15 アテステーション

アテステーション・タスクは、作成、管理および表示することができます。

この章の内容は、次のとおりです。

• アテステーション・プロセスの設定

• アテステーション・プロセスの作成

• アテステーション・プロセスの管理

• アテステーション・ダッシュボードの使用

  関連項目 Oracle Identity Managerの管理およびユーザー・コンソールでのアテステーションの使用の詳細は、付録A「アテステーションの理解」を参照してください。

アテステーション・プロセスの設定

管理およびユーザー・コンソールのメニュー項目から、アテステーション・プロセスの構成画面にアクセスできます。Oracle Identity Manager管理者は、この画面を使用して次の操作を実行できます。

• 新しいアテステーション・プロセスの定義

• 既存のプロセスの管理

• 非定型アテステーション・プロセスの開始

メニュー構造

最上位の「アテステーション」メニューには、次のリンクがあります。

• 作成

• 管理

• ダッシュボード

これらのメニュー項目は、Oracle Identity Manager管理コンソールのすべてのメニュー項目を管理する同一の委任管理権限により管理されています。

これらのメニュー項目は定義済ですが、Oracle Identity Managerのグループには割り当てられていません。監査コンプライアンス・コンポーネントがインストールされている場合、それらはOracle Identity Managerのシステム管理者グループに割り当てられます。

システム制御

アテステーションには次の依存性があります。

• ユーザー・プロファイル監査機能を有効にする必要があります。

• 履歴データは、少なくともプロセス・フォーム・レベルの深さまで収集する必要があります。

監査レベルが必要なレベルより下に設定されている場合、アテステーションに関連するメニュー項目のリンクをクリックすると「アテステーション機能は使用できません」ページが生成され、ユーザーによるアテステーション・プロセスの定義ができなくなります。

監査レベルはXL.UserProfileAuditDataCollectionというシステム・プロパティに制御されており、アテステーション機能では、この値が少なくとも「リソース・フォーム」に設定される必要があります。

アテステーション・プロセスの作成

次の手順で、アテステーション・プロセスを設定する方法について説明します。

注意 次の手順では、Oracle Identity Manager権限モデルが適用されています。このモデルではターゲット（たとえばユーザー）のリストを、ログインしているユーザーが読取りアクセス権を持っているターゲットのみに制限します。

新しいアテステーション・プロセスを作成するには、次の手順を実行します。

1. 「アテステーション」リンクを展開し、「作成」をクリックします。

   「ステップ1: プロセスの定義」ページが表示されます。

2. フィールドに値を入力して「次へ」をクリックします。次の表にフィールドの説明を示します。

   フィールド	説明
   名前*	アテステーション・プロセスの一意の名前を示します。名前は、無効化および削除されたアテステーション・プロセスの中で一意である必要があります。
   コード	プロセスの識別コード（32文字以下）。コードは、無効化および削除されたアテステーション・プロセスの中で一意である必要があります。
   説明	アテステーション・プロセスの詳細説明です。

3. 「ステップ2: アテステーションのスコープとレビューアを定義」ページで、次の手順を実行します。
   1. アテステーション・スコープは、アテステーションのターゲットが選択されるアルゴリズムを定義します。最初の3つのオプションは「ユーザー権限のアテステーション」に対応しており、決定されたユーザーの、財務的に意味のある権限がすべて確認およびアテストされる必要があります。アルゴリズムは、アテステーションを必要とする権限を持つユーザーを（上下関係、グループのメンバーシップまたはユーザーが定義される組織に基づいて）選択する方法を決定します。

      4つ目のオプションは「リソース権限のアテステーション」に対応しています。この場合、ユーザーや、そのユーザーの持つ他の権限に関係なく、特定のリソースへのアクセスはすべてアテストされる必要があります。このためこのオプションでは、アクセスをアテストするリソースを管理者が選択します。

