効果的なアクセス認証のためのレビューアのアクションについて
アクセス・レビューアは、「自分のアクセス・レビュー」機能を使用してアクセス権限を証明できます。アイデンティティ、アクセス制御および所有権レビューのタスクを確認し、低リスクのアイテムを一括承認し、AI/ML装備の規範的な分析インサイトをチェックし、高リスクのアイテムをレビューし、Oracle Access Governanceが提供するAI/ML主導の推奨事項に基づいて情報に基づいた意思決定を行うことができます。レビュー・タスクを再割当したり、他のレビューアに委任することもできます。
Oracle Access Governanceの「レビュー」タスク・タイプへのアクセス
キャンペーンが開始されると、Oracle Access Governanceのキャンペーン・サービスは、スコープ内のアイデンティティのアクセスをアクティブに追跡し、インテリジェント・インサイトを生成して、アクセス・レビューを作成します。Oracle Access Governanceでは、アクセス・レビュー・タイプに基づいて、アイデンティティ・レビュー、アクセス制御、所有権レビュー・タスク(あるいはその両方)が生成されます。
各アクセス・レビュー・タスクの詳細を次に示します。
IDレビュー・タスク
アイデンティティ・レビューのタスクには、アイデンティティ・アクセス権の証明、ユーザー・アカウント、権限およびロールの評価が含まれます。これらは、オンデマンドのアイデンティティ・レビュー・タスクを起動したときに開始されるか、部門変更、マネージャ変更など、アイデンティティ・イベントが発生したときに開始されます。1つのキャンペーンで複数のレビュー・タスクを生成できます。たとえば、アイデンティティ・アクセス・レビューを起動すると、Oracle Access Governanceは、「マイ・アクセス・レビュー」→「アイデンティティ」ページで、単一のアイデンティティに関連付けられたアカウント、権限またはロールのアクセス・レビュー・タスクを生成できます。
Oracle Access Governanceは、規範的なインサイトを生成し、レビュー担当者が必要なアイデンティティ・アクセスを「承認」または「却下」する十分な情報に基づいて決定できるように、推奨事項を提供します。
アクセス制御レビュー・タスク
アクセス制御レビュー・タスクには、Identity and Access Management (IAM)ポリシーの監査、およびオンデマンドのポリシー・レビューおよびアイデンティティ・コレクション・レビュー・キャンペーンによって開始されるアイデンティティ・コレクションが含まれます。たとえば、テナンシのドメイン管理者ポリシーのレビューを起動すると、Oracle Access Governanceによって、「自分のアクセス・レビュー」→「アクセス制御」ページで「ポリシー」タイプのアクセス・レビュー・タスクが生成されることがあります。
Oracle Access Governanceでは、規範的なインサイトが生成され、レビュー担当者がポリシー全体を一度に「承認」または「却下」するか、そのポリシー内の特定のポリシー・ステートメントを「承認」または「却下」するかを判断できるように、推奨事項が提供されます。
OCIポリシーの場合、レビューは基本的なポリシー構成に制限されます。「where」句を含む高度な構文は、サポートされている機能の範囲外です。
所有権レビュー・タスク
- Identity and Access Management (IAM)の不一致のアカウントの監査。イベントベースのアクセス・レビューによって開始されます。これらのタスクは、Oracle Access Governanceでアイデンティティの一致しないアカウントを確認するのに役立ちます。一致しないアカウント・イベントの設定中に、一致しないアカウントを自動的に削除することを選択できます。レビューアとして、照合するアイデンティティを選択するか、不一致のアカウントを削除できます。
-
Oracle Access Governanceリソースの所有権レビュー。これらのタスクは、認可された所有者のみがOracle Access Governanceリソースを管理していることを確認するために役立ちます。たとえば、定期的なキャンペーンを実行して、Oracle Access Governanceで定義されたアイデンティティ・コレクションのグループ所有権をレビューできます。
