リリース9.0
B31960-01
 目次 |
 索引 |
| Oracle Identity Manager 管理およびユーザー・コンソール・ガイド リリース9.0 B31960-01 |
|
アテステーションを使用すると、レビューアは、確認が必要なレポートについて通知を受けることができます。そのレポートは一部のユーザーが持つプロビジョニング済リソースについて記述したものです。レビューアは、レスポンスを入力することにより、権限の正確さをアテストすることができます。このアテステーション・アクションは、レビューアが入力したレスポンス、関連コメント、およびレビューアが参照してアテストしたデータの監査ビューとともにトラッキングと監査を受け、アカウンタビリティの完全な証跡を残します。Oracle Identity Managerでは、このプロセスをアテステーション・タスクと呼びます。
Oracle Identity Managerでは、アテステーションはスケジュール済アテステーション・プロセスの定義によってサポートされます。アテステーション・プロセスはOracle Identity Managerワークフローと同じではありません。Oracle Identity Managerユーザー用のアテステーション・タスクを作成するのは、Oracle Identity Managerの構成パラメータでハードコードされたビジネス・プロセスです。ユーザーはレビューアとして作業し、このプロセスを完了して正しい監査情報を提供する必要があります。
プロビジョニング済リソース・インスタンスのアテステーション・アクティビティのトラッキングは、リソース・オブジェクトのプロビジョニング・プロセス内のタスクにより実行されます。アテステーション・アクションに基づいてワークフロー・アクティビティを開始することができます。開始される追加アクティビティと、プロセス定義フォームやワークフロー・デザイナでモデリング可能なワークフローは、初期アテステーション・アクションに基づいて開始できます。これは、Oracle Identity Managerで定義されているプロビジョニング・プロセス内のアテステーション・サブフローにより実現されています。
アテステーション・アクティビティは、定期的または非定型ベースで開始されます。
レビューアは、アテステーション・タスク内の特定の権限を他のユーザーに委任してレビューさせることができます。これは、別のアテステーション・タスクが作成され、委任されたユーザーに割り当てられることで行われます。
この付録では、次の内容について説明します。
アテステーション・プロセスは、アテステーション・タスクを設定するメカニズムです。このため、アテステーション・タスクを構成するすべてのコンポーネントを定義して、適切なスケジュールに関連付ける方法を理解する必要があります。この定義も、同一のアテステーション・タスクを非定型に開始するための基盤です。このため、アテステーション・プロセスの定義には次のものが含まれます。
プロセスが一連のレビューアを定義している場合、単一のアテステーション・プロセスから複数のアテステーション・タスクが発生することもあります。このような場合、プロセスから、各レビューアに対して1つずつアテステーション・タスクが発生することになります。
次の各項では、アテステーション・プロセスの制御方法について説明します。
アテステーション・プロセスはすべて、無効化して事前設定のスケジュールどおりに実行されないようにできます。これにより、管理者は環境を制御しやすくなります。無効化されたアテステーション・プロセスは有効化できますが、次の実行予定時刻を過ぎると有効化できません。アテステーション・プロセスを有効化するユーザーは、次の実行予定時刻を未来に設定する必要があります。
アテステーション・プロセスはすべて、削除可能です。これはソフト削除と呼ばれます。実際にはレコードは削除されません。監査目的で維持する必要があります。そのかわりに、アテステーション・プロセスに削除済のマークが付けられます。
削除済のプロセスは管理インタフェースに表示されません。プロセス名とコードは一意なので、1回使用した名前を2回使用することはできません。同じ名前で新しいアテステーション・プロセスを作成することはできません。
アテステーション・プロセスの基本目的は、Oracle Identity Managerにアテステーション・タスクを設定することです。アテステーション・タスクはユーザーのアテステーション受信ボックスに表示されます。アテステーション・タスクの基本コンポーネントを次に示します。
アテステーション受信ボックスを使用すると、割り当てられているアテステーション・タスクを管理できます。
この受信ボックスから、割り当てられているアテステーション・タスクを表示し、レスポンスとコメントを入力することができます。
アテステーション・プロセスが実行されると、アテステーション・リクエストが作成され、Oracle Identity Managerデータ・ストアに記録されます。このリクエストは、アテステーション・プロセスが実行される際の監査レコードの役目を果します。アテステーション・リクエスト・レコードは、レポートで使用される、基本的な識別データと監査データ、および統計データから構成されています。データには次の項目が含まれています。
権限の数は次のとおりです。
権限の総数=認証された数+却下された数+拒否された数
管理者は、Oracle Identity Managerの各リソース・オブジェクト定義を、財務的に意味を持つかどうかという点からマークできます。
このプロパティの役割は、ある種のアテステーション適用範囲を持つリソースにフラグを立てることです。これは、次のことを判断するために使用されます。
ユーザーベースのアテステーション・スコープを持つアテステーション・プロセスの一部としてアテステーションを必要とするユーザー権限を判断するとき、財務的に意味を持つものとしてマークを付けられたリソースに対するユーザー権限のみが考慮されます。
リソースの作成時、このフラグはデフォルトでオフです(財務的に意味を持たない)。
アテステーション・タスクに割り当てられているレビューアが、タスク内のすべての権限をアテストできない場合があります。これには複数の原因が考えられます。
