ガバナンスアナライザー

早期アクセスリリース。セルフサービス機能を有効にするを参照してください。

Governance Analyzerを使用したユーザーアクセスの承認または取り消しに関するインサイトと推奨事項を、アクセス認定キャンペーンのレビュアーに提供します。これにより、レビュアーはキャンペーン中のユーザーのアクセスに関して、情報に基づいて決定することができます。Governance Analyzerはorg内のアクセス管理データをレビューし、それを分析してインサイトを提供し、レビュアーに承認/取り消しの推奨事項を提供します。

レビュアーには、ユーザーアクセスに関して自信を持って一貫した決定をするために必要なコンテキストが不足していることがよくあります。データに基づいたガイダンスがないと、アクセスレビューに一貫性がなく、時間がかかったり、不用意に承認しがちになり、組織のセキュリティリスクが高まります。

Governance Analyzerは、コンテキストとデータに基づいたインサイトと推奨事項をキャンペーンのレビュアーに提供することで、この課題に対応します。orgが生成するアクセス管理データの完全なセットを収集、分析することで、レビュアーにインサイトと推奨事項を提供します。これにより、組織はリソースアクセスをより適切に管理し、攻撃対象領域を縮小し、アクセスガバナンスポリシーの遵守をサポートできます。

現在、Governance Analyzerインサイトと推奨事項は、グループ、アプリ、エンタイトルメント、エンタイトルメントバンドルへのアクセスをリソースとして認定するレビューアイテムでのみ利用できます。

注:

レビュアーに提供されるGovernance Analyzerの承認/取り消しの推奨事項とインサイトデータは、情報提供のみを目的としています。レビュアーは、この情報を独自の判断と通常のレビュープロセスの代わりにではなく、補足として使用するようにしてください。Oktaは、認定レビューの決定を通知するためのインサイトや推奨事項の使用について、関連する保証をせず、すべての責任を拒否します。

インサイト

インサイトは、Governance Analyzerによって生成され、レビューアイテムのレビュー詳細（Review details）パネルでレビュアーに提供されるコンテキスト情報です。インサイトには、職務分離ルールの矛盾、使用履歴、過去のガバナンスの決定、割り当て、ユーザープロファイルの変更が含まれます。

Governance Analyzerは、アプリの割り当て、グループメンバーシップ、アプリアクセス、以前のガバナンス決定に基づいて、インサイトを提供します。職務分離のインサイト（該当する場合）に加えて、4つのプライマリインサイトがレビュアーに表示されます。

職務分離
このインサイトは、アプリに定義されている職務分離ルールに基づいて決定されます。黄色の警告アイコンは、ユーザーの既存のアクセスが1つ以上の職務分離ルールに違反していることを示します。
使用履歴
このインサイトは、ユーザーの最終アクセス日によって決定され、org内の全ユーザーの平均最終アクセス日と比較されます。黄色の警告アイコンは、次のいずれかのシナリオを示します。
- ユーザーの最終アクセス日（またはアプリに割り当てられた日）が90日以上前である。
- ユーザーの最終アクセス日が平均アクセス日よりも古い。
過去のガバナンス決定
このインサイトは、同じユーザー/リソースのペアに対して行われた、他のガバナンス決定によって決まります。

黄色の警告アイコンは、次のいずれかを示します。
- このペアの最終ガバナンス決定が過去2つのキャンペーンでレビューされないままであり、これらのキャンペーンがテストキャンペーンでなかったこと。たとえば、キャンペーンが開けられて、その後すぐに閉じられた場合です。
- このユーザー/リソースのペアに対するガバナンスの最終決定は「取り消し」であるものの、ユーザーはまだリソースにアクセスできること。
緑色のチェックマークは、このユーザー/リソースに対する最終ガバナンス決定が承認されたことを示します。
割り当て方法（Assignment method）
このインサイトは、ユーザーへのリソースの割り当てに使用された方法と、ユーザーのリソース割り当て方法がorgでそのリソースに割り当てられている他のユーザーのリソース割り当て方法とどのように比較されるかに基づいています。黄色の警告アイコンは、ユーザーは個別にリソースに割り当てられたが、大部分のユーザーはグループ、エンタイトルメントバンドル、コレクション、ポリシー、インポート別に割り当てられたことを示します。

注:
エンタイトルメントがエンタイトルメントバンドル、ポリシー、またはコレクション別にユーザーに割り当てられると、ユーザーのエンタイトルメント割り当て方法がorg内の他のユーザーのエンタイトルメント割り当て方法とどのように比較されるかに関係なく、Oktaは常に緑色のチェックマークアイコンとインサイトを関連付けます。
ユーザープロファイルの変更
このインサイトは、ユーザーの部門、organization、部署、コストセンター、またはユーザータイプの変更によって決定されます。この変更は、最終承認日（承認がない場合は割り当て日）と比較されます。黄色の警告アイコンは、この日付以降にユーザーの属性が変更されたことを示します。緑色のチェックマークアイコンは、変更がないことを示します。

推奨事項

Governance Analyzerの推奨事項は、データと機械学習に基づいた、レビュアーのアクセス推奨事項の承認または取り消しです。Governance Analyzerでは、各レビューアイテムに対し、orgのデータとインサイトに基づいて推奨事項が生成されます。

注:

ユーザーアクセスに職務分離ルールの矛盾がある場合、Governance Analyzerは他のインサイトに関係なく、レビュアーに常にユーザーのアクセスの取り消しを推奨します。レビュアーは、存在するSoDの矛盾をすべてレビューして、レビューするエンタイトルメントを決定する必要があります。

Governance Analyzerがインサイトと推奨事項を生成し、レビュアーに表示できるようにするには、「Governance Analyzer設定を構成する」の手順を完了します。