Oracle Cloud Infrastructureドキュメント

アイデンティティ属性の管理

アイデンティティ属性は、名前、場所、ジョブ・コード、組織名などのアイデンティティのプロパティを参照します。認可ソース・システムを内部的に統合すると、コア属性とカスタム属性、およびOracle Access Governance内のアフィリエイトを含むグローバル・アイデンティティ・プロファイルが作成されます。

グローバルIDプロファイルの構成について

Oracle Access Governanceのアイデンティティは、コア属性、カスタム属性および関連から構築されます。認可ソースを統合すると、Oracle Access Governanceによってグローバル・アイデンティティ・プロファイルが作成されます。さらに、独自のシステム固有の属性を追加して、これらの属性間の複雑な属性または関係を表すことができます。


Oracle Access Governanceのアイデンティティ属性

データ取込みプロセス中に、インバウンド変換を適用し、アイデンティティ属性をマップできます。

取り込まれた属性に基づいて、グローバル・アイデンティティ・プロファイルが作成されます。このプロファイルは、コア属性、カスタム属性およびユーザー定義の関連で構成されます。必要に応じて、独自の単純または複雑なシステム属性を定義することもできます。
  • コア属性: Oracle Access Governanceスキーマで認識される標準化されたアイデンティティ属性が修正され、アクセス管理およびレビュー操作の実行に必須になりました。
  • カスタム属性: 標準セット以外の特定のビジネス要件に対応するために作成された、単純属性または複合属性の追加。デフォルトのシステム属性を管理したり、特定のオーケストレート済システムの新規属性を作成できます。カスタム属性は、特定のオーケストレート済システムに属するシステム属性、またはAG属性です。
    • システム属性: 統合オーケストレート済システムのアイデンティティ・プロパティ。これらの属性の値は、認可ソースまたはルールを介して導出できます。たとえば、職務コード雇用関係従業員ステータスは権限ソースから取り込まれ、定期的に同期されます。
      ノート

      システム属性を管理するには、システムの「統合の管理」「アイデンティティ属性」ページに移動します。オーケストレート済システムの統合設定の変更を参照してください。
    • AG属性: Oracle Access Governance内で排他的に作成および使用され、認可ソースからマップされることはありません。その値は常にルールによって生成されます。たとえば、risk score、Oracle Access Governanceのステータスです。
  • 関係会社: 関係会社はルールベースのユーザー定義構造で、1つのアイデンティティに異なるデータ、アカウントおよびアクセスを持つ複数のペルソナ(従業員や契約者など)を含めることができます。アフィリエイトでは、複雑な(配列)属性から子属性も公開されるため、これらの値をキャンペーンの実行、アイデンティティ・コレクションの作成、およびポリシー・ルールに使用できます。使用フラグは、元の配列属性ではなく、アフィリエイト公開属性にのみ設定できます。「複数のアフィリエイトを持つアイデンティティ・ペルソナの処理」を参照してください。

Oracle Access Governanceでこれらの属性と関連を使用すると、アクセス・レビュー・キャンペーンの実行、アイデンティティ・コレクションのアイデンティティの選択、属性条件の適用など、様々な機能を実行して、使用可能なアイデンティティ・データ・セットを有効または無効にできます。

Examples:
  • キャンペーンの作成中に、キャンペーン管理者はカスタム属性(コスト・センターおよび部門ID)を選択して、アクセス・レビュー・キャンペーンを実行するためのキャンペーン選択基準をさらに絞り込みます。
  • アイデンティティ・コレクションの作成時に、管理者はコア属性とカスタム属性を使用してメンバーシップ・ルールを適用できます。たとえば、会計組織の従業員のシニア・マネジメント・リストを作成するには、アイデンティティ・コレクションを作成して、「ジョブ・レベル」が「ディレクタ」以上で、「組織」が「会計」である従業員を含めます。

