Access Governanceのよくある質問

サービス機能

Oracle Access Governanceとは

Oracle Access Governanceは、クラウド・ネイティブのアイデンティティ・ガバナンスおよび管理(IGA)ソリューションであり、アクセス権限を定義および管理するためのユーザ・プロビジョニング、アクセス・レビュー、アイデンティティ分析を提供します。このソリューションにより、コンプライアンスを可視化し、実用的な人工知能/機械学習に基づくアイデンティティ・インテリジェンスが得られるため、リスクを低減できます。

サービスの詳細については、Oracle Access GovernanceのWebページを参照してください。

Oracle Access Governanceの主な機能は何ですか?

Oracle Access Governanceは、以下のような主な特徴や機能を提供します。

  • Oracle Cloud Infrastructure(OCI)とOracle Identity Governance/Oracle Identity Managementによる、アイデンティティ・オーケストレーション
  • ユーザー、グループ、ロール、アプリケーション、アクセス権、およびポリシーの継続的な検出
  • 組織全体のあらゆるリソースに対するユーザーのアクセス権限の可視化
  • クラウド間および企業間のアクセスの相関関係
  • アクセス要求、およびロールベース、属性ベース、ポリシーベースのアクセス制御
  • アドホック、定期的、イベントベースのアクセス・レビュー・キャンペーンにより、ユーザー(従業員、請負業者、パートナーを含む)に割り当てられたアクセス権限を管理
  • アクセス・レビュー担当者が効率的にユーザー・アクセスをレビューし、制限できるようにするための規範的分析と推奨事項
  • OCIポリシーとOCIグループ・メンバーシップをわかりやすく表示し、アクセス・レビューを簡素化
  • アクセスに関する意思決定の自動化

Access Governanceの利用を開始するにはどうすればよいですか?

Access Governanceの利用を開始するには、以下の手順に従ってください。

Access Governanceと統合できるID管理システムは何ですか?

Access Governanceは、オラクルおよびオラクル以外のワークロードと容易に統合できます。今後もシステムやサービスを追加していく予定です。

詳細については、次の製品ドキュメントを参照してください:Access Governanceの統合

Access Governanceはオラクルやオラクル以外のワークロードとどのように接続しますか?

Access Governanceは、クラウド・アプリケーションやOracle Cloud Infrastructureなどのクラウド・サービスプロバイダーと、クラウド・アプリケーション・プログラミング・インターフェース(API)を介して接続します。

Access Governanceは、その他の統合のためにコンテナ化されたエージェントを提供します。このエージェントはセキュアなチャネルを介してAccess Governanceの特定のインスタンスと連携するようにカスタマイズおよび構成できます。エージェントの目的は、Access Governanceとお客様のIDおよびアクセスデータのオンプレミスのソース間で、セキュアにデータを転送することです。

Access GovernanceとOracle Identity Governanceを組み合わせてハイブリッドモードで使用し、IDガバナンスと管理を行うことはできますか?

Access Governanceは、Oracle Identity Governanceとシームレスに統合して、ハイブリッドIDガバナンスおよび管理を実行できます。

Access Governanceサービスは、複数のOracle Cloud Infrastructure(OCI)テナンシと統合できますか?

はい。Access Governanceは、複数のOCIテナンシと統合することができます。これにより、クラウドをまたいだIDアクセス権限の相関関係を実現することができます。また、AWS、Azure、Google Cloud Platformなど、他のクラウド・サービス・プロバイダーも順次追加していく予定です。

Access Governanceで同期しているユーザーは、どのようにしてサービス・コンソールにアクセスできますか?

