Saviyntのアクセスリクエストについて

本記事では、IGAクラウドサービスのSaviyntにおけるアクセスリクエストの機能についてご紹介します。

アクセスリクエストとは

エンドユーザがある組織に加入したり別部門に配属される際、その組織内のシステムを利用するためにアカウント登録やアクセス権限が必要となる場合があります。アクセスリクエストとは、システム管理者や承認者に対して利用権限の付与を要求することです。

前回のAdventCalendarでもご紹介したように、User Update Rulesによって自動的に適切なロールがアサインされますが、自動化できない例外的なケースでは本記事で説明するアクセスリクエストを利用します。

ガートナーではIGAにおけるアクセスリクエストを以下のように説明しています。

（日本語訳）
"使いやすいインタフェースを介して、ユーザー自身、あるいは他のユーザーが代行して、アクセス権限のリクエストが行うことができる"

（原文）
Enabling users, or others acting on behalf of a user, to request access rights through a business-friendly user interface.

※ 出典 Gartner社「Gartner, Definition: Identity Governance and Administration」, Felix Gaehtgens, Refreshed 11 September 2019, Published 7 August 2018 (2018年8月の記事-閲覧は有料)

Saviyntにおけるアクセスリクエストの概要

Saviyntでは、以下のように申請者からアプリケーションへのアクセスに必要なロールやアクセス権などをリクエストします。リクエストは承認者に対して通知され、ワークフローを通じて申請内容を確認したのち申請の承認または否認を実施します。

Saviyntにおけるアクセスリクエストの機能一覧

Saviyntでは、各ユーザの立場ごとに以下のようなユースケースを備えております。

• エンドユーザ
  • 自身用にアクセス権をリクエスト
    • アプリケーションのアカウントとエンタイトルメント
    • ロール（エンタイトルメントの集合）
    • アプリケーションコレクション（上記をひとまとめにしたもの）
    • 緊急時のアカウントとロール（期限付き）
  • 自身以外のユーザのアクセス権をリクエスト
• マネージャー
  • 自身と部下のアクセス権をリクエスト
    • アプリケーションのアカウントとエンタイトルメント
    • ロール（エンタイトルメントの集合）
    • アプリケーションコレクション（上記をひとまとめにしたもの）
    • 緊急時のアカウントとロール（期限付き）
  • 自身以外のユーザのアクセス権をリクエスト
• アプリケーションオーナー
  • アクセスリクエストの承認

• 管理者
  • アクセスリクエストの基本設定を編集
  • アクセスリクエストの機能をカスタマイズ

本記事では、この中でも「自身用にアクセス権をリクエストする機能」と「アクセスリクエストの承認」の2機能についてご紹介します。

機能①：自身のアクセス権をリクエスト

今回は、アプリケーションのアカウントとエンタイトルメントをユーザ自身でリクエストする方法についてご紹介します。

Saviyntでは以下のようにアクセス権をリクエストする方法が用意されています。

• UIベース
  • SaviyntのWEBアプリケーション上でアクセスリクエストを申請
• REST API
  • APIでリクエストの申請を実行
• 一括アップロード
  • 1回のリクエストで複数のユーザーと複数のアカウントをリクエスト可能。
  • リクエストの詳細はMicrosoft ExcelファイルでEICにアップロードされる。（Excel ファイルの列の形式は事前に定義されている）
• RevokeOutOfBandAccessJob
  • EIC以外でアクセス権を付与されているユーザ一覧を呼び出して、該当するユーザのアクセス権をデプロビジョニングして再度アクセスリクエストを実行する
    • この機能を利用するとアクセス権をEICで一元管理可能となるためガバナンス観点で有用な機能です。

UIベースで自身のアクセス権をリクエストする場合、以下の画像のように管理対象アプリケーション、エンタープライズロール、またはアプリケーションコレクションへのアクセスを選択して要求できます。
要求が完了するか拒否されるまで、同じアプリケーションへのアクセスを要求することはできません。

「Requesting New Access（Enterprise Identity Cloud Administration Guide）」より引用

機能②：アクセスリクエストを承認

機能①にてリクエストされたロールを承認します。

画面上で、各リクエストに関する追加情報を提供します。また、スマートレビューを実行して、以下のような操作を実行することも可能です。

• 低リスクの項目をすべて承認する
• 要求を部分的に承認する
• 要求を承認する
• 要求を拒否する
• 要求を修正して再送信する
• 要求を別の承認者に割り当てる
• 同じ組織の専門家に相談する

「Managing Pending Approvals（Enterprise Identity Cloud Administration Guide）」より引用

承認する際は、リクエストの右側にある三点メニューにて「Approve」を押下します。

リクエストの詳細を確認したうえで承認または否認をクリック操作で直感的に実施できます。

「Approving Requests (Modern Experience)（Enterprise Identity Cloud Administration Guide）」より引用

ほかにも、リスクが低いエンタイトルメントについては自動的に承認する[Smart Review]機能もあり、承認者のレビュー負荷を軽減する機能も備わっています。

以下の画面では、レビュー時にSmart Reviewボタンを押下することで権限のリスクレベルが低いものについては自動的に承認済みとなっております。

「Approving Requests (Modern Experience)（Enterprise Identity Cloud Administration Guide）」より引用

最後に

IGAにおいて、アカウントが持つ権限やロールを管理することは組織のガバナンスの観点においても重要な課題です。
Saviyntのアクセスリクエストの機能はこれらの課題を解決できる様々なユースケースを備えており、ユーザのニーズにも柔軟に対応することが可能となっております。