Oracle Cloud Infrastructureドキュメント

アクセス・レビューの実行- アクセス・レビュー・タスクの評価および証明

アクセス・レビューアは、「自分のアクセス・レビュー」機能を使用してアクセス権限を証明できます。アイデンティティ・アクセス、グループ・メンバーシップ、ポリシーまたは不一致のアカウントを受け入れるか、取り消すことができます。これらのタスクは、特定の承認ワークフローに関連付けられたアクティブなユーザーが実行できます。

たとえば、JohnWorkflowAのレビューアで、SusanWorkflowBのレビューアである場合、JohnWorkflowAに関連付けられたレビュー・タスクにアクセスできます。Susanは、WorkflowBに関連付けられたレビューにアクセスできます。承認ワークフローに関連付けられていないBettyがある場合、そのユーザーはどのレビューに対してもタスクを実行できません。

低リスクのアイテムを一括承認し、AI/ML装備の規範的な分析インサイトをチェックし、高リスクのアイテムをレビューし、Oracle Access Governanceが提供するAI/ML主導の推奨事項に基づいて情報に基づいた意思決定を行うことができます。

アイデンティティ・アクセス・タスクの確認

アイデンティティ・レビュー・タスクには、アイデンティティ・アクセス権の証明、ユーザー・アカウント、権限およびロールの評価が含まれます。これらのレビュー・タスクは、キャンペーン、ユーザー作成アクセス・レビューまたはアイデンティティ・イベントによって生成できます。レビューアは、規範的な分析に基づく推奨を考慮して、「自分のアクセス・レビュー」ページから決定できます。

使用可能なタブで、特定のアクセス・レビュー・タスクをタスク名で検索します。提案されたフィルタを適用して、フォーカスされた結果を表示できます。自分に割り当てられている各レビュー・タイプのレビュー・タスクの合計数を表示します。デフォルトでは、「アイデンティティ・レビュー・タスク」タブが表示されます。

アイデンティティ・アクセス・レビュー・タスクを受け入れるか取り消す方法は次のとおりです。

  1. Oracle Access Governanceコンソールで、ナビゲーション・メニューナビゲーション・メニューから「アクセス・レビュー」「マイ・アクセス・レビュー」を選択します。
    「マイ・アクセス・レビュー」ページが表示されます。
  2. 割り当てられたアクセス・レビュー・タスクにリストされている情報を確認します。レビューアは、ユーザーが作成した、キャンペーンが開始した、およびイベントベースのレビュー・タスクをすべて表示できます。
  3. 推奨事項を確認します。
  4. レビュー・インサイトを表示するには、各レビュー・タスクに対応する「インサイト」列の下の「表示」リンクを選択します。
  5. 次のいずれかのオプションを選択して、レビューを決定します。
    • 「マイ・アクセス・レビュー」ページで、各レビュー・タスクに対応する行レベルのティック・アイコンティック・アイコンを選択してアクセスを受け入れるか、または交差点クロス・アイコンを選択してアクセスを取り消します。オプションで、レビュー・タスクの再割当てを選択できます。
    • 「マイ・アクセス・レビュー」ページで、レビュー・タスクごとにチェック・ボックスを選択し、「受入れ」ボタンまたは「取消」ボタンを選択します。
    • 「インサイト」ページで、「受入れ」ボタンまたは「取消」ボタンを選択します。
  6. (権限)確認ポップアップ・ダイアログで、アクセス権を付与する最大期間を選択します:
    • 無期限: 時間制限なしで永続アクセスを許可します。アクセスが取り消されるのは、手動で取り消された場合、またはアカウントが無効になっている場合のみです。
    • 延長を付与する特定の日時を選択します。
  7. アクションにコメントまたは理由を追加し、「送信」を選択します。
    ノート

    • 「アカウント」タスクを取り消すと、関連するすべての権限タスクを取り消すための自動アクションが実行されます。
    • アカウントの唯一の資格(「ロール」または「権限」)を受け入れると、関連する「アカウント」タスクを受け入れるための自動アクションが実行されます。
    • レビュー項目を取り消すと、その項目は自動的に修正されます。アイテムを取り消すリクエストがオーケストレート済システムに送信されます。手動ステップは必要ありません。

アクセス制御タスクを使用したポリシーおよびアイデンティティ・コレクションの確認

アクセス制御レビュー・タスクには、Oracle Access Governanceポリシー、アイデンティティ・コレクション、またはOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)ポリシーまたはOCIグループの証明が含まれます。これらのレビュー・タスクは、ユーザーが作成した、オンデマンドのポリシー・レビューまたはアイデンティティ・コレクション・キャンペーンによって生成できます。レビューアは、規範的な分析に基づく推奨を考慮して、「自分のアクセス・レビュー」ページから決定できます。

使用可能なタブで、特定のアクセス・レビュー・タスクをタスク名で検索します。提案されたフィルタを適用して、フォーカスされた結果を表示できます。自分に割り当てられている各レビュー・タイプのレビュー・タスクの合計数を表示します。