Access Governanceで同期しているユーザーは、Oracle Cloud Infrastructure Identity and Access Management(OCI IAM)でオンボードディングし、Access Governanceコンソールにアクセスできるようにする必要があります。これらのユーザーは、次のいずれかの方法を使用してOCI IAMにオンボードディングできます。

  • Oracle Identity Cloud Serviceコネクターを使用して、OCI IAM で Oracle Identity Governanceのプロビジョニングを構成する。
  • 外部IDプロバイダーとのフェデレーションを設定し、SAML(Security Assertion Markup Language)のジャストインタイム・プロビジョニングを有効にする。
  • 自己登録プロファイルを構築する。

詳細は、以下の製品ドキュメントおよびチュートリアルを参照してください。

Oracle Access Governanceを使用して、企業内のIDのサブセットを選択し、そのアクセス権を管理する方法について教えてください。

定義された場所、部署、組織、またはその他のユーザー属性を持つIDのサブセットに割り当てられたアクセス権を管理したい場合、Oracle Access GovernanceでそれらのユーザーをActiveとしてマークすることができます。

  • ActiveとしてマークされたIDに対して、アクセス・レビューのタスクが生成されます。
  • アクティブとマークされたアイデンティティに対してアクセス制御が提供されます。
  • アクティブとマークされたユーザーのみが、Oracle Access Governanceコンソールにログインし、直属の部下のアクセス権限を確認できます。

詳細については、次のドキュメントを参照してください:ライセンス管理のためのIDのアクティブ化/非アクティブ化

Oracle Access Governanceのアクセス・レビューは、どのように動作しますか?

Oracle Access Governanceを使用すると、アクセス・レビュー担当者は、規範的分析に基づくアイデンティティ・インサイトを使用して、インテリジェントなアクセス・レビュー・キャンペーンを実行し、情報に基づいた意思決定を迅速に行えるようになります。Oracle Access Governanceは、イベントドリブン、定期的、およびオンデマンドのアクセス・レビュー・キャンペーンに対応しています。アクセス・レビュー担当者は、ユーザー権限、ロール・メンバーシップ、アイデンティティ・コレクション・メンバーシップ、OCIポリシーを単一のダッシュボードに表示させることができ、タスクの完了に必要なアクセス権限のみがユーザーに与えられていることを確認できます。

Access Governanceにおけるイベントベースのアクセス・レビューの仕組みを教えてください。

組織、マネージャー、場所、雇用形態などの属性がAccess Governanceで更新されたときに、そのユーザーに対して、イベントベースのアクセス・レビューが実行されます。

Access Governanceは、タイムラインベースのマイクロ認証も提供しており、重要なマイルストーンに基づいてタイムリーなアクセス・レビューを促進します。

Access Governanceはアイデンティティ・インテリジェンス(分析、人工知能/機械学習ベースのインサイトなど)を実装していますか?

Access Governanceは、ピアグループ分析、外れ値検出、推奨事項など、AI/MLによるインサイトを提供して、レビュー担当者がアクセス・レビュータスクを完了するために推奨事項を実行できるようにします。

Access Governanceは、Oracle Cloud Infrastructure(OCI)のIDセキュリティ・ポスチャの維持にどのように役立ちますか?

Access Governanceは、組織がOCIワークロードのセキュリティ・ポスチャを維持するのを支援するため、以下を提供します。

  • クラウドリソースすべてに対し、誰が何にアクセスできるのかを可視化可能
  • OCIポリシーとOCIグループ・メンバーシップをわかりやすく表示し、アクセス・レビューを簡素化
  • OCIのベストプラクティスに基づくアイデンティティ・オーケストレーションと自動フルフィルメント

ユーザーのコアおよびカスタム属性をAccess Governanceで使用できますか?

Oracle Identity Governanceで定義されたユーザーのスキーマのカスタム属性は、Access Governanceで次のように使用することができます。

  • IDを従業員ユーザーまたはコンシューマ・ユーザーとしてマーク
  • アクセス・レビュー・キャンペーンにおけるユーザー選択の基準の定義に使用
  • イベントベースのアクセス・レビューの定義に使用

詳細については、次の製品ドキュメントを参照してください:カスタムID属性の表示と構成

Oracle Access Governanceでは、アクセス・レビュー担当者がレビュータスクを委任できますか?

はい。アクセス・レビュー担当者は、Access Governanceコンソールで委任ポリシーを定義して、アクセス・レビューのタスクを別の個人またはアイデンティティ・コレクション(ユーザーグループ)に委任できます。

アクセス・レビューの決定は監査およびコンプライアンス目的に記録されていますか?