こうした場合、レビューアが他のユーザーをレビューに参加させたいと考えることがあります。レビューアは、タスク内の一部の権限のアテステーションを委任できます。
アテステーションを委任するには、レビューアがタスク内で権限のセットを選択し、それを他のユーザーに委任します。これにより新しいアテステーション・タスクが作成され、選択されたレビューアに割り当てられます。新しいタスクは、元のレビューアが選択した権限のみを含んでいます。これ以降、元のレビューアは、それらの権限に対するアテステーション・レスポンスの入力を担当しません。委任先に割り当てられた新しいアテステーション・タスクは、委任元、タスクの発生元、およびその他の通常の情報、たとえばリクエストIDなどをトラッキングします。新しいアテステーション・タスクは、他のあらゆるアテステーション・タスクと同じように処理されます。委任することも可能です。
Oracle Identity Managerにおけるアテステーション・ライフサイクルについて、次に説明します。
この段階は、アテステーション・プロセスの実行時に開始されます。図A-1のフローチャートにワークフローを示します。
アテステーション・プロセスが実行されると、対応するアテステーション・プロセス・インスタンスが最初に作成されます。今回のプロセス実行に対するレビューアが識別されます。多くの場合、レビューアは1人だけですが、複数のレビューアがいることもあります。
プロセスは各レビューアに対してアテステーション・タスクを作成し、関連するアテステーション日を設定します。レビューアが無効の場合、プロセスによって、不適切レビューアのリストにレビューアの名前などの詳細情報が追加されます。レビューアが無効なのは、Oracle Identity Managerユーザー・レコードが無効または削除済の場合、あるいはユーザーが代行者を指定していて、その代行者が現在アクティブである場合です。また、電子メール・アドレスが定義されていないレビューアのリストも計算されます。
プロセスは、有効な各レビューアに対して、プロセスで定義されたアテステーション・スコープによって決定されたとおりに、レビューアがアテストする必要があるすべてのユーザー権限を計算します。アテステーション・スコープがユーザーベースの場合、財務的に意味があるというマークが付けられたリソースのみが取得されます。プロセスは、タスクのアテステーション・データに、それらのユーザー権限に関する参照およびその他の関連情報を追加します。また、そのタスクが扱う権限の数を、プロセス・インスタンスのアテステーションで識別されている権限の総数に対応する統計フィールドに追加します。続いて、プロセスにより、レビューアに電子メール・メッセージが送信されます。
各レビューアを調査した後、プロセスは無効なレビューアをチェックし、いる場合は、無効なレビューアのリストをプロセス所有者に電子メールで送信します。また、電子メール・アドレスが定義されていないレビューアに関する電子メールも、プロセス所有者に送信します。
この段階の終了時、アテステーション・タスクはすべて、レビューアのアテステーション受信ボックスにあります。
アテステーション・タスクがレビューアに割り当てられると、レビューアは電子メールを受信し、タスクは各レビューアのアテステーション受信ボックスに表示されます。レビューアは自分のアテステーション受信ボックスでタスクの詳細を参照します。
レビューアは、タスク詳細のページから各権限に対してレスポンスおよびオプションのコメントを入力します。これにより、タスク内のアテステーション権限の詳細に、「レスポンス入力済」のマークが付けられます。
レビューアのレスポンスに、特定の権限のアテステーション・アクティビティの委任が含まれている場合は、レビューアは委任するユーザーを入力する必要があります。レビューアはオプションとして、なぜそのユーザーにアテステーション・アクティビティを委任するか、コメントを入力することができます。
レビューアは、すべての権限にレスポンスを入力した後、すべてのレスポンスを送信することによって、アテステーション・タスクのアクションをコミットすることができます。
この時点で、次の段階であるアテステーション・ビジネス・プロセスが開始されます。
アテステーション・タスクは「送信済」とマークされています。この時点でアテステーション・タスクは凍結され、それ以上作業できません。アテステーション・タスクの各権限について、レスポンスが調査されます。
レスポンスが認証または却下の場合、その権限に対応するプロビジョニング済のリソース・インスタンスが、それに応じて更新されます。プロビジョニング済のリソース・インスタンスのレベルで、最後のアテステーション結果、最後のアテステーションの発生時刻、および誰がレビューアであったかが記録されます。レスポンスが拒否または委任だった場合、プロビジョニング済リソース・レベルでのアテステーション詳細は変更されません。
アテステーション・プロセスのタイプに応じて、「ユーザー・アテステーション・イベントが発生しました」タスクまたは「リソース・アテステーション・イベントが発生しました」タスクが、リソース・インスタンスのプロビジョニング・プロセスに挿入されます。アテステーション・ドリブンのワークフローが定義されている場合は、これにより開始されます。コメントはすべてタスクのメモ・フィールドに保存されます。
タスクのアテステーション権限の詳細には「レスポンス送信済」のマークが付けられます。
次の統計情報が、プロセス・インスタンスに基づいて更新されます。
すべての権限を処理した後で、フォローアップ・アクションのサブフローが開始されます。このフローでは、プロセスによって、タスクの権限のいずれかに対するレスポンスが拒否されたかどうかが調べられます。そのような権限があった場合、プロセスは拒否の詳細を概説しているプロセス所有者に電子メールを送信します。
次に、タスクの権限のいずれかに対するレスポンスが委任されたかどうかが調べられます。そのような権限があった場合、レビューアが委任先として選択したすべてのユーザーが識別され、それぞれのアテステーション・タスクが作成されます。各アテステーション・タスクは、レビューアがそのユーザーに委任した権限のみに関するものです。委任されたユーザーは、電子メールで委任を通知されます。
