リリース9.1.0
E05900-03
 目次 |
 索引 |
| Oracle Identity Manager 管理およびユーザー・コンソール・ガイド リリース9.1.0 E05900-03 |
|
この章の内容は、次のとおりです。
アテステーションを使用すると、レビューアとして指定されたユーザーは、レビューする必要のあるレポートについて通知を受けることができます。これらのレポートには、他のユーザーのプロビジョニング済リソースについて記述されています。レビューアは、レスポンスを入力することにより、権限の正確さをアテストすることができます。アテステーション・アクションは、レビューアが入力したレスポンス、関連コメント、およびレビューアが参照してアテストするデータの監査ビューとともにトラッキングと監査を受け、アカウンタビリティの完全な証跡を残します。Oracle Identity Managerでは、このプロセスをアテステーション・タスクと呼びます。
Oracle Identity Managerでは、アテステーションはスケジュール済アテステーション・プロセスの定義によってサポートされます。アテステーション・プロセスは、Oracle Identity Managerワークフローと同じではありません。これはOracle Identity Managerの構成可能なビジネス・プロセスとして実装されており、これによってユーザーのアテステーション・タスクが作成されます。ユーザーはレビューアとして作業し、このプロセスを完了して正しい監査情報を提供する必要があります。
プロビジョニング済リソース・インスタンスのアテステーション・アクティビティのトラッキングは、リソース・オブジェクトのプロビジョニング・プロセス内のタスクにより実行されます。アテステーション・アクションに基づいてワークフロー・アクティビティを開始することができます。開始される追加アクティビティと、プロセス定義フォームやワークフロー・デザイナでモデリング可能なワークフローは、初期アテステーション・アクションに基づいて開始できます。これは、Oracle Identity Managerで定義されているプロビジョニング・プロセス内のアテステーション・サブフローにより実現されています。
アテステーション・アクティビティは、定期的にまたは必要に応じて開始できます。
レビューアは、アテステーション・タスク内の特定の権限を、レビューのため他のユーザーに委任することができます。このアクションは、別のアテステーション・タスクが作成され、委任されたユーザーに割り当てられることで行われます。
ここでは、次のトピックについて説明します。
アテステーション・プロセスは、アテステーション・タスクを設定するメカニズムです。アテステーション・プロセスに必要な入力内容には、アテステーション・タスクを構成するコンポーネントの定義方法、およびタスクを実行する必要のあるスケジュールとアテステーション・タスクを関連付ける方法に関する情報が含まれます。この定義も、アテステーション・タスクを必要なときに開始するための基盤です。アテステーション・プロセスの定義には次の項目が含まれています。
プロセスが一連のレビューアを定義している場合、単一のアテステーション・プロセスから複数のアテステーション・タスクが発生することもあります。このような場合、プロセスから、各レビューアに対して1つずつアテステーション・タスクが発生することになります。
次の各項では、アテステーション・プロセスの制御方法について説明します。
システム管理者は、アテステーション・プロセスが事前定義済スケジュールどおりに実行されないように、プロセスを無効化できます。これにより、管理者は環境を制御しやすくなります。システム管理者のアテステーション・プロセスは有効化できますが、次回実行時間の値を過ぎると有効化できません。アテステーション・プロセスを有効化するユーザーは、次の実行予定時刻を未来に設定する必要があります。
アテステーション・プロセスは削除可能です。これはソフト削除と呼ばれます。監査用にレコードを維持する必要があるため、実際にはレコードは削除されません。そのかわりに、アテステーション・プロセスに削除済のマークが付けられます。
削除済のプロセスは管理およびユーザー・コンソールに表示されません。プロセス名とコードは一意であるため、1度使用した名前はもう使用できません。また、同じ名前で新しいアテステーション・プロセスを作成することはできません。
アテステーション・プロセスの基本目的は、Oracle Identity Managerにアテステーション・タスクを設定することです。アテステーション・タスクはユーザーのアテステーション受信ボックスに表示されます。アテステーション・タスクの基本コンポーネントを次に示します。
レビューアは、他の誰かにタスクの処理を求める場合にタスクを拒否します。タスクが拒否されると、そのタスクはアテステーション管理者グループの任意のユーザーに割り当てられます。
アテステーション受信ボックスを使用すると、割り当てられているアテステーション・タスクを管理できます。
この受信ボックスから、割り当てられているアテステーション・タスクを表示し、レスポンスとコメントを入力することができます。