はい、アクセス・レビュー・キャンペーンで行われた決定ごとに、次の情報が監査またはコンプライアンス目的に保存されます。

  • 決定事項
  • 決定者
  • 決定の理由
  • 決定時期

製品が提供するレポートおよび分析機能について教えてください。

Access Governanceは、使いやすく理解しやすいグラフやチャートを使用して、アクセス・レビューに関連するインテリジェントなレポートを提供します。また、アクセス・レビュー・キャンペーンの詳細なレポートをCSV形式で提供します。

Access Governanceには、孤立アカウントや不一致のアカウントを管理する機能がありますか?

Access Governanceは、統合されたすべてのアプリケーションおよびシステム全体で不一致のアカウントを検出し、孤立アカウント、統制外アカウント、サービス・アカウントの可能性があるアカウントについてビジネス所有者に通知します。ビジネス所有者は、これらの不一致のアカウントを手動でクリーン・アップするか、孤立したアカウントをアイデンティティに割り当て、これらの割り当てられたアカウントを定期的にレビューできます。

このソリューションはアクセス・レビューのワークフローをすぐに提供できますか?

Access Governanceは、アクセスレビューのためのすぐに使える複数のワークフローを提供します。ワークフローは、アクセス・レビュー・キャンペーンに関連する一連のアクションを自動的に実行します。

ソリューションにはアクセス要求機能がありますか?

Access Governanceでは、直感的なセルフサービスのユーザー・エクスペリエンスで、自分自身や他者のアクセス権限を要求したり、アクセス要求の進捗状況を追跡したりすることができます。

Access Governance ではどのようなアクセス制御が可能ですか?

Access Governanceでは、アクセス要求、ロールベースのアクセス制御(RBAC)、属性ベースのアクセス制御(ABAC)、ポリシーベースのアクセス制御(PBAC)が可能です。

Access Governanceにはカスタム・ワークフローを構築する機能はありますか?

Access Governanceには、アクセス承認およびアクセス・レビューのためのカスタム・ワークフローを構築する機能があります。多段階およびパラレル・ワークフローをコーディングなしで簡単に定義できます。

Access Governanceは、接続されていないリソースまたはアプリケーションとの統合を提供していますか?

Access Governanceは、接続されていないリソースのCSV(フラット)ファイルベースの統合をサポートしています。これは、アイデンティティのソースやマネージド・システムとして統合できます。

Access Governanceは、Webベースおよびモバイル対応の管理コンソールとセルフサービス・コンソールを提供しますか?

Access Governanceは、スマートデバイス向けに最適化されたWebベースのコンソールで、コンピューター、タブレット、スマートフォンなど、どのデバイスからでもシームレスに実行できるように設計されています。

Access Governanceがサポートするユーザーログイン用のアイデンティティ・プロバイダーを教えてください。

Access Governanceは、ユーザーログインと承認のためのアイデンティティ・プロバイダーとして、Oracle Cloud Infrastructure Identity and Access Managementをサポートしています。外部アイデンティティ・プロバイダーを使用してログインするには、そのアイデンティティ・プロバイダーをフェデレーション認証に使用するように、OCI IAM を設定する必要があります。

外部アイデンティティ・プロバイダーでフェデレーションを設定する方法については、次の製品ドキュメントを参照してください:アイデンティティ・プロバイダーの管理

サービス管理

Oracle CloudでAccess Governanceを入手するにはどうすればよいですか?

Access Governanceは、Oracle Universal Creditsの一部として提供されています。ユニバーサル・クレジットを通じてOracle Access Governanceをオーダーすると、Oracle Cloud Infrastructureおよびその他の必要なサービスに自動的にアクセスできるようになります。詳細については、次の製品ドキュメントを参照してください:始める前に

Access Governanceのインスタンスを作成する方法を教えてください。

Access Governanceインスタンスは、Oracle Cloud Infrastructureコンソールで作成できます。詳細については、次の製品ドキュメントを参照してください:サービス・インスタンスの設定

Access Governanceインスタンスの管理方法を教えてください。

Oracle Cloud Infrastructure Consoleを使用してAccess Governanceインスタンスを管理できます。詳細については、次の製品ドキュメントを参照してください:サービス・インスタンスの管理

作成したAccess Governanceインスタンスを起動するには、どうすればよいですか?

