主な機能
Oracle Access Governanceの主な機能は次のとおりです:
アクセス・レビュー
企業内のアイデンティティに付与されたアクセス権限を評価および証明するプロセス。付与された権限がまだ必要かどうかをチェックして証明し、作業中の現在のジョブと連携します。アクセス・レビューを使用すると、規範的な分析に基づいてインサイトとAIを活用した推奨を調査することで、迅速で正確なレビューの意思決定を行うことができます。
主な機能
- 定期的なレビューまたはアドホック・レビューをサポートする複数のタイプのキャンペーン
- 構成可能な自己認証機能により、自己審査が可能です。
- キャンペーンの突然終了を回避するインテリジェントなフォールバック・メカニズム。次に適用可能なレビュー担当者またはキャンペーン所有者を自動割当します。
- 自動化されたマイクロ認証は、記録システムの変更、重要な日時マイルストーンの発生、または孤立アカウントの検出時にのみトリガーされます。
- Identity、Access ControlおよびOwnershipのレビュー・タスクを確認します。
- レビュー・タスクを他のレビュー担当者に委任または再割当します。
アクセス・レビュー・キャンペーン
定期的またはアドホック・スナップショットベースのレビュー、特定の時点におけるすべての関連アクセス情報を取得し、アクセス・レビュー・タスクを評価および生成します。規範的な分析に基づいて実用的なインサイトを提供することで、認定の効率を向上させます。
- Oracle Access Governanceに接続されたすべてのオーケストレート済システムで、アイデンティティ・アクセスと割り当てられた権限を認証します。
- グループ内のメンバーシップを認証して、適格なメンバー・セットのみがグループに割り当てられているかどうかを検証します。これは一般に「グループ・メンバーシップ・レビュー」と呼ばれます。
- ポリシーおよびポリシー構成をポリシー・レビューとともにレビューして、最小権限の原則を検証します。
- リソース所有権レビューを実行して、リソースの説明責任を確認します。
アクセス・コントロール
企業または組織全体のアイデンティティへのリソース・アクセスの付与方法を管理する権限管理および管理機能。Oracle Access Governanceでは、属性ベースのアクセス制御(ABAC)を利用し、ロール・ベースのアクセス制御(RBAC)またはポリシー・ベースのアクセス制御(PBAC)権限モデルへのアクセス権を付与できます。
- ロールベースのアクセス制御(RBAC): ジョブ・プロファイルに関連付けられたユーザーに権限を割り当てます。
- 属性ベースのアクセス制御(ABAC): コアまたはカスタムのアイデンティティ属性に基づいて、メンバーシップをアイデンティティ・コレクションに割り当てます
- ポリシーベースのアクセス制御(PBAC): ポリシーを定義して、ユーザーに権限を割り当てます。
- ロールへのアクセスを要求するか、セルフサービス・モジュールを介してバンドルに直接アクセスし、承認後にのみ処理します。
承認ワークフロー
Oracle Access Governanceでタスクの承認を取得するためのコードレス・ワークフロー・テンプレート。即時利用可能なワークフロー・パスを選択するか、独自の順次またはパラレル・ワークフロー・パスを作成できます。
- コードレス・ワークフローの作成が含まれます。
- タスクの突然の終了を回避するインテリジェントなフォールバックメカニズム。
- 割り当てられたアクセス・レビューおよび保留中のアクセス・レビューに関する通知Eメールを送信します。
- ビジネス・ニーズを満たすために、シーケンシャルまたはパラレル・ワークフローを介して複雑なマルチステージ承認をサポートします。
- レビュー担当者は、アクセス・レビューまたは承認タスクのアイテムの受入れ、取消しまたは再割当てを決定できます。
- 選択した基準に基づくインテリジェント・ワークフローの提示を取得します。
アクセス・プロファイルへの企業全体の可視性の集中化
エンタープライズ全体のブラウザでは、アクセス使用状況に関するインサイトを取得して、潜在的な誤用を検出および防止できます。エンタープライズ全体のブラウザでは、エンタープライズ・フレームワーク内のすべてのコンポーネント、アクセス情報およびリソースを包括的に可視化できます。
- アクセス情報を表示するための複数のブラウジング・ビューを備えた一元化されたダッシュボード。アクセスは複数のアンカー・ポイントにわたって表示されます。
- アイデンティティ: 誰が何にアクセスできるかを理解します。
