職務分離
職務分離(SOD)を使用すると、 Governance Engine が有効になっているアプリに対して、特定のエンタイトルメントの組み合わせを許可(追加の監視の有無にかかわらず)またはブロックするルールを定義できます。
組織のプロセスや従うべき標準で、特定のエンタイトルメントの組み合わせを許可しないよう求められることが少なくありません。エンタイトルメントとは、ユーザーがサードパーティアプリ内で特定のアクションを実行できるようにする許可や権限、アクセスレベルです。多くの組織で、望ましくない組み合わせが発生しないようにエンタイトルメントを管理することは管理者に任されています。管理者は多くの場合手作業で、望ましくない組み合わせがユーザーに割り当てられていないかどうかを確認しています。その結果、利益相反につながる可能性のあるエンタイトルメントの組み合わせが、一部のユーザーに割り当てられてしまう場合があります。
たとえば、誰かが請求書の作成と支払いの両方を行うことができるシナリオを想像してみてください。これは組織にとって有害な結果をもたらしかねません。1人の人物が偽の請求書を作成し、その支払いの承認もできてしまうからです。SODルールは、このような状況が起こらないようにするのに役立ちます。
SODルールを使用すると、予防と修復という2方面のアプローチを採用して、競合するエンタイトルメントの割り当てを管理できます。ユーザーが保持できるエンタイトルメントの組み合わせを管理するためには、 アクセスリクエストとアクセス認定を使用します。
-
アクセスリクエスト:SODルール相反を引き起こす可能性のあるアクセス要求を、ユーザーに許可(またはカスタム設定で許可)するか、ブロックするかを指定します。アクセスリクエスト設定をどのように構成するかによって、SODルール相反の原因となる権限がユーザーに集まるのを防ぐことができます。また、過去のアクセスリクエスト(条件) レポートを実行し、 Conflict name(競合名) 列を使用してSODルール相反があるアクセスリクエストを表示することもできます。
-
アクセス認定:SODルール相反がある場合、既存のユーザーアクセス権を確認して修正するためのキャンペーンを実行します。レビュー項目のSOD相反の詳細を表示するためにレビュー担当者が利用できるコンテキスト情報は、[Access Certifications(アクセス認定)]ページの[Settings(設定)]タブで設定できます。