Oracle Cloud Infrastructure Consoleからアクセスできます。Access Governanceページに移動し、アクセスしたいサービス・インスタンスを選択し、Access Governance URLをクリックすることでアクセスできます。

Access Governanceに関するサポートを受けるにはどうすればよいですか?

My Oracle Supportにアクセスし、サービス・リクエストを作成します。

サブスクリプション料金に加えて、Oracle Supportの料金はかかりますか?

いいえ。サポートはサブスクリプション料金に含まれています。

サービスのパッチ適用またはアップグレードを行うには、どうすればよいですか?

Access Governanceはクラウドネイティブ・サービスです。サービスのパッチ適用とアップグレードはオラクルが担当します。

サービスレベル契約の詳細については、どこで確認することができますか?

SLAドキュメント(PDF)を参照してください。

ライセンスと価格

Oracle Access Governanceで利用できるライセンス・タイプとSKUにはどのようなものがありますか。

Oracle Access Governanceには、3つのライセンス・タイプと5つのSKUがあります。これらは次のとおりです。

  • Oracle Access Governance for Oracle Cloud Infrastructure
    • Oracle Access Governance for Oracle Cloud Infrastructure—Workforce User
  • Oracle Access Governance for Oracle Workloads
    • Oracle Access Governance for Oracle Workloads—Workforce User
    • Oracle Access Governance for Oracle Workloads—Consumer User
  • Oracle Access Governance Premium
    • Oracle Access Governance Premium—Workforce User
    • Oracle Access Governance Premium—Consumer User

詳細については、Oracle Access Governanceの価格設定のページを参照してください。

Oracle Access GovernanceのSKUにはどのようなティアがありますか。

Oracle Access GovernanceのSKUには複数のティアがあります。これらは次のとおりです。

  • Oracle Access Governance for Oracle Cloud Infrastructure—Workforce User
    • 従業員ユーザー100,000人まで
    • 従業員ユーザー100,000人以上
  • Oracle Access Governance for Oracle Workloads—Workforce User
    • 従業員ユーザー10,000人まで
    • 従業員ユーザー10,000人以上、30,000人以下
    • 従業員ユーザー30,000人以上
  • Oracle Access Governance for Oracle Workloads—Consumer User
    • ティアなし
  • Oracle Access Governance Premium—Workforce User
    • 従業員ユーザー10,000人まで
    • 従業員ユーザー10,000人以上、30,000人以下
    • 従業員ユーザー30,000人以上
  • Oracle Access Governance Premium—Consumer User
    • ティアなし

各ライセンス・タイプでサポートされる統合は何ですか。

Oracle Access Governanceは豊富な統合を提供しています。各SKUでサポートされる統合は次のとおりです。

  • Oracle Access Governance for Oracle Cloud Infrastructure
    • サポートされる統合:Oracle Cloud Infrastructure
  • Oracle Access Governance for Oracle Workloads
    • サポートされる統合:Oracle Cloud InfrastructureとAccess Governanceの、Oracle CloudサービスおよびOracleエンタープライズ・アプリケーション(Oracle E-Business Suite、Oracle Database、Oracle Unified Directoryなど)との統合。
  • Oracle Access Governance Premium
    • サポートされる統合: ServiceNow、Azure ADなど、すべてのAccess Governance統合。

Oracle Access Governanceライセンスのメトリックを教えてください。

Oracle Access Governanceには2つのメトリックがあります。

  1. 従業員ユーザー数/月:請求期間中にユーザー・インターフェイスまたはプログラム構成のいずれかを介してサービスにアクセスするように設定されたIDに適用されます。IDが特定の時点でサービスをアクティブに使用しているかどうかは問いません。
  2. コンシューマ・ユーザー数/月:請求期間中、ユーザー・インタフェースまたはプログラム構成を介してサービスにアクセスするように構成されていないIDに適用されます。ただし、これらのIDのアクセスは、従業員ユーザーによってAccess Governanceコンソール内で監視されます。

詳しくは、次のドキュメントを参照してください:Oracle PaaS and IaaS Universal Creditsのサービス説明

Oracle Access Governanceで管理する企業内のIDのサブセットを選択する方法を教えてください。

定義された場所、部署、組織、またはその他のユーザー属性を持つIDのサブセットに割り当てられたアクセス権を管理したい場合、Oracle Access GovernanceでそれらのユーザーをActiveとしてマークすることができます。

さらに、これらのActive IDに従業員またはコンシューマユーザーとしてのフラグを付けることができます。

Access Governanceで「従業員」または「コンシューマ」のIDを持つとはどういう意味ですか?

