Governance Analyzer

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

Governance Analyzerを使用したユーザーアクセスの承認または取り消しに関するインサイトと推奨事項を、アクセス認定キャンペーンのレビュアーに提供します。これにより、レビュアーがキャンペーン中にユーザーアクセスに関して、情報に基づいて決定を下すことができます。Governance Analyzerは、org内のアクセス管理データをレビュー、分析して、レビュアーにインサイトと承認/取り消しの推奨事項を提供します。

レビュアーには、ユーザーアクセスに関して自信を持って一貫した決定をするために必要なコンテキストが不足していることがよくあります。データに基づいたガイダンスがないと、アクセスレビューに一貫性がなく、時間がかかったり、不用意に承認しがちになったりして、組織のセキュリティリスクが高まります。

Governance Analyzerは、コンテキストとデータに基づいたインサイトと推奨事項をキャンペーンレビュアーに提供することで、この課題に対応します。orgが生成するアクセス管理データの完全なセットを収集、分析することで、レビュアーにインサイトと推奨事項を提供します。これにより、組織はリソースアクセスをより適切に管理し、攻撃対象領域を縮小し、アクセスガバナンスポリシーの遵守をサポートできます。

現在、Governance Analyzerのインサイトと推奨事項は、グループ、アプリ、エンタイトルメント、エンタイトルメントバンドルへのアクセスをリソースとして認定するキャンペーンレビューアイテムでのみ利用できます。

レビュアーに提供されるGovernance Analyzerの承認/取り消しに関する推奨事項とインサイトデータは、情報提供のみを目的としています。レビュアーは、この情報を独自の判断と通常のレビュープロセスの代わりにではなく、補足として使用するようにしてください。Oktaは、認定レビューの決定を通知するためのインサイトと推奨事項の使用について、関連する保証をせず、すべての責任を拒否します。

インサイト

インサイトは、Governance Analyzerによって生成され、レビューアイテムの[Review details(レビューの詳細)]パネルでレビュアーに提供されるコンテキスト情報です。インサイトには、職務分離ルールの競合、使用履歴、過去のガバナンス決定、割り当て、ユーザープロファイルの変更が含まれます。

Governance Analyzerは、アプリの割り当て、グループメンバーシップ、アプリアクセス、以前のガバナンス決定に基づいて、インサイトを提供します。職務分離のインサイト(該当する場合)に加えて、4つのプライマリインサイトがレビュアーに表示されます。

  • 職務分離

    このインサイトは、アプリに定義されている職務分離ルールに基づいて決定されます。黄色の警告アイコンは、ユーザーの既存のアクセスが1つ以上の職務分離ルールに違反していることを示します。

  • Usage history(使用履歴)

    このインサイトは、ユーザーの最終アクセス日によって決定され、org内の全ユーザーの平均最終アクセス日と比較されます。黄色の警告アイコンは、次のいずれかのシナリオを示します。

    • ユーザーの最終アクセス日(またはアプリに割り当てられた日)が90日以上前である。

    • ユーザーの最終アクセス日が平均アクセス日よりも古い。

  • Past governance decisions(過去のガバナンス決定)

    このインサイトは、同じユーザー/リソースのペアに対して行われた、他のガバナンス決定によって決定されます。

    黄色の警告アイコンは、次のいずれかを示します。

    • このペアの最終ガバナンス決定が過去2つのキャンペーンでレビューされないままであり、これらのキャンペーンがテストキャンペーンでなかったこと。たとえば、キャンペーンが開けられずに、その後すぐに閉じられなかった場合です。

    • このユーザー/リソースのペアに対するガバナンスの最終決定は「取り消し」であるものの、ユーザーはまだリソースにアクセスできること。

    緑色のチェックマークアイコンは、このユーザー/リソースに関する最終ガバナンス決定が承認されたことを示します。

  • Assignment method(割り当て方法)

    このインサイトは、ユーザーへのリソースの割り当てに使用された方法と、ユーザーのリソース割り当て方法がorgでそのリソースに割り当てられている他のユーザーのリソース割り当て方法とどのように比較されるかに基づいています。黄色の警告アイコンは、ユーザーは個別にリソースに割り当てられたが、大部分のユーザーはグループ、エンタイトルメントバンドル、コレクション、ポリシー、インポート別に割り当てられたことを示します。

    エンタイトルメントがエンタイトルメントバンドル、ポリシー、またはコレクション別にユーザーに割り当てられると、ユーザーのエンタイトルメント割り当て方法がorg内の他のユーザーのエンタイトルメント割り当て方法とどのように比較されるかに関係なく、Oktaは常に緑色のチェックマークアイコンとインサイトを関連付けます。

  • User profile changes(ユーザープロファイルの変更)

    このインサイトは、ユーザーの部門、組織、部署、コストセンター、またはユーザータイプの変更によって決定されます。この変更は、最終承認日(承認がない場合は割り当て日)と比較されます。黄色の警告アイコンは、この日付以降にユーザーの属性が変更されたことを示します。緑色のチェックマークアイコンは、変更がないことを示します。

推奨事項

Governance Analyzerの推奨事項は、データと機械学習に基づいた、レビュアーに対するアクセスの承認または取り消しに関する推奨事項です。Governance Analyzerでは、各レビューアイテムに対し、orgのデータとインサイトに基づいて推奨事項が生成されます。

ユーザーアクセスに職務分離ルールの競合がある場合、Governance Analyzerは、他のインサイトに関係なく、レビュアーに常にユーザーアクセスの取り消しを推奨します。レビュアーは、存在するSoD競合をすべてレビューし、エンタイトルメントが存在する場合はレビューするものを決定する必要があります。

Governance Analyzerがインサイトと推奨事項を生成し、レビュアーに表示できるようにするには、「Governance Analyzer設定を構成する」の手順を完了します。

関連項目

Governance Analyzer設定を構成する