ノート:
- このチュートリアルでは、Oracle Cloudへのアクセスが必要です。無料アカウントにサインアップするには、Oracle Cloud Infrastructure Free Tierの開始を参照してください。
- Oracle Cloud Infrastructureの資格証明、テナンシおよびコンパートメントの値の例を使用します。演習を完了するときに、これらの値をクラウド環境に固有の値に置き換えます。
Oracle Access Governanceのアクセス・レビューによるグループ・メンバーシップ・レビューの委任
イントロダクション
Oracle Access Governanceは、多くのアプリケーション、ワークロード、インフラストラクチャ、およびアイデンティティ・プラットフォームにわたるガバナンスとコンプライアンスの要件を満たすのに役立つクラウドネイティブ・ソリューションです。クラウドおよびオンプレミス環境全体で異常を特定し、セキュリティ・リスクを軽減するための組織全体の可視性と機能を提供します。お客様がアクセス・プロビジョニングの自動化、アクセス権限に関するインサイトの取得、異常の特定、セキュリティ・リスクの修正を支援する、分析主導型の規範的なアクセス・レビュー・プロセスである動的アクセス制御を提供します。
グループ・メンバーシップ・レビュー
Oracle Access Governanceは、Oracle Cloud Infrastructure(OCI)グループ・メンバーシップ・レビューの機能を提供します。これを使用して、OCI管理者は、OCIグループ・メンバーシップ、メンバーおよびアクセス権限の概要を簡略化できるようになりました。これにより、管理者は、不要になったOCIグループ・メンバーシップをタイムリに特定できます。
委任
-
次の理由により、承認を委任したり、レビューに他のユーザーにアクセスしたりできます。
-
休暇、疾病、または他のタスクの処理のために使用不可。
-
最も有能な人が決断を下す。
-
追加アサイメントを処理する個人の能力を開発します。
-
-
Oracle Access Governanceでは、プリファレンスを設定および管理できます。ユーザーは、Oracle Access Governanceコンソールを使用してタスクとアクティビティを委任できます。「自分のプリファレンス」設定を使用して、タスクおよびアクティビティを別のユーザーまたはアイデンティティ・コレクションに割り当てることができます。代理でアクセス・レビューを実行するユーザーおよび承認を実行するユーザーを委任できます。タスクは、個人またはアイデンティティ・コレクションに委任できます。アイデンティティ・コレクションには1つ以上のメンバーを含めることができます。委任の期間は、時間範囲または無期限に設定できます。
対象読者
- Oracle Access Governance管理者およびOCI管理者。
目的
-
Oracle Access Governanceのアクセス・レビューでグループ・メンバーシップ・レビューを委任します。このためには、次を実行する必要があります。
-
Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)ユーザーのグループ・メンバーシップ・レビュー・キャンペーンを作成および実行します。
-
アクセス・レビュー・タスクをアイデンティティ・コレクションに委任します。
-
前提条件
-
管理者権限を持つOCIアカウントへのアクセス。OCIでプロビジョニングされたOracle Access Governanceサービス・インスタンス。詳細は、「サービス・インスタンスの設定」を参照してください。
-
Oracle Access Governanceユーザーには、Oracle管理者権限が必要です。詳細は、アプリケーション・ロールについてを参照してください。
-
割り当てられたOCIグループおよびOCI IAMユーザー。
-
OCI IAMとOracle Access Governanceを統合します。詳細は、Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)との統合を参照してください。
-
アイデンティティ・コレクションの作成詳細は、アイデンティティ・コレクションの作成を参照してください。
-
Oracle Access Governanceで承認ワークフローを作成します。詳細は、「承認ワークフローの作成」を参照してください。
タスク1: グループ・メンバーシップ・レビュー・キャンペーンの作成
-
Oracle Access Governanceコンソールに管理ユーザーとしてログインします。ナビゲーション・メニューの「アクセス・レビュー」および「キャンペーン」をクリックします。または、「作業を作成して新しいキャンペーンを定義しましょう」を選択します。
-
「キャンペーン」ページで、「キャンペーンの作成」をクリックします。
-
「選択基準」セクションで、「どのテナンシですか。」を選択すると、使用可能なクラウド・テナンシのリストが表示されます。
-
適切なクラウド・テナンシを選択します。このチュートリアルでは、クラウド・テナンシを選択します。選択内容に緑のティックがマークされ、「さらに絞り込む」をクリックします。特定のコンパートメントとドメインを選択して、ドメイン固有のポリシー・レビューを実行することで、選択をさらに絞り込むことができます。
-
コンパートメント(
ag-compartment)を入力し、「適用」をクリックします。
-
「どのアイデンティティ・コレクションですか。」を選択して、レビューするアイデンティティ・コレクションを選択します。選択したドメインで使用可能なアイデンティティ・コレクションのリストが表示されます。
-
次のアイデンティティ・コレクションを選択し、「選択内容の適用」をクリックします。
- 監査者
- NetworkAdmins
- SecurityAdmins
-
「I'm good、 go to workflows」をクリックします。
-
「ワークフローの割当て」セクションで、次の情報を入力し、「次へ」をクリックします。
- 使用する承認ワークフロー: 「One-level-approval-workflow」を選択します(承認ワークフローを選択します)。
-
