Oracle Access Governanceにおける組織スコープのアクセス・バンドルによるアクセス分離の実施 (2025/09/11)

Oracle Access Governanceにおける組織スコープのアクセス・バンドルによるアクセス分離の実施 (2025/09/11)

https://blogs.oracle.com/ateam/post/enforce-access-isolation-with-scoped-access-bundles-in-ag

投稿者: Anuj Tripathi | Principal Solution Architect, NA Cloud Engineering

アクセスガバナンスに関する議論では、アクセススコープの設定が必ず話題になります。複数の顧客にサービスを提供するB2B SaaS環境でも、社内部門を管理するB2E企業でも、要件は同じです。ユーザーは、自身のコンテキストに関連するアクセスのみを表示し、リクエストする必要があります。それを超えるアクセスは、リスク、ノイズ、そしてコンプライアンス上の問題を引き起こします。

Oracle Access Governanceの新機能「組織のメンバーに限定されたリクエスト」は、組織スコープのアクセスバンドルを通じてこの課題に直接対処します。管理者は、特定の組織のメンバーのみがリクエストできるバンドルを定義できるようになりました。これにより、権限の可視性とリクエストが組織の境界と厳密に整合した状態を維持できます。

組織へのアクセスバンドルのスコープ設定

この機能は、セルフサービスカタログにおけるアクセスバンドルの挙動を根本的に変化させます。これまで、アクセスバンドルは誰でもリクエストできるようにするか、セルフサービスでは全くリクエストできないようにするかのどちらかでした。今後は、そのような「すべてかゼロか」のモデルではなく、バンドルを特定の対象者に限定することもできます。

たとえば、財務アナリストバンドルは、財務組織に明示的にスコープ設定できます。

財務組織を対象とした財務アナリスト アクセス バンドル

同様に、Sales CRM バンドルは、Sales 組織のメンバーにのみ公開できます。

営業組織を対象とした営業 CRM アクセス バンドル

バンドル作成のバックグラウンドでは、管理者がリクエストできるユーザーを選択できる設定ポイントが追加されました。「誰もリクエストできない」「誰でもリクエストできる」「特定の組織のメンバー」のいずれかを選択できます。「組織のメンバー」を選択すると、1つまたは複数の組織をマッピングできます。

アクセスバンドルの作成 - リクエストできるユーザー

アクセスバンドルの作成 - どの組織

つまり、バンドルは単なる権限セットではなく、適切な組織の境界に結び付けられた、コンテキストに応じた権限になります。

制御プレーンとしての組織メンバーシップ

この機能の強みは、組織の定義方法とユーザーの割り当て方法にあります。この例では、Abby は Finance 組織のメンバーです。

組織 - 財務組織

メンバーシップこそが、権限の可視性を高める原動力です。アビーは「間違った選択」をしたり、不適切なリクエストを提出したりすることを心配する必要はありません。カタログは彼女の組織に基づいて自動的に作成されるからです。

実践的なユーザーエクスペリエンス

Abby がセルフサービス カタログにアクセスすると、財務組織にスコープ指定されているため、リクエスト可能な財務アナリスト バンドルが見つかります。

アクセス要求 - 財務アナリストのアクセス

一方、Sales CRMバンドルは彼女には見えません。Sales組織にのみ公開されているため、単に表示されないだけです。

アクセスリクエスト - セールス CRM アクセス

ユーザーの観点から見ると、これはよりクリーンで関連性の高いエクスペリエンスです。ガバナンスの観点から見ると、より厳密な分離と不適切なリクエストの減少につながります。

機能の先を見る

B2Eの観点から見ると、組織スコープのアクセスバンドルは内部ガバナンスを簡素化します。財務部門の従業員は営業部門の権限を目にすることはなく、営業部門の従業員は給与計算の権限を意識する必要もありません。各部門に独自のスコープを設定することで、アクセス権限はより明確で直感的になり、監査も容易になります。

B2Bの観点から見ると、アクセスバンドルのスコープ設定はテナント境界を強化します。顧客は、自社のユーザーが他の顧客向けの権限を閲覧したり要求したりできないという安心感を求めています。この分離は信頼を構築し、アクセス分離とデータ保護に関するコンプライアンス要件を満たすのに役立ちます。

ビジネスの観点から見ると、メリットは明白です。

  • 監査の準備: 最小権限とアクセス分離の明確な証拠。
  • 運用効率: 無関係なリクエストが減り、やり取りが減り、承認のオーバーヘッドが削減されます。
  • ユーザーの採用: 乱雑さではなく現実を反映したカタログにより、セルフサービスの使用が促進されます。

