1. 拡張コントロールの使用
  2. ダッシュボードを使用したロール要求の操作

ダッシュボードを使用したロール要求の操作

「リスク管理」スプリングボードの作業領域の中には、拡張アクセス要求に該当するものが3つあります。それらへのアクセスは、ユーザーに割り当てられているロールによって異なります。それぞれのランディング・ページはダッシュボードです。

  • 「自分のアクセス要求」ダッシュボードには、自分または他のユーザーに対して行った要求のレコードと、他のユーザーが自分のかわりに行った要求のレコードが表示されます。
  • 「アクセス要求レビュー」ダッシュボードには、レビュー対象として選択した要求のレコードが表示されます。
  • 「アクセス要求承認」ダッシュボードには、自分に要求承認者の資格がある要求のレコードが含まれます。

ダッシュボードの各レコードには、要求が行われた対象ユーザーの名前、要求のID番号、および違反したコントロールの数を表示するバッジが表示されます。(要求が非常に新しいため拡張アクセス要求分析ジョブがまだ実行されていない場合はバッジに「キュー済」と表示され、分析中の場合は「分析中」、ジョブの実行時にアクティブなアクセス・コントロールがない場合は「アクティブ・コントロールなし」と表示される場合があります。)

レコードはステータス別に分類されます。フィルタ・オプションをクリックすると、選択したステータスに承認が達したロールを含む要求レコードが表示されます。(下の「フィルタ」を参照してください。)

要求要約の表示

要求の要約情報を表示するには、ダッシュボードで要求IDをクリックします。

要約レコードには、要求が行われた対象ユーザーの名前、要求IDと日付、およびその理由(要求の作成時に記述された簡単な文)が表示されます。要求されたロールごとに、ロール名、セキュリティ・コンテキスト(セキュリティ・コンテキストについては後ほど詳しく説明します)、およびロール割当が違反するアクセス・コントロールの数を示すバッジが表示されます。

特別なケース: 調達機能へのアクセス権を付与する特定の権限の場合、ユーザーには、ビジネス・ユニットの調達エージェントとしての権限と対応する処理の両方が必要です。要求されたロールにそのような権限が含まれている場合は、「調達エージェント・アクセス」というラベルのフィールドが、承認者およびレビュー担当者が使用できる要約レコードの「要求日」フィールドの下に表示されます。詳細は、「ロール要求のレビュー」および「レビュー担当者の割当およびロール要求の承認」を参照してください。

要約レコードは単一の要求に適用されますが、ステータスベースのフィルタリング・オプションも提供されます。これは複数ロール要求に対応するためです。

フィルタ

1つの要求が複数のロールに対する要求の場合があり、それらのロールの承認プロセスが複数のステータスである可能性があります。作業する要求のステータスでフィルタします。

  • 「自分のアクセス要求」、「アクセス要求レビュー」および「アクセス要求承認」ダッシュボードでは、特定のステータスのフィルタによって、そのステータスのロール要求のすべてのレコードが返されます。つまり、複数ロール要求IDのレコードは、複数のフィルタで選択できます。

    たとえば、要求に2つのロールが含まれているとします。結果承認者はレビュー担当者に1つを割り当てましたが、もう1つにはまだ何もしていません。「新規要求」フィルタまたは「レビュー待ち」フィルタを選択すると、要求のレコードが表示されます。

  • 要約レコードでは、自分が要約を表示している1つの要求に含まれるロールのステータスでフィルタできるため、すでに処理した要求を再び処理できます。たとえば、「アクセス要求レビュー」ダッシュボードから開いた要約レコードには、「レビュー待ち」のみでなく、「承諾されたリスク」および「拒否されたリスク」の3つのフィルタがあります。

要求詳細の表示

要約レコードから、選択したロールの詳細を表示するドロワーを開くことができます。操作するロールがまだ表示されていない場合は、それを返すステータス・フィルタを選択します。次に、その名前をクリックします。要求されたロールが見出しとして表示されたドロワーが開きます。

タブをクリックして、表示する情報のタイプを表示します。タブを選択すると、その名前に下線と太字が付けられます。「承認」および「データ権限」タブは、ダッシュボードから開いたレコードで使用できます。追加のタブは、「アクセス要求レビュー」および「アクセス要求承認」ダッシュボードから開いたレコードでのみ使用できます。これらには、「コントロール違反」「コンフリクト・ロール」および「就業者情報」が含まれ、「ロール・ブリーフィング」が含まれる場合もあります。

  • ドロワーを開くときのデフォルトのタブは、「承認」です。このビューには、最初に要求承認者のリスト(アクセス要求セキュリティ管理者ロールが割り当てられているすべてのユーザー)が表示されます。そのうちの1人がその要求に従って行動する可能性があります。その場合、その承認者は要求を担当し、他の承認者は削除されます。

    これ以降、要求の作業履歴を示す行が「承認」タブに表示されます。承認者またはレビュー担当者が各行に示され、その個人が担当する処理のステータスを示すバッジが表示されます。そのユーザーが処理を完了すると、別の行が追加され、実行するタスクとともに次の個人が示されます。各行には、処理が発生した日時と、処理の実行者が書き込んだコメントが表示されます。

  • 「データ権限」を選択して、ロール要求に対して構成されたデータ・セキュリティ定義を表示します。少なくとも、データ権限の要求は2つのコンポーネントで構成されます。