アテステーション・プロセスが実行されると、アテステーション・リクエストが作成され、Oracle Identity Managerデータベースに記録されます。このリクエストは、アテステーション・プロセスが実行される際の監査レコードの役目を果します。アテステーション・リクエスト・レコードは、レポートで使用される、基本的な識別データと監査データ、および統計データから構成されています。データには次の項目が含まれています。
権限の数は次のとおりです。
権限の総数=認証された数+却下された数+拒否された数
アテステーション・タスクに割り当てられているレビューアが、タスク内のすべての権限をアテストできない場合があります。これには複数の原因が考えられます。次に例を示します。
こうした場合、レビューアが他のユーザーをレビューに参加させたいと考えることがあります。レビューアは、タスク内の一部の権限のアテステーションを委任できます。
アテステーションを委任するには、レビューアがタスク内で権限のセットを選択し、それを他のユーザーに委任します。これにより新しいアテステーション・タスクが作成され、選択されたレビューアに割り当てられます。
新しいタスクは、元のレビューアが選択した権限のみを含んでいます。これ以降、元のレビューアは、それらの権限に対するアテステーション・レスポンスの入力を担当しません。委任先に割り当てられた新しいアテステーション・タスクは、委任元、タスクの作成元、およびその他の情報(リクエストIDなど)をトラッキングします。新しいアテステーション・タスクは、他のあらゆるアテステーション・タスクと同じように処理されます。委任することも可能です。
Oracle Identity Managerにおけるアテステーション・ライフサイクルについて、次に説明します。
この段階は、アテステーション・プロセスの実行時に開始されます。図15-1に、この段階に含まれるワークフローを示します。
アテステーション・プロセスが実行されると、対応するアテステーション・プロセス・インスタンスが最初に作成されます。今回のプロセス実行に対するレビューアが識別されます。多くの場合、レビューアは1人のみです。複数のレビューアがいることもあります。
無効なレビューアが検出された場合は、常に新しいレビューアがプロセス所有者グループから取得されます。アテステーション・リクエストでまだ使用されていないユーザーが、グループ内で最も優先度の高いユーザーです。また、すべてのユーザーが使用されている場合には、プロセス所有者グループ内で次に優先度の高いユーザーが取得されます。このプロセスでユーザーを検出できない場合、タスクはXELSYSADMに割り当てられます。
プロセスは、有効な各レビューアに対して、プロセスで定義されたアテステーション・スコープによって決定されたとおりに、レビューアがアテストする必要があるすべてのユーザー権限を計算します。プロセスは、タスクのアテステーション・データに、それらのユーザー権限に関する参照およびその他の関連情報を追加します。また、そのタスクが扱う権限の数を、プロセス・インスタンスのアテステーションで識別されている権限の総数に対応する統計フィールドに追加します。続いて、プロセスにより、レビューアに電子メール・メッセージが送信されます。また、電子メール・アドレスが定義されていないレビューアに関する電子メールも、プロセス所有者に送信します。
この段階の終了時、アテステーション・タスクはすべて、レビューアのアテステーション受信ボックスにあります。
アテステーション・タスクがレビューアに割り当てられると、レビューアは電子メールを受信し、タスクは各レビューアのアテステーション受信ボックスに表示されます。レビューアは自分の受信ボックスでタスクの詳細を参照します。
レビューアは、タスク詳細のページから各権限に対して、レスポンスおよび必要に応じてコメントを入力します。これにより、タスク内のアテステーション権限の詳細に、「レスポンス入力済」のマークが付けられます。
レビューアのレスポンスに、特定の権限のアテステーション・アクティビティの委任が含まれている場合は、レビューアは委任するユーザーを入力する必要があります。レビューアはオプションとして、なぜそのユーザーにアテステーション・アクティビティを委任するか説明するコメントを入力することができます。
レビューアは、すべての権限にレスポンスを入力した後、すべてのレスポンスを送信することによって、アテステーション・タスクのアクションをコミットすることができます。
この時点で、次の段階であるアテステーション・ビジネス・プロセスが開始されます。
アテステーション・タスクは「送信済」とマークされています。この時点でアテステーション・タスクは凍結され、それ以上作業できません。アテステーション・タスクの各権限について、レスポンスがシステムによって調査されます。レスポンスが認証または却下の場合、その権限に対応するプロビジョニング済のリソース・インスタンスが、それに応じて更新されます。プロビジョニング済のリソース・インスタンスのレベルで、最後のアテステーション結果、最後のアテステーションの発生時刻、および誰がレビューアであったかが記録されます。レスポンスが拒否または委任だった場合、プロビジョニング済リソース・レベルでのアテステーション詳細は変更されません。