      アテステーション・スコープのタイプは次のいずれかを選択します。

      マネージャにレポートするユーザー

      グループのメンバー

      組織のユーザー

      単一リソースに対するユーザー・アクセス

   2. 選択したアテステーション・スコープの隣にある拡大鏡をクリックして、マネージャ、グループ、組織またはリソースを選択します。

   3. 次のアテステーション・レビューアのいずれかを選択します。

      各ユーザーのマネージャ

      この場合、ターゲット・ユーザー・セットに属するレポートを持つ各マネージャ用に1つずつ、複数のアテステーション・タスクを設定できます。

      特定のレビューア

      このレビューアは、ターゲット・セット全体のレビューアでもかまいません。

   4. 前の手順で特定のレビューアを選択した場合は、拡大鏡をクリックしてレビューアを選択します。

   5. 「次へ」をクリックします。「ステップ3: 管理詳細の定義」ページが表示されます。

4. アテステーション・プロセスに関する次の詳細管理情報を指定します。
   • アテステーション・スケジュール

   • プロセス所有者

   • オプションで、レビューアがアテステーションを拒否した場合の「プロセス所有者」ユーザー・グループへの通知。

   「ステップ3: 管理詳細の定義」ページで、次の手順を実行します。

   1. 次のアテステーション・スケジュールのいずれかを選択します。

      1回実行

      指定した月数の間隔で実行

      指定した日数の間隔で実行

      指定した年数の間隔で実行

   2. アテステーション・プロセスを、毎月、毎日または毎年といったスケジュールで実行するよう決定すると、選択したオプションのテキスト・ボックスを何回も指定する必要があります。

   3. 開始日を選択するために、「開始日」フィールドの隣のカレンダ・アイコンをクリックします。

   4. プロセス所有者グループを指定するために、「プロセス所有者」グループ・ボックスの隣の拡大鏡をクリックします。

   5. 必要に応じて、「レビューアがアテステーション・リクエストを拒否した場合、プロセス所有者に電子メール」ボックスをクリックして選択を解除します。この場合、レビューアがアテステーションを拒否しても、プロセス所有者に通知が送信されません。

   6. 「次へ」をクリックします。「ステップ4: 確認」ページが表示されます。

5. 「ステップ4: 確認」ページで、「プロセスの作成」をクリックしてアテステーション・プロセスを作成します。次の情報が表示された画面に移動します。

   これでアテステーション・プロセス定義を正常に作成できました。

   「<processname>」をクリックすると、「アテステーション・プロセスの詳細」ページが表示されます。別のアテステーション・プロセスを作成するには、「別のアテステーション・プロセス定義を作成」をクリックします。

   「アテステーション・プロセスの詳細」ページの詳細は、「アテステーション・プロセスの管理」を参照してください。

アテステーション・プロセスの管理

アテステーション・プロセスを管理するには次の手順を実行します。

1. 「アテステーション」リンクを展開し、「管理」をクリックします。アテステーションの検索ページが表示されます。

2. アテステーションの検索ページで、管理するアテステーション・プロセスの検索基準を入力します。アテステーション・プロセス名、プロセス・コード、レビューアのタイプ、スコープのタイプまたはプロセス所有者を基準にして検索できます。検索基準を入力したら、「検索」をクリックします。結果表に、検索基準に一致するアテステーション・プロセスが表示されます。ログインしている管理者が、権限や、プロセス所有者グループのメンバーであることによって表示を許可されているアテステーション・プロセスのみが表示されます。このページには、削除されたプロセスは表示されません。結果表の列を次の表に示します。

   列	説明
   プロセス名	プロセスの名前を指定します。
   プロセス・コード	アテステーション・プロセス・コード。
   データ型	アテストされているデータのタイプです。
   スコープ	アテステーション・スコープがマネージャ別、グループ別、組織別またはリソース別のいずれであるかを示します。
   最終開始	アテステーション・プロセスが最後に実行されたタイミングを指定します。
   最終完了	このプロセスのインスタンスが最後に完了したタイミングを指定します。
   次回開始	次に実行されるプロセスがスケジュールされるタイミングを指定します。
   ステータス	アテステーション・プロセスが有効であるか無効であるかを示します。