ビュー属性

使用可能なコア属性、カスタム・アイデンティティ属性およびグローバル・アイデンティティ・プロファイルを構成する関連情報を表示および検索できます。

使用可能なグローバル・アイデンティティ属性を表示します。
  1. Oracle Access Governanceコンソールで、ナビゲーション・メニューナビゲーション・メニューから、「管理」「アイデンティティ属性」の順に選択します。
    「アイデンティティ属性」ページが表示されます。グローバル・アイデンティティ・プロファイルに定義されたコア、カスタムおよび関連会社など、アイデンティティの詳細を表示できます。
    ノート

    システム属性を表示および管理するには、そのオーケストレート済システムの「統合の管理」ページに移動します。詳細は、オーケストレート済システムの設定の管理を参照してください。

属性詳細の表示

次の属性の詳細を表示できます。
フィールド 説明
属性名 Oracle Access Governanceに接続されているオーケストレート済システムで使用可能な元の属性名。
オーケストレート済システム 属性の移入元となるオーケストレート済システム名。
属性タイプ コア、カスタムまたは提携
表示名 識別および使用を容易にするためにOracle Access Governanceコンソール内で使用される一意の属性名。
データ型 整数、ブール、日付、配列などの属性のデータ型。
アイデンティティ・フラグ

カスタム属性の検索およびフィルタ

「検索」フィールドを使用して、属性名で必要な属性を検索します。提示されたフィルタに基づいてフィルタを適用することで、多数の属性セットを管理できます。たとえば、「アイデンティティ詳細」を選択すると、アイデンティティ詳細フラグが有効なすべての属性が表示されます。

ページの右上で、オーケストレート済システムを選択して、そのオーケストレート済システムに固有の属性を表示します。「使用可能なシステムがありません」を選択すると、アクティブなオーケストレート済システムに関連付けられていない属性のリストが表示されます。

カスタム属性設定の作成および管理

属性の移入元のオーケストレート済システムの更新、表示名の変更、インバウンド値に対するデータ変換を実行するためのルールの適用、および特定のOracle Access Governance機能に対する属性の使用の包含/除外などのカスタム属性を作成または変更できます。

  • システム属性: 統合オーケストレート済システムのアイデンティティ・プロパティ。これらの属性の値は、認可ソースまたはルールを介して導出できます。たとえば、職務コード雇用関係従業員ステータスは権限ソースから取り込まれ、定期的に同期されます。システム属性の作成およびオーケストレート済システムの複雑なアイデンティティ属性の作成を参照してください。
  • AG属性: Oracle Access Governance内で排他的に作成および使用され、認可ソースからマップされることはありません。その値は常にルールによって生成されます。たとえば、リスク・スコア、Oracle Access Governanceステータスなどです。Oracle Access Governance属性の作成を参照してください。
ノート

システム属性を作成するには、システムの「統合の管理」「アイデンティティ属性」ページに移動します。オーケストレート済システムの統合設定の変更を参照してください。
グローバル・アイデンティティ属性を管理するには、Oracle Access Governanceコンソールで、ナビゲーション・メニューナビゲーション・メニューから「サービス管理」→「アイデンティティ属性」を選択します。

システム属性の作成

オーケストレート済システムに固有のユーザー定義の単純属性または複合属性を作成します。インバウンド変換または関連を使用して、これらの属性の値を直接ソーシングできます。

カスタム・アイデンティティ属性は、単純なデータ型と複雑なデータ型の両方をサポートし、これらの属性を使用して、アクセス・レビュー・キャンペーンの実行、アイデンティティ収集のアイデンティティの選択、属性条件の適用などの様々な機能を実行して、使用可能なアイデンティティ・データ・セットを有効または無効にできます。
2つのタイプの属性を作成できます。
  • 単純属性: 単純属性では、文字列、日付、整数、ブールまたはlongなどのプリミティブ・データ型を使用します。簡易属性は、単一値または複数値として構成できます。
  • 複合属性: 複合属性は、配列として表される1つ以上のネストされた子属性で構成されます。たとえば、番地、市区町村および郵便番号が子属性である住所属性です。

オーケストレート済システムの単純なシステム属性を作成するには:

