1. 拡張コントロールの使用
  2. ダッシュボードを使用したロール要求の操作

ダッシュボードを使用したロール要求の操作

3つの拡張アクセス要求作業領域のいずれかを開くと、ランディング・ページはダッシュボードになります。

  • 「自分のアクセス要求」ダッシュボードには、自分または他のユーザーに対して行った要求のレコードと、他のユーザーが自分のかわりに行った要求のレコードが表示されます。
  • 「アクセス要求レビュー」ダッシュボードには、レビュー対象として選択した要求のレコードが表示されます。
  • 「アクセス要求承認」ダッシュボード(例としてここに表示)には、自分が適格な要求承認者である要求のレコードが含まれます。
「アクセス要求承認」ダッシュボードには、4つのロール要求のレコードが表示されます。

各レコードには、要求が行われた対象ユーザーの名前、要求のID番号、および違反したコントロールの数を表示するバッジが表示されます。(要求が非常に新しいため拡張アクセス要求分析ジョブがまだ実行されていない場合はバッジに「キュー済」と表示され、分析中の場合は「分析中」、ジョブの実行時にアクティブなアクセス・コントロールがない場合は「アクティブ・コントロールなし」と表示される場合があります。)

レコードはステータス別に分類されます。フィルタ・オプションをクリックすると、選択したステータスに承認が達したロールを含む要求レコードが表示されます。この例では、「新規要求」オプションが選択されているため、まだアクションが実行されていないロールを含む要求が表示されます。(下の「フィルタ」を参照してください。)

要求要約の表示

要求の要約情報を表示するには、ダッシュボードで要求IDをクリックします。次に、「アクセス要求承認」ダッシュボードからオープンされた要約レコードの例を示します。買掛/未払金マネージャという単一のロールが、ビジネス・ユニット・セキュリティ・コンテキストとともに要求されました。(セキュリティ・コンテキストの詳細は後ほど説明します。)そのバッジ(「1個の違反」)は、ロールが付与されると、その割当てが1つのコントロールに違反することを示します。

ロール要求のレコードが「アクセス要求承認」ダッシュボードで選択されました。これにより、要求の要約が生成されます。

要約レコードは単一の要求に適用されますが、ステータスベースのフィルタリング・オプションも提供されます。これは複数ロール要求に対応するためです。

フィルタ

1つの要求が複数のロールに対する要求の場合があり、それらのロールの承認プロセスが複数のステータスである可能性があります。作業する要求のステータスでフィルタします。

  • 「自分のアクセス要求」、「アクセス要求レビュー」および「アクセス要求承認」ダッシュボードでは、特定のステータスのフィルタによって、そのステータスのロール要求のすべてのレコードが返されます。つまり、複数ロール要求IDのレコードは、複数のフィルタで選択できます。

    たとえば、要求に2つのロールが含まれているとします。結果承認者はレビュー担当者に1つを割り当てましたが、もう1つにはまだ何もしていません。「新規要求」フィルタまたは「レビュー待ち」フィルタを選択すると、要求のレコードが表示されます。

  • 要約レコードでは、自分が要約を表示している1つの要求に含まれるロールのステータスでフィルタできるため、すでに処理した要求を再び処理できます。たとえば、「アクセス要求レビュー」ダッシュボードから開いた要約レコードには、「レビュー待ち」のみでなく、「承諾されたリスク」および「拒否されたリスク」の3つのフィルタがあります。

要求詳細の表示

要約レコードから、選択したロールの完全な詳細を表示するドロワーを開くことができます。操作するロールがまだ表示されていない場合は、それを返すステータス・フィルタを選択します。次に、その名前をクリックします。ドロワーが開き、要求されたロールが見出しとして、また要約レコードが背景に表示されます。(読みやすくするために、残りの図にはドロワーのみが表示されます。)

ロール要求の詳細ドロワーがオープンされました。デフォルトでは、「承認」タブが選択され、要求の作業履歴が表示されます。

タブをクリックして、表示する情報のタイプを表示します。タブを選択すると、その名前に下線と太字が付けられます。「承認」および「データ要求」は、ダッシュボードから開いたレコードで使用可能なタブです。追加のタブは、「アクセス要求レビュー」および「アクセス要求承認」ダッシュボードから開いたレコードでのみ使用できます。これには、「コントロール違反」「コンフリクト・ロール」および「就業者情報」が含まれます。

  • ドロワーを開くときのデフォルトのタブは、「承認」です。このビューには、最初に要求承認者のリスト(アクセス要求セキュリティ管理者ロールが割り当てられているすべてのユーザー)が表示されます。そのうちの1人がその要求に従って行動する可能性があります。その場合、その承認者は要求を担当し、他の承認者は削除されます。