3. アテステーションの検索ページの結果表で、管理するプロセス名のリンクをクリックします。「アテステーション・プロセスの詳細」ページが表示されます。

ここでは次のトピックについて説明します。

• アテステーション・プロセスの編集

• アテステーション・プロセスの無効化

• アテステーション・プロセスの有効化

• アテステーション・プロセスの削除

• アテステーション・プロセスの実行

• アテステーション・プロセス管理者の管理

• アテステーション・プロセス実行履歴の表示

アテステーション・プロセスの編集

アテステーション・プロセスを編集するには次の手順を実行します。

1. 「アテステーション・プロセスの詳細」ページで、「編集」をクリックします。

   「アテステーション・プロセスの編集」ページが表示されます。

2. 「アテステーション・プロセスの編集」ページでアテステーション・プロセスに必要な変更を加え、「保存」をクリックします。

   「アテステーション・プロセスの編集」ページ上のフィールドは、アテステーション・プロセスの作成用ウィザードに表示されるものと同一です。

アテステーション・プロセスの無効化

プロセスがアクティブである間は、「無効化」ボタンが表示されます。アクティブ・プロセスは無効化できます。

アテステーション・プロセスを削除するには次の手順を実行します。

1. 「アテステーション・プロセスの詳細」ページで、「無効化」をクリックします。

   プロセスがアクティブである間は、「無効化」ボタンのみが表示されることに注意してください。

   「アテステーションの無効化の確認」ページが表示されます。

2. 「アテステーションの無効化の確認」ページで「無効化の確認」をクリックします。

アテステーション・プロセスの有効化

アテステーション・プロセスを有効化できるのは、次の開始時刻が未来で、プロセスが無効化されている場合のみです。

アテステーション・プロセスを有効化するには次の手順を実行します。

1. 「アテステーション・プロセスの詳細」ページで、「有効化」をクリックします。

   プロセスが無効である間は、「有効化」ボタンのみが表示されることに注意してください。

   「アテステーションの有効化の確認」ページが表示されます。

2. 「アテステーションの有効化の確認」ページで「有効化の確認」をクリックします。

アテステーション・プロセスの削除

アテステーション・プロセスの編集、無効化および削除を実行できるのは、必要な権限を持つプロセス管理者のみです。

アテステーション・プロセスを削除するには次の手順を実行します。

1. 「アテステーション・プロセスの詳細」ページで、「削除」をクリックします。

   「アテステーションの削除の確認」ページが表示されます。

2. 「アテステーションの削除の確認」ページで「削除の確認」をクリックします。

アテステーション・プロセスの実行

この機能を使用すると、未スケジュールのアテステーション・プロセスを実行できます。アテステーション・プロセスを実行するには、「アテステーション・プロセスの詳細」ページで「即時実行」をクリックします。これにより、アテステーション・スケジュールとは独立してアテステーション・プロセスが開始されます。

未スケジュールのアテステーション・プロセスを開始できるのは、プロセス所有者グループのユーザーのみです。

アテステーション・プロセス管理者の管理

アテステーション・プロセスのための管理グループの追加、削除および更新のタスクは、ユーザーおよび組織のために管理グループを更新するタスクに類似しています。

アテステーション・プロセスの管理者を管理するには、「アテステーション・プロセスの詳細」ページの「追加詳細」ボックスから「管理者」を選択します。「アテステーション・プロセスの詳細」→「管理グループ」ページが表示されます。このページを使用して、アテステーション・プロセスのための管理者の追加や削除、および管理者権限の更新を行うことができます。

アテステーション・プロセス定義の権限モデルは次のとおりです。

• アテステーション・プロセス定義を表示するには、ユーザーは次のいずれかである必要があります。
  • 「管理者」において適切な読取り権限を持つグループのメンバー

