Oracle Access Governanceの承認ワークフロー
承認ワークフローは、事前定義されたワークフローに基づいて承認を自動化するように設計された構造化されたプロセスです。これらのワークフローにより、アクセス・リクエスト、マイクロ認証およびアクセス・レビューが適切な利害関係者によってレビューおよび承認され、セキュリティとコンプライアンスが向上します。
たとえば、ユーザーがセルフサービス・モジュールを介してアクセス・バンドルへのアクセスをリクエストすると、そのリクエストに関連付けられた承認ワークフローによって、承認者への電子メールによる通知がトリガーされます。承認者は、リクエストを確認し、承認、却下または詳細情報のリクエストを決定できます。承認プロセスの結果が更新され、プロビジョニング・アクティビティが特定のオーケストレート済システムでトリガーされます。承認ワークフローを作成および管理するには、「承認ワークフローの作成」および「承認ワークフローの管理」を参照してください。
組込み承認ワークフロー・テンプレート
Oracle Access Governanceには、カスタム・ワークフローを設計するための基盤として使用できる承認ワークフロー・テンプレートが用意されています。複数のテンプレートを並行または連続して組み合せて、独自の承認ワークフローを作成できます。
受益者
承認リクエストは、アクセスを受信するアイデンティティ(受取人)に送信され、特定の権限を自己承認できます。アクセスをリクエストするユーザーは、自分で承認する必要があります。受益者が自分のアクセスを承認すると信頼される低リスクの権限に適しています。
例: これは、受益者がリクエストを自己承認する事前承認済の非ライセンスのエンタープライズ・ソフトウェアへのアクセスをリクエストする場合に使用します。
受取人のマネージャ
承認要求が受取人のマネージャに送信されます。これを使用して、アクセスが適切であるか、関連しているか、またはビジネス・スコープ内であるかを検証します。
例: ライセンスのあるサード・パーティ・ツールへのアクセスをリクエストする場合に使用します。
プライマリ・オーナー
承認要求がリソースのプライマリ所有者に送信されます。自己承認を許可または禁止するように構成できます。自己承認が [はい]に設定されている場合、承認者と受益者は同じIDになります。
例: アクセス・バンドルのプライマリ所有者に承認リクエストを送信して、アクセス・バンドル内のデータベース関連の権限を承認します。
所有者
リソースを適切に使用するために、承認要求がリソース所有者(プライマリ所有者および追加所有者)に送信されます。自己承認を許可または禁止するように構成できます。自己承認が [はい]に設定されている場合、承認者と受益者は同じIDになります。
例: アクセス・バンドルへのアクセス・リクエストを承認するために、アクセス・バンドル所有者に承認リクエストを送信しています。
カスタム・ユーザー
承認要求は、通常は集中管理のために、事前定義された特定のIDに送信されます。特殊な承認権限を必要とするシナリオに適しています。
例: 契約者がエンタープライズ・チーム・コラボレーション・アプリケーションへのアクセスを要求したときに、承認要求をIT管理者に送信します。
管理チェーン
承認要求は、受益者のマネージャから開始し、必要に応じてチェーンを上に移動する階層構造に従います。複数レベルの承認を必要とするビジネス・クリティカルな権限に適しています。
例: これは、アイデンティティがクライアント対応ストレージ・システム上で更新を公開およびダウンロードするためのコントリビュータ・ロール権限を要求する場合に使用します。
アイデンティティ・コレクション
- リクエストの続行に必要な最小承認数。
- メンバーが拒否した場合、要求を拒否する拒否権。
- 元のリクエスト・タイムラインの期限切れ時にリクエストを受信する、エスカレーションされたアイデンティティ・コレクション。
グループに十分なメンバーがない場合、リクエストは取り消されます。承認ワークフローでの大きなグループの処理を参照してください。
例: アイデンティティがデータベース管理権限アクセスをリクエストし、リクエストをデータベース管理アイデンティティ・コレクションにルーティングする場合に使用します。承認ワークフローでのエスカレーション処理
承認ワークフローの設定中に、エスカレーション時間(承認リクエストを次の承認者にエスカレーションするまでの待機日数)を設定できます。これは、元の承認者が構成時間内に応答しなかったために発生します。
適用対象: [受益者]、[受益者管理者]、[所有者]、[カスタム ユーザー]、[管理チェーン]テンプレート タイプ
