アクセス・モデルの概要
アクセス・モデルは、ユーザーへのアクセス・ポイントの割当におけるリスクを検出します。アクセス・ポイントは、ユーザーがビジネス・アプリケーションでデータを操作できるようにするロールまたは権限です。
アクセス・ポイントの組合せによって、会社を危険にさらす可能性のあるトランザクションを個々のユーザーが実行できるようになるため、モデルで職務の分離分析を実行して、競合するアクセス・ポイントを識別できます。また、機密アクセス分析を実行し、通常は広範囲のアクセスを提供するため、固有の危険を呈す1つのアクセス・ポイントを識別することもできます。
アクセス・モデルは、アクセス・ポイントを指定するフィルタ、または条件を定義するフィルタで構成されます。各フィルタはビジネス・オブジェクトを指定し、それによって分析対象のデータが提供されます。
アクセス・ポイント・フィルタと資格/権利フィルタ
フィルタは、アクセス・ポイントまたは資格/権利(関連するアクセス・ポイントのセット)を指定できます。フィルタは、指定されたアクセス・ポイントまたは指定された資格/権利内のポイントに割り当てられたユーザーを選択します。モデルには、これらのフィルタのうち少なくとも1つが含まれている必要があり、含まれている場合は、フィルタで選択したユーザーのレコードを返します。ただし、通常、モデルにはこれらのフィルタが2つ以上含まれ、定義されたフィルタの組合せによって選択されたユーザーのレコードが返されます。
条件フィルタ
フィルタは、アクセス分析からの除外を許可する条件を定義できます。最初に、アクセス・ポイント・フィルタまたは資格/権利フィルタは、指定されたアクセス・ポイントに関連するロール割当のレコードを返します。条件フィルタは、そのセットからレコードを選択し、選択しないレコードを除外します。条件フィルタでは、分析に含める項目(ユーザーやビジネス・ユニットなど)を指定できます。また、ビジネス・ユニットなどの項目のインスタンス内でのみ許可されるアクセスや、個々のインスタンス間のみで許可されるアクセスを考慮するモデルが必要な場合もあります。
アクセス・モデルを作成または実行する前に、グローバル・ユーザーを少なくとも1回同期化する必要があります。この手順では、モデルやコントロールの対象となるビジネス・アプリケーションを使用する各個人に対してIDを割り当てます。そのIDは、個人がビジネス・アプリケーション・アカウントに対して持っている様々なIDと相互に関連付けられます。(「グローバル・ユーザー」を参照してください。)