Oracle Cloud Infrastructureドキュメント

アイデンティティ・アクセス・レビュー・キャンペーンの作成

管理者またはキャンペーン管理者として、Oracle Access GovernanceコンソールからオンデマンドのIdentity Access Reviewキャンペーンを作成して、アイデンティティ・アクセスを証明します。これらは、1回かぎりのアクセス・レビュー・キャンペーンまたは定期的なアクセス・レビュー・キャンペーンです。

前提条件

アイデンティティ・アクセス・レビュー・キャンペーンを作成する前に、次のことを考慮してください。

  • アクセス・レビュー用のキャンペーンを作成するには、Oracle Access Governanceの管理者またはキャンペーン管理者ロールが割り当てられている必要があります。
  • 「アイデンティティ属性」ページから、アイデンティティ属性(コアおよびカスタム)および関連を有効にします。たとえば、プロジェクト・コードまたはコスト・センターに基づいてキャンペーンを定義する必要がある場合があります。カスタム・アイデンティティ属性の表示および構成を参照してください。
  • 重要なリソース消費を回避するために、キャンペーンを実行するには、少なくとも1つの選択基準を選択する必要があります。
  • Oracle Access Governanceシステムを選択し、オーケストレート済システムから直接取り込まれた権限に基づいてアイデンティティ・アクセス・レビューを実行します。
  • Oracle Access Governanceシステムの場合、「権限」タイルから、直接割り当てられた権限(DIRECT)またはリクエストによって付与されたアクセス・バンドルを選択できます。ポリシーを通じてプロビジョニングされた権限またはアカウントは、このレビューでは適格ではありません。
  • 「どの権限」「どのロール」は相互に排他的です。同じキャンペーンの特定の権限およびロールはレビューできません。つまり、キャンペーンの作成中に、2つのいずれかを選択できます。ただし、「アクセス権のあるユーザー」および「アクセス権があるユーザー」を選択すると、使用可能なすべての権限およびロールを確認できます。

キャンペーンの詳細は、「キャンペーンを使用するベスト・プラクティス」を参照してください。

キャンペーンにナビゲート

キャンペーンは、Oracle Access Governanceコンソールから作成されます。「キャンペーン」ページに移動して、オンデマンド・アクセス・レビュー・プロセスを起動します。

  1. Oracle Access Governanceコンソールにログインします。
  2. 次のいずれかのオプションを選択すると、画面に移動します。
    • Oracle Access Governanceコンソールのホームページで、「アクセス・レビュー」タブを選択します。「新規キャンペーンの定義」タイルを選択します。
    • ナビゲーション・メニュー「ナビゲーション・メニュー」から、「アクセス・レビュー」「キャンペーン」の順に選択します。「キャンペーン」ページで、「キャンペーンの作成」を選択します。
  3. キャンペーンを実行するシステム・タイプの1つを選択します。詳細は、「アクセス・レビュー・キャンペーンを開始する対象システム・タイプ」を参照してください。
    「新規アクセス・レビュー・キャンペーンの作成」ワークフロー・ページで、キャンペーンの選択基準を定義します。

アクセス・レビューの基準の選択

「選択基準」ディメンションで、アイデンティティ・アクセス・レビュー・キャンペーンの適切な基準を選択します。「アイデンティティ属性」ページで構成された属性は、選択基準として使用できます。すべての基準を名前で検索できます。

選択タイルは、前のステップで選択したシステムに基づいています。たとえば、Oracle Cloud Infrastructure (OCI)の場合、レビューを実行するクラウド・アカウントを選択できるように、「どのテナンシ?」などの追加のタイルが表示されることがあります。
  1. 任意の順序に含める基準タイルを1つ以上選択します。各基準を更新する必要はありません。選択値は、統合オーケストレート済システムから導出されます。使用可能なタイルは次のとおりです。
    オプション説明
    誰がアクセスできますか。 コアまたはカスタムのアイデンティティ属性に基づいてアイデンティティをフィルタします。
    1. 「どの属性を選択に追加しますか。」フィールドで、最大5つの属性を選択します。
    2. 各タブから、使用可能な選択値を1つ以上選択します。
    何にアクセスしていますか。 アプリケーションまたはリソースへのアクセスに基づいてアイデンティティを選択します。
    どの権限ですか。 権限へのアクセスに基づいてアイデンティティを選択します。
    • Oracle Identity Governance (OIG)では、権限を選択できます。
    • Oracle Access Governanceの場合、管理対象システムで直接割り当てられた権限、またはOracle Access Governance内のRequestを介してアクセス・バンドル・アイコン Access Bundleによってプロビジョニングされた権限を選択できます。権限は、編成されたシステムによって異なります。
    • OCIの場合、Oracle Access Governance内のRequestを介して、アクセス・バンドル・アイコン Access Bundleによって割り当てられたOCI IAMグループおよびアプリケーション・ロールを確認できます。
    どのロールですか。 ロールに基づいてアイデンティティをフィルタします。
    • Oracle Identity Governance (OIG)では、直接割り当てられたロールを選択できます。
    • Oracle Access Governanceの場合、管理対象システムで直接割り当てられたロール、またはOracle Access Governance内で作成されたロールを選択できます。
    • Oracle Cloud Infrastructure (OCI)の場合は、OCIで直接割り当てられたOCI Cloudサービス・アプリケーション・ロールを確認できます。
    どのテナンシですか。 クラウド・アカウントをフィルタします。「さらに絞り込む」リンクを選択して、クラウド・アカウントのコンパートメントおよびドメインを選択します。Oracle Cloud Infrastructureレビュー・システムでのみ使用可能です。
    フィルタを使用して、関連する値を選択します。たとえば、Oracle Access Governanceのスコープの場合、「権限」タイルで「アクセス・バンドル」「付与された権限タイプ」として選択し、「制限付き」「アクセス時間制限」として設定して、期限付きアクセスを持つアクセス・バンドルを確認します。Oracle Cloud Infrastructure (OCI)の場合、「アクセス時間制限」リストで「制限付き」を選択します。
  2. 選択後、「選択内容の適用」を選択します。
  3. 選択条件を更新するには、関連するタイルの「変更」ボタンを選択します。
    ページの右側のパネルには、選択の影響が表示され、レビュー対象として考慮される包含アイデンティティの見積りが表示されます。
  4. 選択が完了したら、「I'm good、 go to workflows」ボタンを選択して、「Assign workflow」ディメンションに進みます。
    任意の時点で、「ドラフトの保存」を選択してキャンペーンを保存し、後でピックアップして詳細を処理します。