- アイデンティティ・コレクション: アイデンティティを論理的にグループ化します。
- 組織: 特定の組織単位内のアクセス権を表示します。
- ロール: ロールベースのアクセスを確認します。
- ポリシー: アクセス・ポリシーを理解します。
- 権限: 特定の権限の詳細を表示します。
- アプリケーションおよびリソース: アクセスされるアプリケーションおよびリソースを識別します。
- キーワード検索、推奨フィルタ、詳細フィルタなどの高度な検索機能により、特定の関連結果を取得できます。
- 日付範囲に基づいて毎月のアクセス・レビュー・レポートを生成し、Enterprise-wide Browserにアクセスしてください。ユーザー・ロール、ユーザー・アカウントおよび権限について、アクセス・レビューの保留中、承認済または取消の決定の内訳を確認できます。
- エンタープライズ全体のブラウザ内で、リソースに対する自発的なユーザー作成アクセス・レビューを生成します。
相関
相関ルールまたは照合ルールを使用すると、取り込まれたアイデンティティまたはアカウントを照合して既存のアイデンティティに関連付ける一連のルールを構成できます。これにより、アイデンティティ・マッチングとアカウント・マッチングを活用して、コンポジット・アイデンティティ・プロファイルを構築できます。これらは、管理対象システムから受信した複数のアカウントをアイデンティティに自動的に関連付け、一致しないアカウントの蓄積を回避するために役立ちます。
- 認可ソースのアイデンティティ・アイデンティティ照合のルールの構成
- 管理対象システムおよび認可ソースのアイデンティティ- 勘定科目照合のルールの構成
- 一致しないアカウントを既存のアイデンティティと手動で照合します。
データの変換
Oracle Access Governanceのデータ変換機能を使用すると、認可ソースまたは管理対象システムから受信アイデンティティおよびアカウント・データを変更および変換したり、管理対象システムにプロビジョニングされる送信データを変換したりできます。
- アイデンティティ属性のインバウンド変換
- アカウント属性のインバウンド変換
- アイデンティティ属性を使用したアカウント属性のアウトバウンド変換
- Oracle Access Governance内のコンポジット・アイデンティティ・プロファイルの変換
イベント・データの公開
データ・フィード・サービスを使用して、データ・イベントをリアルタイムで外部システムにエクスポートして継続的に公開します。データ・フィードは、リアルタイム更新を連続ストリームとして順番に公開します。
- リアルタイム更新を連続したストリームとしてOCIストリームに順次公開します。
- 次のデータ・コンポーネントを外部システムに公開します。
- アクティブなすべてのアイデンティティ、ワークフォースまたはコンシューマは、IDENTITYイベントとしてOCIバケットおよびOCIストリームに公開されます。
- Oracle Access Governanceに取り込まれた使用可能なOCI IAMグループはすべて、GROUPイベントとして公開されます。
- Oracle Access Governanceに取り込まれた使用可能なOCIポリシーは、TARGET_ACCESS_POLICY_STATEMENTイベントとして公開されます。
- Oracle Access Governanceに取り込まれたすべてのオーケストレート済システムで使用可能なリソースはすべて、リソース・イベントとして公開されます。
- OCIポリシーおよびOCIリソースのアクセス・マッピング。
アイデンティティ・インテリジェンス
Oracle Access Governanceは、各アイデンティティとその権限を分析し、潜在的な高リスク割当ておよびセキュリティ違反に関するインサイトを構築し、修正を推奨します。これにより、アクセス・レビューアは是正措置を迅速に決定できます。この機能では、次のことが可能です:
- アイデンティティ・データとアクセス権限の同化と分析。
- 状況に応じたインサイトの認識とセキュリティ盲点の特定。
- 修正の推奨事項により、アクセス・レビューアは是正措置を迅速に決定できます。
アイデンティティ・オーケストレーション
Oracle Access Governanceは、ローコード統合をサポートすることで、多様な認可ソースとマネージド・システムを統合します。これにより、データの一貫性が保証されるデータ変換および相関ルールが容易になります。様々なシステムから必要なアイデンティティ・データをOracle Access Governanceに抽出し、企業が堅牢なアクセス制御、インテリジェントなアクセス・レビューを実行し、アカウント・プロビジョニングを通じてフルフィルメントを実行できるようにします。
