拡張アクセス要求の概要

拡張アクセス要求は、ERPロールを要求および割り当てるためのセルフサービス・ワークフローを実装します。アクセス・コントロールがアクティブな場合、職務分離と機密アクセスの問題に関するロール要求を分析し、分析の結果を要求レコードに追加するコントロールでこのワークフローが始まります。アクティブなアクセス・コントロールがない場合、リスク分析は行われません。ただし、どちらの場合も、ユーザーは各ロール要求に対してレビューと承認プロセスを完了します。

現在のプロビジョニング・プロセスには、4つの手動ステップが含まれる場合があります。まず、セキュリティ・コンソールを使用してFusionロールをERPユーザーに割り当てます。2つ目に、機能設定マネージャの「ユーザーのデータ・アクセスの管理」タスクを使用して、ロール割当のデータ・セキュリティを設定します。3つ目に、SODおよび機密アクセス・ポリシー違反を確認します。最後に、ビジネス所有者の承認をEメールなどで記録します。

しかし、拡張アクセス要求はこれらのステップを置き換えます。仕組み:

自分または別のユーザーに対して1つ以上のロールを要求します。ジョブ・ロール、データ・ロール、抽象ロールなど、ユーザーに直接割り当てることができる任意のロールを要求できます。ロールとともに、ユーザーが作成または操作できるデータ・レコードのセットを定義するデータ要求を作成できます。たとえば、指定したビジネス・ユニットに関連付けられているレコードなどです。要求が許可された場合、そのロールに対するユーザーの承認はそれらのレコードにのみ適用されます。

次に、「拡張アクセス要求分析」ジョブが実行され、前回の実行以降に累積されたすべての要求が処理されます。ジョブはスケジュールに従って実行されますが、「リスク管理」の「設定および管理」にある「スケジューリング」ページでオンデマンドで実行することもできます。その結果は、アクティブなアクセス・コントロールがあるかどうかによって異なります:

• 1つ以上のアクセス・コントロールがアクティブな場合、ジョブがそれらを実行して、SODおよび機密アクセスの問題を検出します。要求されたコントロールは、相互に競合するか、ユーザーのすでに割り当てられているロールと競合する可能性があります。ジョブの実行が終了すると、拡張アクセス要求によって、各ロール要求でのコントロール違反の数が報告されます。また、違反が検出されたコントロールの名前が表示され、競合するロールを識別して、関連データを提供します。

• アクティブなアクセス・コントロールがない場合、ジョブは保留中の要求を処理しますが、アクセス・リスク分析は実行しません。これらの要求のレコードを表示するページでは、リスク分析を実行するためには、コントロールをアクティブ化する必要があることを示すバナーメッセージが、「拡張アクセス要求」に表示されます。

要求について最終決定を行う個人は、「要求承認者」と呼ばれます。ただし、特定の要求を決定する前に、承認者はその要求のレビュー担当者を選択できます。この人は、リスク(またはリスク分析の欠如)が許容可能かどうかを判断し、要求を許可するか拒否するかを判断します。デフォルトでは、レビュー担当者はロールが要求されたユーザーのマネージャです。ただし、要求承認者は、ユーザーが行う作業への関係に基づいて別の個人を選択できます。いずれの場合も、レビュー担当者による判断には拘束力がなく、レビュー・プロセスはオプションです。

レビュー・ステップが実行されるかどうかに関係なく、要求承認者はユーザーのロールを承認するか否認するかを決定します。承認されたロールごとに、拡張アクセス要求では次のタスクを自動的に完了します。

• セキュリティ・コンソールでユーザーのレコードを更新して、要求されたロールを追加します。これは、ロール割当が承認されるたびに発生します。
• 機能設定マネージャの「ユーザーのデータ・アクセスの管理」タスクに新しいレコードを作成します。このレコードによって、ユーザー、ロールおよびデータ要求が相互に関連付けられます。これは、承認済要求にデータ要求が含まれている場合にのみ発生します。
• 「結果」作業領域にインシデントを作成して、コントロール違反を追跡します(要求によって生成された場合)。

要求承認者は、割り当てられたユーザーからロールを削除することもできます。承認者は、ビジネス所有者による要求、またはOracle Fusion Cloud Access Certificationsの分析によって生成された削除レポートに応答する場合があります。