Oracle Cloud Infrastructureドキュメント

Oracle Access Governanceでのアクセス・レビュー・キャンペーンの操作

「キャンペーン」を使用して、アクセス・レビュー・プロセスを開始します。アクセス・レビューを効果的に使用するには、キャンペーンのライフサイクルと、無効なレビュー担当者または所有者が検出されたときにアクセスの自己認証やフォールバック・メカニズムなどの重要な概念を理解します。キャンペーンを操作する際にガイドラインまたはベスト・プラクティスを使用して、効果的なレビュー・プロセスが実施されるようにします。

レビュー・キャンペーン・ステージへのアクセス

管理者またはキャンペーン管理者として、アクセス権限を証明するには、最初にアクセス・レビュー・キャンペーンを設定およびスケジュールします。ライフサイクル中、キャンペーンは様々なアクセス・レビュー状態を経由します。実行できるタスクは、キャンペーンの状態またはステータスによって異なります。

管理者またはキャンペーン管理者として、「アクセス・レビュー」セクションからキャンペーンを作成して、アクセス・レビュー・プロセスを開始します。アドホック・キャンペーンを設定するか、定期的なキャンペーンをスケジュールしてキャンペーン・シリーズを形成できます。キャンペーンは、そのライフサイクルの様々なステージまたは状態を経て進行します。これには、範囲の定義、承認ワークフローの設定、キャンペーン所有者の選択およびキャンペーンのスケジュールが含まれます。レビュー担当者は、起動後にアクセス権限を受け入れるか取り消すことができます。実行された決定は、クローズド・ループ修正プロセスの一部として実行されます。

アクセス・レビュー・キャンペーンの動作保証状態は次のとおりです。
レビュー・キャンペーン・ステージへのアクセス

  • ドラフト: 新しいアクセス・レビュー・キャンペーンが作成または追加され、まだ開始されていない場合。「ドラフト」状態では、次のことができます。
    • キャンペーン詳細の表示
    • キャンペーンの編集
    • キャンペーンの削除
  • スケジュール済: アクセス・レビュー・キャンペーンが作成され、将来の特定の時間に開始されるとき。「スケジュール済」状態では、次のことができます:
    • キャンペーン詳細の表示
    • キャンペーンを編集
    • キャンペーンのクローニング
    • キャンペーンの終了
    • キャンペーン・シリーズの終了
  • 進行中: アクセス・レビュー・キャンペーンが開始されたとき。キャンペーン・レビュー担当者は、Eメールを介してキャンペーンについて通知されます。レビュー担当者は、クローズド・ループ是正プロセスの一部として決定を遂行するために、アクセス権限を受け入れるか取り消すことで、割り当てられたレビュー・タスクを決定できます。「進行中」状態では、次のことができます。
    • キャンペーン詳細の表示
    • キャンペーンのクローニング
    • キャンペーンの終了
    • キャンペーン・シリーズの終了
    • レポートの表示
    • キャンペーン所有権の変更
    • CSVデータのダウンロード
  • 承認準備完了: レビュー・タスクが完了したか、キャンペーン期日が経過すると、キャンペーンは「承認準備完了」状態に移行します。保留中のレビュー項目がある場合は、承認ワークフローで提示されたアクションが自動的に考慮されます。たとえば、すべての未レビュー・アクセス・レビュー・タスクを承認します。「承認準備完了」状態では、次のことができます。
    • キャンペーン詳細の表示
    • キャンペーンのクローニング
    • キャンペーンの終了
    • キャンペーン・シリーズの終了
    • レポートの表示
    • CSVデータのダウンロード
    • キャンペーン所有権の変更
  • 承認済: キャンペーン所有者が「アクション」オプションからキャンペーンを承認およびサインオフすると、「承認済」とマークされます。キャンペーンは、自分の進行中のキャンペーン・キューから自分の前のキャンペーン・キューに移動します。「承認済」状態では、次のことができます。
    • キャンペーン詳細の表示
    • キャンペーンのクローニング
    • レポートの表示
    • CSVデータのダウンロード
  • システム終了: 予期しないエラーが発生すると、キャンペーンが中止され、「システム終了」ステータスになる場合があります。「システム終了」ステータスでは、キャンペーン詳細の表示、キャンペーンのクローニング、レポートの表示またはCSVレポートのダウンロードを行うことができます。次のような原因が考えられます。
    • インサイトの生成の失敗やキャンペーン基準の検証の失敗など、内部システム・エラーが発生した場合。