  1. Oracle Access Governanceのナビゲーション・メニュー・アイコンナビゲーション・メニューから、「Service Administration」→「Orchestrated Systems」を選択します。
  2. 構成するオーケストレート済システムのアクション・メニューアクション・メニューから「統合の管理」オプションを選択します。選択した編成済システムの「統合の管理」ページが表示されます。
  3. 「データ設定」セクションで、「アイデンティティ属性」タイルの「管理」を選択します。
    このタイルは、権限のあるソースをサポートするオーケストレート済システムでのみ使用できます。
  4. 「属性」タブで、「+システム属性の作成」を選択します。
    「このシステムのアイデンティティ属性の作成」ページが表示されます。
詳細の追加
  1. 表示名とは何ですか。: コンソールで使用する属性表示名を入力します。
  2. データ型とは: 単純なデータ型の1つを選択します。
  3. 「次へ」をクリックします。
値のソース
  1. 属性の値がインバウンド変換を使用して導出される場合は、システム・チェック・ボックスから「インバウンド・データに含まれる」を選択します。データ変換ルール・リファレンスを参照してください。
  2. 定義済属性に複数の値が許可されている場合は、「複数の値をサポート」チェック・ボックスを選択します。
  3. 「検証」をクリックします

    ルールが有効な場合、確認メッセージが表示され、ルールが検証済としてマークされます。ルールに問題がある場合、エラー・メッセージが表示され、ルールは無効としてマークされます。ルールが無効とマークされている場合は保存できません。

オーケストレート済システムの複雑なアイデンティティ属性の作成

オーケストレート済システムに固有のカスタム複合アイデンティティ属性を作成します。1つ以上のネストされた子属性で構成される複雑な属性は、配列として表されます。たとえば、番地、市区町村および郵便番号が子属性である住所属性です。

jobCodeなどの複雑なカスタム属性は、「アイデンティティ属性の管理」ページで配列として表されます。単独では、提携を作成しないかぎり、jobCode配列を直接使用または参照することはできません。また、使用フラグは、これらのアフィリエイト属性でのみ更新および管理できます。カスタム複合属性または配列型属性の使用フラグは直接更新できません。

オーケストレート済システムの複合システム属性を作成するには:

  1. Oracle Access Governanceのナビゲーション・メニュー・アイコンナビゲーション・メニューから、「Service Administration」→「Orchestrated Systems」を選択します。
  2. 構成するオーケストレート済システムのアクション・メニューアクション・メニューから「統合の管理」オプションを選択します。選択した編成済システムの「統合の管理」ページが表示されます。
  3. 「データ設定」セクションで、「アイデンティティ属性」タイルの「管理」を選択します。
    このタイルは、権限のあるソースをサポートするオーケストレート済システムでのみ使用できます。
  4. 「属性」タブで、「+システム属性の作成」を選択します。
    「このシステムのアイデンティティ属性の作成」ページが表示されます。
詳細の追加
  1. 表示名とは何ですか。: コンソールで使用する属性表示名を入力します。
  2. データ型とは: 「複合」を選択します。
  3. 一意に参照される属性はどれですか。: employeeRecordなど、あるエントリを別のエントリと区別するための一意の識別子を入力します。
  4. 「次へ」をクリックします。
値のソース
  1. システム属性名とは何ですか。: この属性のシステム属性名を入力します。たとえば、jobDataです。
    複合属性は複数値であり、アフィリエイトを作成するとその子属性を参照できます。
  2. 情報を確認して、「作成」をクリックします。子属性を追加するための「カスタム複合属性」詳細ページが表示されます。
子属性の追加
  1. +Create a child attributeをクリックします。
  2. 単純な属性を追加する場合と同じステップに従います。詳細は、システム属性の作成を参照してください。
  3. 子属性をさらに追加するには、このプロセスを繰り返します。

Oracle Access Governance属性の作成

Oracle Access Governanceシステム内で定義および計算され、オーケストレートされたシステムに関連付けられていないAG属性を作成します。ガードレール、アイデンティティ・コレクションなどのOracle Access Governance機能を定義したり、マッピング・ルールまたは導出値を作成するために使用できます。