「アクセス・レビュー証跡」セクションで、リソースに対して実行された過去の所有権レビューをすべて表示できます。キャンペーンで選択された承認ワークフローに基づいて、プライマリ所有者またはアクティブなOracle Access Governanceワークフォース・アイデンティティがレビューアとして選択されます。レビューアは、リソースのプライマリ所有者または追加所有者(あるいはその両方)を変更したり、現在の所有権を証明したり、レビュー・タスクを他のアクティブなOracle Access Governanceユーザーに再割当てできます。
インテリジェント・インサイト- 規範的な分析に基づいた推奨事項のレビュー
Oracle Access Governanceでは、規範的な分析を活用してインサイトを生成し、レビュー・タスクで必要なアクションを推奨します。これにより、アクセス・レビュー担当者は、是正措置を決定し、管理上の負担を軽減し、コストを削減できます。
規範的な分析は予測を超え、アクション指向の推奨事項を伴います。これらはデータ主導のガイダンスです。Oracle Access Governanceは、複雑な計算を実行し、決定を推奨する前に、そのリソースの組織、場所、リソース、機密性などの多くのディメンションを考慮します。上位レベルでは、権限の分析は次の要素に基づいています。
- 同じマネージャのもとで働く同僚との比較
- 同じジョブ・コードの同僚との比較
- 同じ組織の同僚との比較
- ユーザー・プロファイルの最新の変更
レビュー担当者は、レビュー・プロセスを簡素化し、異常な権限の識別に伴う手作業を軽減する、データ主導型の推奨事項を受け取ります。「インサイト」ページから、監査の目的で必要な特定のアクセスで発生したレビューの証跡を追跡することもできます。また、そのアクセスに関連する一連のイベント変更を追跡することもできます。これらの詳細はすべて、そのアクセスについて情報に基づいた決定を行うのに役立ちます。
監査証跡: アクセス・レビューおよびアクセス・リクエストの決定の監視
Oracle Access Governanceの監査証跡は、リクエスト承認およびアクセス・レビュー・タスクの履歴を取得します。アクセス・リクエストおよびレビュー中に行われた決定(アクセスが受け入れられたか、拒否されたか、取り消されたかなど)と、提供された理由が記録されます。
スコープ内- 追跡対象
- 承認およびアクセス・レビューの決定(理由付きでアクセスの受入れ、拒否または取消しを行う決定を含む)。
- リクエストによって付与されたアクセス権、または管理対象システムで直接割り当てられたアクセス権のイベントを承認および取り消します(付与タイプ「リクエスト」および付与タイプ「直接」)。
- アイデンティティ属性が変更されたときにトリガーされるイベントベース・レビューのアイデンティティ・アクセスの取消し。属性の変更がある場合、ポリシーによって取り消されたアクセスは表示されません。
- SOD違反のあるアクセス・リクエストの承認。これらのリクエストは、Risk Management Cloudからの職務分離違反があった場合でもリクエストが承認されたことを示す
アイコンによって識別されます。 - 適切な理由により承認または要求された時間制限アクセス・レビュー。すべての時間制限アクセスは、
時計のアイコン。
対象外- 追跡されないもの
- ポリシーによって付与または取り消されたアクセスは、アイデンティティ・レベルではなくポリシー・レベルでレビューされるためです。
- Orchestratedシステムで直接行われた更新。たとえば、オーケストレート済システムからロールが削除されます。
最近の変更イベント・ログ: 属性変更の追跡
「最近の変更ログ」では、「イベントベースの設定」で有効になっているアイデンティティ属性の変更が追跡されます。キャンペーン(イベントベース以外)の場合、過去6か月間に特定のアイデンティティに対して発生した「イベントベース設定」が有効になっている属性のすべての変更イベントが表示されます。イベントベースのキャンペーンの場合、レビューをトリガーする属性の変更のみが記録されます。
スコープ内- 追跡対象
- イベントベース設定で有効になっている場合は、部門の更新などの属性変更。
- イベントベースのレビューをトリガーしてマイクロ認証を実行した属性の変更。
- キャンペーンでは、過去6か月間、イベントベース設定で有効化されたアイデンティティ属性の変更。
- アクセス・リクエストの承認と、リクエストによって付与されたアクセス、または管理対象システムで直接割り当てられたアクセスのレビュー。