  • プロセス所有者であるグループのメンバー

• アテステーション・プロセス定義を編集するには、ユーザーは、「管理者」において適切な書込み権限を持つグループのメンバーである必要があります。

• アテステーション・プロセス定義を削除するには、ユーザーは、「管理者」において適切な削除権限を持つグループのメンバーである必要があります。

アテステーション・プロセス実行履歴の表示

アテステーション・プロセスの実行履歴を表示するには、「アテステーション・プロセスの詳細」ページの「追加詳細」ボックスから「実行履歴」を選択します。「アテステーション・プロセスの詳細」→「アテステーション・プロセス実行履歴」ページが表示されます。

「アテステーション・プロセス実行履歴」表には次の列があります。

列	説明
リクエストID	実行されたアテステーション・プロセス・インスタンスのID。
スコープ・パラメータ	アテステーション・スコープの選択のために設定されたパラメータ値。
レビューア	アテステーション・プロセスのレビューアの名前。
開始日	リクエストが開始された日付と時刻。
完了日	リクエストが完了した日付と時刻。リクエストが保留中の場合は、「未完了」と表示されます。

アテステーション・ダッシュボードの使用

自分がメンバーであるグループが所有するアテステーション・プロセスの状態を表示するには、アテステーション・ダッシュボードを使用します。アテステーション・ダッシュボードを使用するには、「アテステーション」リンクを展開し、「アテステーション・ダッシュボード」をクリックします。「アテステーション・ダッシュボード」ページの表に、自分がメンバーであるあらゆるグループが所有するアテステーション・プロセスの状態が示されます。「アテステーション・ダッシュボード」表にある列を次の表に示します。

列	説明
プロセス・コード	アテステーション・プロセス・コード。
プロセス名	プロセスの名前を指定します。アテステーション・プロセス名のリンクをクリックすると、「アテステーション・プロセスの詳細」ページが表示されます。
最終完了	最後のインスタンスが完了する前にインスタンスが実行された日付と時刻。該当するものがない場合、値は「なし」です。これは、アテステーション・リクエストに対応する適切な「アテステーション・リクエストの詳細」ページにユーザーを誘導するリンクです。
現在のリクエスト日	このプロセスの最後のインスタンスが実行された日付と時刻。一度も実行されていない場合、値は「新規」です。これは、アテステーション・リクエストに対応する適切な「アテステーション・リクエストの詳細」ページにユーザーを誘導するリンクです。
現在完了	最後に実行されたインスタンスが完了した日付と時刻です。完了していない場合、値は「保留」です。
全レコード	アテステーションに対して識別されている権限の総数を示します。アテステーション・タスクによって、最後のプロセス・インスタンスの一部と認識されます。
認証済	最後のアテステーション・プロセス・インスタンスで認可された権限の数を指定します。
却下	最後のアテステーション・プロセス・インスタンスで却下された権限の数を指定します。
拒否	最後のアテステーション・プロセス・インスタンスで拒否された権限の数を指定します。
委任済	最後のアテステーション・プロセス・インスタンスで委任された権限の数を指定します。

アテステーション・リクエスト詳細の表示

「アテステーション・ダッシュボード」ページからアクセスできるドリルダウン・ページには、アテステーション・プロセスの特定の実行で処理するすべての権限のアテステーション詳細が表示されます。