終わりに

組織スコープのアクセスバンドルは、アクセスガバナンスの強化に向けた強力な一歩です。権限を組織の境界に合わせて調整することで、ユーザーは自分に関連のある情報のみを閲覧・リクエストできるようになります。

この機能は、ビジネスの信頼性、規制遵守、そして運用効率を直接的にサポートします。マルチテナントSaaSモデルでも、複数部門を持つ大規模企業でも、アクセスバンドルのスコープ設定により、明確な分離が実現し、リスクが軽減され、よりユーザーフレンドリーなガバナンスエクスペリエンスが実現します。

コメント

コメントを投稿

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

イメージ
Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
続きを読む

Oracle GoldenGate 23aiでMicrosoft Fabricでのオープン・ミラーリングがサポートされるようになりました (2024/11/19)

イメージ
Oracle GoldenGate 23aiでMicrosoft Fabricでのオープン・ミラーリングがサポートされるようになりました (2024/11/19) https://blogs.oracle.com/dataintegration/post/how-to-replicate-to-mirrored-database-in-microsoft-fabric-using-goldengate 投稿者: Shrinidhi Kulkarni | Principal Product Manager Oracle GoldenGate 23aiでは、オープン・ミラーリングを介したMicrosoft Fabricへの統合のパブリック・プレビューがサポートされるようになりました。この強力な組み合わせにより、リアルタイムのデータ統合が可能になり、ハイブリッド環境とマルチクラウド環境のデータをMicrosoft Fabricのミラー化されたデータベースに継続的に同期できるため、データは常にAIと分析に対応できます。 Microsoft Fabric統合のOpen Mirroring は、GoldenGate for Distributed Applications and Analytics 23ai (GG for DAA) (23.6)製品を介して提供されます。 既存の Azure統合の詳細については、 ドキュメント を参照してください。 オープン・ミラーリングは、オープン・デルタ・レイク表形式に基づいて、データISVがMicrosoft Fabricのミラーリングを拡張できるように設計されています。この機能により、Oracle GoldenGate 23aiは、オープン・ミラー化パブリックAPIおよびアプローチに基づいて、Microsoft Fabricのミラー化データベースに変更データを直接書き込むことができます。Microsoft FabricでのOpen Mirroringの詳細については、「 Microsoft FabricでのOpen Mirroringの概要 」を参照してください。 このブログ投稿では、この統合の実装の側面について深く掘り下げ、GoldenGate統合の構成方法を示します。 構成ステップ: リファレンス・アーキテクチャの理解 前提条件 ...
続きを読む

OCIサービスを利用したWebサイトの作成 その4~Identity Cloud Serviceでサイトの一部を保護 (2021/12/30)

イメージ
OCIサービスを利用したWebサイトの作成 その4~Identity Cloud Serviceでサイトの一部を保護 (2021/12/30) https://blogs.oracle.com/cloudsecurity/post/using-oci-services-part-4 投稿者: Christopher Johnson 今回は、OCI Native Servicesを使って完全にサーバーレスでWebサイトをホスティングするシリーズの第4弾です。     パート1 では、OCI WAF + API Gateway + Functionを使用して、OCI Object Store Bucketから静的コンテンツを提供する基本的な方法を紹介しました。     パート2 では、バケットを(公開ではなく)非公開にし、Resource Prinicpalを使用して安全にアクセスする方法を紹介しました。     パート3 では、ハードコードされた設定を削除し、代わりにそれらの設定をアプリケーションに保存する方法を紹介しました。 パート4では、サイトの一部をログインの後ろに置いてみようと思っています。 この記事は、ちょっとした「フクロウの描き方」のようなものになりそうです。でも、コードを見ればきっと理解できるはずです! IDCSでアプリケーションを作成 注:OCI Identity Domains は、OCI の新規顧客に対して IDCS の機能を直ちに提供します。現在 IDCS を使用している顧客については、既存の IDCS ストライプは今後数ヶ月の間に OCI Identity Domains に移行される予定です。詳細については、OCI Identity Domainの ドキュメント を参照してください。この変更は、このブログで説明したセキュリティ・パターンに影響を与えるものではありません。このブログで IDCS に起因するセキュリティ機能は、OCI Identity Domainsでも提供されます。 まず最初に、サイトを表現するために IDCS で実際にアプリケーションを作成する必要があります。 IDCSコンソールを開き、「アプリケーション」に移動し、「作成」をクリックします。Functionアプリケーシ...
続きを読む