1. Oracle Identity Role Intelligenceの管理
  2. Oracle Identity Role Intelligenceの概要

1 Oracle Identity Role Intelligenceの概要

Oracle Identity Role Intelligenceは、ロールベースのアクセス制御(RBAC)を最適化するための、インテリジェントで自動化された柔軟な方法です。

この章では、Oracle Identity Role Intelligence (OIRI)の機能について次のトピックで説明します:

1.1 Oracle Identity Role Intelligenceについて

ロールベースのアクセス制御(RBAC)は、次の課題に直面しています:

  • 手動プロセスとしてロールを作成するのは時間がかかります。権限データは、人間が分析および解釈するには困難で複雑なものです。

  • 権限は時間の経過とともに蓄積されます。ユーザーとアプリケーションのデータは絶えず変化します。

  • ロールは、再編、合併、買収などの企業活動に合せて維持および変更することが困難です。

  • 組織が様々なビジネス・ユニットにロールを採用する前に、What-If分析を提供するためのツールが不足しています。

これらの課題は、新しいOracle Identity Role Intelligence (OIRI)マイクロサービスによって解決されます。これはコンテナ化されたマイクロサービスであり、Oracle Identity Governance (OIG)の拡張機能です。マイクロサービスは、オンプレミスまたはクラウドにデプロイできます。オンプレミス環境用のKubernetesコンテナにデプロイできます。

ノート:

このドキュメントでは、Oracle Identity Role IntelligenceをOIRI、Oracle Identity GovernanceをOIGと呼びます。

OIRIのソリューション・コンポーネントは次のとおりです:

  • データ・イングレス: OIGデータベースまたはフラット・ファイルからのOIRIへのデータ・インポートを完全モードおよび増分モードでサポートします

  • データ・モデリング: データ・モデルを使用すると、ユーザー、アプリケーションおよび権限の属性の組合せに基づいて、ロール・マイニング・タスクを定義できます。

  • 予測分析: OIRIでは、Oracle DatabaseのKMeanクラスタリングおよび監視対象外の機械学習(ML)アルゴリズムが使用されます。回帰モデルは、共通の権限属性に基づいてユーザー・データをグループ化し、関連する一致した候補ロールを予測します。

  • アシスタント: 候補ロールをシステム内の既存のロールと比較します。候補ロールをシステムに発行して、ロールの重複や急増を回避できます。

  • データ・エグレス: 候補ロールをOracle Identity Governanceに発行するための自動化を提供し、ワークフロー承認をトリガーします。

OIRIの機能

OIRIの主な機能は次のとおりです:

  • ピア・グループ間での権限パターンの検出

  • ユーザー属性に基づいてロール・マイニングを行うトップダウン・アプローチ、アプリケーションと権限に基づいてデータをフィルタするボトムアップ・アプローチ、またはハイブリッド・アプローチのサポート

  • 候補ロールの既存ロールとの比較によるロール急増の回避

  • ユーザー・アフィニティおよびロール・アフィニティに基づいて候補ロールを微調整する機能

  • ロールを採用するワークフローをトリガーするためのOIGへのロールの自動発行

  • OIGデータベースやフラット・ファイルなど、様々なソースからデータをマージし、候補ロールを本番に移行する前にWhat-If分析を提供する機能

ビジネス上の利点

OIRIを使用するビジネス上の利点は、次のとおりです:

  • OIRIは、ロールの検出とプロビジョニングを自動化することで、エラーが発生しやすい手動のロール作成プロセスを排除します。

  • 既存のRBACを最適化します。

  • 合併、買収または新規アプリケーション・オンボードに役立つWhat-If分析を提供します。

1.2 ロール・マイニングについて

ロール・マイニング・プロセスでは、論理的にグループ化してロールを形成できる類似のアクセス権限に基づいて、ユーザー間の関係を検出します。ロール・エンジニアは、最適なマイニング結果を返すアプリケーションおよび属性を指定できます。ロール・マイニングは、ロール検出とも呼ばれます。

OIGを使用したロール・マイニングでは、OIRIデータ・インポート(またはデータ取込み)サービスでOIGから抽出されたデータを使用して、ロール・マイニング・タスクを作成できます。OIGデータには、ユーザー、ロール、アプリケーションおよび権限情報が含まれます。ロール・マイニング・タスクでは、ユーザーとアプリケーションの属性値でフィルタされたOIGデータ内のユーザーと権限間の関係が検出されます。これらの権限は、候補ロールにクラスタ化されます。ロール・エンジニアは、ユーザーとロールのアフィニティおよびロールと権限のアフィニティを調整することで候補ロールを絞り込み、OIRIロール・マイニング分析に基づいて詳細な分析を実行できます。問題がない場合は、候補ロールをOIGに発行し、承認してRBACで採用できます。

フラット・ファイルを使用したロール・マイニングでは、フラット・ファイルをデータ・ソースとして使用することでロール・マイニング・タスクを作成できます。これにより、オフラインのアイデンティティ・ロール・マイニングが可能になり、ユーザーは稼働中のシステムに接続することなく、OIGの外部でロールを柔軟に検出できます。ロール・マイニング・タスクは、フラット・ファイルでロードされたユーザー、アプリケーションおよび権限に基づいてロールを検出します。その後、候補ロールを絞り込み、OIGに発行できます。

1.3 ロール・マイニングを使用したRBACの最適化

図1-1は、OIRIのロール・マイニング機能を使用して、複数のシステムからRBACを最適化するためのシナリオを示しています。

図1-1 複数のシステムからのRBACの最適化

図1-1の説明が続く
「図1-1 複数のシステムからのRBACの最適化」の説明

ここでは、ロール・マイニング・プロセスのステップは次のとおりです:

  1. エンティティ・データは、OIGデータベースまたはフラット・ファイルからOIRIデータベースにインポートされます。OIRIにデータをインポートするプロセスは、データ・インポートまたはデータ取込みと呼ばれます。

  2. ロール・マイニング・システムは、ユーザー、アプリケーションおよび権限の属性に基づいてデータをフィルタし、ロール・マイニング・タスクを実行して候補ロールを検出します。

  3. OIRIは、候補ロールの分析を提供し、ロールの類似度データを提供して既存のロールと比較することで、候補ロールを確認および調整できるようにします。

  4. 候補ロールとロール・メンバーシップがOIGに発行され、承認のためのワークフローがトリガーされます。