主な機能
- 様々なオンプレミス・システムおよびクラウド・アプリケーションおよびシステムとの、専門的で一般的なローコード統合です。
- アイデンティティ属性、権限割当て、ポリシーなどの必要な情報のみをOracle Access Governanceに抽出します。
- アイデンティティおよびアカウント属性の変換および相関ルールをサポートし、コンポジット・アイデンティティ・プロファイルおよびアカウント情報を作成します。
- アイデンティティ・データを処理し、アクセス制御、アクセス・レビュー、ワークフローなどに使用します。
- アイデンティティ・ライフサイクルをサポートするために、オーケストレーションされたシステム間でデータをプロビジョニングおよび同期します。
JMLサポートによるアイデンティティ・オーケストレーション
Oracle Access Governanceでは、統合オーケストレート済システムの属性変更に基づいて、アイデンティティ・アカウントとそのアクセス権限を作成、変更および削除できます。アイデンティティ・ライフサイクル管理の一部として、アカウントを自動的にプロビジョニングおよびプロビジョニング解除するようにアクセス制御を構成できます。ジョイナー、ムーバー、リーバー(JML)の3つのステージをすべてサポートしています。
- アカウントの作成: 新しいユーザーが検出されるたびに、新しいアカウントのプロビジョニングを行います。プロビジョニングは、アクセス・リクエスト、ロールまたは定義されたポリシーに基づいて完了します。
- アカウントの変更: アイデンティティ属性が認可ソースで更新され、同期された場合のアカウント属性の自動変更。Oracle Access Governanceでは、新しい権限が割り当てられ、アカウントに関連付けられた必須でない権限が取り消されるか、無効化されます。
- アカウントの削除:従業員が組織を離れるときなど、不要になったアカウントを完全に削除します。
マイクロ認定: イベントベースおよび時間駆動型アクセス・レビュー
イベント・ベース・レビューは、変更イベント、タイムライン・イベント、不一致のアカウント・イベントなどのイベントが検出されたときにOracle Access Governanceによって実行されるアクション指向のレビューです。これらは、事前定義されたイベントが検出されるたびにプロンプト・アクションを実行できるように、ほぼリアルタイムのアクセス・レビューを生成します。
- コアおよびカスタム・アイデンティティ属性の更新に基づいて、変更イベント・タイプ・レビューを開始します。
- 時間駆動型のアクセス・レビューを特定の日に毎年開始します。
- 孤立アカウントを検出するために一致しないアカウント・イベントをトリガーするように設定を構成します。
- 低リスク・アクセス・レビューまたは不一致のアカウントに対する自動処理を定義します。
- イベントベースのアクセス・レビューに関するインサイトを生成します。
レポートおよび分析
Oracle Access Governanceでは、様々な即時利用可能なサマリー・レポートとインサイトを提供することで、レポートと分析が可能です。
- 直感的なダッシュボードで、アイデンティティ、アカウント、ポリシー、ロール、リソース、権限を360度可視化できます。
- 特権的なアクセス権を持つアカウントの異常な動作を発見し、リスクを判断し、モニターします。
- 日付範囲およびアクセス・レビュー・タイプまたはイベント・タイプに基づくアクセス・レビューに関する月次レポート
セルフサービス
Oracle Access Governanceは、管理操作なしでユーザーが日常的なタスクを個別にリクエストまたは完了できるようにします。
- Oracle Access Governance内で作成されたロールまたはアクセス・バンドルへのアクセスをリクエストします
- 管理対象システムのアカウント・パスワードの変更
- ユーザー・アクセス権限のレビューまたは承認
- アクセス・リクエストまたはアクセス・レビュー・タスクを他のユーザーに委任します。
- 付与されたロール、権限、アカウント、所有権、リソースなどの詳細を含む、独自のアクセスを表示します。
ユーザー・インタフェース
Oracle Access Governanceコンソールには、アクセス・レビューの実行、アクセス制御の管理、セルフサービス・タスクの実行などを実行するための、使いやすい直感的なユーザー・インタフェース(UI)が用意されています。優先度および緊急性の高いレビュー・タスクに集中するのに役立つインテリジェント・ダッシュボードを使用できます。