承認ワークフローの選択によるアクセス・レビューアの追加

「ワークフローの割当て」ディメンションで、アクセス・レビューの承認ワークフローを選択します。

  1. このアクセス・レビュー・キャンペーンに割り当てる承認ワークフローを選択します。
    使用可能なワークフローのリストには、システムに定義されているすべての承認ワークフローが表示されます。ワークフローを選択する前に、Self Certification GuardrailsおよびFallback Mechanismを検討してください。承認ワークフローを作成および管理する方法の詳細は、「承認ワークフローの作成」および「承認ワークフローの管理」を参照してください。
  2. ワークフローを選択したら、「承認ワークフローの表示」リンクをクリックして、選択したワークフローをグラフィカルに表示します。
  3. レビューの決定に必要な理由の範囲を選択します。レビュー担当者がすべてのレビュー決定にコメントを追加したり、決定を取り消すのみにコメントを追加したり、「理由」フィールドをオプションとして保持するように選択できます。
  4. 「次へ」を選択して、「詳細の追加」ディメンションに進みます。
    任意の時点で、「ドラフトの保存」を選択してキャンペーンを保存し、後でピックアップして詳細を処理します。

キャンペーン詳細の追加

「詳細の追加」ディメンションで、キャンペーン・スケジュール・サイクルを選択し、キャンペーンにわかりやすい名前を付け、サポート摘要を追加し、キャンペーン所有者などの追加属性と、キャンペーンを開始または終了するタイミングに値を割り当てます。

詳細を追加するには:
  1. 「何回実行しますか?」フィールドで、適切なスケジュール・サイクルを選択します。
  2. 「このキャンペーンにどのような名前を付けますか。」に、一意のキャンペーン名を入力します。
  3. 「このキャンペーンをどのように説明しますか。」に、キャンペーンの説明を入力します。
  4. 「このキャンペーンの所有者」フィールドで、キャンペーン所有者を選択します。
    キャンペーン所有者を割り当てる前に、「自己証明ガードレール」および「フォールバック・メカニズム」を検討してください。
  5. Oracle Access GovernanceおよびOracle Identity Governance (OIG)システムでは、次のいずれかを選択します。
    オプション説明
    アカウント・レビューを含める アカウントのアイデンティティ・アクセス・レビューを権限とともに含める場合は、このオプションを選択します。勘定科目レビューを除外するには、チェック・ボックスのチェックマークを外します。
    ロール・レビューを含める ロールのアイデンティティ・アクセス・レビューを権限とともに作成する場合は、このオプションを選択します。ロール・レビューを除外するには、チェック・ボックスをクリアします。
    権限を確認する場合、アカウントおよびロールのレビューがデフォルトで含まれます。アカウント・レビューとロール・レビューの両方を除外すると、権限レビューのみが生成されます。
  6. ステップ1で選択したスケジュール・サイクルに基づいて、キャンペーンを開始する時間を選択します。
    • 1回かぎりの場合は、「今すぐ実行」または「後でスケジュール」を選択します。デフォルトでは、キャンペーンは、キャンペーン作成の翌日、次の正時に開始するように設定されます。
    • キャンペーン・シリーズの場合は、カレンダ・アイコンを選択し、キャンペーンの開始日時と終了日時を選択します。
  7. プリファレンスを設定したら、「次」を選択して「確認および送信」ディメンションに移動します。
  8. (オプション) 追加アクションのいずれかを選択できます:
    • ドラフトの保存: 変更を保存し、後で戻ってワークフローまたは詳細を編集します。
    • 取消: 現在のプロセスを取り消します。
    • 戻る: 前のステップに戻ります。

キャンペーンをレビューおよび発行します

「レビューおよび送信」ディメンションで、キャンペーン詳細をレビューし、キャンペーンを作成します。

キャンペーンを確認して送信するには:
  1. キャンペーン情報を確認します。変更がある場合は、「戻る」ボタンを選択します。
  2. 「作成」を選択します。キャンペーンは正常にスケジュールされました。