Access GovernanceのActive IDには、従業員ユーザーとコンシューマ・ユーザーがあります。

  • 従業員ユーザーは、Access Governanceコンソールにログインできます。彼らは、Access Governance で管理者の役割を果たしたり、自分自身または他者に割り当てられたアクセス権を要求およびレビューしたりするなど、IDおよびガバナンスの管理プログラムに関与できます。
  • コンシューマ・ユーザーはAccess Governanceコンソールにログインできません。コンシューマーユーザーの権限は固定されており、通常、時間が経過しても変更されることはありません。コンシューマ・ユーザーは、自分自身や他のユーザーに割り当てられたアクセス権を要求したり、確認したりすることはできません。

従業員ユーザーとコンシューマ・ユーザーの機能の詳細については、以下のドキュメントを参照してください: Manage Identities(アイデンティティの管理)

誰を「従業員」または「コンシューマ」ユーザーとしてマークするべきかを示す例をいくつか挙げてください。

以下の例は、Access Governanceにおいて、誰が「従業員」ユーザーおよび「コンシューマ」ユーザーとしてマークされるべきかを示すものです。

業界/セクター 従業員アイデンティティ コンシューマ・アイデンティティ
銀行と保険 従業員および契約社員: 銀行の経理担当者、マネージャー、窓口担当者、ファイナンシャル・アドバイザー、事務スタッフ、外部委託のITスタッフ 顧客: 銀行口座所有者、銀行ローン契約者、保険契約者
契約社員: 食堂、電気、清掃
パートナーおよびベンダー: 保険または類似の付帯サービスを販売するサプライヤー
医療機関 従業員および契約社員: 医師、臨床医、医療スタッフ、事務スタッフ 消費者: 患者、受益者
契約社員: 食堂、清掃
パートナーおよびベンダー: 杖、包帯、薬などを提供する企業
教育 従業員および契約社員: 教職員、サポートスタッフ、事務職員 消費者: 学生、卒業生、保護者
契約社員: 食堂、清掃
パートナーおよびベンダー: 教科書を販売する企業、交通サービス業者など

Access Governanceで同期されたすべてのIDに対して請求されるのでしょうか?

請求の対象となるのは、Access GovernanceでActiveとマークされたID(従業員ユーザーまたはコンシューマ・ユーザー)のみで、これらのIDがActiveとマークされた時間から請求が発生します。Access Governance SKUのメトリックは月単位ですが、オラクルはActive IDの数を時間単位で計算した後に月全体の請求書を作成することで、お客様に利益を還元しています。

詳細は、次のドキュメントを参照してください:アイデンティティの管理

Access Governanceで、IDを「Active」、「従業員」、「コンシューマ」ユーザーとしてマークするにはどうすればよいですか?

Access Governanceでは、どのIDがActiveまたは従業員/コンシューマユーザーとしてマークできるかに基づいて、IDのフィルタリングまたはマーク機能を提供しています。管理者は、ID属性を使用してこれらのルールを定義できます。

詳細は、次のドキュメントを参照してください:アイデンティティの管理

無効化されたIDのアクセス権を確認したいです。Access Governanceで確認する方法を教えてください。

Access Governanceでは、無効になったIDをActive従業員ユーザーまたはコンシューマ・ユーザーとしてマークすることができます。

無効化されたIDに対して請求されることはありますか?

Access Governanceでは、Activeとマークされた無効のIDは請求の対象となります。

Access Governanceのインスタンスを維持したまま請求されないようにするには、どうすればよいですか?

どのIDにもActiveのマークを付けていない場合は、Access Governanceの請求は発生しません。

現在のライセンスタイプがOracle Access Governance for Oracle Workloadsの場合、Access Governanceサービス・インスタンスのライセンス・モデルをアップグレードできますか?