「ユーザー・アテステーション・イベントが発生しました」タスクが、リソース・インスタンスのプロビジョニング・プロセスに挿入されます。これにより、定義されている場合にはアテステーション・ドリブンのワークフローが開始されます。コメントはすべてタスクのメモ・フィールドに保存されます。
タスクのアテステーション権限の詳細には「レスポンス送信済」のマークが付けられます。
図15-3に、アテステーション・タスクのレスポンス送信後のイベント・フローを示します。
次の統計情報が、プロセス・インスタンスに基づいて更新されます。
すべての権限を処理した後で、フォローアップ・アクションのサブフローが開始されます。このフローでは、プロセスによって、タスクの権限のいずれかに対するレスポンスが拒否されたかどうかが調べられます。そのような権限があった場合、プロセスは拒否アクションの詳細を概説した電子メールをプロセス所有者に送信します。
次に、タスクの権限のいずれかに対するレスポンスが委任されたかどうかが調べられます。そのような権限があった場合、レビューアが委任先として選択したすべてのユーザーが識別され、それぞれのアテステーション・タスクが作成されます。各アテステーション・タスクは、レビューアがそのユーザーに委任した権限のみに関するものです。委任されたユーザーは、電子メールで委任を通知されます。
委任されたアテステーション・タスクがすべて作成されると、サブフローは終了し、メイン・フローに合流します。図15-4に、フォローアップ・アクション・サブフローのイベント・フローを示します。
フォローアップ・サブフローが完了すると、アテステーション・タスクには「完了」のマークが付けられます。
アテステーション・エンジンは、アテステーション・ライフサイクルを実装します。これはOracle Identity Managerアーキテクチャ内のサービスで、特定のアテステーション・プロセスを開始する指示を受信するためのAPIを公開しています。このAPIはアテステーション・スケジュール・タスクや、「アテステーション・プロセスの詳細」ページの「即時実行」ボタンから呼び出されて、オンデマンド実行をサポートします。アテステーション・プロセスを開始する、両方のドライバをサポートしています。
アテステーション・エンジンでは、JMSメッセージ・サービスを使用して、オフラインの待機中プロセスを実行します。この機能により、パフォーマンスが向上します。
この新しいシステムのスケジュール済タスクは、Oracle Identity Managerで定義されているアテステーション・プロセスの調査と、システムで必要なアテステーション・タスクの作成を担当します。
このスケジュール済タスクの機能は次のとおりです。
アテステーション・アクティビティからのトリガーをリスニングするように、Oracle Identity Managerで事前定義されているプロビジョニング・プロセスを拡張できます。これにより、プロビジョニング・ワークフローの一部として、アテステーションの発生(拒否の場合は発生しない)に対応し、したがってアテステーションの発生時に開始される、カスタムのワークフローを定義できます。これは2つの目的に役立ちます。
アテステーション・エンジンは、アテステーション・プロセスの一環として、各種の関係者に電子メールを送信します。電子メールの内容を構成できるようにするために、Oracle Identity Managerの電子メール定義ストアの一般タイプの電子メール・テンプレートが使用可能になります。コンテキストに依存するよう、電子メールでは、必要な値に置き換えられる各種の変数が含まれます。
このテンプレートは、アテステーション・タスクが割り当てられているレビューアに送信する電子メールを作成するために使用されます。
「Notify Attestation Reviewer」テンプレートの変数を次に示します。
| 変数 | 説明 |
|---|---|
|
Attestation Definition.Process Name |
アテステーション・プロセスの名前 |
|
Attestation Definition.Process Code |
アテステーション・プロセスのコード |
|
Attestation Task.Task Assigned Date |
アテステーション・タスクが割り当てられた日付 |
「Notify Attestation Reviewer」テンプレートにより定義された電子メール・メッセージの件名行を次に示します。
A new attestation task for attestation process Attestation Definition.Process Name has been added to your attestation inbox
電子メール・メッセージの本文には次の情報が含まれます。
The attestation task details are as follows Process Name: Attestation Definition.Process Name Process Code: Attestation Definition.Process Code Data Type: Access Rights Assigned Date: Attestation Task.Task Assigned Date
