ロール・マイニング・タスクが後で使用するために保存されます。「タスクの保存」ダイアログ・ボックスが表示されます。「名前」フィールドに、ロール・マイニング・タスクの名前を入力します。これは必須フィールドです。「説明」フィールドに、ロール・マイニング・タスクの説明を入力します。次に、「保存」をクリックします。ロール・マイニング・タスクが正常に保存されたことを示すメッセージが表示されます。
    • ロールのマイニング: クリックすると、ロール・マイニング・タスクでのユーザー、アプリケーションおよび権限の選択に基づいて、ロールをマイニングできます。「タスクの保存とロールのマイニング」ダイアログ・ボックスに次のオプションが表示されます:

      名前: ロール・マイニング・タスクの名前を入力します。これは必須フィールドです。

      説明: ロール・マイニング・タスクの説明を入力します。

      「微調整」スライダ: ドラッグすると、候補ロールの数が最小化または最大化されます。スライダを左にドラッグすると、候補ロールの数が最小になります。つまり、ロールによって提供される権限を取得するユーザーが多くなります。一方、スライダを右にドラッグすると、候補ロールの数が最大になります。つまり、ロールによって提供される権限およびユーザーの不整合が少なくなります。

      ロールのマイニング: クリックすると、ロール・マイニング・タスクを実行し、候補ロールを検出できます。タスクの実行リクエストが送信されたことを示すメッセージが表示されます。または、「取消」をクリックして、ロールをマイニングせずに「タスクの保存とロールのマイニング」ダイアログ・ボックスを閉じます。

4.3 ロール・マイニング・タスクの検索

ロール・マイニング・タスクを検索するには:
  1. 次のいずれかのステップを実行して、「タスクの管理」ページに移動します:
    • Identity Role Intelligenceホーム・ページで、ページの左上にある「アプリケーション・ナビゲーション」メニュー・アイコンをクリックし、「すべてのタスク」をクリックします。
    • Identity Role Intelligenceホーム・ページで、次のいずれかをクリックします:
      • 進行中のタスク: クリックすると、「タスクの管理」ページが開き、後で使用するために保存されたタスクのリストが表示されます。
      • 実行したタスク: クリックすると、「タスクの管理」ページが開き、成功、失敗、実行準備完了または実行中の状態にあるタスクのリストが表示されます。
      • すべてのタスク: クリックすると、「タスクの管理」ページが開き、すべてのロール・マイニング・タスク(進行中と実行済の両方)のリストが表示されます。
  2. 「名前」フィールドに、検索するロール・マイニング・タスクの名前の全部または一部を入力します。入力した文字列で始まるタスクがリストされます。
  3. 「最終更新」リストから、「すべて」「1日」「7日」「1か月」「6か月」のいずれかのオプションを選択し、検索するタスクが作成された期間を指定します。
  4. 「ステータス」フィールドをクリックし、次のいずれかのステータス・オプションを選択または入力します:
    • 保存済: 後で使用するために保存されたロール・マイニング・タスクをフィルタします
    • 実行準備完了: ロール・マイニング・ジョブが開始されていないロール・マイニング・タスクをフィルタします。これは、「保存済」と「実行中」の中間ステータスです。
    • 実行中: 現在実行中のロール・マイニング・タスクをフィルタします
    • 成功: ロールのマイニングが正常に実行されたロール・マイニング・タスクをフィルタします。
    • 失敗: 実行中に失敗したロール・マイニング・タスクをフィルタします。
  5. フィルタされたタスクのリストから、探しているタスクを見つけます。

4.4 ロール・マイニング・タスクの変更

後で使用するために保存したロール・マイニング・タスクを変更するには:
  1. Identity Role Intelligenceホーム・ページの「続行」で、なんらかの処理が進行中のタイルで「進行中のタスク」をクリックします。「タスクの管理」ページに、後で使用するために保存されたすべてのロール・マイニング・タスクのリストが表示されます。

    または、「アプリケーション・ナビゲーション」メニュー・アイコンをクリックし、「すべてのタスク」をクリックすることもできます。「タスクの管理」ページに、すべてのロール・マイニング・タスク(進行中と完了の両方)のリストが表示されます。

