アクセス例: ユーザー-アクセス・リスク
ユーザー-アクセス・リスクの調査を開始するには、ユーザー・アクセス・リスク要約ワークシートをレビューします。 ロールと割当のコンフリクトがあるユーザーごとに、それらのコンフリクトを定義しているアルゴリズムを特定します。 アルゴリズムごとにワークシートを開き、次の3つの値に基づいてピボット表を作成します:
-
ユーザー名: 組み合せるとアクセス・アルゴリズムに違反する、ユーザーに割り当てられたロールを示します。
-
ロール: コンフリクトが発生する可能性があるロールを示します。
-
アクセス資格/権利名: 組み合せるとアクセス・アルゴリズムに違反する可能性があるアクセス・ポイントが含まれる資格/権利の名前を示します。 1つのロールが2つの資格/権利に関連付けられている場合もあります。その場合は、ロール内コンフリクトを示しています。 そのような「ノイズ」を除去するために、ユーザー-アクセスのコンフリクトを調査する前に、ロール内コンフリクトをなくしておくことをお薦めします。 そうすると、通常は、ユーザー-アクセス・リスクのピボット表内の各ロールに単一の資格/権利がリストされます。 コンフリクトは、1つの権限に関連付けられているロールと、他の権限に関連付けられているロールとの間に存在します。
たとえば、ユーザー・アクセス・リスク要約ワークシートで、Luisa Millerという名前のユーザーに「Manage Employee and Manage Payroll」アルゴリズムに違反するロールが割り当てられていることを示す行が含まれているとします。 (ここでも、アルゴリズム名によって、アクセス・ポイントにコンフリクトがある2つの資格/権利が示されています。)
そのアルゴリズムの結果ワークシートを開き、ピボット表を作成して、ユーザー名を検索します。 次のようなレコード・セットが見つかります:
1つの資格/権利に関連付けられた各ロールは、他の資格に関連付けられたすべてのロールとコンフリクトがあります。 この例では、アプリケーション実装コンサルタントと給与管理者、アプリケーション実装コンサルタントと給与マネージャ、ライン・マネージャと給与管理者、ライン・マネージャと給与マネージャの4つのコンフリクトがあります。
一般的な手段としては、各コンフリクトのいずれかのロールに対するユーザーのアクセス権を取り消します。 この例では、セキュリティ・コンソールを使用して、アプリケーション実装コンサルタントとライン・マネージャ、または給与管理者と給与マネージャのいずれかを削除します。 もう1つの選択肢としては、削除しようとしていた2つのロールのカスタマイズされたバージョンを作成します。 各カスタム・ロールで、コンフリクトがあるアクセス・ポイントを削除しますが、他のアクセス権はそのままにします。