「インサイト」ページでは、レビュー・タスクの推奨事項を表示できます。左側のパネルで、ポリシーの詳細を表示できます。ポリシーのアソシエーション詳細を表示し、付与されてからそのポリシーまたはアイデンティティ・コレクションに対して開始された一連のレビュー・タスクを表示できます。

アクセス制御レビュー・タスクを実行するには:

ポリシー・レビュー・タスクの受入れまたは取消し

  1. Oracle Access Governanceコンソールでは、ナビゲーション・メニューナビゲーション・メニューから「アクセス・レビュー」「マイ・アクセス・レビュー」を選択します。「マイ・アクセス・レビュー」ページが表示されます。
  2. 「アクセス制御」タブを選択します。
  3. 割り当てられたレビュー・タスクにリストされている情報を確認します。レビュー担当者は、ユーザーが作成したキャンペーン開始のレビュー・タスクをすべて表示できます。
  4. 各レビュー・タスクの推奨事項を確認します。
  5. インサイトを表示して決定するには、各レビュー・タスクに対応する「インサイト」列の下の「アクション」リンクを選択します。「インサイト」ページが表示されます。
  6. 次のいずれかのオプションを選択して、レビューを決定します。
    • 各ポリシー・ステートメントを個別に確認するには、「アクセス・アソシエーション」セクションで、ステートメントを受け入れる行レベルのティック・アイコンティック・アイコンを選択するか、ポリシー・ステートメントを取り消す交差点クロス・アイコンを選択します。オプションで、レビュー・タスクの再割当てを選択できます。
    • すべてのポリシー・アソシエーションを一度に受け入れるには、「すべて受け入れる」を選択するか、「すべて取り消す」を選択します。
    ノート

    アクション不可能な文はアクセス権を提供しないため、それらのポリシー・ステートメントに対してアクションを実行できません。たとえば、他のポリシー・ステートメントでアクセス権限を提供するためにさらに使用できる構成を形成するルール・ステートメントなどです。
  7. 「適用」を選択して決定を保存します。確認ポップアップ・ダイアログで、アクションのコメントまたは理由を追加し、「送信」を選択します。

アイデンティティ収集レビュー・タスクの受入れまたは取消し

  1. Oracle Access Governanceコンソールでは、ナビゲーション・メニューナビゲーション・メニューから「アクセス・レビュー」「マイ・アクセス・レビュー」を選択します。「マイ・アクセス・レビュー」ページが表示されます。
  2. 「アクセス制御」タブを選択します。
  3. 割り当てられたレビュー・タスクにリストされている情報を確認します。レビュー担当者は、ユーザーが作成したキャンペーン開始のレビュー・タスクをすべて表示できます。
  4. 各レビュー・タスクの推奨事項を確認します。
  5. インサイトを表示して決定するには、各レビュー・タスクに対応する「インサイト」列の下の「アクション」リンクを選択します。「インサイト」ページが表示されます
  6. 次のいずれかのオプションを選択して、レビューを決定します。
    • アイデンティティ・コレクション内の各アイデンティティのメンバーシップを確認するには、「含まれる名前付きアイデンティティ」セクションで、文を受け入れる行レベルのティック・アイコンティック・アイコンを選択するか、ポリシー・ステートメントを取り消す交差点クロス・アイコンを選択します。オプションで、レビュー・タスクの再割当てを選択できます。
    • すべてのメンバーシップを一度に受け入れるには、「すべて受け入れる」を選択するか、「すべて取消」を選択します。
      ノート

      OCI IAMグループ・メンバーシップを確認することを選択し、Oracle Access Governanceで管理される割当てを持つメンバーが含まれている場合は、直接割り当てられたメンバーのみを受け入れるか取り消すことができます。Oracle Access Governanceで管理されるメンバーの場合、Oracle Cloud Infrastructure (OCI)システムの「権限」タイルを使用して、OCIアクセス・バンドルの個別のキャンペーンを作成する必要があります。詳細は、Oracle Cloud Infrastructure (OCI)が管理するシステムへのアクセスの確認を参照してください。
  7. 「適用」を選択して決定を保存します。確認ポップアップ・ダイアログで、アクションのコメントまたは理由を追加し、「送信」を選択します。

所有権タスクがある未照合アカウントのレビュー

所有権レビュー・タスクには、イベントベースのアクセス・レビューによって開始された、一致しないアカウントの監査が含まれます。これらのタスクは、組織がOracle Access Governanceでアイデンティティを持つ不一致のアカウントを確認するのに役立ちます。レビューアは、規範的な分析に基づく推奨を考慮して、「自分のアクセス・レビュー」「所有権」ページから決定できます。

使用可能なタブで、特定のアクセス・レビュー・タスクをタスク名で検索します。提案されたフィルタを適用して、フォーカスされた結果を表示できます。自分に割り当てられている各レビュー・タイプのレビュー・タスクの合計数を表示します。「インサイト」ページでは、レビュー・タスクの推奨事項を表示できます。左側のパネルで、一致しないアカウント情報を表示できます。右側には、詳細を表示したり、詳細に基づいて適切な決定を行うことができます。