はい、Oracle Access Governanceサービス・インスタンスのライセンス・タイプをOracle Access Governance for Oracle WorkloadsからOracle Access Governance Premiumにアップグレードすることができます。アップグレードは、Oracle Cloud Infrastructure ConsoleのAccess Governanceのページから手動で行うことができます。

現在のライセンス・タイプがOracle Access Governance for Oracle Cloud Infrastructureの場合、Access Governanceサービス・インスタンスのライセンス・モデルをアップグレードできますか?

はい、Access Governanceのライセンスタイプは、サービスを停止することなくアップグレードできます。ライセンス・タイプをOracle Access Governance for Oracle Cloud InfrastructureからOracle Access Governance for Oracle WorkloadsまたはOracle Access Governance Premiumにアップグレードできます。

現在のライセンス・タイプがOracle Access Governance for Oracle WorkloadsまたはOracle Access Governance Premiumの場合、Access Governanceサービス・インスタンスのライセンス・モデルをダウングレードできますか?

いいえ、これらのAccess Governanceライセンス・タイプをダウングレードすることはできません。

Oracle Access Governance for Oracle Cloud InfrastructureからOracle Access Governance for Oracle Workloadsにアップグレードした場合、アップグレードした月の計測はどのようになりますか?

Access Governanceは時間単位で計測されます。サービス・インスタンスがアップグレードされる前は、Oracle Access Governance for Oracle Cloud Infrastructureの請求は時間単位で行われます。ライセンスのアップグレード後は、Oracle Access Governance for Oracle Workloadsの請求が行われます。事実上、両項目が月を通して請求されますが、その内訳は、それぞれのライセンスタイプが有効であった時間数に応じて請求されることになります。

Oracle Identity Governance/Oracle Identity ManagementをAccess Governanceと統合して22,000人のユーザーを抱えています。従業員など、特定の組織に所属する10,000人のユーザーを従業員ユーザーとして設定したいです。また、別の組織(たとえば契約社員)に所属する別の8,000人のユーザーをコンシューマ・ユーザーとして設定したいと考えています。インスタンスのライセンスタイプはOracle Access Governance for Oracle Workloadsです。その方法と、請求対象となるユーザー数を教えてください。

デフォルトでは、Oracle Identity ManagementからAccess Governanceに同期された22,000人のユーザーは、すべてActiveとしてマークされません。まず、18,000人のユーザーを、組織(従業員と契約社員)に基づいてActiveとしてマークします。次に、外部組織の8,000人のユーザーをコンシューマ・ユーザーとしてマークします。

請求は、次のようになります。

  • Oracle Access Governance for Oracle Workloads—Workforce User (10,000ユーザー向けSKU)
  • Oracle Access Governance for Oracle Workloads—Consumer User(その他の8,000人のユーザー向けSKU)

Oracle Cloud Infrastructureのテナントに2つのIdentity Access Managementドメインがあり、各ドメインにはそれぞれ1,000人のユーザーがいて、すべてのOCIユーザーは異なります。何人のユーザーが請求対象となるのでしょうか?

このOCIテナンシにいるすべてのユーザーのアクセス権を確認したい場合は、Access GovernanceですべてのユーザーをActiveとしてマークすることができます。この場合、2,000人分(2×1,000)の請求が発生します。

2つのドメインのうち1つのドメインに属するユーザーのアクセス権を確認したい場合は、Access Governanceで、そのドメインのユーザーのみをActiveとしてマークするためのルールを定義できます。この場合、1,000(1×1,000)ユーザー分の請求が発生します。

請求サイクル中の従業員ユーザー数とコンシューマ・ユーザー数に基づいて、請求額はどのように変更されますか?

アクティブな従業員ユーザーおよびコンシューマ・ユーザーについては、時間単位で計測され、毎月請求されます。請求金額は、計測された使用量とお客様のレートカードに基づいて計算されます。そのため、請求サイクル中にアクティブな従業員ユーザーまたはコンシューマ・ユーザー数が変化した場合、それに応じて請求額も変わります。

サービス利用料金を見積もるにはどうすればよいですか?

以下の手順に従って、コスト試算ツールでサービス利用料金を見積もることができます。

  • www.oracle.com/cloud/costestimator.htmlにアクセスします。
  • 「カテゴリの選択」のドロップダウン・メニューから、
  • 「Security」を選択します。
  • 「アクセス・ガバナンス」を選択します。