アクセス・モデル内のフィルタの配置
アクセス・ポイント・フィルタおよび資格/権利フィルタを垂直方向または水平方向に配置して、フィルタが処理されるときの互いの関係を指定します。
-
垂直方向の配置はAND関係を示します。すべてのレベルでフィルタにより識別されるユーザーにコンフリクトが存在します。
たとえば、1つのアクセス・モデルに3つのフィルタが縦並びに含まれているとします。最も上のフィルタは1番目のアクセス・ポイントに割り当てられたユーザーを識別し、中央レベルのフィルタは2番目のアクセス・ポイントに割り当てられたユーザーを識別し、最も下のフィルタは3番目のアクセス・ポイントに割り当てられたユーザーを識別します。3つのアクセス・ポイントすべてが割り当てられ、3つのフィルタすべてで識別された各ユーザーにコンフリクトが存在します。
-
水平方向の配置はOR関係を示します。水平方向のセット内のフィルタまたはフィルタの組合せによって返された場合、レコードは有効です。
たとえば、横並びになった2つのフィルタを3つ目のフィルタの上に配置できます。各フィルタでそれぞれのアクセス・ポイントを指定します。1番目と3番目のアクセス・ポイント、または2番目と3番目のアクセス・ポイントを割り当てられた各ユーザーに、コンフリクトが存在します。
モデルには、アクセス・ポイント・フィルタまたは資格/権利フィルタ、あるいはその両方を含めることができます。アクセス・ポイント・フィルタの数に制限はありませんが、パフォーマンス上の理由から、3つを超える資格/権利フィルタを含めることはできません。
-
モデルに単一レベルのアクセス・ポイント・フィルタまたは資格/権利フィルタが含まれている場合は、機密アクセス分析を実行します。フィルタは、スーパーユーザーのジョブ・ロールなど、割当が本質的にレビューする価値があるアクセス・ポイントを識別します。
-
モデルの複数の垂直レベルにアクセス・ポイント・フィルタまたは資格/権利フィルタが含まれている場合、職務の分離分析を実行します。すべてのレベルのアクセス・ポイントを組み合せてコンフリクトが定義されます(前述の例を参照)。
条件フィルタの動作は異なります。各条件フィルタは、他のすべてのフィルタとのOR関係を持ちます。実際には、モデルの実行時に、すべての条件フィルタが適用されます。
次のコンセプトに注意してください。
-
アクセス・ポイント・フィルタまたは資格/権利フィルタを追加すると、フィルタはデフォルトで、モデル階層内の最下位のアクセス・ポイント・フィルタまたは資格/権利フィルタの下に表示されます。
-
条件フィルタを追加すると、フィルタはデフォルトで、アクセス・ポイント・フィルタと資格/権利フィルタの下の水平行に表示されます。これらはその位置から移動できません。
-
矢印はフィルタを接続し、フィルタが評価されるときのフィルタ間のフローを示します。
-
既存のアクセス・ポイント・フィルタおよび資格/権利フィルタを、モデル内の新しい位置にドラッグ・アンド・ドロップできます。フィルタが別のアクセス・ポイント・フィルタまたは資格/権利フィルタに重なるようにドラッグします。表示されるダイアログ・ボックスで、「AND」または「OR」をクリックします。
「OR」を選択すると、ドラッグしたフィルタは他のフィルタの横に移動します。「AND」を選択すると、ドラッグしたフィルタは他のフィルタの下に移動します。フィルタどうしを結ぶ矢印は、新しいAND関係またはOR関係を反映して自動調整されます。
モデル階層の最上位フィルタの上にフィルタを移動することはできませんが、その最上位フィルタを他のフィルタの下に移動することはできます。
-
フィルタを編集または削除できます。これをクリックし、「モデル・ロジック」パネルで「編集」または「削除」アイコンを選択します。
-
フィルタをグループに組み込むことができます。まず、含めるフィルタを選択します。水平セット内のすべてのフィルタを選択するか、あるいは垂直セット内の隣接するフィルタを選択する必要があります。[Ctrl]キーを押しながら、目的のフィルタをクリックします。次に、「グループの作成」を選択します。グループは、個々のフィルタと同じ方法でドラッグ・アンド・ドロップできます。
作成した各グループには、デフォルトで「グループ」という名前が付きます。名前を変更するには、その名前を選択して、「モデル・ロジック」パネルの「編集」アイコンをクリックします。
グループを解除し、その内容を個々のフィルタとして保持するには、それを選択し、「グループの削除」ボタンをクリックします。グループおよびグループに属するフィルタを削除するには、それを選択して「モデル・ロジック」パネルの「削除」アイコンをクリックします。