所有権レビュー・タスクを実行するには:

  1. Oracle Access Governanceコンソールで、ナビゲーション・メニューナビゲーション・メニューから「自分のアクセス・レビュー」をクリックします。「自分のアクセス・レビュー」ページに移動します。
  2. 「所有権」タブを選択します。
  3. 各レビュー・タスクの推奨事項を確認します。
  4. インサイトを表示して決定するには、各レビュー・タスクに対応する「インサイト」列の下の「アクション」リンクを選択します。「インサイト」ページが表示されます。
  5. アイデンティティを一致しないアカウントに関連付けるには、「アイデンティティの選択」ボタンをクリックします。
    1. 「Match account to identity」パネルで、「Suggested identity」タブまたは「All identities」タブから目的のアイデンティティを選択します。
    2. 「一致」を選択します。
    3. 「適用」を選択して決定を保存します。確認ポップアップ・ダイアログで、アクションに対するコメントまたは理由を追加し、「送信」を選択します。
  6. 一致しないアカウントを削除するには、「削除」を選択します。確認ポップアップ・ダイアログで、アクションのコメントまたは理由を追加し、「送信」を選択します。オプションで、レビュー・タスクの再割当てを選択できます。

「所有権ありのリソース所有権のレビュー」タスク

所有権レビュー・タスクには、Oracle Access Governanceシステムの所有権レビュー・キャンペーンによって開始されたOracle Access Governanceリソースの所有権の監査が含まれます。レビュー担当者は、「自分のアクセス・レビュー」「所有権」ページから、現在の所有者の証明、リソース所有権の変更、またはレビュー・タスクの他のレビュー担当者への再割当てを行うことができます。

使用可能なタブで、特定のアクセス・レビュー・タスクをタスク名で検索します。提案されたフィルタを適用して、フォーカスされた結果を表示できます。「所有権」タブで、「割当タイプ」を使用してフィルタを適用し、特定の所有権タスク・タイプを表示できます。自分に割り当てられている各レビュー・タイプのレビュー・タスクの合計数を表示します。

所有権レビュー・タスクを実行するには:

  1. Oracle Access Governanceコンソールで、ナビゲーション・メニューナビゲーション・メニューから「自分のアクセス・レビュー」をクリックします。「自分のアクセス・レビュー」ページに移動します。
  2. 「所有権」タブを選択します。
  3. 「割当タイプ」を使用してフィルタを適用し、所有権タスクを表示します。
  4. 決定または所有権を変更するには、各レビュー・タスクに対応する「表示」リンクを選択します。
  5. リソースの所有権を変更するには、「所有権の変更」ボタンを選択します。
    1. 「プライマリ所有者は誰ですか」フィールドで、プライマリ所有者として割り当てる目的のアイデンティティを選択します。
    2. 「他の所有者」フィールドで、リソースの1つ以上の追加所有者を選択します。最大20人の追加所有者を割り当てることができます。
    3. 「Done」を選択します。
    「所有権」セクションで、更新された所有者をリストに表示できます。
  6. (オプション)所有者の元のリストに戻る場合は、「変更のリセット」ボタンを選択します。
  7. 確認後:
    • 更新されたリストを保存して証明するには、「適用」を選択します。
    • 元の所有者のリストを証明するには、「受入れ」を選択します。
    オプションで、レビュー・タスクの再割当てを選択できます。
  8. 確認ポップアップ・ダイアログで、アクションのコメントまたは理由を追加し、「送信」を選択します。
リソース所有者として、リソース詳細を表示するか、「マイ・アクセス」「所有権」ページからアクセス詳細を表示することで、変更を確認できます。

レビュー・タスクの再割当

単一または複数のレビュー項目を他のレビュー担当者に再割当します。レビュー・タスクは、元のレビューアから新しいレビューアに移行されます。アクセス・レビュー・トレイルで再割当詳細を表示できるのは、新しいレビューアのみです。

自己レビュー(ユーザーが受益者であり、承認者である場合)、委任またはエスカレートされたレビュー・タスクを再割当することはできません。これらのレビュー・タスクの「再割当」ボタンは使用不可です。
  1. Oracle Access Governanceコンソールで、ナビゲーション・メニューナビゲーション・メニューから「アクセス・レビュー」「マイ・アクセス・レビュー」を選択します。
    「マイ・アクセス・レビュー」ページが表示されます。
  2. 次のいずれかのオプションを選択して、レビュー・タスクを再割当します。
    • 「マイ・アクセス・レビュー」ページで、レビュー・タスクごとに、再割当てアイコン再割当てアイコンを選択してアクセスを再割当てします。
    • 「マイ・アクセス・レビュー」ページで、行レベルのチェック・ボックスを選択し、「再割当て」ボタンを選択します。
    • 「インサイト」ページで、「再割当て」ボタンを選択します。
  3. 「確認」ポップアップ・ウィンドウで、次の手順を実行します。
    1. 再割当するレビュー担当者を選択します。
    2. レビュー項目を再割当する理由を入力します。
    3. 「送信」を選択します。
      確認メッセージが表示されます