拡張アクセス要求の概要
拡張アクセス要求は、ERPロールを要求および割り当てるためのセルフサービス・ワークフローを実装します。このワークフローのステップとして、アクセス・コントロールによって職務分離および機密アクセスの分析が実行され、レビューと承認のプロセスが実行される場合があります。
現在のプロビジョニング・プロセスには、4つの手動ステップが含まれる場合があります。まず、セキュリティ・コンソールを使用してFusionロールをERPユーザーに割り当てます。2つ目に、機能設定マネージャの「ユーザーのデータ・アクセスの管理」タスクを使用して、ロール割当のデータ・セキュリティを設定します。3つ目に、SODおよび機密アクセス・ポリシー違反を確認します。最後に、ビジネス所有者の承認をEメールなどで記録します。しかし、拡張アクセス要求はこれらのステップを置き換えます。仕組み:
自分または別のユーザーのために、1つ以上のロールを要求します。ジョブ・ロール、データ・ロール、抽象ロールなど、ユーザーに直接割り当てることができる任意のロールを要求できます。この要求は、標準割当て用にすることも、ITのトラブルシューティングや期末トランザクションなどのアドホック・タスクに対処するための臨時割当用にすることもできます。臨時割当には終了日が指定されますが、標準割当には指定されません。
ロールとともに、ユーザーが作成または操作できるデータ・レコードのセットを定義するデータ権限を要求できます。たとえば、指定したビジネス・ユニットに関連付けられているレコードなどです。要求が許可された場合、そのロールに対するユーザーの承認はそれらのレコードにのみ適用されます。
自分の要求および他の要求者の要求は、拡張アクセス要求ジョブがそれらを処理するまで累積されます。ジョブはスケジュールに従って実行されますが、「リスク管理」の「設定および管理」にある「スケジューリング」ページでオンデマンドで実行することもできます。
-
このジョブはアクセス・コントロールを実行して、SODおよび機密アクセスの問題を検出します。1つ以上のアクセス・コントロールがアクティブな場合にのみ、標準割当の要求にこの分析が適用されます。要求されたロールは、相互に競合するか、ユーザーのすでに割り当てられているロールと競合する可能性があります。ジョブの実行が終了すると、拡張アクセス要求によって、各ロール要求でのコントロール違反の数が報告されます。また、違反が検出されたコントロールの名前が表示され、競合するロールを識別して、関連データを提供します。
-
このジョブでは、アクセス・コントロールがアクティブな場合でも、臨時アクセス要求のアクセス分析がバイパスされ、アクセス・コントロールがアクティブでない場合は、すべての要求のアクセス分析がバイパスされます。
いずれの場合も、レビューおよび承認のプロセスが実行されます。要求について最終決定を行う個人は、「要求承認者」と呼ばれます。特定の要求を決定する前に、承認者はその要求のレビュー担当者を選択できます。この人は、リスク(またはリスク分析の欠如)が許容可能かどうかを判断し、要求を許可するか拒否するかを判断します。デフォルトでは、レビュー担当者はロールが要求されたユーザーのマネージャです。ただし、要求承認者は、ユーザーが行う作業への関係に基づいて別の個人を選択できます。いずれの場合も、レビュー担当者による判断には拘束力がなく、レビュー・プロセスはオプションです。
レビュー・ステップが実行されるかどうかに関係なく、要求承認者はユーザーのロールを承認するか否認するかを決定します。承認されたロールごとに、拡張アクセス要求では次のタスクを自動的に完了します。
- セキュリティ・コンソールでユーザーのレコードを更新して、要求されたロールを追加します。これは、ロール割当が承認されるたびに発生します。
- 機能設定マネージャの「ユーザーのデータ・アクセスの管理」タスクに新しいレコードを作成します。このレコードによって、ユーザー、ロールおよびデータ権限が相互に関連付けられます。これは、承認済要求にデータ定義が含まれている場合にのみ発生します。
- 「結果」作業領域にインシデントを作成して、コントロール違反を追跡します(要求によって生成された場合)。
要求承認者は、割り当てられたユーザーからロールを削除することもできます。承認者は、ビジネス所有者による要求、またはOracle Fusion Cloud Access Certificationsの分析によって生成された削除レポートに応答する場合があります。