ノート:

Oracle Access Governanceを使用した孤立アカウントの管理

イントロダクション

Oracle Access Governanceは、クラウドネイティブで最新のアイデンティティ・ガバナンスおよび管理(IGA)ソリューションであり、すべてのクラウド・サービスおよびオンプレミス・システムへのアクセスを管理するための企業全体の可視性を提供します。お客様がアクセス・プロビジョニングの自動化、アクセス権限に関するインサイトの取得、異常の特定、セキュリティ・リスクの修正を支援する、分析主導型の規範的なアクセス・レビュー・プロセスである動的アクセス制御を提供します。シンプルさ、自動化、堅牢なセキュリティ機能を組み合せることで、Oracle Access Governanceは、企業内の従業員と消費者が、必要に応じてジョブを実行するために必要なリソースにのみアクセスできることを保証します。

孤立アカウントとは、指定された所有者がなく、様々なシステムまたはアプリケーションから発生したアカウントを指します。このプロセスをOracle Access Governanceに実装することで、一元化されたガバナンス・プロセスを確立し、非ガバナンス・アイデンティティの可視性と制御を保証します。

マイクロ認定: イベント駆動型アクセスレビュー

マイクロ認証は、変更イベント、タイムライン・イベント、不一致のアカウント・イベントなどのイベントが検出されるたびに、Oracle Access Governanceによって自動的に起動されます。Oracle Access Governanceは、アイデンティティ・プロファイルを継続的に監視し、事前定義されたイベントが検出されると、そのイベントに関連するアクセス・レビューを開始します。

一致しないアカウント・イベントは、Oracle Access Governanceが孤立アカウントを検出するたびにトリガーされます。孤立アカウントは、どのアイデンティティにも関連付けられません。このイベント・タイプを構成するオーケストレーション・システムを選択できます。一致しないアカウントを自動削除するように構成できます。

対象読者

目的

前提条件

タスク1: Oracle Access Governanceでのオーケストレーション・システム構成の検証

このタスクでは、オーケストレーション・システムが正しく構成され、データ・ロード・プロセスが正常に実行されていることを確認します。

  1. ブラウザを開き、Oracle Access Governanceコンソールに移動します。

  2. Oracle Access Governance管理者の「ユーザー名」および「パスワード」を入力し、「サインイン」をクリックします。

  3. ナビゲーション・メニューから、「サービス管理」および「オーケストレーション・システム」を選択します。

  4. 管理対象システムを検索し、右側の3つのドット(ADM)アイコンをクリックして、「アクティビティ・ログの表示」を選択します。

  5. 「フル・データ・ロード」アクティビティが正常に実行されていることを確認します。

    接続されたシステム検証およびデータ・ロードに成功しました

タスク2: 一致しないアカウントに対するイベントベースのアクセス・レビューの作成

このタスクでは、データベースから発生した不一致のアカウントについて、イベントベースのアクセス・レビューを構成します。

  1. ナビゲーション・メニューから、「アクセス・レビュー」および「イベントベースの設定」を選択します。

  2. 「不一致のアカウント」にナビゲートし、「不一致のアカウント・イベントの作成」をクリックします。

  3. イベントの名前(「不一致アカウント- データベース」など)を入力し、「有効」を選択してイベントを有効にします。

  4. データベース・オーケストレーション・システムを選択します。

  5. 「ワークフローの選択」ページで、「カスタム・ユーザー」を選択し、「どのユーザーですか。」フィールドで管理者ユーザーを選択します。

    未照合勘定科目のイベントベース設定

    未照合勘定科目のイベントベース設定

タスク3: データベースでのユーザーの作成

このタスクでは、データベース・クライアントを使用してターゲット・データベースにユーザー・アカウントを手動で作成します。

  1. データベース・クライアント(SQLDeveloperなど)を使用して、データベースに複数のユーザー・アカウントを作成します。Oracle Access Governanceにユーザー名がまだ存在しないことを確認してください。

    ノート:このチュートリアルではSQLDeveloperを使用しますが、任意の優先データベース・クライアントを使用できます。

    CREATE USER demousr1 IDENTIFIED BY demopasswd;
CREATE USER demousr2 IDENTIFIED BY demopasswd;
CREATE USER demousr3 IDENTIFIED BY demopasswd;

    SELECT username, user_id, default_tablespace,
temporary_tablespace, profile, external_name,
password_versions, authentication_type
FROM dba_users where Upper(username) like '%DEMO%';

    データベース・ユーザーの作成

タスク4: Oracle Access Governanceで新しく作成されたデータベース・ユーザーの同期および検証

このタスクでは、データ・ロードを実行して、データベース・ユーザーをOracle Access Governanceと同期します。

  1. タスク1の説明に従って、管理対象システムにナビゲートします。3つのドット(ADM)アイコンをクリックし、「統合の管理」を選択します。

  2. 右上隅の「今すぐデータをロード」をクリックし、データ・ロードが完了するまで待機します。

    データ・ロードは成功しました

  3. ナビゲーション・メニューの「サービス管理」で、「不一致のアカウント」をクリックします。

  4. 「システム」でフィルタし(データベースを選択し)、「作成日」でソートして、新しく作成されたアカウントを表示します。

    不一致のアカウントの検証

タスク5: 一致しないアカウントのレビューおよび所有権の割当

このタスクでは、一致しないアカウントを確認し、適切な所有者に割り当てます。

  1. ナビゲーション・メニューに移動し、「アクセス・レビュー」を選択して「自分のアクセス・レビュー」をクリックします。

  2. 「所有権」にナビゲートします。一致しないアカウントのレビュー・タスクが表示されます。「表示」をクリックして、各アカウントの詳細なインサイトを確認します。

    不一致のアカウントのレビュー

  3. 所有者を割り当てるには、「アイデンティティの選択」をクリックします。適切な所有者を選択し、「一致」および「適用」をクリックします。

    一致しない勘定科目への所有者の割当

このチュートリアルでは、孤立アカウントまたは不一致アカウントのイベントベースのアクセス・レビューを構成する方法を学習しました。Oracle Access Governanceがアイデンティティ・プロファイルを継続的に監視する方法を確認し、事前定義済の不一致アカウント・イベントが検出されると、アクセス・レビュー・タスクが自動的にトリガーされ、ワークフロー構成に従って指定されたレビューアにルーティングされます。また、レビュー担当者が詳細なインサイトにアクセスし、これらの孤立アカウントに所有権を割り当てる方法についても確認しました。

次のステップ

これらのタスクを完了すると、ダウンストリームのアプリケーションおよびサービスで直接作成されたが、Oracle Access Governanceでは一致できないアカウントのライフサイクル全体を管理できます。Oracle Access Governanceでは、ユーザー・プロビジョニングを自動化するポリシーを定義でき、承認ワークフローを使用して手動リクエストを作成できます。環境全体のアクセスを管理し、アクセス・レビュー・キャンペーンを確立してユーザー・アクセスを定期的に監査し、必要に応じて修正アクションを実装できます。

承認

その他の学習リソース

docs.oracle.com/learnの他のラボを確認するか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。

製品ドキュメントは、Oracle Help Centerを参照してください。