1. アクセス認証の使用
  2. 認証のスコープ指定

認証のスコープ指定

「セキュリティ割当」リージョンでの作業が終了すると、「スコープ指定フィルタ」リージョンがアクティブになります。それを使用して、ユーザーへの割当てをレビューするロールを選択するフィルタを作成します。

新規認証では、最初はページにフィルタが含まれていません。以前の定義を再利用する認証の場合、ページには、その定義から継承したスコープ指定フィルタが表示されます。

割当て可能なロール(ジョブ、データ、要約およびユーザーに直接割り当てることができるその他のロール)のみをスコープ設定できます。スコープ指定フィルタでは、その割当て可能ロールのロール階層に含まれる、ユーザーに間接的にのみ使用できるロール(事前定義済の職務ロールなど)は、返されません。

次の4つのタイプのスコープ指定フィルタを作成できます:

  • データソース・フィルタ: このタイプのフィルタでは、ロール割当を認証キャンペーンに含めるデータ・ソースを選択します。データ・ソース・フィルタがないと、組織が設定したすべてのデータ・ソースのロール割当がキャンペーンに含まれる可能性があります。

  • アクセス・ポイント・フィルタ: Oracle Cloudデータ・ソースのアクセス・ポイントは任意のタイプの権限またはロールです。アクセス・ポイント・フィルタは、これらのアイテムのいずれかを指定し、フィルタによって直接指定された割当て可能ロール、またはフィルタによって指定されたアクセス・ポイントの階層の親である割当て可能ロールのいずれかを返すことができます。他のデータ・ソースのアクセス・ポイントは割当て可能なロールであり、アクセス・ポイント・フィルタはそのロールを返します。

    標準認証では、フィルタはユーザーに割り当てられているロールのみを返します。連続認証の場合、フィルタは割当て済と未割当ての両方のロールを返すため、認証の開始後にユーザーに割り当てられる可能性のあるロールのスコープを設定できます。

  • 資格/権利フィルタ: 資格/権利とは、関連するアクセス・ポイントのセットです。資格/権利フィルタは、資格/権利に含まれている割当て可能なロール、または資格/権利に含まれるアクセス・ポイントの階層の親である場合があります。ここでも、標準認証では、フィルタは割り当てられたロールのみを返しますが、連続認証の場合は、割り当てられたロールと未割当てのロールの両方を返します。

  • 条件フィルタ: このフィルタ・タイプは、ロール・レコードのプールから選択します。ただし、このフィルタ・タイプの効果は、基本的には排他的です。開始時のレコードのプールから、条件フィルタによって、選択されていないレコードがすべて削除されます。

使用するフィルタ・タイプは、トップダウン・スコープ指定を選ぶかボトムアップ・スコープ指定を選ぶかに応じて異なります。

  • トップダウン・スコープ指定ジョブの場合、考慮するすべてのロールから始めます。継続認証の場合、これは文字どおり、組織が設定したすべてのデータ・ソースのすべての割当て可能なロールを意味します。標準認証では、これは、ユーザーに割り当てられたすべてのロールを意味します。データソースおよび条件フィルタを作成して、認証キャンペーンに不要なロールを除外できます。ただし、アクセス・ポイント・フィルタまたは資格/権利フィルタが返す可能性があるすべてのロールから始めるため、これらのフィルタは必要ないので、作成できません。

  • ボトムアップ・スコープ指定ジョブの場合は、ロールが選択されていない状態で始めます。認証キャンペーンにロールを含めるデータ・ソースごとに、少なくとも1つのアクセス・ポイントまたは資格/権利フィルタを作成する必要があります(さらに作成することもできます)。その後、このプールからロールを除外する条件フィルタを作成できます。データソース・フィルタを作成することもできます。

「トップ・ダウン・スコープ指定アプローチの活用」というラベルのチェック・ボックスがデフォルトで選択されています。選択したままにしてトップダウン・スコープ指定を実装するか、選択を解除してボトムアップ・スコープ指定を実装します。次に、スコープ指定ジョブに必要なフィルタを作成します。

終了したら、「発行」ボタンをクリックします。これにより、アクセス認証のホーム・ページにフォーカスが戻ります。また、スコープ指定ジョブも開始されます。そのジョブのステータスを確認したり、「ジョブのモニター」タブをクリックして「ジョブのモニター」ページを開きます。ジョブが正常に完了すると、認証のステータスが「確定中」に更新され、「処理」メニューに「ロールの確定」オプションが表示されます。

ノート:

認証のスコープとして指定できる最大ロール数は、500です。スコープ指定フィルタはより多くの値を返す場合がありますが、その場合、スコープ指定ジョブは失敗します。この場合、スコープ指定ジョブのフォーカスを絞り込むスコープ指定フィルタを追加してから、それを再実行します。

スコープ指定ジョブにより、「モデル」ページ(「リスク管理」 > 「拡張コントロール」 > 「モデル」)でアクセス可能なモデルが作成されます。該当する認証が完全に開始されるまで、このモデルは削除しないことが重要です。