  2. 保存済タスクをフィルタし、変更する保存済タスクを検索します。
  3. 保存済タスクの右側にある「編集」アイコンをクリックします。
  4. 「ユーザー」、「アプリケーション」および「権限」タブで、ユーザー、アプリケーションおよび権限の選択基準をそれぞれ追加または削除します。ユーザー、アプリケーションおよび権限の選択基準の指定の詳細は、「ロール・マイニング・タスクの作成」のステップ2から6を参照してください。
  5. 次のいずれかをクリックします。
    • 保存: クリックすると、ロール・マイニング・タスクが後で使用するために保存されます。このオプションをクリックすると、タスクが正常に保存されたことを示すメッセージが表示され、「タスクの管理」ページが表示されます。
    • ロールのマイニング: クリックすると、ロール・マイニング・タスクでのユーザー、アプリケーションおよび権限の選択に基づいて、ロールをマイニングできます。「タスクの保存とロールのマイニング」ダイアログ・ボックスに次のオプションが表示されます:

      名前: ロール・マイニング・タスクの名前を入力します。これは必須フィールドです。

      説明: ロール・マイニング・タスクの説明を入力します。

      「微調整」スライダ: ドラッグすると、候補ロールの数が最小化または最大化されます。スライダを左にドラッグすると、候補ロールの数が最小になります。つまり、ロールによって提供される権限を取得するユーザーが多くなります。一方、スライダを右にドラッグすると、候補ロールの数が最大になります。つまり、ロールによって提供される新しい権限を取得するユーザーが多くなります。

      ロールのマイニング: クリックすると、ロール・マイニング・タスクを実行し、候補ロールを検出できます。タスクの実行リクエストが送信されたことを示すメッセージが表示されます。または、「取消」をクリックして、ロールをマイニングせずに「タスクの保存とロールのマイニング」ダイアログ・ボックスを閉じます。

4.5 ロール・マイニング・タスクのコピー

ロール・マイニング・タスクをコピーするには:
  1. 「タスクの管理」ページで、コピーするタスクを検索します。
  2. タスク行の右側にある「コピー」アイコンをクリックします。タスクがコピーされ、ユーザー、アプリケーションおよび権限のデータ選択ページが表示されます。
  3. 「ユーザー」、「アプリケーション」および「権限」タブで、ユーザー、アプリケーションおよび権限の選択基準をそれぞれ追加または削除します。ユーザー、アプリケーションおよび権限の選択基準の指定の詳細は、「ロール・マイニング・タスクの作成」のステップ2から6を参照してください。
  4. 次のいずれかをクリックします。
    • 保存: クリックすると、ロール・マイニング・タスクが後で使用するために保存されます。このオプションをクリックすると、「タスクの保存」ダイアログ・ボックスが表示されます。「名前」フィールドに、ロール・マイニング・タスクの名前を入力します。これは必須フィールドです。「説明」フィールドに、ロール・マイニング・タスクの説明を入力します。次に、「OK」をクリックします。ロール・マイニング・タスクが正常に保存されたことを示すメッセージが表示されます。
    • ロールのマイニング: クリックすると、ロール・マイニング・タスクでのユーザー、アプリケーションおよび権限の選択に基づいて、ロールをマイニングできます。「タスクの保存とロールのマイニング」ダイアログ・ボックスに次のオプションが表示されます:

      名前: ロール・マイニング・タスクの名前を入力します。これは必須フィールドです。

      説明: ロール・マイニング・タスクの説明を入力します。

      「微調整」スライダ: ドラッグすると、候補ロールの数が最小化または最大化されます。スライダを左にドラッグすると、候補ロールの数が最小になります。つまり、ロールによって提供される権限を取得するユーザーが多くなります。一方、スライダを右にドラッグすると、候補ロールの数が最大になります。つまり、ロールによって提供される新しい権限を取得するユーザーが多くなります。

      ロールのマイニング: クリックすると、ロール・マイニング・タスクを実行し、候補ロールを検出できます。タスクの実行リクエストが送信されたことを示すメッセージが表示されます。または、「取消」をクリックして、ロールをマイニングせずに「タスクの保存とロールのマイニング」ダイアログ・ボックスを閉じます。