    その後、「承認」ビューに、要求に対する作業の履歴が表示されます。前の図では、たとえば、下部の行に要求承認者Eugene Oneginがレビュー担当者を割り当てたことが示されています。(この行のバッジには「割当済」と表示されます。)中央の行は、レビュー担当者Hans Sachsが承認を推奨していることを示しています。(そのバッジには「承諾されたリスク」と表示されています。)上部の行には、要求が要求承認者による最終アクションを待機していることが示されています。(そのバッジには「保留中...」と表示されています。)各行には、アクションが発生した日時と、アクションの実行者によって書き込まれたコメントが表示されます。

  • 「データ要求」を選択して、ロールが要求されたときに構成されたデータ・セキュリティ定義を表示します。

    少なくとも、データ要求は次の2つのコンポーネントで構成されます。1つは、資産台帳、ビジネス・ユニット、データ・アクセス・セット、元帳または参照データ・セットなどの「セキュリティ・コンテキスト」です。もう1つの「セキュリティ値」は、組織で構成されたこれらのコンテキストの1つに適した項目です。ロール要求が承認されると、セキュリティ値に関連付けられたデータにのみアクセス権が付与されます。たとえば、ロール要求にビジネス・ユニット・コンテキストとそのセキュリティ値としてビジネス・ユニット名が含まれる場合、そのロール要求はそのユニットに関連するデータにのみ適用されます。

    ただし、データ要求はより複雑になる場合があります。最初に、ロールを要求するユーザーは、セキュリティ・コンテキストに対して任意の数のセキュリティ値を選択できます。その後、値のいずれかに関連付けられたデータ・レコードへのアクセスを、このロールが提供します。たとえば、次の例では、セキュリティ・コンテキストはビジネス・ユニットで、Vision USAとVision Mexicoの2つのセキュリティ値があります。

    ロール要求の詳細ドロワーで、「データ要求」タブが選択されています。要求のセキュリティ値として選択された2つのビジネス・ユニットが表示されます。

    次に、要求者は任意の数のセキュリティ・コンテキストを選択し、それぞれに適切な値を指定できます。そのために、要求者はロールに対して複数の要求を作成し、それぞれが個別のセキュリティ・コンテキストのセキュリティ値を選択します。このロールは、任意のコンテキストに対して選択された値を満たすデータ・レコードへのアクセスを提供します。しかし、これは一般的ではありません。通常、1つのセキュリティ・コンテキストが1つのロールに適しています。

  • ロール要求に違反したアクセスコントロールの名前を表示するには、「コントロール違反」を選択します。違反したコントロールの数および評価されたコントロールの合計数も表示されます。または、要求に対して「拡張アクセス要求分析」ジョブが実行されたときにアクセス制御がアクティブでなかった場合は、エントリでその旨が示されます。

  • 要求が承認された場合に要求されたロールとコンフリクト・ロールのリストを表示するには、「コンフリクト・ロール」を選択します。または、要求に対して「拡張アクセス要求分析」ジョブが実行されたときにアクセス制御がアクティブでなかった場合は、エントリでその旨が示されます。

    次の例では、アクティブなアクセス・コントロールでロール要求のリスク分析が実行されて、「コンフリクト・ロール」タブが選択されています。要求されたロールは見出しとして表示され、「コンフリクト・ロール」リストの各ロールがそのロールと競合しています。各コンフリクト・ロールのエントリには説明が含まれています。長い説明は切り捨てられる場合がありますが、その上にカーソルを置くと全体を表示できます。

    ロール要求の詳細ドロワーで、「コンフリクト・ロール」タブが選択され、コンフリクト・ロールのリストが表示されます。

    次の2つのことに注意してください:

    • 競合の数は、競合が検出されたコントロールの数と異なる場合があります(多くの場合、実際に異なります)。たとえば、この要求のステータス・バッジは、1つのコントロールで違反が発生していることを示しています。(このバッジは、このトピックの「要求要約の表示」の項に示されている要求の要約レコードに表示されています。)それでも、この「コンフリクト・ロール」タブが示すように、1つのコントロールで2つの競合が検出されました。

    • 要求したロールが自分自身と競合している可能性があります。たとえば、買掛/未払金マネージャは、要求されたロールとコンフリクト・ロールの1つの両方として表示されます。これは、「ロール内」コンフリクトと呼ばれるものの例です。1つのロールに、アクセス・コントロールでコンフリクトとして定義されるアクセス・ポイント(この場合の権限)が含まれます。

  • 「就業者情報」を選択して、2人の個人に関する情報を表示します。このビューの左側には、ロールが要求されたユーザー、右側にはそのユーザーのマネージャが表示されます。それぞれについて、名と姓、ジョブ・タイトル、Eメール・アドレスおよび電話番号が表示されます。ユーザーの場合、ビューには雇用主とビジネス・ユニット、部門も表示されます。この情報はすべて、人材管理のユーザーの従業員レコードから取得されます。要求承認者がこの要求をレビューのために送信することを決定した場合、レビュー担当者のデフォルト選択は管理者になります。

詳細ドロワーを閉じるには、削除(×)アイコンをクリックします。要約ページからダッシュボードに戻るには、「ダッシュボードの表示」ボタンをクリックします。