    • 「セキュリティ・コンテキスト」には、「資産台帳」、「ビジネス・ユニット」、「管理予算」、「原価組織」、「データ・アクセス・セット」、「会社間組織」、「在庫組織」、「元帳」、「法的エンティティ」、「製造工場」または「参照データ・セット」のいずれかのラベルを指定できます。

    • もう1つの「セキュリティ値」は、組織で構成されたこれらのコンテキストの1つに適した項目です。ロール要求が承認されると、セキュリティ値に関連付けられたデータにのみアクセス権が付与されます。

    たとえば、ロール要求にビジネス・ユニット・コンテキストとそのセキュリティ値としてビジネス・ユニット名が含まれる場合、そのロール要求はそのユニットに関連するデータにのみ適用されます。

    ただし、データ権限はより複雑になる場合があります。最初に、ロールを要求するユーザーは、セキュリティ・コンテキストに対して任意の数のセキュリティ値を選択できます。その後、値のいずれかに関連付けられたデータ・レコードへのアクセスを、このロールが提供します。

    次に、要求者は任意の数のセキュリティ・コンテキストを選択し、それぞれに適切な値を指定できます。そのために、要求者はロールに対して複数の要求を作成し、それぞれが個別のセキュリティ・コンテキストのセキュリティ値を選択します。このロールは、任意のコンテキストに対して選択された値を満たすデータ・レコードへのアクセスを提供します。しかし、これは一般的ではありません。通常、1つのセキュリティ・コンテキストが1つのロールに適しています。

  • ロール要求に違反したアクセスコントロールの名前を表示するには、「コントロール違反」を選択します。違反したコントロールの数および評価されたコントロールの合計数も表示されます。または、要求に対して「拡張アクセス要求分析」ジョブが実行されたときにアクセス・コントロールが評価されなかった場合は、エントリにその旨が示されます。

  • 要求が承認された場合に要求されたロールとコンフリクト・ロールのリストを表示するには、「コンフリクト・ロール」を選択します。各コンフリクト・ロールのエントリには説明が含まれています。長い説明は切り捨てられる場合がありますが、その上にカーソルを置くと全体を表示できます。または、要求に対して「拡張アクセス要求分析」ジョブが実行されたときにアクセス・コントロールがアクティブであると評価されなかった場合は、エントリにその旨が示されます。

    次の2つのことに注意してください:

    • コントロールで複数のコンフリクトが検出される可能性があるため、コンフリクト・ロールの数は、コンフリクトが検出されたコントロールの数と異なる場合があります(多くの場合、異なります)。

    • 要求したロールが自分自身と競合している可能性があります。これは、「ロール内」コンフリクトと呼ばれ、自分自身のロールに、アクセス・コントロールでコンフリクトとして定義されているアクセス・ポイントが含まれています。これが発生すると、タブの見出しとコンフリクト・ロールのリストの両方に、要求されたロールが表示されます。

  • 「就業者情報」を選択して、2人の個人に関する情報を表示します。このビューの左側には、ロールが要求されたユーザー、右側にはそのユーザーのマネージャが表示されます。それぞれについて、名と姓、ジョブ・タイトル、Eメール・アドレスおよび電話番号が表示されます。ユーザーの場合、ビューには雇用主とビジネス・ユニット、部門も表示されます。この情報はすべて、人材管理のユーザーの従業員レコードから取得されます。要求承認者がこの要求をレビューのために送信することを決定した場合、レビュー担当者のデフォルト選択は管理者になります。

  • 「ロール・ブリーフィング」を選択して、承認決定を通知するデータを表示します。(このタブは、設定ステップが完了している場合にのみ表示されます。拡張アクセス要求のロール・ブリーフィングのアクティブ化を参照してください。)

    • 「ハイライト」セクションには、ロールの権限でユーザーが実行できる内容の概要を示す、AIで生成された短い文章が表示されます。また、ロールが要求された対象ユーザーへのロールの割当に関連する情報も表示されます。これには、要求のデータ・セキュリティ定義、アクセス・コンフリクト・データ、およびロールが割り当てられている他のユーザーの数が含まれる場合があります。

    • 「機能カテゴリ別の権限の要約」セクションでは、AIを使用して、ロールの権限が適合するカテゴリが定義され、各カテゴリの権限によってユーザーが実行できる内容か説明されます。

    • 「関連データ・アクセス権限」セクションには、ロール要求に対して構成されたデータ・セキュリティ定義が記述されています。

    • 「組織での使用」セクションには、要求されたロールが割り当てられたユーザー数がレポートされます。件数には、組織全体のユーザー、ロールが要求された対象ユーザーのマネージャの直属または間接的部下であるユーザー、およびそのマネージャの直属の部下であるユーザーが含まれます。

    • 「アクセス認証履歴」セクションには、このブリーフィングに関連して、ロールを保持することが認証されたユーザーの数、および過去12か月間にロールの削除が薦められたユーザーの数がレポートされます。認証は、Access Certificationsアプリケーションで実行されます。

    • 「固有リスクおよびインシデント履歴」セクションには、ロールがユーザーに割り当てられた場合に発生する、ロール内とロール間の両方のアクセス・リスクの数が表示されます。

    • 「権限の完全なリスト」セクションには、このブリーフィングに関連して、ロールに含まれるすべての権限のリストが表示されます。

詳細ドロワーを閉じるには、削除(×)アイコンをクリックします。要約ページからダッシュボードに戻るには、「ダッシュボードの表示」ボタンをクリックします。