委任されたアテステーション・タスクがすべて作成されると、サブフローは終了し、メイン・フローに合流します。
フォローアップ・フローが完了すると、アテステーション・タスクには「完了」のマークが付けられます。
アテステーション・エンジンは、アテステーション・ライフサイクルを実装します。これはOracle Identity Managerアーキテクチャ内のサービスで、特定のアテステーション・プロセスを開始する指示を受信するためのAPIを公開しています。このAPIはアテステーション・スケジュール・タスクや、「アテステーション・プロセスの詳細」ページの「即時実行」ボタンから呼び出されて、非定型の実行をサポートします。アテステーション・プロセスを開始する、両方のドライバをサポートしています。
アテステーション・エンジンは、可能な場合はオフライン処理へのメッセージングを使用してトランザクションを分離し、エンドユーザーにパフォーマンスの問題が発生しないようにします。
Oracle Identity Managerで定義されているアテステーション・プロセスの調査と、システムで必要なアテステーション・タスクの作成を担当する、システムの新しいスケジュール済タスクです。
このスケジュール済タスクの主要な機能は次のとおりです。
Oracle Identity Managerで定義されているプロビジョニング・プロセスが、アテステーション・アクティビティからのトリガーをリスニングするように拡張されます。これにより、顧客はプロビジョニング・ワークフローの一部として、アテステーションの発生(拒否の場合は発生しない)に対応し、したがってアテステーションの発生時に開始される、カスタムのワークフローを定義できます。
これは2つの目的に役立ちます。
アテステーション・エンジンは、アテステーション・プロセスの一部として、各種の関係者に電子メールを送信します。顧客が電子メールの内容を設定できるようにするために、顧客に対して、Oracle Identity Managerの電子メール定義ストアの一般タイプの電子メール・テンプレートが使用可能に設定されます。コンテキストに依存するよう、電子メールでは、適切な値に置き換えられる各種の電子メール変数がサポートされます。
このテンプレートは、アテステーション・タスクが割り当てられているレビューアに送信する電子メールを作成するために使用されます。
「Notify Attestation Reviewer」テンプレートの変数を次に示します。
| 変数名 | 説明 |
|---|---|
|
< |
アテステーション・プロセスの名前 |
|
< |
アテステーション・プロセスのコード |
|
< |
アテステーション・タスクが割り当てられた日付 |
「Notify Attestation Reviewer」テンプレートにより定義された電子メール・メッセージの件名行を次に示します。
A new attestation task for attestation process <Attestation Definition.Process Name>
has been added to your attestation inbox
電子メール・メッセージの本文には次の情報が含まれます。
The attestation task details are as follows Process Name: <Attestation Definition.Process Name> Process Code: <Attestation Definition.Process Code> Data Type: Access Rights Assigned Date: <Attestation Task.Task Assigned Date>
このテンプレートは、アテステーション・タスクを委任されたレビューアに送信する電子メールを作成するために使用されます。
「Notify Delegated Reviewers」テンプレートの変数を次に示します。
「Notify Delegated Reviewers」テンプレートにより定義された電子メール・メッセージの件名行を次に示します。
<Attestation Task.Delegated By User Id> has delegated to you an attestation task from attestation process <Attestation Definition.Process Name>
メッセージの本文には次の情報が含まれます。
The attestation task details are as follows Process Name: <Attestation Definition.Process Name> Process Code: <Attestation Definition.Process Code> Data Type: Access Rights Assigned Date: <Attestation Task.Task Assigned Date> Delegated By: <Attestation Task.Delegated By First Name> <Attestation Task.Delegated By Last Name> [<Attestation Task.Delegated By User Id>]
「Invalid Attestation Reviewers」テンプレートは、プロセス内のアテステーション・タスクを生成する際に無効なレビューアが見つかったことをプロセス所有者に通知するために送信する電子メールを作成するために使用されます。
「Notify Process Owner about Attestations Reviewers」テンプレートの変数を次に示します。
「Notify Process Owner about Attestations Reviewers」テンプレートにより定義された電子メール・メッセージの件名行を次に示します。