このテンプレートは、アテステーション・タスクを委任されたレビューアに送信する電子メールを作成するために使用されます。
「Notify Delegated Reviewers」テンプレートの変数を次に示します。
「Notify Delegated Reviewers」テンプレートにより定義された電子メール・メッセージの件名行を次に示します。
Attestation Task.Delegated By User Idhas delegated to you an attestation task from attestation processAttestation Definition.Process Name
メッセージの本文には次の情報が含まれます。
The attestation task details are as follows Process Name: Attestation Definition.Process Name Process Code: Attestation Definition.Process Code Data Type: Access Rights Assigned Date: Attestation Task.Task Assigned Date Delegated By: Attestation Task.Delegated By First Name Attestation Task.Delegated By Last Name [Attestation Task.Delegated By User Id]
「Notify Declined Attestation Entitlements」テンプレートは、拒否された権限アテステーション・タスクについてプロセス所有者に通知するために送信する電子メールを作成するために使用されます。
「Notify Process Owner about Declined Attestation Entitlements」テンプレートの変数を次に示します。
「Notify Process Owner about Declined Attestation Entitlements」テンプレートにより定義された電子メール・メッセージの件名行を次に示します。
User access rights in attestation request Attestation Request.Request Id have been declined by Attestation Task.Reviewer User Id
メッセージの本文は次のとおりです。
Attestation of the following user access rights were declined by the reviewer. Reviewer: Attestation Task.Reviewer First Name Attestation Task.Reviewer Last Name [Attestation Task.Reviewer User Id] Attestation Process: Attestation Definition.Process Name Attestation Request ID: request Attestation Request.Request Id Access Rights Data: Attestation Data.Provisioned User First Name Attestation Data.Provisioned User Last Name [Attestation Data.Provisioned User User Id] - Attestation Data.Resource Name - Attestation Data.Entitlement Descriptive Data
権限データ項目はそれぞれ新しい行に表示されます。
「Attestation Reviewers With No Email Defined」テンプレートは、電子メール・アドレスが定義されていないレビューアについて、プロセス所有者に通知するために送信する電子メールを作成するために使用されます。
「Notify Process Owner About Reviewers with No Email Defined」テンプレートの変数は次のとおりです。
「Notify Process Owner About Reviewers with No Email Defined」テンプレートにより定義される電子メールの件名行を次に示します。
E-mail address is not defined for some of the reviewers in attestation process Attestation Definition.Process Name, request Attestation Request.Request Id
メッセージの本文は次のとおりです。