「詳細の追加」セクションでは、アクセス・レビュー・キャンペーンを実行する頻度(1回または定期)を定義し、キャンペーンに意味のある名前を付け、補足説明を追加し、その所有者やキャンペーンを開始または終了する時期などの追加属性に値を割り当て、「次」をクリックします。
-
これを実行する頻度: 「1回」を選択します。
-
このキャンペーンと呼ぶもの: Group-Membership-Review-Campaignと入力します。
-
このキャンペーンの説明方法: 「Group-Membership-Review-Campaign」と入力します。
-
このキャンペーンの所有者: 「自分」を選択します。
-
キャンペーンをどのようにスケジュールしますか?: 「今すぐ実行」(作成から10分後に開始)を選択します。
-
-
「レビューおよび発行」セクションで、追加した情報を確認して、「作成」をクリックしてキャンペーンを作成します。
キャンペーンがスケジュールされ、「キャンペーン」ページに表示されます。作成の10分後に実行されます。
キャンペーンは正常にスケジュールされました。
タスク2: 委任の構成
このタスクでは、グループ・メンバーシップ・レビュー・タスクの委任をアイデンティティ・コレクションに構成し、休暇欠勤中にアクションを実行します。
-
Oracle Access Governanceコンソールに移動し、ホームページに移動します。
-
「アクセス制御」および「アイデンティティ・コレクション」にナビゲートして、「委任」を割り当てるアイデンティティ・コレクションを表示します。
-
「My Stuff」および「My Preferences」をクリックします。
-
「委任の追加」をクリックします。
-
「委任の追加」ページで、次の情報を入力し、「保存」をクリックします。
-
委任するタスク: 「レビューへのアクセス」を選択します。
-
委任先: 「アイデンティティ・コレクション」を選択します。
-
ユーザー: 「IT-Team」を選択します。
-
委任を継続する期間: 「期間中」を選択します。
ノート:委任が構成され、ユーザー(管理者)がキャンペーンをIT-Teamアイデンティティ・コレクションに委任しています。このアイデンティティ・コレクションのメンバーは、定義された期間中、アクセス・レビューを実行できます。管理者と委任の両方が、アクションが必要なキャンペーンの通知電子メールを受信します。
-
タスク3: グループ・メンバーシップ・レビュー・タスクの実行
このタスクでは、タスク1で作成したキャンペーンによって発生したグループ・メンバーシップ・レビュー・タスクをレビューおよび認証します。
-
Oracle Access Governanceコンソールに移動し、ホームページに移動します。
-
「アクセス・レビュー」および「自分のアクセス・レビュー」をクリックします。
-
ポリシー・レビュー・キャンペーンによって作成されたレビュー・タスクを表示するには、「アクセス制御」をクリックします。レビューアとして割り当てられているすべてのポリシー・アクセス・レビュー・タスクが表示されます。Oracle Access Governanceは、社内の分析ベースのインテリジェンス・システムを使用して、受入れ/レビューの推奨事項を提供します。
-
このチュートリアルでは、Oracle Access Governanceが提供する推奨事項を確認します。
- 「監査者」に「レビュー」のマークが付けられます。
- NetworkAdminsは、「確認」としてマークされます。
- SecurityAdminsは「確認」としてマークされます。
-
「アクション」を1つずつクリックして、レビューを決定できます。すべてを取り消すか、そのポリシー内のすべてのアクション可能なステートメントを一度に受け入れるか、各ポリシー・ステートメントで個別に決定できます。
-
ユースケース1:すべてのユーザー・アイデンティティを受け入れて、監査者のグループ・メンバーシップを受け入れます。
-
「すべて受入」をクリックします。
-
「Apply」をクリックします
-
グループ・メンバーシップへのアクセス権を持つすべての名前付きユーザー・アイデンティティを受け入れる理由について「理由」を入力し、「送信」をクリックします。これにより、Oracle Access Governanceシステムの自動修正プロセスがトリガーされます。
-
-
ユースケース2: 4つの名前付きアイデンティティのうち2を取り消して、NetworkAdminsのグループ・メンバーシップを受け入れます。
-
アイデンティティのアクセス権を取り消します(David BrownおよびJerry Poland)。残りの2人のユーザー(John SmithおよびMark Hernandez)は、グループ・メンバーシップを取得して「適用」をクリックします。
-
「Justification」を入力し、「Submit」をクリックします。クローズド・ループ・アクセスの修正は自動的に行われます。
-
-
ユースケース3: SecurityAdminsのグループ・メンバーシップを持つすべての名前付きアイデンティティを取り消します。
-
「すべて取消」および「適用」をクリックします。
-
「Justification」を入力し、「Submit」をクリックします。クローズド・ループ・アクセスの修正は自動的に行われます。
-
-
-
アイデンティティ・ドメイン管理者としてOCIコンソールにログインし、「アイデンティティとセキュリティ」、「アイデンティティ」に移動して、アイデンティティ・ドメイン(
ag-domain)および「ユーザー」をクリックします。
ユーザーのグループ・メンバーシップが正常に処理されたことを確認します。
関連リンク
承認
- 著者 - Indiradarshni Balasundaram (クラウド・エンジニア)
その他の学習リソース
docs.oracle.com/learnの他のラボを確認するか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。
製品ドキュメントは、Oracle Help Centerを参照してください。
Delegate Group Membership Reviews with Access Reviews in Oracle Access Governance
G16612-01
October 2024