1 Oracle Identity Role Intelligenceの概要
Oracle Identity Role Intelligenceは、ロールベースのアクセス制御(RBAC)を最適化するための、インテリジェントで自動化された柔軟な方法です。
この章では、Oracle Identity Role Intelligence (OIRI)の機能について次のトピックで説明します:
1.1 Oracle Identity Role Intelligenceについて
ロールベースのアクセス制御(RBAC)は、次の課題に直面しています:
-
手動プロセスとしてロールを作成するのは時間がかかります。権限データは、人間が分析および解釈するには困難で複雑なものです。
-
権限は時間の経過とともに蓄積されます。ユーザーとアプリケーションのデータは絶えず変化します。
-
ロールは、再編、合併、買収などの企業活動に合せて維持および変更することが困難です。
-
組織が様々なビジネス・ユニットにロールを採用する前に、What-If分析を提供するためのツールが不足しています。
これらの課題は、新しいOracle Identity Role Intelligence (OIRI)マイクロサービスによって解決されます。これはコンテナ化されたマイクロサービスであり、Oracle Identity Governance (OIG)の拡張機能です。マイクロサービスは、オンプレミスまたはクラウドにデプロイできます。オンプレミス環境用のKubernetesコンテナにデプロイできます。
ノート:
このドキュメントでは、Oracle Identity Role IntelligenceをOIRI、Oracle Identity GovernanceをOIGと呼びます。
OIRIのソリューション・コンポーネントは次のとおりです:
-
データ・イングレス: OIGデータベースまたはフラット・ファイルからのOIRIへのデータ・インポートを完全モードおよび増分モードでサポートします
-
データ・モデリング: データ・モデルを使用すると、ユーザー、アプリケーションおよび権限の属性の組合せに基づいて、ロール・マイニング・タスクを定義できます。
-
予測分析: OIRIでは、Oracle DatabaseのKMeanクラスタリングおよび監視対象外の機械学習(ML)アルゴリズムが使用されます。回帰モデルは、共通の権限属性に基づいてユーザー・データをグループ化し、関連する一致した候補ロールを予測します。
-
アシスタント: 候補ロールをシステム内の既存のロールと比較します。候補ロールをシステムに発行して、ロールの重複や急増を回避できます。
-
データ・エグレス: 候補ロールをOracle Identity Governanceに発行するための自動化を提供し、ワークフロー承認をトリガーします。
OIRIの機能
OIRIの主な機能は次のとおりです:
-
ピア・グループ間での権限パターンの検出
-
ユーザー属性に基づいてロール・マイニングを行うトップダウン・アプローチ、アプリケーションと権限に基づいてデータをフィルタするボトムアップ・アプローチ、またはハイブリッド・アプローチのサポート
-
候補ロールの既存ロールとの比較によるロール急増の回避
-
ユーザー・アフィニティおよびロール・アフィニティに基づいて候補ロールを微調整する機能
-
ロールを採用するワークフローをトリガーするためのOIGへのロールの自動発行
-
OIGデータベースやフラット・ファイルなど、様々なソースからデータをマージし、候補ロールを本番に移行する前にWhat-If分析を提供する機能
ビジネス上の利点
OIRIを使用するビジネス上の利点は、次のとおりです:
-
OIRIは、ロールの検出とプロビジョニングを自動化することで、エラーが発生しやすい手動のロール作成プロセスを排除します。
-
既存のRBACを最適化します。
-
合併、買収または新規アプリケーション・オンボードに役立つWhat-If分析を提供します。
1.2 ロール・マイニングについて
ロール・マイニング・プロセスでは、論理的にグループ化してロールを形成できる類似のアクセス権限に基づいて、ユーザー間の関係を検出します。ロール・エンジニアは、最適なマイニング結果を返すアプリケーションおよび属性を指定できます。ロール・マイニングは、ロール検出とも呼ばれます。
OIGを使用したロール・マイニングでは、OIRIデータ・インポート(またはデータ取込み)サービスでOIGから抽出されたデータを使用して、ロール・マイニング・タスクを作成できます。OIGデータには、ユーザー、ロール、アプリケーションおよび権限情報が含まれます。ロール・マイニング・タスクでは、ユーザーとアプリケーションの属性値でフィルタされたOIGデータ内のユーザーと権限間の関係が検出されます。これらの権限は、候補ロールにクラスタ化されます。ロール・エンジニアは、ユーザーとロールのアフィニティおよびロールと権限のアフィニティを調整することで候補ロールを絞り込み、OIRIロール・マイニング分析に基づいて詳細な分析を実行できます。問題がない場合は、候補ロールをOIGに発行し、承認してRBACで採用できます。
フラット・ファイルを使用したロール・マイニングでは、フラット・ファイルをデータ・ソースとして使用することでロール・マイニング・タスクを作成できます。これにより、オフラインのアイデンティティ・ロール・マイニングが可能になり、ユーザーは稼働中のシステムに接続することなく、OIGの外部でロールを柔軟に検出できます。ロール・マイニング・タスクは、フラット・ファイルでロードされたユーザー、アプリケーションおよび権限に基づいてロールを検出します。その後、候補ロールを絞り込み、OIGに発行できます。
1.3 ロール・マイニングを使用したRBACの最適化
図1-1は、OIRIのロール・マイニング機能を使用して、複数のシステムからRBACを最適化するためのシナリオを示しています。
ここでは、ロール・マイニング・プロセスのステップは次のとおりです:
-
エンティティ・データは、OIGデータベースまたはフラット・ファイルからOIRIデータベースにインポートされます。OIRIにデータをインポートするプロセスは、データ・インポートまたはデータ取込みと呼ばれます。
-
ロール・マイニング・システムは、ユーザー、アプリケーションおよび権限の属性に基づいてデータをフィルタし、ロール・マイニング・タスクを実行して候補ロールを検出します。
-
OIRIは、候補ロールの分析を提供し、ロールの類似度データを提供して既存のロールと比較することで、候補ロールを確認および調整できるようにします。
-
候補ロールとロール・メンバーシップがOIGに発行され、承認のためのワークフローがトリガーされます。