The following attestation reviewers do not have e-mail addresses defined. Attestation requests have been generated for these reviewers and can be accessed by logging in to Oracle Identity Manager. However, notification e-mails were not sent. Attestation process: Attestation Definition.Process Name Attestation Request ID: request Attestation Request.Request Id Request date: Attestation Request.Request Creation Date Reviewers Without Email: Attestation Task.Reviewer First Name Attestation Task.Reviewer Last Name [Attestation Task.Reviewer User Id]
レビューアの詳細はそれぞれ新しい行に表示されます。
管理およびユーザー・コンソールのメニュー項目から、アテステーション・プロセスの構成ページにアクセスできます。Oracle Identity Manager管理者は、このページを使用して次を実行できます。
最上位の「アテステーション」メニューには、次のリンクがあります。
これらのメニュー項目は、管理およびユーザー・コンソールのすべてのメニュー項目を管理する同一の委任管理権限により管理されています。
これらのメニュー項目は定義済ですが、Oracle Identity Managerのグループには割り当てられていません。監査コンプライアンス・コンポーネントがインストールされている場合、それらはOracle Identity Managerの「システム管理者」グループに割り当てられます。
アテステーションには次の依存性があります。
監査レベルが必要なレベルより下に設定されている場合、アテステーションに関連するメニュー項目のリンクをクリックすると「アテステーション機能は使用できません」ページが生成され、ユーザーによるアテステーション・プロセスの定義ができなくなります。
監査レベルはXL.UserProfileAuditDataCollectionというシステム・プロパティに制御されており、アテステーション機能では、この値が少なくとも「リソース・フォーム」に設定される必要があります。
アテステーション・プロセスを作成するには、次の手順を実行します。
「ステップ1: プロセスの定義」ページが表示されます。
FormMetaData.xmlファイルで指定されたユーザー属性およびユーザー・フォームのユーザー定義属性が表示されます。選択した属性は、アテステーション・プロセスが適用されるユーザーが合致する必要のある基準を指定するために使用されます。
| 属性 | 式 | 説明 |
|---|---|---|
|
名前 |
フルテキストまたは |
リソースの名前。 |
|
タイプ |
「すべて」または「サブセット」の選択オプションを持つ参照値 |
リソースのタイプ。 |
|
リソース監査目的 |
「すべて」または「サブセット」の選択オプションを持つ参照値 |
プロビジョニングされるリソースに割り当てられる監査目的。たとえば、そのリソースが財務的に意味を持つかどうかを示す。 「リソース監査目的」の詳細は、「リソースの詳細の表示」を参照。 |
|
管理者ユーザー・グループ |
「すべて」または「サブセット」の選択オプションを持つ参照値 |
リソースの管理権限を持つユーザー・グループ。 |
|
認可ユーザー・グループ |
「すべて」または「サブセット」の選択オプションを持つ参照値 |
リソースの認可者または承認者であるユーザー・グループ。 |
|
リソース・ステータス |
フルテキストまたは |
リソースがユーザーにプロビジョニングされる際に表示されるステータス(「認証」、「却下」、「オープン」、「クローズ」など)。 |
アテステーション・プロセス定義が正常に作成されたことを示すメッセージが表示されるページに切り替わります。プロセス名をクリックすると、「アテステーション・プロセスの詳細」ページが表示されます。別のアテステーション・プロセスを作成するには、「別のアテステーション・プロセス定義を作成」をクリックします。
「アテステーション・プロセスの詳細」ページの詳細は、「アテステーション・プロセスの管理」を参照してください。
アテステーション・プロセスを管理するには次の手順を実行します。
ここでは次のトピックについて説明します。
アテステーション・プロセスを編集するには次の手順を実行します。
「アテステーション・プロセスの編集」ページ上のフィールドは、「アテステーション・プロセスの作成」に表示されるものと同一です。
アクティブなアテステーション・プロセスを削除するには、次の手順を実行します。
「無効化」ボタンが表示されるのは、プロセスがアクティブである場合のみです。
アテステーション・プロセスを有効化できるのは、次の開始時刻が未来で、プロセスが無効化されている場合のみです。