- イベント・ベースのアクセス・レビュー(ポリシー・ベースではない)でレビューされた失効
対象外- 追跡されないもの
- 属性の変更によって失われたか取得された特定のアクセス。
例: 個人の部門が変更され、部門属性が「イベントベース設定」→「イベントの変更」で有効になっている場合、変更された属性値がこのセクションに表示されます。変更された属性値のみが表示され、属性の変更によって失われたか取得された特定のアクセスは表示されません。この移動シナリオでは、アイデンティティが現在所有しているすべてのアクセスをレビュー・タスクとしてレビューする必要があります。
レビュー・タスクの委任
アクセス・レビュー・タスクを委任すると、今後のレビュー・タスクを一時的にまたは無期限に他のレビュー担当者に転送できます。通常は、休暇などの休暇中にレビュー項目を他のレビュー担当者またはアイデンティティ・コレクションに委任します。
委任の場合、確認項目の所有権は変更されません。遅延が発生しないように、意図したレビューアがない状態でバックアップ・レビューアが割り当てられます。「インサイト」ページでは、レビュー担当者は「アクセス・レビュー・トレイル」から完全な詳細を表示できます。たとえば、マネージャが休暇を取るときに、レビュー・タスクをチーム・リードに委任できます。休暇欠勤中、チーム・リードは、「アクセス・レビュー証跡」から確認できるかわりに決定を続行できます。ただし、アクセス・レビュー・タスクをレビューする主な職責は、引き続きマネージャに任されます。セルフサービス機能(「自分の作業」→「自分の作業環境」)を使用して、アクセス・レビューを委任できます。詳細については、「委任設定の管理」を参照してください。
レビュー・タスクの再割当て
アクセス・レビュー・タスクを再割当すると、保留中のレビュー・タスクのレビューアを他のレビューアに完全に変更できます。再割当すると、レビュー項目の所有権が変更されます。レビュー・タスクは元のレビューアから移動され、新しいレビューアに割り当てられます。アクセス・レビュー・トレイルで再割当詳細を表示できるのは、新しいレビューアのみです。
通常は、職責の変更がある場合に、保留中のレビュー項目を再割当します。たとえば、会社を退職するマネージャとして、既存のレビュー・タスクをマネージャまたは置換に再割当できます。これにより、保留中のレビュー項目が新しいレビューアにシフトされます。
一括変更- 複数のレビュー項目の同時管理
Oracle Access Governanceでは、同じ決定を個別に実行するのではなく、複数のレビュー項目を同時に承認、却下または再割当てできます。複数のアイテムを一度にレビューすることで、管理上の負担を軽減し、時間を節約できます。
データドリブンの推奨事項を使用して、複数のリクエストを一度に承認または拒否することを効率的に決定します。たとえば、チームの定期的なアクセス・レビューの実行中に、「受入れ」推奨を使用して、すべての低リスク・レビュー項目を一度に承認できます。複数のアイテムまたはすべてのアイテムを選択して、他のレビューアにタスクを再割当することもできます。
- アイデンティティ・レビュー・タスクの場合、複数のレビュー・タスクを同時に承認または否認できます。複数のアイデンティティ・レビュー・タスクを一度に再割当することもできます。
- アクセス制御タスクでは、ポリシーについて、すべてのステートメントを一度に承認または拒否できます。
- アクセス制御タスクでは、アイデンティティ・コレクションについて、すべてのメンバーを一度に承認または却下できます。
- イベントベースのレビューでは、低リスクのタスクを自動承認するように構成できます。また、不一致のアカウントを自動的に削除するように構成することもできます。
一括変更と規範的な分析を組み合わせることで、プロセスを高速化し、セキュリティを損なうことなく運用効率を向上させることができます。
アイデンティティ・アクセス・レビューのための一時アクセスの受入れ
権限へのアイデンティティ・アクセスの証明中に、アクセスを一時的に受け入れることができます。アクセスは、無期限に受け入れられるか、指定された有効期限に基づいて期限切れになるように設定できます。
- アサイメント・タイプ: 権限
- 付与された権限タイプ: アクセス・バンドル
監査証跡には、すべての時間制限付きアクセス・レビューおよび時間制限付き受入がクロック・アイコンとともに表示されます。