1. アクセス認証の使用
  2. ロール・ブリーフィングの表示

ロール・ブリーフィングの表示

拡張ワークシートのユーザーとロールの組合せごとに、認証の決定を通知するデータをロール・ブリーフィングに表示できます。各ブリーフィングには次の要素が含まれます:

  • ロールの権限によって付与されたアクセスを説明する、AIで生成された要約。1つの要約ではロール全体が説明され、他の要約ではそのアクティビティが機能カテゴリに分類されています。

  • ユーザーへのロールの割当に関する情報。これには、ユーザーがロールを適用できるレコードのセットを決定するデータ・セキュリティ定義が含まれます。また、ロール割当に対してアクセス・コントロールが検出したリスクの数も表示されます。

  • ロール割当のコンテキスト。組織全体、ユーザーの直属のマネージャが監督するポジションの階層内、およびそのマネージャの直属の部下の間で、そのロールを割り当てられた個人の数をレビューできます。そのロールの認証決定の履歴をレビューすることもできます。

次に、いくつかの暫定的なノートを示します:

  • ロール・ブリーフィングを表示するには、管理者がプロファイル・オプションを設定する必要があります。(アクセス認証に対する拡張ワークシートのアクティブ化を参照してください。)

  • ロール割当のブリーフィングを初めて開くと、AIで生成された要約を作成するのに最大30秒かかります。ロールの要約が存在すると、どのユーザーにそのロールが割り当てられても、その要約がブリーフィングに使用されるので、ロールに関係するブリーフィングがすぐに開きます。

  • 要約が保存されるのは、通常は毎日1回実行される「アクセス認証同期化」ジョブが実行されるまでです。ジョブの実行後は、生成されたAI要約があっても、再生成される必要があります。再生成された要約で伝えられる情報は変わりませんが、表現がわずかに変わる可能性があります。

  • AI機能では、500個を超える権限を持つロールの要約は作成されません。ロール要約のかわりに、要約が使用できないというメッセージが表示されます。

ロール・ブリーフィングを表示するには、レビューしているユーザーとロール組合せのレコードでロール名をクリックします。「ロール・ブリーフィング」ドロワーが開きます。ブリーフィングは7つのセクションに分かれています。

「ハイライト」セクションには、ロールの権限でユーザーが実行できる内容の要約が、AIで生成した短い文章で表示されます。これはそのロールに固有であるため、この短い文章は、ロールを割り当てられたユーザーのロール・ブリーフィングに表示されます。「ハイライト」セクションには、ブリーフィングを開いたレコードが注目する割当を持つユーザーに関する情報も表示されます。これには、ユーザーがロールに対して最後に認定されたか、認定を取り消された時期、割当のデータ・セキュリティ定義の内容、そのロールが割り当てられたユーザー数、または過去12か月以内にそのロールに対して認定されたユーザー数、およびロールに固有のアクセス・リスクの数、またはユーザーがアクセスできる他のロールとのコンフリクトがあるアクセス・リスクの数が含まれます。

「機能カテゴリ別の権限の要約」セクションでは、AIを使用して、ロールの権限が適合するカテゴリを定義し、各カテゴリの権限によってユーザーが実行できる内容を説明しています。「ハイライト」セクションのロール要約と同様に、ロールを割り当てられたユーザーのロール・ブリーフィングに、これらの要約が表示されます。

「関連データ・アクセス権限」セクションには、ユーザーがロールの機能を適用できるデータを決定するセキュリティ定義が記述されています。これは、セキュリティ・コンテキストと1つ以上のセキュリティ値で構成されています。コンテキストとは、Oracle Fusion Functional Setup Managerの「ユーザーのデータ・アクセスの管理」タスクで認識される(「ビジネス・ユニット」などの)属性です。この値は、コンテキストに適した1つ以上の項目で、組織が構成します。たとえば、「家庭用電化製品」というビジネス・ユニットがある場合、「ビジネス・ユニットが家庭用電化製品と等しい」というデータ・セキュリティ定義を使用すると、そのビジネス・ユニットに関連付けられたデータをユーザーが操作できるようになります。

「組織での使用」セクションには、このブリーフィングに関するロールが割り当てられたユーザーの数がレポートされます。この数には、組織全体のユーザー、このブリーフィングで注目するユーザーのマネージャの直属または間接的部下であるユーザー、およびそのマネージャの直属の部下であるユーザーが含まれます。(マネージャが関係する結果は、ユーザーとロールの組合せのレコードが直属のマネージャを示す場合にのみ適用されます。)または、これらのカテゴリのいずれでも、ロールが割り当てられているユーザーがいない場合は、ロールが割り当てられているユーザーがいないことが、このセクションで報告されます。

「アクセス認証履歴」セクションには、過去12か月間に、このブリーフィングに関するロールを保持することが認証されたユーザーの数と、ロールの削除が推奨されたユーザーの数がレポートされます。また、ロール割当の最新認証が完了した日付、または過去12か月間にロールが認証に含まれていなかったかどうかも示されます。

「固有のリスクおよびインシデント履歴」セクションには、ユーザーへのロールの割当てによって生じるアクセス・リスクの数が表示されます。リスクには2種類あります。ロール自身に、リスクのあるアクセス権を付与する権限が含まれている場合があります。たとえば、ユーザーが購買オーダーの作成とその支払の承認を両方できるような場合です。ブリーフィングでは、これを「固有の職務の分離」リスクと呼びます。または、そのユーザーに割り当てられている別のロールの権限とコンフリクトがある権限がロールに含まれている場合があります。たとえば、1つのロールに購買オーダーの作成権限があり、もう1つのロールに支払の承認権限がある場合があります。ブリーフィングでは、これを「アクセス・インシデント」リスクと呼びます。どちらのタイプも、Oracle Fusion Cloud Advanced Controlsで作成されたアクセス・コントロールによって検出されます。

「権限の完全なリスト」セクションには、このブリーフィングに関連するロールに含まれるすべての権限のリストが表示されます。