1. アクセス認証の使用
  2. Oracleアクセス認証の概要

Oracleアクセス認証の概要

Oracle Fusion Cloudアクセス認証を使用すると、ロールがユーザーに適切に割り当てられているかどうかを判断するレビューを組織が実行できます。四半期ごとの監査などの組織全体の定期的なレビューや、より焦点を絞った機密アクセスのシナリオをサポートできます。

認証の基本事項

認証には、標準と継続の2種類があります。標準の認証には、プロジェクト開始時におけるユーザーとロールの割り当てが静的なセットとして含まれます。継続の認証には、プロジェクトが開始された後に付与された新しいユーザーとロールの割り当てのみが含まれます。継続の認証に含まれるロールは一定のままですが、アサインされるユーザーは毎日更新されます。

すべての認証プロジェクトには、就業者が次の3つのレベルで関与します。

  • 所有者は、認証プロジェクトを定義して開始し、それに対する全体的な責任を引き受けます。

  • マネージャは、認証に含めるロールのセットに責任を持ち、それらのロールに対して作業する1人または複数の認証者を監督します。

  • 認証者は、ユーザーのロールへのアクセスを承認するかを決定します。マネージャのロールの一部が割り当てられ、認証者は、各ロールのユーザー割当てを評価します。

同時に、所有者以外のユーザーは編集者またはビューアとしての権限を持ちます。通常、彼らはマネージャまたは認証者としても選択されます。(所有者もマネージャまたは認証者になることができます。)ただし、そうでない場合、編集者およびビューアは、所有者が認証の開始および監督のために使用するページに対しては、権限が制限されます。

認証を開始するために、所有者は次のことを行います。

  • 一から新しく作成するか、前の認証をベースにするかを決定し、新規の場合は標準か連続かを決定します。

  • ユーザーへの割当てをレビューするかもしれないロールを選択するフィルタを作成するか、前の認証から継承されたフィルタを適用します。このプロセスはスコープ指定と呼ばれます。

  • スコープ指定フィルタによって返されるロールのセットで作業する、マネージャおよび認証者に指名します。

その後、認証者は、自分が証明を任されたロールの割当てをレビューします。ロールがユーザーに正しく割り当てられているかどうかの実際の判断は、人間が行います。Oracleアクセス認証では、各ユーザーへのそれぞれのロールの割当てレコードを含むワークシートが、各認証者に提供されます。認証者は、ワークシートを使用して、ユーザーとロールの組合せが調査中かどうかや、最終的に承認されたか却下されたかを記録します。

マネージャは、一緒に作業する認証者の進行状況を追跡します。所有者は、認証マネージャと認証者の進行状況を追跡します。マネージャと所有者は両方とも、概要ページを使用します。それぞれに、各下位ユーザーとその個人に割り当てられたロールの行が表示されます。所有者およびマネージャは、概要ページから、自分が監督するユーザーが使用するページのコピーに移動できます。

直属のマネージャによるレビュー

開始のフェーズで、所有者は、別の種類の参加者として、ユーザーの直属のマネージャも監督下のユーザーのロール割当てを認定すべきかどうか判断するように、認証を設定できます。直属のマネージャは、「自分のチーム」ワークシートを使用してユーザー・ロール割当をレビューし、承認するか否認するかを推奨します。ただし、直属のマネージャのレビューは、次の点で認証者のレビューとは異なります。

  • 各直属のマネージャは、直属の部下であるユーザーのレコードのみを表示できます。直属のマネージャの「自分のチーム」ワークシートには、部下でないユーザーのレコードは含まれていません。

  • 直属のマネージャは、認証には割り当てられず、認証にどのようなレコードが存在するかについては認識しません。かわりに、「自分のチーム」ワークシートには、任意の数のアクティブな標準または連続した認証に属する可能性のあるユーザー割当てのレコードが含まれます。

  • 直属のマネージャの判断は助言的なものです。ユーザーとロール割当のレコードは、認証プロジェクト内で作業する認証者のワークシートと、各ユーザーの直属マネージャの「自分のチーム」ワークシートの両方に表示されます。通常、直属のマネージャが最初に自分のロール割当レコードを処理し、その判断が認証者のワークシート内のレコードに反映されます。ただし、認証者は直属のマネージャの判断を自由に上書きでき、直属のマネージャの判断を待たずに処理することもできます。

通知

認証が進むと、通知、Eメール・アラートが組織によってアクティブ化されている場合に、その作業をしている個人が通知、Eメール・アラートまたはその両方を受信することがあります。デフォルトでは、どちらもアクティブです。(アラートのアクティブ化を参照してください。)

  • 通知は、グローバル・ヘッダーの「通知」アイコンから表示できます。(鐘のような表示です。)
  • Eメール・アラートは、各ユーザーのユーザー・アカウントに関連付けられたEメール・アドレスに送信されます。

各タイプの通知は、完了するタスクを受信者に通知するために自動的に生成されます。必要に応じて、タスクを完了するためのページへの直接リンクが通知またはアラートに含まれます。たとえば、認証者は、通知から認証者ワークシートに直接移動して、ロールの割当てを確認できます。

その他の通知では、ジョブが失敗したりエラーで終了したり、的確な所有者やその他の権限が欠落している認証などのエラー条件に関する情報が提供されます。(適格な所有者がいないオブジェクトに関するメッセージを受信するには、ユーザーにMass Edit Security Assignments権限が必要です。その他のセキュリティ関連のメッセージは、影響を受ける認証の所有者に送信されます。)

さらに、所有者とマネージャは、期限が近づいているか、または過ぎたことを通知するEメール・リマインダを送信できます。(「Eメール・リマインダの送信」を参照してください。)これらは、Eメール・アラートまたは通知がアクティブ化されているかどうかに関係なく、常に送信できます。