「最初のエスカレーション」は、承認タスクが時間内に完了していない場合に発生します。最初に使用可能なアクティブなマネージャについて、元の承認者の管理チェーンを検索します。後続のエスカレーションは、エスカレーションされた承認者がアクションを実行しない場合にも発生します。次に、タスクを実行した最後の個人のマネージャから次の検索が開始され、チェーンが継続されます。
リクエストのエスカレーション・タイマーが期限切れになるたびに、Oracle Access Governanceは構造化されたプロセスに従ってタスクを前進させます。エスカレート済タスクについて通知する通知Eメールがエスカレート済承認者(マネージャまたはエスカレート済アイデンティティ・コレクションのアイデンティティ部分)に送信されます。
- 最初のエスカレーション:承認者の管理チェーンを検索して、Oracle Access Governanceに含まれる最初のアクティブなマネージャを検索します。
- 後続のエスカレーション:タスクがエスカレートされた最新の承認者のマネージャを検索し、管理チェーンを完成させます。
- 天井の考慮事項:エスカレーションの上限(階層レベルの最大数)が設定されている場合、検索は1レベル停止してから到達します。
- エスカレートされたアイデンティティ・コレクションの各メンバー部分を検索し、まだ受信していないすべてのユーザーにタスクを割り当てます。タスクがすでにすべてのタスクにエスカレートされている場合、それ以上のアクションは実行されません。エスカレーションの上限(階層レベルの最大数)が設定されている場合、検索は1レベル停止してから到達します。
大規模なグループ承認の処理: メンバー制限および基準
承認ワークフローの任意の部分(承認、エスカレーション、委任など)にアイデンティティ・コレクションを選択すると、Oracle Access Governanceによってメンバー制限が適用されます。
任意のサイズのアイデンティティ・コレクションを選択できますが、タスクをアクティブに受信および承認できるのは最大25メンバーのみです。Oracle Access Governanceでは、最初の25個のACTIVE/WORKFORCEメンバーが選択されます。
ACTIVE/WORKFORCEメンバーが使用可能な場合は、CONSUMERSが追加され、25のメンバー制限に達します。ただし、CONSUMERメンバーは承認タスクを受信せず、フォールバック・メカニズムは次のようにキックインされます。- アクセスレビューについては、Fallback Mechanism in Access Reviewを参照してください。
- アクセス・リクエストの場合、Oracle Access Governanceでは、承認者の管理チェーンが検索され、承認者として割り当てられる
ACTIVE/WORKFORCEが見つかります。ノート
エスカレートされた承認ワークフローまたは委任された承認ワークフローの場合、コンシューマ・メンバーは考慮されず、フォールバック・メカニズムは適用されません。
承認割当のメンバーシップ変更
レビュー・タスクは常に、割り当てられた25人のメンバーに残ります。メンバーがアイデンティティ・コレクションから削除されたり、INACTIVE/CONSUMERになった場合、タスクはグループ内の別のメンバーに渡され、25のメンバー数を維持します。
自動承認のマトリックスと条件
次の表は、2つのマトリックス全体での自動承認の主な条件をまとめたものです。
| 承認者は依頼者ですか、ワークフローに自動承認ICがあり、依頼者はメンバーですか? | ワークフローでは、AGRまたはSOD違反が存在する場合、自動承認が許可されますか。 | ワークフローは自己承認を許可しますか? | 承認者は受取人ですか? | 違反はありますか。 | 自動承認アクション |
|---|---|---|---|---|---|
| はい | いいえ | いいえ | いいえ | いいえ | 承認 |
| はい | いいえ | いいえ | いいえ | はい | 処理なし |
| はい | いいえ | いいえ | はい | いいえ | 処理なし |
| はい | いいえ | いいえ | はい | はい | 処理なし |
| はい | いいえ | はい | いいえ | いいえ | 承認 |
| はい | いいえ | はい | いいえ | はい | 処理なし |
| はい | いいえ | はい | はい | いいえ | 承認 |
| ワークフローは、AGRまたはSOD違反が検出されない場合に自動承認するように構成されていますか。 | 違反はありますか。 | 自動承認アクション |
|---|---|---|
| はい | いいえ | 承認 |
| はい | はい | 処理なし |