出生権アクセス権の付与
出生権アクセスとは、Oracle Access Governanceの自動ポリシーを使用してユーザーに自動的に付与される一連のデフォルト権限を指し、新規加入者が雇用開始前または雇用開始時に不可欠なアクセス権を持つようにします。
Oracle Access Governanceは、
- Prehire: 開始日は将来の日付です。
- 採用: 開始日が現在または過去の日付で、終了していません。
| 従業員の状態 | AGステータス | ステータス(認可ソースから) | 結合日(認可ソースから) | 終了が開始されました | 退職日(認証ソース) |
|---|---|---|---|---|---|
| 事前雇用 | AGアクティブ | 無効 | 本日より後 | 偽 | 本日より後 |
| 採用 | AGアクティブ | アクティブ | 本日以下 | 偽 | 本日より後 |
前提条件
Oracle Access Governanceからの出生権アクセス権を付与するには、次の前提条件を確認してください:
-
- 認可ソースには、正式な加入日または開始日を含む従業員属性を含める必要があります
- ソース値をフェッチするためのシステム属性およびグローバル・アイデンティティ属性を作成します。
- 認可ソースには、退職日または最終勤務日オーケストレート済システム属性を含める必要があります。
- グローバルAGアイデンティティ属性
terminatedを作成します - アクティブ化のためのワークフォース/コンシューマ条件の設定
ステップ1: JoinDateのシステム属性およびグローバル・アイデンティティ属性の作成
ステップ2: 終了したユーザーを除外するグローバル・アイデンティティ属性の作成
joinDateより前に出生権を付与するポリシーに対してAG属性terminatedを作成し、終了したユーザーをこれらのポリシーによる権限の割当てから除外します。ここで、terminationDateは、認可ソースの最後の稼働日ソースです。
-
- 「アイデンティティ属性」ページに移動し、Boolean型の内部AG属性terminatedを作成します。詳細は、「Oracle Access Governance属性の作成」を参照してください。
- 単一の属性ルールを使用して、
terminationDateを今日のものと比較します。terminationDateが今日以下の場合、trueを返します。それ以外の場合、次のようなfalseを返します。if( user.getStatus() == 'Disabled' && user.getCustomAttributes() != null && user.getCustomAttributes()['terminationDate'] != null ) { var currentDate=new Date(); var today = new Date(currentDate.getFullYear(),currentDate.getMonth(),currentDate.getDate(),23,59,59,999); var terminationDate = new Date(user.getCustomAttributes()['terminationDate']); if(terminationDate <= today) { true } else { false } } else { false } - 適切なアイデンティティ・フラグを選択して、Oracle Access Governance機能にこの属性を含めます
ステップ3: ワークフォース/コンシューマ・アクティブ化ルールの構成
「アイデンティティの管理」ページに移動し、次のアクティブ化ルールを設定します:
- アクティブ・ユーザーの場合:
Status In Active Disabled - コンシューマ・ユーザーの場合:
Status Equals Disabled
出生権アクセス・ワークフロー
アイデンティティ・コレクションを作成し、アクセス・バンドルに権限をパッケージ化し、新規採用者が雇用開始前または雇用開始時に不可欠なアクセス権を持つようにポリシーを構成することで、Oracle Access Governanceからの出生権アクセスを構成できます。
- メンバーシップ・ルールに基づいてアイデンティティ・コレクションを作成します。アイデンティティ・コレクションの作成を参照してください。
- 開始日以降のアクセス権をユーザーに付与する場合。
Status Equals Active Worker Type Equals Employee - 事前採用者が開始日より前にアクセス権を付与する場合
{JoinDate} Number of days before {10} {Terminated} Equals {False}ノート
- 開始日以降にアクセス権を付与するには、条件
Status Equals Activeを追加する必要があります。 today()を使用してポリシーを構成した場合は、毎日、社内スケジューラによってメンバーシップ基準を満たす新しいメンバーが追加されます。構成に基づいて、ポリシーは毎日午前0時にトリガーされます。
- 開始日以降にアクセス権を付与するには、条件
- 開始日以降のアクセス権をユーザーに付与する場合。
- アクセス・バンドルを作成し、必要な権限へのアクセスをパッケージ化します。たとえば、デフォルトのコラボレーション・ツールにアクセスします。Create an Access Bundleを参照してください。
- ポリシーを作成し、アクセス・バンドルの権限部分をアイデンティティ・コレクションに関連付けます。ポリシー管理を参照してください。
事前採用の例
開始日より前にアクセス権を付与する必要がある事前採用の完全な出生権アクセス・ワークフローを理解しましょう。
Aliceは、3月20日にAcme Corporationに加入する予定です。AG_AdministratorおよびAG_AccessControl_Adminとして、次の権限を付与します。
-
- 前提条件を構成して、ワークフォース・ルールをアクティブ化し、joinDateコア属性で開始日を取り込みます。
- メンバーシップ・ルールを使用してアイデンティティ・コレクションを作成します。
{JoinDate} Number of days before {10} {Terminated} Equals {False} - デフォルトのコラボレーションまたはエンタープライズ・ツールのアクセス・バンドルに権限をパッケージ化します。さらに、「誰も」がこのアクセス・バンドルをリクエストできず、ポリシーを使用してのみ付与されるように構成できます。
- ポリシーを作成し、アクセス・バンドルの権限部分をアイデンティティ・コレクションに関連付けます。
Aliceでは、結合日が3月20日の場合、ポリシーは3月10日にトリガーされ、出生権が付与されます。
構成の検証
設定が正しいかどうかを確認します。
- 「システム管理」から、「アイデンティティ属性」を選択し、
status、startDate、joinDate、terminated、terminationDateおよびterminationStartedのアイデンティティ属性に対して「アイデンティティ詳細に含める」および「アイデンティティ管理に含める」フラグを有効にします。 - 「誰が何にアクセスできるか」から、「エンタープライズ全体のブラウザ」を選択し、アイデンティティを選択して「リスト設定の編集」を選択し、
status、startDate、joinDate、terminated、terminationDateおよびterminationStartedの各属性をリスト設定に追加します。 - 認可ソース・システムからロードされたアイデンティティについて、次を検証します。
startDate属性とjoinDate属性は、同じ値に設定する必要があります。- 将来
startDateおよび未設定または将来のterminationDateを持つアイデンティティには、次の値が必要です。status=DisabledAG status=ActiveAG subtype=Consumerterminated=false
startDateが過去にあり、terminationDateが設定されていないか将来にあるアイデンティティには、次の値が必要です。status=ActiveAG status=ActiveAG subtype=Workforceterminated=false
terminationDateが過去にあるアイデンティティには、次の値が必要です。status=DisabledAG status=ActiveまたはInactive(グループの構成方法によって異なります。これらが事前採用ポリシーのOracle Access Governance Activeアイデンティティ・コレクションである場合、terminated=false条件が必要です)AG subtype=Consumer(これらのアイデンティティがOracle Access Governanceにロードされている場合、コンシューマ・タイプである必要があります)terminated=true