1. アクセス認証の使用
  2. ユース・ケース

ユース・ケース

Oracle Fusion Cloudアクセス認証は、大規模な定期監査と、より定義範囲の狭い機密性の高い権限を含む割当てのレビューの両方をサポートできます。

四半期ごとの監査

一般的にアクセス認証の四半期ごとの監査と呼ばれるものを実行できます。目的は、四半期ごとに組織内のすべてのロールの割当てをレビューすることです。この例では、認証所有者であるLucyが、Q1Y1と呼ばれる標準認証を作成します。

Lucyは、大規模な認証のより優れた方法であるトップダウン・スコープ指定を使用することにしました。トップダウンは、ユーザーに割り当てられているすべてのロールを含んだ認証が自動的に開始されることを意味しますが、所有者はそのプールからロールを削除できます。たとえば、Lucyは一般レポートのロールを削除します。これは、組織内のすべてのユーザーがこのロールを持っており、レビューする意味がないためです。

Lucyの組織では、ビジネス・プロセス管理者に、ロールが証明されていることを確認する責任があります。そのため、Lucyは自分の管理者をQ1Y1認証のマネージャとして指名し、それぞれが担当する各ロールを割り当てます。これらのマネージャのうちの1人Susanをタップし、調達-支払ビジネス・プロセスに関係するロールの管理権を与えます。

認証の開始時に、Lucyは各マネージャの下で作業する認証者も指名します。Susanのケースで、Lucyは、各分野に関連するロールの認証者として、Larry (サプライヤ管理)、Alice (買掛/未払金と請求)およびTom (支払)を選択します。

Q1Y1が開始されると、Susanはマネージャの概要ページを確認し、認証者の進捗を確認してそれぞれが期限に間に合うことを確認します。Tomに遅れがあることに気付いたため、Eメール・メッセージを送信します。そのためには、Susanの概要ページにあるTomのレコードで使用可能な従業員カードを開きます。この従業員カードには、TomのEメール・アドレスとその他の連絡先情報が含まれています。

Susanからの通知を受けたTomは、自分のワークシートの各ロールをレビューし、どのユーザーにロールの保持を許可し、どのユーザーには許可しないかを決定します。ワークシートを完成させた後、TomはレビューのためにSusanに提出します。

この時点で、3人すべての認証者がSusanのレビューのためにワークシートを送信しました。Susanは、あるユーザーにPayables Managerロールが付与されて承認されていることに気付きましたが、このユーザーは新しいポジションに就いたばかりだということを知っていました。Susanは、Aliceのワークシートを再び開き、このユーザーのステータスを「削除」に更新する必要があることを知らせます。Aliceはワークシートを変更し、Susanに再送信します。

これで、Susanの認証所有者であるLucyにロールを提出する準備が完了しました。Lucyは同様のモニタリングを実行します。すべてのマネージャがロールを提出し、Lucyがレビューを完了したら、Q1Y1の認証を確定させます。次に、Lucyは、Oracle Transaction Business Intelligenceで作成したレポートを生成し、「削除」処理を持つすべてのロールとユーザーの組合せをリストします。セキュリティ所有者に、これらのロールに対するアクセス権削除の変更要求としてレポートを送信します。

完了後、Q1Y1の認証は、次四半期監査用のテンプレートとして使用できます。これにより、認証を繰り返し作成するのに必要な労力が大幅に削減されます。

機密アクセスのレビュー

機密権限の特定セットにアクセスできるユーザーをモニターすることもできます。この例では、管理部長であるJimが、仕訳を手動で転記できるユーザーを組織全体で確実に継続的に把握しておくことを検討しています。

彼は標準認証の作成から開始します。これにより、すでに存在するジョブ割当てを確認できます。

これは非常に特定的な分析であるため、Jimは、認証を作成する際にボトムアップ・スコープ指定を使用します。ボトムアップとは、ロールが選択されていない状態で認証が開始され、所有者は目的のロールを選択するフィルタを1つ以上作成する必要があることを意味します。Jimは、関連する一連の権限またはロールである資格/権利を使用するフィルタを1つ作成します。Jimの資格/権利には、転記アクティビティを許可する4つの権限が含まれています。スコープ指定ジョブは、4つの権限のいずれかを含み、ユーザーに割り当てられているロールを返します。

Jimがスコープ指定ジョブを実行すると、予期していなかったジョブ・ロールが返されることに気付きます。彼はこのロールも含めることにしたため、割り当てられているユーザーを確認することができます。これはJimが自分で行う分析であり、それに必要なセキュリティを割り当てられているため、マネージャと認証者の両方に自分自身を指名し、認証を開始します。

認証者ワークシートでロールとそのユーザーをレビューした後、Jimはアクセスを保持すべきユーザーを決定します。ユーザーの中には、予期していなかった、疑わしいロールにアクセスできるユーザーが含まれます。Jimはこのユーザーを知らないため、削除アクションとしてマークします。ユーザー・ロール割当てをすべて確認したら、Jimはワークシートを送信します。

マネージャと所有者の両方として、Jimは認証を確定するために必要なアクションを実行します。また、セキュリティ削除レポートを生成し、セキュリティ所有者に送信して、疑わしいロールの作成者とその理由を確認するために会議をスケジュールします。

次に、Jimは、連続認証を作成し、将来にわたって毎日ユーザーへのロールの新しい割当てを確認できるようにします。

初期化中に、同じ資格/権利を指定する同じスコープ指定フィルタを作成します。標準認証用に選択された割当て済ロールに加えて、4つの転記権限のいずれかを含むロールが返されます。それらはユーザーに直接割り当てられているかもしれませんし、しかし必ずしもそうである必要はありません。これは、連続認証の存続期間中の任意の時点でこれらのロールが割り当てられる可能性があるためです。Jimは、ここでも自分自身をマネージャと認証者の両方として指名します。

Jimが開始した時点では、スコープ指定されたロールの新しい割当てがまだないため、この認証は最初は結果を返しません。ただし、次の日には、Jimが疑わしいと思ったロールが別のユーザーに割り当てられており、次の日にはJimの認証者ワークシートに割当てのレコードが表示されます。このロールについて議論する会議は、開始されていません。このため、もう一度削除処理を選択して、ワークシートを送信します。

連続認証の場合、認証者の決定は、マネージャが戻し処理のための操作をしないかぎり、送信した日に有効になります。この例では、Jimはマネージャであるため、自分の決定を戻し処理しません。セキュリティ所有者が削除レポートを実行した場合、ロール割当てを削除する要求があり、その要求をただちに処理できます。

その後数日、レビューする新規割当てがありませんでした。それ以外の日には、Jimのワークシートに新しい割当てが表示されます。これらのそれぞれの場合、以前に送信されたワークシートを再オープンし、Jimは対処するように通知を受け取ります。今回は、疑わしいロールに関する会議を招集し、このロールは存在すべきではないと判断したため、このロールはユーザーに割当てできなくなっています。そのため、レビューするロールは、彼が熟知しているものだけになりましたので、彼はそれらのユーザーへの割当てを承認したり、否認したりします。また、監査履歴機能を使用して、行った決定をレビューできます。毎日の決定を受けて、ワークシートを再送信することを決定します。

四半期が終了し、Jimは連続認証がその目的を果たしたことを判断します。マネージャおよび所有者としての役割で、認証を確定するために必要なアクションを実行します。