1. アクセス認証の使用
  2. セキュリティ・ブリーフィングの表示
機械翻訳について

セキュリティ・ブリーフィングの表示

拡張ワークシートのユーザーとロールの組合せごとに、セキュリティ・ブリーフィングで証明の決定を通知するデータを表示できます。 各ブリーフィングには、ロールの権限によって付与されるアクセス権、ユーザーへのロールの割当てに関する情報、およびロール割当てのコンテキストに関するAI生成の説明が含まれます。

次に、いくつかの暫定的なノートを示します:

  • セキュリティ・ブリーフィングを表示するには、管理者がプロファイル・オプションを設定する必要があります。 (「アクセス証明の拡張ワークシートのアクティブ化」を参照してください。)

  • ロール割当のブリーフィングを初めて開くと、AIで生成された要約を作成するのに最大30秒かかります。 ロールの要約が存在すると、どのユーザーにそのロールが割り当てられても、その要約がブリーフィングに使用されるので、ロールに関係するブリーフィングがすぐに開きます。

  • 要約が保存されるのは、通常は毎日1回実行される「アクセス認証同期化」ジョブが実行されるまでです。 ジョブの実行後は、生成されたAI要約があっても、再生成される必要があります。 再生成された要約で伝えられる情報は変わりませんが、表現がわずかに変わる可能性があります。

  • AI機能では、500個を超える権限を持つロールの要約は作成されません。 ロール要約のかわりに、要約が使用できないというメッセージが表示されます。

セキュリティ・ブリーフィングを表示するには、レビューしているユーザーとロールの組合せのレコードでロール名をクリックします。 セキュリティ・ブリーフィング・ドロワーが開きます。 ブリーフィングは9つのセクションに分かれています。

「ハイライト」セクションには、ロールの権限でユーザーが実行できる内容の要約が、AIで生成した短い文章で表示されます。 ロールに固有であるため、この段落はロールを割り当てられたすべてのユーザーのセキュリティ・ブリーフィングに表示されます。 「ハイライト」セクションには、ブリーフィングを開いたレコードのフォーカスである、ユーザーとロールの組合せに関する文のリストも表示されます。 リストには、残りのセクションから選択された重要なファクトが表示されます。

「機能カテゴリ別の権限の要約」セクションでは、AIを使用して、ロールの権限が適合するカテゴリを定義し、各カテゴリの権限によってユーザーが実行できる内容を説明しています。 「ハイライト」セクションのロール・サマリーと同様に、これらのサマリーは、ロールを割り当てられたすべてのユーザーのセキュリティ・ブリーフィングに表示されます。

「昇格された権限」セクションは、機密アクセスを提供する一連のITロールのロールが、そのロールと類似しているか、それとも類似しているかを示します。 その場合は、ITロールを識別します。 認定対象とみなされるロールは、ITロールの権限の75%が含まれている場合、ITロールに似ています。

「異常な権限」セクションは、ロール割当が評価されるユーザーのジョブ・タイトルまたはポジションに通常適切でない権限がロールに含まれているかどうかを示します。 通常、ロールには機密性の高いIT権限が含まれますが、ジョブ・タイトルまたはポジションは、そのロールがIT関連でないことを提案します。 ロールに通常とは異なる権限が含まれている場合、メッセージにはジョブ名、ポジション名、またはその両方が含まれます。 (ジョブ名もポジション名もユーザー・ロールの組合せに使用できない場合、決定できないというメッセージが報告されます。)

「関連データ・アクセス権限」セクションには、ユーザーがロールの機能を適用できるデータを決定するセキュリティ定義が記述されています。 これは、セキュリティ・コンテキストと1つ以上のセキュリティ値で構成されています。 コンテキストとは、Oracle Fusion Functional Setup Managerの「ユーザーのデータ・アクセスの管理」タスクで認識される(「ビジネス・ユニット」などの)属性です。 この値は、コンテキストに適した1つ以上の項目で、組織が構成します。 たとえば、「家庭用電化製品」というビジネス・ユニットがある場合、「ビジネス・ユニットが家庭用電化製品と等しい」というデータ・セキュリティ定義を使用すると、そのビジネス・ユニットに関連付けられたデータをユーザーが操作できるようになります。

「組織での使用」セクションは、このブリーフィングに重点を置いているユーザーが人間ではない可能性があることをレポートします(一連のテストでこれが想定される場合)。 (このセクションは、テストによってユーザーが人間である可能性が高いと判断された場合にはコメントしません。) このセクションには、このブリーフィングに関係するロールが割り当てられたユーザーの数もレポートされます。 この数には、組織全体のユーザー、このブリーフィングで注目するユーザーのマネージャの直属または間接的部下であるユーザー、およびそのマネージャの直属の部下であるユーザーが含まれます。 (マネージャが関係する結果は、ユーザーとロールの組合せのレコードが直属のマネージャを示す場合にのみ適用されます。) または、これらのカテゴリのいずれでも、ロールが割り当てられているユーザーがいない場合は、ロールが割り当てられているユーザーがいないことが、このセクションで報告されます。

「アクセス認証履歴」セクションには、過去12か月間に、このブリーフィングに関するロールを保持することが認証されたユーザーの数と、ロールの削除が推奨されたユーザーの数がレポートされます。 また、ロール割当の最新認証が完了した日付、または過去12か月間にロールが認証に含まれていなかったかどうかも示されます。

「固有のリスクおよびインシデント履歴」セクションには、ユーザーへのロールの割当てによって生じるアクセス・リスクの数が表示されます。 リスクには2種類あります。 ロール自身に、リスクのあるアクセス権を付与する権限が含まれている場合があります。 たとえば、ユーザーが購買オーダーの作成とその支払の承認を両方できるような場合です。 ブリーフィングでは、これを「固有の職務の分離」リスクと呼びます。 または、そのユーザーに割り当てられている別のロールの権限とコンフリクトがある権限がロールに含まれている場合があります。 たとえば、1つのロールに購買オーダーの作成権限があり、もう1つのロールに支払の承認権限がある場合があります。 ブリーフィングでは、これを「アクセス・インシデント」リスクと呼びます。 どちらのタイプも、Oracle Fusion Cloud Advanced Controlsで作成されたアクセス・コントロールによって検出されます。

「権限の完全なリスト」セクションには、このブリーフィングに関連して、ロールに含まれるすべての権限のリストが表示されます。