1.3 役割および検証
ユーザが組織内の役割に基づいてリソースにアクセスを要求することがよくあります。たとえば、法律事務所の弁護士は事務所の弁護士補助員とは異なるリソースのセットにアクセスする必要がある場合があります。
Identity Managerを使用すると、組織の役割に基づいてユーザをプロビジョニングすることができます。役割を定義し、組織のニーズに従って割り当てを行います。ユーザに役割を割り当てると、Identity Managerはその役割に関連付けられているリソースへのアクセス権を持つユーザをプロビジョニングします。ユーザに複数の役割を割り当てる場合、次の図に示すように、そのすべての役割に割り当てられているリソースへのアクセス権を受信します。
図 1-7 役割ベースのリソースのプロビジョニング
組織内で発生する出来事の結果、ユーザを自動的に役割に追加することができます(たとえば、弁護士という役職名を持つ新規ユーザは、SAP HRデータベースに追加されます)。役割に追加されるユーザに承認が必要な場合、ワークフローを構築して、役割の要求を適切な承認者にルーティングすることができます。手動でユーザを役割に割り当てることもできます。
場合によっては、役割が競合するため、同じユーザに割り当ててはいけない特定の役割があります。Identity Managerには義務の分離機能があります。この機能を使用すると、組織のユーザが競合を例外にしない限り、競合する役割にユーザが割り当てられることがなくなります。
役割の割り当てによって組織内のリソースに対するユーザのアクセスが決定されるので、適切な割り当てを行う必要があります。不適切な割り当てを行うと、会社および組織の規制の遵守が脅かされる可能性があります。Identity Managerを使用すると、検証プロセスを通じて役割の割り当てが適切であるかどうかを検証することができます。このプロセスで、組織内の担当ユーザが次の役割に関連付けられているデータを認証します。
-
ユーザプロファイルの検証: 選択されたユーザは自分のプロファイル情報が正しいかどうかを検証し、間違った情報を変更します。役割の割り当てを変更するには、正しいプロファイル情報が必要です。
-
義務の分離違反検証: 担当ユーザが義務の分離違反に関するレポートをレビューし、レポートの正確さを検証します。レポートには、ユーザを競合する役割に割り当てることができる例外のリストが示されています。
-
役割の割り当ての検証: 担当ユーザがレポートリストで選択された役割、および各役割に割り当てられたユーザ、グループ、および役割をレビューします。さらに、担当ユーザは情報の正確さを検証する必要があります。
-
ユーザの割り当ての検証: 担当ユーザはレポートリストで選択されたユーザ、およびユーザに割り当てられた役割をレビューします。さらに、担当ユーザは情報の正確さを検証する必要があります。
検証レポートは元来、役割の割り当てが正確であること、および競合する役割の例外を許可するのに有効な理由が存在することを保証するのに役立つように設計されています。