4.6 ロールのマイニング

候補ロールの検出のためにロールをマイニングするには:
  1. 次のいずれかの方法で、ロール・マイニング・タスクを実行します:
    • ロール・マイニング・タスクを作成するページで、ユーザー、アプリケーションおよび権限の基準を選択した後、「ロールのマイニング」をクリックします。
    • 「タスクの管理」ページで、実行する進行中のタスクまたは実行済のタスクを検索し、「ロールのマイニング」をクリックします。
    「ロールのマイニング」ダイアログ・ボックスが表示されます。
  2. 「微調整」スライダをドラッグして、候補ロールの数を最小化または最大化します。
    スライダを左にドラッグすると、候補ロールの数が最小になります。つまり、ロールによって提供される権限を取得するユーザーが多くなります。一方、スライダを右にドラッグすると、候補ロールの数が最大になります。つまり、ロールによる権限を取得するユーザーが少なくなります。
  3. 「ロールのマイニング」をクリックします。タスクの実行リクエストが送信されたことを示すメッセージが表示されます。

4.7 古いデータの管理

Oracle Identity Role Intelligence (OIRI)へのデータ・インポートは、OIRIスキーマに格納されているエンティティを一定期間にわたって追加、変更または削除できる継続的なプロセスです。カスタム属性は、プロセスの様々なステージで追加、変更または削除することもできます。エンティティまたはカスタム属性が変更された場合、変更以降のデータに基づいて行われていた既存のロール・マイニング・タスクに影響する可能性があります。古いデータの管理によって、ロール・マイニング管理者は、OIRIアプリケーションで特定のロール・マイニング結果(タスクまたは候補ロール)にフラグを付けることで、これが古いデータに基づいているかどうかを判断できます。

表4-1は、古いデータに関連付けることができるユースケースと、そのような状況がタスク・ロールと候補ロールでどのようにフラグ付けされるかを示しています。

表4-1 古いデータの管理のユースケース

ユースケース サマリー 結果
カスタム属性の削除
  1. ロール管理者は顧客属性「会社コード」を定義します。
  2. ロール管理者は、「会社コード」カスタム属性を使用するタスクを作成して実行します。
  3. ロール管理者は「会社コード」カスタム属性を削除します。
  • カスタム属性を使用するタスクは、古いものとしてマークされます。
  • 影響を受けるタスクには、警告フラグとメッセージが表示されます。
  • 属性は次から削除されます
    • タスクの表示
    • タスクのコピー
    • タスクの編集
  • 古いタスクが実行された場合、ロール管理者には、不足しているデータに関連するエラー・メッセージが表示されます。

ノート:

古いデータの機能では、基礎となるデータの問題にフラグが付きますが、バックエンドで問題の修正は行われません。ロール管理者は、古いデータにフラグが付いている場合、新しいタスクを実行するなど、関連するアクションを実行する必要があります。
エンティティ・データの削除
  • ユーザー
  • 権限
  • 割当て
  • ロール
  • ロール・ユーザー・メンバーシップ
  • ロール権限
  1. ロール管理者はロール・マイニング・タスク「MyTask」を作成します。
  2. 「MyTask」は複数回実行され、候補ロール「CR1」、「CR2」...「CR5」が出力されます。
  3. データ・ロードは、「MyTask」の基準の一部を構成するエンティティがソースから削除されている場所で実行されます。
  • すべての候補ロール「CR1」、「CR2」...「CR5」は、古いものとしてマークされます。
  • 影響を受ける候補ロールには、警告フラグとメッセージが表示されます。
  • 削除された権限は、「候補ロール」詳細画面に表示されません。

ノート:

「タスク」「候補ロール」および「発行したロール」のユーザーおよび権限の数は、欠落しているエンティティの分析は再生成されないため、同じままです。
古いタスクの受入れ
  1. タスクとその候補ロールは、古いものとしてマークされています。
  • ロール管理者は、「古いデータの受入れ」オプションをクリックし、ダイアログ・ボックスで「受入れ」を選択することで、変更を受け入れることができます。これを確認すると、タスクとその候補ロールから古いデータ・フラグが削除されます。
古い候補ロールの受入れ
  1. タスクとその候補ロールは、古いものとしてマークされています。
  • ロール管理者は、「古いデータの受入れ」オプションをクリックし、ダイアログ・ボックスで「受入れ」を選択することで、変更を受け入れることができます。これを確認すると、候補ロールから古いデータ・フラグが削除されます。