AG属性は、内部システムによって表されます。
  1. 「アイデンティティ属性」ページで、「+ AG属性の作成」を選択します。
    「AGアイデンティティ属性の作成」ページが表示されます。
詳細の追加
  1. AGは何と呼びますか。: 属性名を入力します。
  2. 表示名とは何ですか。: コンソールで使用する属性表示名を入力します。
  3. データ型とは: ブール、long、数値、整数、文字列などのプリミティブ・データ型の1つを選択します。
  4. 「次へ」をクリックします。
ルールの追加
  1. この操作/属性に適用するルールを入力します。詳細は、データ変換ルール・リファレンスを参照してください。
  2. 「検証」をクリックします

    ルールが有効な場合、確認メッセージが表示され、ルールが検証済としてマークされます。ルールに問題がある場合、エラー・メッセージが表示され、ルールは無効としてマークされます。ルールが無効とマークされている場合は保存できません。

設定の使用状況
  1. 機能の属性を含めるには、適切な機能チェック・ボックスを選択します。属性詳細の表示を参照してください。
  2. 「次へ」をクリックし、最終レビューを実行します。
  3. 「作成」をクリックします。

グローバル・アイデンティティ属性の管理

属性の移入元のオーケストレート済システムを更新し、属性値を変更するためのルールを適用することで、アイデンティティ属性を変更できます。

グローバル・アイデンティティ属性を変更するには、「アイデンティティ属性」ページで次のステップを実行します。
  1. Oracle Access Governanceコンソールで、ナビゲーション・メニューナビゲーション・メニューから「サービス管理」→「アイデンティティ属性」を選択します。
  2. 特定のアイデンティティ属性について、変更する属性に対応する「編集」アイコン 「編集」アイコンをクリックします。
    アイデンティティ属性フィールドは編集可能モードで表示され、単一の編集操作で属性を更新できます。
  3. 属性の移入に使用するオーケストレート済システムを更新するには、「どのオーケストレート済システムですか。」リストから適切なオーケストレート済システムを選択します。

    Oracle Cloud Infrastructure (OCI)オーケストレート済システムの場合、「どのドメインですか。」という追加のオプションが表示されます。OCIテナンシに複数のドメインがある場合は、アイデンティティの正しい情報源として使用する適切なOCI Identity and Access Managementドメインを選択します。

  4. 直接属性値を使用するか、ルールを追加します。
    1. 「移入済」で、「変更」リンクを選択します。
    2. データ変換なしで属性値をそのまま使用する場合は、「<attributename>値を直接使用」を選択します。このアクションを実行すると、「移入済」フィールドに「直接」の値が表示されます。
    3. ルールを適用するには、「<attributename>を囲むルールの作成」を選択します。
    4. ルールを入力し、「検証」をクリックして構文を確認します。構文の詳細は、「インバウンドおよびアウトバウンド・ルールのデータ変換」を参照してください。ネストされた属性(<parent>.<child>)にルールを適用することはできません。
    5. 「適用」をクリックしますこのアクションを実行すると、「移入済」フィールドに値「ルール別」が表示されます。
  5. 機能に属性を含めるには、適切なアイデンティティ・フラグを選択します。
    オプション説明
    アイデンティティ詳細に含める 選択すると、属性は次のように表示されます。
    • 選択したアイデンティティ属性のみを表示できるWho Has Access to What機能。
    • 「アイデンティティ詳細」ページ「アイデンティティ属性」タブには、選択した属性のみが表示されます。
    • アクセス・レビューを実行し、レビュー・インサイトを確認できる「マイ・アクセス・レビュー」機能。
    キャンペーン選択に含める 選択すると、ユーザー・アクセス・レビュー・キャンペーンで属性を使用できます。
    イベント・ベースのアクセス・レビューに含める 選択した場合、この属性はマイクロ認証の実行に使用でき、イベントベースのトリガーの構成でイベントベースのレビューに使用できます。
    アイデンティティ管理に含める 選択した場合、属性はアクティブ化ルールの構成で使用して、Oracle Access Governanceからアイデンティティを管理したり、アイデンティティ・コレクションの作成でカスタム属性を有効化したりできます。
  6. 編集を実行した後、ティック 「適用」をクリックします。これにより、変更が保持されます。同じプロセスに従って、他の属性の編集を続行できます。
  7. 「保存」をクリックして変更を適用し、すべての属性を一度に更新します。
    「最終更新者」列には、最新の更新を実行した管理者名が表示されます。