    • 2023年6月リリースより前に作成されたすべての「ドラフト」および「スケジュール済」キャンペーンは自動的に中止され、「システム終了」とマークされます。

    • Oracle Access Governanceサービス・インスタンスが削除されると、そのサービス・インスタンス内のすべてのキャンペーンが中止され、「システム終了」とマークされます。
    • キャンペーンの終了中にシステム障害が発生すると、キャンペーンは中止され、「システム終了」状態になります。
  • 終了: キャンペーンがキャンペーン管理者またはキャンペーン所有者によって終了された場合。キャンペーンは、「スケジュール済」「進行中」または「承認準備完了」状態のときに終了できます。キャンペーンは、次の場合にも終了します。
    • レビュー担当者が非アクティブで、管理階層にアクティブなユーザーがいないか、キャンペーン所有者が非アクティブです。
    • フォールバック・プロセスは、適切なキャンペーン所有者またはレビューアの割当てに失敗し、キャンペーンはシステムによって終了されます。
    • アイデンティティ・コレクション内のメンバー数が、アイデンティティ・コレクション承認ワーフローの定義済レビューアより少なくなっています。
    「終了済」状態では、次のことができます。
    • キャンペーン詳細の表示
    • クローン
    • レポートの表示
    • CSVデータのダウンロード

自己認証ガードレールについて

自己認証は、外部レビューアが介入することなく、独自のアクセス権を承認または認証するプロセスです。これは、管理上の負担を軽減したり、その他の適切なビジネス正当性を考慮して確立された有効なビジネス・プロセスです。ただし、重要なデータを含む高リスク・アクセス、または潜在的な個人的な利益が関与する場合は、通常、自己認証はお薦めしません。Oracle Access Governanceには、自己承認プロセスを有効または無効にするオプションがあります。

Oracle Access Governanceは、承認ワークフロー・タイプに基づいて、キャンペーンの自己認証ガードレールを有効または無効にします。
  • 「カスタム・ユーザー」「アイデンティティ収集」または「所有者」ワークフローを選択した場合は、自己認証プロセスを有効または無効にすることを選択できます。「受益者」ワークフローを選択した場合は、アクセスを自己承認することもできます。
  • 他のワークフローを選択するか、自己承認プロセスを無効にすることを選択した場合、適切なフォールバック・メカニズムが開始され、レビュー・タスクが次に使用可能な有効なレビューアに自動的に割り当てられます。

フォールバック・メカニズムの理解: キャンペーンの終了を防ぐ方法

キャンペーンでの作業中に、Oracle Access Governanceの承認ワークフロー機能で定義されている承認テンプレートのいずれかを選択して、対象のレビュー担当者を選択します。キャンペーン・サービスは、キャンペーンの終了を防ぐために無効なレビューアまたは無効なキャンペーン所有者が検出された場合、フォールバック・メカニズムを開始します。

Oracle Access Governanceでレビューアが無効とタグ付けされた場合を次に示します:
  • 「非アクティブ」のOracle Access Governanceアイデンティティがレビューアとして選択されている場合。
  • 「コンシューマ」ユーザー・タイプのアクティブなアイデンティティがレビューアとして選択されている場合。
  • 選択した承認テンプレートで自己承認が無効になり、レビュー担当者がアクセスをレビューまたは認証する受取人と同じである場合。

無効なレビューアのフォールバック・メカニズム

意図したレビューアが無効な場合、Oracle Access Governanceでは、次のフォールバック・メカニズムがリストされた順序で開始され、有効なレビューアが割り当てられます。

意図したレビューア意図したレビューアの管理チェーンキャンペーン所有者アクセス・ガバナンス管理者ロールを持つランダムに選択された任意のユーザー

  • 審査担当者指定
  • 有効なレビューアが見つかるまで、定義済の管理チェーンまでのレビューアの即時マネージャ。
  • アクティブなマネージャが見つからない場合、レビュー担当者はキャンペーン所有者として設定されます。
  • 自己承認が許可されておらず、アクティブなマネージャが見つからない場合、キャンペーン所有者が受取人となり、ランダムに選択された1人のユーザーが管理者ロールとともに、自動的にアクセス・レビュー・レビューアとして割り当てられます。

無効なキャンペーン所有者のフォールバック・メカニズム

無効なキャンペーン所有者は、非アクティブなユーザー、コンシューマ・ユーザー、または承認ワークフローに含まれないユーザーです。

目的のキャンペーン所有者が無効な場合、Oracle Access Governanceは次のフォールバック・メカニズムを開始し、有効なキャンペーン所有者を割り当てます。

「対象キャンペーン所有者」「キャンペーン所有者の管理チェーン」「アクセス・ガバナンス管理者」ロールを持つランダムに選択された任意のユーザー

  • キャンペーン所有者の管理チェーン。
  • 有効なマネージャが見つからない場合、管理者ロールを持つランダムに選択されたユーザーは、キャンペーン所有者として自動的に割り当てられます。

例1 - 自己認証が許可されている場合のフォールバック・メカニズムの理解

シナリオ: キャンペーン管理者およびキャンペーン所有者として、Sarahは自分の部門の定期的なアイデンティティ・アクセス・レビューを開始します。所有者承認ワークフロー・テンプレートを選択し、アクセス・レビューの自己承認を許可します。「割当て」タイプが「アカウント」の2つのアクセス・レビューが生成されます。
  • 受益者: John Doeとアカウントの所有者(Sarah)
  • 受益者: Sarah、アカウント所有者(Sarah)
自己認証が有効な「所有者」テンプレートを使用すると、次のように、このキャンペーンの対象レビューアがアカウント所有者になります。
  • 受益者はJohn Doe、レビューアはSarah
  • 受益者: Sarah、レビューア: Sarah