Some of the reviewers are invalid for the attestation process <Attestation Definition.Process Name>, request <Attestation Request.Request Id>
メッセージの本文には次の情報が含まれます。
The following attestation process generated some invalid reviewers. Attestation process: <Attestation Definition.Process Name> Attestation Request ID: request <Attestation Request.Request Id> Request date: <Attestation Request.Request Creation Date> Invalid Reviewers: <Attestation Task.Reviewer First Name> <Attestation Task.Reviewer Last Name> [<Attestation Task.Reviewer User Id>] - <Attestation Task.Reviewer Invalid Reason>
レビューアの詳細が複数ある場合は、1行に1件ずつ表示されます。
「Notify Declined Attestation Entitlements」テンプレートは、拒否された権限アテステーション・タスクについてプロセス所有者に通知するために送信する電子メールを作成するために使用されます。
「Notify Process Owner about Declined Attestation Entitlements」テンプレートの変数を次に示します。
「Notify Process Owner about Declined Attestation Entitlements」テンプレートにより定義された電子メール・メッセージの件名行を次に示します。
User access rights in attestation request <Attestation Request.Request Id> have been declined by <Attestation Task.Reviewer User Id>
メッセージの本文に表示される内容は次のとおりです。
Attestation of the following user access rights were declined by the reviewer. Reviewer: <Attestation Task.Reviewer First Name> <Attestation Task.Reviewer Last Name> [<Attestation Task.Reviewer User Id>] Attestation Process: <Attestation Definition.Process Name> Attestation Request ID: request <Attestation Request.Request Id> Access Rights Data: <Attestation Data.Provisioned User First Name> <Attestation Data.Provisioned User Last Name> [<Attestation Data.Provisioned User User Id>] - <Attestation Data.Resource Name> - <Attestation Data.Entitlement Descriptive Data>
権限データは1行に1つずつ表示されます。
「Attestation Reviewers With No Email Defined」テンプレートは、電子メール・アドレスが定義されていないレビューアについて、プロセス所有者に通知するために送信する電子メールを作成するために使用されます。
「Notify Process Owner About Reviewers with No Email Defined」テンプレートの変数は次のとおりです。
「Notify Process Owner About Reviewers with No Email Defined」テンプレートにより定義される電子メールの件名行を次に示します。
Email address is not defined for some of the reviewers in attestation process <Attestation Definition.Process Name>, request <Attestation Request.Request Id>
メッセージの本文は次のとおりです。
The following attestation reviewers do not have email addresses defined. Attestation requests have been generated for these reviewers and can be accessed by logging into Oracle Identity Manager. However, notification emails were not sent. Attestation process: <Attestation Definition.Process Name> Attestation Request ID: request <Attestation Request.Request Id> Request date: <Attestation Request.Request Creation Date> Reviewers Without Email: <Attestation Task.Reviewer First Name> <Attestation Task.Reviewer Last Name> [<Attestation Task.Reviewer User Id>]
レビューアの詳細が複数ある場合は、1行に1件ずつ表示されます。
|
 Copyright © 2006 Oracle Corporation. All Rights Reserved. |
|