最新のカスタム属性のフェッチ

スキーマ・オブジェクトのみをリフレッシュし、データを収集しません。データ・ロードを実行するか、次のデータ・ロードが値を移入するまで待機します。暗号化された属性はフェッチまたは表示されません。

  1. Oracle Access Governanceのナビゲーション・メニュー・アイコンナビゲーション・メニューから、「Service Administration」→「Orchestrated Systems」を選択します。
  2. 構成するオーケストレート済システムのアクション・メニューアクション・メニューから「統合の管理」オプションを選択します。選択したオーケストレート済システムの「統合の管理」ページが表示されます。
  3. 「データ設定」セクションで、「アイデンティティ属性」タイルの「管理」を選択します。
    ノート

    このタイルは、認可ソースをサポートするオーケストレート済システムでのみ使用できます。
  4. 「属性のフェッチ」を選択し、「フェッチ」を選択します。
ノート

このアクションでは、オーケストレーションされたシステムから属性データが取り込まれませんが、スキーマ・オブジェクトがロードされます。属性のデータをフェッチして使用するには、次回のスケジュール済データ同期操作を待機するか、データ・ロード操作を手動で実行する必要があります。オーケストレート済システムの設定の構成のトピックを参照してください。

アイデンティティ属性を管理するための要件およびルール

アイデンティティ属性は、特定の要件およびルールによって管理されます。それらのいくつかを見てみましょう。

  • スキーマで暗号化されたカスタム属性は、Oracle Access Governanceでは使用できず、「アイデンティティ属性」ページに表示されません。
  • カスタムの単純属性およびカスタム複合属性を作成できます。単純な属性はグローバル・アイデンティティ・プロファイルに自動的に含まれ、カスタム複合属性はアフィリエイトを介して公開されます。
  • カスタム属性値を直接使用するか、変換ルールを適用して属性の値を変更するかを選択できます。たとえば、従業員番号と名を連結して表示名を設定します。
  • 配列として定義された複合属性は編集できません。
  • ネストされた属性(<parent>.<child>)を変更すると、追加の依存属性のリストが影響を受け、表示されます。たとえば、属性name.firstNameのオーケストレート済システムを更新する場合です。データの整合性を確保するために、アイデンティティの姓は同じオーケストレート済システムから取得される必要があるため、これによって、オーケストレーションされた属性のシステムも変更されます: name.lastNameというメッセージが表示されます。変更を保存すると、両方の属性が更新されます。
  • Oracle Cloud Infrastructure (OCI)オーケストレート済システムの場合、「どのドメインですか。」という追加のオプションが表示されます。OCIテナンシに複数のドメインがある場合は、アイデンティティの正しい情報源として使用する適切なOCI Identity and Access Managementドメインを選択します。OCI Orchestrated Systemからデータロードをすでに実行している場合は、OCIシステムから取り込まれた使用可能なドメインのリストから選択できます。データロードが実行されていない場合は、フリー・テキストを使用してドメイン名を入力できます。
  • 配列として表されるジョブ・コードなどの複雑なカスタム属性が定義されている場合
    jobCode{
  Attr1,
  Attr2,
}
    アフィリエイトを作成しないかぎり、jobCode配列はOracle Access Governanceの機能で直接参照または利用できません。アフィリエイトは、対応するアフィリエイト属性を定義することで、複雑な属性から個々の子属性を公開するメカニズムを提供します。所属ルールを使用して、複合属性から特定の所属属性に値をマップできます。さらに、使用フラグは、これらのアフィリエイト属性でのみ更新および管理できます。元の複合型属性または配列型属性では、使用フラグへの直接更新は使用できません。