例2 - 自己認証が許可されていない場合のフォールバック・メカニズムの理解

シナリオ: キャンペーン管理者およびキャンペーン所有者として、Sarahは、自分の部門の高リスク・アプリケーションにおける重要な機能のアドホック・アイデンティティ・アクセス・レビューを開始します。「所有者」承認ワークフロー・テンプレートを選択し、アクセス・レビューの自己承認を許可しません。「割当て」タイプが「権限」の2つのアクセス・レビューが生成されます。
  • 受益者: John Doeおよび権限所有者(Sarah)
  • 受益者: Sarah、権限所有者(Sarah)
自己認証が無効になっているため、このキャンペーンの意図したレビュー担当者を受取人と同じにすることはできません。したがって、フォールバック・メカニズムは次のように開始されます。

意図したレビューア意図したレビューアの管理チェーンキャンペーン所有者アクセス・ガバナンス管理者ロールを持つランダムに選択された任意のユーザー

管理チェーンに有効なマネージャが見つからない場合、次のキャンペーン所有者をレビューアとして割り当てる必要があります。この例では、キャンペーン所有者が自己認証が無効になっている受益者と同じであるため、管理者ロール(この例ではCarol Beck)を持つアクセス・レビューアがランダムに選択されます。そのため、アクセス・レビューアは次のようになります。

  • 受益者はJohn Doe、レビューアはSarah
  • Sarahとして受益者、Carol Beckとしてレビューア

ベスト・プラクティス: キャンペーンの操作時に考慮するガイドライン

キャンペーンを実行する際は、効果的なアクセス・レビュー・プロセスを確保するために、いくつかのベスト・プラクティスとガイドラインに従う必要があります。

次に、キャンペーンの実行中に準拠する必要があるガイドラインをいくつか示します。
  • キャンペーンは、Oracle Access Governanceの管理者またはキャンペーン管理者によってのみ作成できます。
  • すべてのキャンペーンを管理できるのは、Oracle Access Governanceの管理者のみです。キャンペーン管理者は、自分が作成したキャンペーンを管理できます。キャンペーン所有者は、所有するキャンペーンを管理できます。
  • アイデンティティ・レビューは、Oracle Access Governanceからプロビジョニングしなくても、管理対象システムで直接付与された権限(リコンサイルされた権限とも呼ばれる)に基づいて実行できます。ただし、アクセスをきめ細かいレベルで管理するには、アクセス・バンドルを使用し、Oracle Access Governanceから権限をプロビジョニングします。
  • 直接割り当てられた権限に基づいてOracle Access Governanceシステムからアイデンティティ・アクセス・レビューを実行することで、権限を迅速に証明できます。ポリシーまたはOracle Identity Governance (OIG)およびOracle Cloud Infrastructure (OCI)アイデンティティ・アカウントを介してプロビジョニングされた権限またはアカウントについては、このレビューでは説明しません。リコンサイルされた権限に基づいてレビューを実行する方法の詳細は、管理対象システムに直接割り当てられた権限のアイデンティティ・アクセス・レビューを参照してください。
  • 1つのキャンペーンでは、2つの異なるタイプのアクセス・レビューを組み合せることはできません。たとえば、ポリシーをレビューするキャンペーンを作成した場合、アイデンティティ・アクセス・レビューまたはアイデンティティ・コレクション・レビューの基準は適用されなくなり、無効になります。
  • キャンペーンは、特定の承認ワークフローに関連付けられたアクティブなユーザーが認証できます。レビュー担当者は、関連付けられたレビュー・タスクのみを表示できます。どの承認ワークフローにも関連付けられていないレビューアは、レビューに対してタスクを実行できません。
  • レビューが生成されない場合、自動的に「承認準備完了」状態に進みます。
  • キャンペーン・オーナー:
    • Oracle Access Governanceのアクティブ・ユーザーである必要があります。
    • キャンペーンが様々なキャンペーン状態を通過するたびに、Eメール通知を受信できます。
    • 元の意図したレビューアが無効な場合、フォールバック・メカニズムに基づくアクセス・レビューアにすることができます。
    • 所有するキャンペーンを管理できます。
  • 「カスタム・ユーザー」「アイデンティティ・コレクション」または「所有者」テンプレートを使用して、アクセスを自己承認または自己認証できます。受益者承認テンプレートを使用するときは、アクセスを自己承認することもできます。
  • コンシューマ・ユーザーのアクセス権限は証明できますが、コンシューマ・ユーザーはアクセス・レビューアにはできません。
  • ポリシー・レビューの場合、キャンペーンのスケジュール後にポリシーを変更しないでください。これにより、修正要求の完了に失敗します。ポリシー・ステートメントは、キャンペーン・プロセス全体で一貫している必要があります。
  • アイデンティティ収集レビューでは、キャンペーンのスケジュール後にメンバーを変更しないでください。これにより、修正要求の完了に失敗します。メンバーのリストは、キャンペーン・プロセス全体で一貫している必要があります。