アテステーション・プロセスを有効化するには次の手順を実行します。
「有効化」ボタンが表示されるのは、プロセスが無効化されている場合のみです。
アテステーション・プロセスの編集、無効化および削除を実行できるのは、必要な権限を持つプロセス管理者のみです。
アテステーション・プロセスを削除するには次の手順を実行します。
この機能を使用すると、未スケジュールのアテステーション・プロセスを実行できます。アテステーション・プロセスを実行するには、「アテステーション・プロセスの詳細」ページで「即時実行」をクリックします。これにより、アテステーション・スケジュールとは独立してアテステーション・プロセスが開始されます。
未スケジュールのアテステーション・プロセスを開始できるのは、プロセス所有者グループのユーザーのみです。
アテステーション・プロセスのための管理グループの追加、削除および更新のタスクは、ユーザーおよび組織のために管理グループを更新するタスクに類似しています。
アテステーション・プロセスの管理者を管理するには、「アテステーション・プロセスの詳細」ページの「追加詳細」リストから「管理者」を選択します。「管理グループ」ページが表示されます。このページを使用して、アテステーション・プロセスのための管理者の追加や削除、および管理者権限の更新を行うことができます。
アテステーション・プロセス定義の権限モデルは次のとおりです。
アテステーション・プロセスの実行履歴を表示するには、「アテステーション・プロセスの詳細」ページの「追加詳細」リストから「実行履歴」を選択します。「アテステーション・プロセス実行履歴」ページが表示されます。
「アテステーション・プロセス実行履歴」表には次の列があります。
| 列 | 説明 |
|---|---|
|
リクエストID |
実行されたアテステーション・プロセス・インスタンスのID。 |
|
レビューア |
アテステーション・プロセスのレビューアの名前。 |
|
開始日 |
リクエストが開始された日付と時刻。 |
|
完了日 |
リクエストが保留中の場合は、「未完了」と表示されます。 |
「アテステーション・プロセス実行履歴」ページで、「リクエストID」リンクをクリックすると「リクエストの詳細」ページが開きます。このページでは、状態が認証済か、却下されたか、オープンか、クローズかに応じてリクエストをフィルタリングできます。
自分がメンバーであるグループが所有するアテステーション・プロセスの状態を表示するには、アテステーション・ダッシュボードを使用します。アテステーション・ダッシュボードを使用するには、「アテステーション」メニューを展開し、「アテステーション・ダッシュボード」をクリックします。「アテステーション・ダッシュボード」ページの表に、自分がメンバーであるすべてのグループが所有するアテステーション・プロセスの状態が示されます。「アテステーション・ダッシュボード」表にある列を次の表に示します。
「アテステーション・ダッシュボード」ページからドリルダウン・ページにアクセスできます。ドリルダウン・ページには、アテステーション・プロセスの特定の実行で処理するすべての権限のアテステーション詳細が表示されます。
アテステーション・リクエスト詳細を表示するには、次の手順を実行します。
「アテステーション・リクエストの詳細」ページには、選択したアテステーション・プロセスのリクエスト詳細が、次の列を含む表とともに表示されます。
リンクをクリックすると、「委任パス」ページに、アテステーション・リクエストの委任パスに関する情報が表示されます。
「アテストされたデータ」フィールドには、アテストされる権限の詳細が表示されます。値は、ユーザー情報、リソース名および説明データを次の形式で組み合せることによって作成されます。
User_First_Name User_Last_Name [User_ID] - Resource_Name - Descriptive_Data
「委任パス」ページの表にあるフィールドは次のとおりです。
アテステーション・プロセスの一部として、アテステーション・エンジンは様々な段階で電子メールを関係者に送信します。電子メールの内容は、Oracle Identity Managerの「電子メール定義」ストアの「一般」タイプの電子メール・テンプレートを使用して設定できます。
テンプレートでは、フォーム・ユーザーはXELSYSADMと定義されます。これは別のユーザーに変更できます。電子メール・アドレスが、このテンプレートを使用するように選択されたユーザーに対して定義されていることを確認してください。定義されていない場合、通知の送信に失敗することがあります。
次の電子メール通知テンプレートを使用できます。
アテステーション猶予期間チェッカーと呼ばれるシステムのスケジュール済タスクは、Oracle Identity Managerで定義されているアテステーション・プロセスを調査し、必要なアテステーション・タスクを作成するために使用されます。
アテステーション猶予期間チェッカー・スケジュール済タスクの主要な機能は次のとおりです。
|
 Copyright © 2007, 2008 Oracle Corporation. All Rights Reserved. |
|