最初に断っておきますが、このブログでは、特段の新たな情報が含まれているわけではありません。製品のオンラインヘルプや、関連するBlog等は既に多く出回っています。本ブログにお付き合いいただく数分の時間で、SAP Access Controlの概要のご理解に役立てていただければ幸いです。なお、本ブログの内容は、SAP Access Control 12.0を基にして書かれています。
SAP Access Control の概要
ビジネスアプリケーションの数が増え複雑になるにつれ、業務を遂行するためには、どのシステムのどの権限が必要なのか?というシンプルな問いであっても、答えは分かりづらくなっています。一方、過剰なアクセス権を与えてしまうと、リスクのある操作を行う可能性が存在し、また、J-SOXや社内規定コンプライアンスに違反します。
ユーザアクセスに関する潜在リスクを明らかにし、それを修正、あるいは予防する仕組み、エンドユーザからのアクセスの申請を適切な管理者に転送し承認、最終的にはターゲットのシステムに自動で配信(プロビジョニング)するツールが求められています。また、アプリケーション保守における緊急アクセスを管理する特権ユーザ管理も、特にITをアウトソースするケースでは求められています。
SAP Access Controlの機能を5つの領域で紹介します。
1. アクセスリスクの管理
2. アクセス申請の管理
3. ロールの管理
4. 定期アクセスレビューの管理
5. 緊急アクセス管理
1. アクセスリスクの管理
職務分掌とクリティカルなアクセス違反を発見し軽減します。以下の特徴的な機能が含まれます。
● 事前定義された包括的なルールセットを利用
● リアルタイムまたはオフラインモードでエンタープライズアプリケーションのシステム間分析を実行
● アクセスリスクを修正および軽減するための措置を講じる
● 変更をシミュレートして、新しいリスクを特定して防止
ここでは、ユーザごとにリスクを分析するアプリケーションを紹介します。まず、分析基準を指定し、レポートの形式やビュータイプを選択し、実行します。
生成されたレポートでは、ユーザごとに検出されたリスク、対象システム、リスクの原因となっているロール、使用回数をチェックできます。
この画面から検出されたリスクに対して軽減コントロールを割当てることが出来ます。軽減コントロールの割当によって、特定のユーザやロールにおけるリスク違反を例外的に許容します。
また、リスクの原因となっているロールのユーザへの割当を削除することが出来ます。この実行により、ワークフローが開始され、設定に従って管理者による承認等の後、対象システム上で自動的にロール割当が削除されます。
2. アクセス申請の管理
エンタープライズアプリケーションのアクセス管理を自動化します。以下の特徴的な機能が含まれます。
● セルフサービス、自動化されたアクセス要求
● ワークフロー駆動型の承認プロセス
● 「クリーンな状態を保つ」ための組み込みのリスク分析シミュレーション
● エンタープライズアプリケーションへの自動プロビジョニング
アクセスの申請は、セルフサービスあるいは代理申請が可能です。あるいは、SAP HR、SAP SuccessFactorsでの人事イベントを起点とした連携も可能です。自動的にアクセス申請が起票されます。設定されたワークフローに従って、例えば、リスク分析を実行し、リスク違反があれば軽減のための例外ワークフローに遷移します。最終的に承認された後、対象システムにプロビジョニングされます。
SAP Access Controlでは、様々な機能においてワークフローが用いられますが、いずれの場合も、要件に合わせてのフローの定義、タスクへの担当者の割当、適切なメール通知など、柔軟な設定が可能です。
ここでは、まず、Fioriアプリによるセルフサービスのアクセスの申請を紹介します。検索機能を使って、必要なロールを検索、選択します。「追加して申請」ボタンをクリックし、申請理由を指定したのち、申請を送信します。非常にシンプルな操作感を提供しています。
次に、より多くの機能が組み込まれた、主に管理者向けのアクセス申請を紹介します。新規アカウントの登録、アカウントの変更(アクセス権の追加、削除、有効期間の変更など)、アカウントの削除、ロック、ロック解除、(緊急アクセスのための)スーパーユーザアクセスの申請を、自己あるいは他のユーザのために行うことが出来ます。「追加」ボタンのメニューからロールを選択し、必要なロールを検索し、申請に追加します。
3. ロールの管理
ビジネス用語でロールを定義し管理できます。以下の特徴的な機能が含まれます。
● ロールの定義とメンテナンスのための設定可能なメソドロジー
● ビジネス用語でロールを定義し、ビジネスプロセスとの関係を設定
● ビジネスロールの分析と最適化
ここでは、ロールの定義シナリオを紹介します。ロールを定義した後、リスク分析、承認申請などのステップ(メソドロジー)を要件に応じて柔軟に設定することが出来ます。また、ロールのタイプのひとつにはビジネスロールがあります。ビジネスロールは、職務ロールを表し、各システムに存在するロールの集合として定義できます。ビジネスロールを使うことで、ロール申請をよりシンプルにすることが出来ます。
4. 定期アクセスレビューの管理
アクセス割当が正当であることを監査します。以下の特徴的な機能が含まれます。
● 定期的なユーザーアクセスレビューを自動化
● ロールのコンテンツとユーザーへの割り当てを監査
● 軽減コントロール割り当てのレビューを自動化
ここでは、定期的なユーザーアクセスレビューを紹介します。管理者は、ユーザアクセスの定期的なレビューを例えば年に一回スケジュールすることが出来ます。設定されたワークフローに従って、レビュー担当者にレビュー申請が転送されます。レビュー担当者は、ユーザに対して、あるいはロールごとに、承認、ロール削除を選択できます。
5. 緊急アクセス管理
緊急アクセスとトランザクション利用の監視を行うことが出来ます。一般的には特権ユーザ管理と呼ばれる機能です。以下の特徴的な機能が含まれます。
● 緊急アクセスを管理
● ユーザーとロールのトランザクション利用の詳細をレビュー
● 職務分掌コンフリクトまたはセンシティブなアクションの使用に関する通知
緊急アクセスに必要なロールは、管理者が、対象のユーザにあらかじめ割り当てておくことも、あるいはセルフサービス申請によってワークフローを開始し、管理者が承認するように設定することも出来ます。
緊急アクセスを実行するユーザは、EAMラウンチパッドを使用して割り当てられたFireFighter IDにアクセスできます。Logonボタンを使用して作業を実行するシステムにFireFighter IDを使ってログオンします。作業完了まで、このFireFighter IDは利用不可のステータスになり、作業完了し対象システムからログオフすると、ステータスが利用可能に戻ります。誰が、何時、どのシステムでどの処理を実行したのかを追跡するための仕組みです。
サマリ
関連情報
Online Help
Blogs