アテステーション・リクエスト詳細を表示するには次の手順を実行します。

1. 「アテステーション・ダッシュボード」ページの表に表示された「最終完了」フィールドまたは「現在のリクエスト・ページ」フィールドのリンクをクリックします。

   「アテステーション・リクエストの詳細」ページには、選択したアテステーション・プロセスのリクエスト詳細が、次の列を含む表とともに表示されます。

   列	説明
   ユーザー	権限がアテスト対象となっているユーザー。データは、アテステーション日現在のユーザー詳細が表示されるポップアップのプロファイル・ページへのリンクです。
   リソース	アテストされる権限の基盤であるリソース。データは、アテステーション日現在の、権限のプロセス・フォーム・データが表示されるポップアップ・ページへのリンクです。
   記述データ	プロビジョニングされたリソース・インスタンスのための説明データのフィールドです。
   アテステーション結果	アテステーションに対して最終的に入力されたレスポンスです。
   レビューア	レスポンスを入力したユーザー。データは、現行のユーザー詳細が表示される、ポップアップのプロファイル・ページへのリンクです。
   委任パス	権限のアテステーションが委任を経由して実行された場合、この列の「表示」リンクを使用して、「委任パスの詳細」ページを表示することができます。委任が発生しない場合、値は「なし」です。
   コメント	レビューア・コメントを表示します。長いコメントは切り捨てられ、ロールオーバーで表示されるツールチップにコメントの全体が示されます。

2. 委任が必要なアテステーション・リクエストには、「委任パス」列にリンクが含まれます。

   リンクをクリックすると、「委任パス」ページに、アテステーション・リクエストの委任パスが表示されます。

   「アテストされたデータ」フィールドには、アテストされる権限の詳細が表示されます。値は、ユーザー情報、リソース名および説明データを次の形式で組み合せることによって作成されます。

   <<User First Name>> <<User Last Name>> [<<User ID>>] - <<Resource Name>> - 
   <<Descriptive Data>>
   

   表にあるフィールドは次のとおりです。

   列	説明
   レビューア	アテストする権限が割り当てられたレビューア。データは、現在のユーザー・プロファイル・データがポップアップ表示されるリンクです。
   アテステーション結果	レビューアにより行われるアクション。最初のレコードを除き、常に「委任済」です。
   アテステーション日	レビューアのアテステーション・レスポンスの日付と時刻。
   コメント	レビューア・コメント。長いコメントは切り捨てられ、ロールオーバーで表示されるツールチップにコメントの全体が示されます。

電子メール通知

アテステーション・プロセスの一部として、アテステーション・エンジンは様々な段階で電子メールを関係者に送信します。電子メールの内容は、Oracle Identity Managerの「電子メール定義」ストアの「一般」タイプの電子メール・テンプレートを使用して設定できます。

テンプレートでは、フォーム・ユーザーはXELSYSADMと定義されます。これは別のユーザーに変更できます。電子メール・アドレスが、このテンプレートを使用するように選択されたユーザーに対して定義されていることを確認してください。定義されていない場合、通知の送信に失敗することがあります。

次の電子メール通知テンプレートを使用できます。

• Notify Attestation Reviewer: アテステーション・タスクがレビューアに割り当てられたときに電子メールを送信するために使用されます。

• Notify Delegated Reviewers: アテステーション・タスクがレビューアに委任されたときにレビューアに電子メールを送信するために使用されます。

• Invalid Attestation Reviewers: アテステーション・タスクを生成した結果、無効なレビューアが発生した場合に、プロセス所有者グループのユーザーに電子メールを送信するために使用されます。

• Notify Declined Attestation Entitlements: レビューアが権限を拒否した場合にプロセス所有者グループのユーザーに電子メールを送信するために使用されます。

• Attestation Reviewers With No Email Defined: どのレビューアにも電子メール・アドレスが定義されていない場合に、プロセス所有者グループのユーザーに電子メールを送信するために使用されます。

スケジュール済タスク

「アテステーション・プロセスの開始」と呼ばれるシステムのスケジュール済タスクは、Oracle Identity Managerで定義されているアテステーション・プロセスを調査し、必要なアテステーション・タスクをシステムに作成します。

このスケジュール済タスクの主要な機能は次のとおりです。

• そのまま使用できるスケジュール済タスクが、デフォルトで30分間隔で実行されるように設定されています。この値は必要に応じてユーザーが変更できます。

• すべてのアクティブ・アテステーション・プロセスを調査します。

• アテステーション・エンジンの呼出しを開始して、実行する必要があるすべてのアテステーション・プロセス（スケジュールされた次の開始時刻を過ぎているプロセス）を開始します。