コンテンツにスキップ

アクセス要求マニュアル

1. 概要

1.1 目的

組織において、特定のユーザーに過剰な権限や不適切な権限が付与されることを防ぐため、「申請・承認(アクセス・ガバナンス)」というプロセスを確立することは、内部統制および情報セキュリティの観点から極めて重要です。

本手順の目的は、IGAのアクセス要求機能を活用し、利用者が自ら必要なリソースを申請し、適切な承認者が内容を確認・承認した上で、権限を自動的にプロビジョニングする一連のサイクルを構築することにあります。

1.2 前提条件

本書に記載された設定および操作を開始するにあたり、以下の条件を満たしている必要があります。

表 1-1

前提条件 備考
インターネットに接続されていること。 IDApex IGA はインターネットを通じて操作を行います。
IDApex IGAの管理コンソール画面が開ける管理者権限があること
基本情報の登録 申請対象ユーザーと承認ルート用の組織構造がIGAに登録されていること。

1.3 全体の流れ

  1. ロールと権限の事前定義
    権限申請および承認アクションを実行するために必要な「ロール(Role)」を定義します。 そのために、申請者用ダッシュボードの表示権限や、特定の組織における承認決定権限を持つロールを、対象ユーザーへ事前に割り当てる必要があります。

  2. 権限申請の実行
    権限を必要とするユーザーが自身のアカウントでIGAにログインし、セルフサービス画面より対象のロール(職務権限等)を選択して申請を実行します。 この際、申請理由などの付帯情報の入力が求められます。

  3. ワークフローによる承認処理
    指定された承認権限を持つユーザー(上長等)へ通知が行われます。
    承認者はIGA上の承認タスク一覧を確認し、内容の妥当性を判断した上で「承認」または「却下」の処理を行います。

  4. 自動プロビジョニングと記録
    承認が完了すると、IGAは対象ユーザーのアカウントに権限を即時付与します。 一連のプロセスは「監査ログ」としてシステム内に永久保存され、後の監査や棚卸時に参照可能となります。

2. アクセス要求に必要な設定

ここではIGAでアクセス要求に必要な権限等の設定について説明しています。

2.1 組織経由で権限棚卸に必要なロール付与

ここでは、組織経由でロールを所属ユーザー全員に付与する方法について説明します。

下記のユーザーが所属する組織に、下記の表のロールを付与します。

  • 申請するユーザー

  • 承認するユーザー

表 2-1

ロール名 説明
End user UIにログインするためのロール。
Approver 申請を承認するためのロール。

image

  1. 下記2つの手順のいずれかでユーザーを組織に所属させることで、組織経由で権限を付与します。

  2. 下記の資料を参照し、ユーザーのCSVファイルに1. でロールを付与した組織名を 記載したうえで、IGAサーバーにプロビジョニングします。

    参照: 【IGA】プロビジョニングマニュアル

  3. 下記のように組織にユーザーを直接付与します。
    image

    End user、Approverに☑を入れ、右下の「追加」ボタンを押下します。

    image

    赤枠の「保存」ボタンを押下します。

    image

    下記のように組織経由で権限がユーザーに付与されていることを確認します。

    image

2.2 ロールに要求可能権限付与

ここでは、ユーザーが「アクセス要求(Access Request)」画面から自らロールを申請できるようにするため、管理画面から対象ロールのプロパティの設定を調整する方法について説明します。

  1. 対象ロールの詳細画面を下記のように開きます。 「ロール」>「すべてのロール」>対象ロール名

    image

  2. 「要求可能」、「委任可能」をTrueにします。

    ※項目として表示されていない場合は、青文字の「空項目を表示する」を押下します。

    image

2.3 ロールのガバナンスに承認者ユーザーの登録

ここでは、対象ロールのガバナンス設定に承認者を登録し、付与申請時に承認者として自動でアサインされる仕組みを構築する方法について説明します。

  1. IGA管理画面にて、ロールのガバナンス設定画面を下記のように開きます。 「ロール」>「すべてのロール」> 対象ロール名 > 「ガバナンス」

  2. 下記の画面にて、下記の赤枠のボタンを押下します。
    image

    リレーションで「承認者」を選択肢、「追加」ボタンを押下します。

    image

    下記のように表示されれば、「承認者」としてユーザーを登録できています。

    image

3. アクセス要求

ここでは、ユーザーが自ら必要な権限を申請し、承認者が適切に判断するための設定手順をまとめています。この手順により、申請プロセスの透明化と管理負荷の軽減を実現します。

3.1 権限申請

ここでは、権限を申請する方法について説明します。

  1. 申請するユーザーアカウントで、IGAのUI画面にログインします。
    image

  2. 「アクセス要求」を押下します。

  3. 「自分自身」を押下し、「ロールカタログ」を押下します。
    image

  4. 付与するロールの「カートに追加」を押下します。
    image

  5. 押下後、下記のような画面になります。
    image

  6. 付与するロール等をすべて選択した後、「次へ:ショッピングカート」を押下します。
    image

  7. 「要求の送信」を押下します。

    ※「有効性」で、有効期間の設定ができます。

    また、「コメント」で承認者向けにコメントを記載することができます。

    image

    ボタン押下後、下記のような画面になります。

    image

3.2 承認作業

ここでは、「ケース画面」にて、承認作業を行う方法について説明します。

  1. 申請するユーザーアカウントで、IGAのUI画面にログインします。
    image

  2. 「ケース」> 「私の作業アイテム」を押下します。 「名前」列のボタンを押下します。

    image

    下の「却下」、もしくは「承認」ボタンを押下します。

    ※転送ボタンは別の承認者に依頼する際に使用します。使用する想定はしておりません。

    image

    「承認」ボタンを押下した場合、下記のようになります。

    image

    申請したユーザーでログインします。

    image

    申請したロールが付与されていることが確認できます。

    却下した場合は、ユーザーには申請したロールは付与されません。

4. オープンソフトウェア(OSS)の利用

本書が対象とするシステムには、オープンソースコミュニティによって開発されたソフトウェアが含まれています。

4.1 対象ソフトウェア

本書では、以下の OSSを使用したソフトウェアの利用手順を説明しています。

表 4-1

項目 内容
ソフトウェア名 IGA
バージョン 4.8.9
ライセンス名 Apache License, Version 2.0
URL https://www.apache.org/licenses/LICENSE-2.0
配布元 https://github.com/Evolveum/IGA