Oracle Access Governance: アイデンティティ・ライフサイクルの自動化、イベントベースのレビュー、アイデンティティ・オーケストレーションの新しい更新 (2026/06/04)

Oracle Access Governance: アイデンティティ・ライフサイクルの自動化、イベントベースのレビュー、アイデンティティ・オーケストレーションの新しい更新 (2026/06/04)

https://blogs.oracle.com/cloud-infrastructure/oracle-access-governance-new-updates-april26

投稿者:Abhishek Juneja | Sr. Pr. Product Manager, OCI Identity & Security

 Atul Goyal | Director of Product Management, OCI Identity and Security

Oracle Access Governance (AG) は、組織が ID セキュリティを強化し、アクセス ライフサイクル プロセスを自動化し、より広範なエンタープライズ システム全体にわたるアクセス ガバナンスを管理するのに役立つ新機能を追加することで、進化を続けています。

ID環境が複雑化するにつれ、セキュリティチームとビジネスチームは、定期的なガバナンスプロセスだけでなく、ビジネスイベントへの迅速な対応も必要としています。新入社員は入社日前にアクセス権が必要になる場合があり、退職する従業員は最終退職日前にアクセス権を取り消す必要がある場合があります。部署、拠点、またはマネージャーの変更に伴い、アクセス権限の見直しが必要になることもあります。また、IDデータは複数の信頼できるシステムから取得される可能性があり、そのデータの取り込み、関連付け、およびガバナンスをより適切に行う必要があります。

最新のAGアップデートでは、以下の4つの主要分野におけるニーズに対応しています。

  • 出生権へのアクセスと早期中絶
  • グローバルアカウント解約設定
  • イベントベースのマイクロ認証
  • IDオーケストレーションのアップデート

これらの機能強化により、組織はアクセスガバナンスをビジネスイベントにより密接に連携させ、手作業を削減し、ID、アカウント、アクセスに関する可視性を向上させることができます。

出生権へのアクセスと早期中絶

入社・退職の手続きは、「入社日にアクセス権を付与し、退職日にアクセス権を取り消す」という単純なものではありません。多くの組織では、従業員が初日から業務を円滑に進められるよう、正式な入社日より前にアクセス権が必要となる場合があります。同様に、早期退職、予告期間、またはガーデンリーブといったケースでは、最終的な退職日より前にアクセス権を取り消す必要がある場合もあります。

AGは、入社日に基づく出生時アクセス権限の割り当てと、最終終了日前の早期終了処理をサポートするようになりました。管理者は、権限のあるソースからのライフサイクル属性を使用して、アクセス権限のプロビジョニングとデプロビジョニングを実行できます。アクセス権限は、IDコレクション、アクセスバンドル、およびポリシーを使用して割り当てることができ、ポリシー主導のライフサイクル自動化が可能になります。

AG - PBAC(入社日基準)

(スクリーンショット:入社日に基づくPBAC)

今回のアップデートにより、組織は手動による介入だけに頼ることなく、採用前のアクセスシナリオや早期アクセス取り消しをサポートできるようになります。

主な機能は以下のとおりです。

  • 入会日に基づいて出生権アクセス権を割り当てる
  • 採用前ユーザーに対するポリシーベースのアクセス権限付与をサポートする
  • 従業員の入社日より前にアクセス権限の付与を有効にする
  • 早期解約が適​​用される場合は、最終解約日より前にアクセス権を取り消してください。
  • プロビジョニングとデプロビジョニングを制御するために、信頼できる情報源からのライフサイクル属性を使用する。

利点:

  • 新入社員の初日からの準備状況を改善します
  • アイデンティティライフサイクル自動化をビジネス有効日と整合させる
  • 必要に応じて最終終了日前にアクセス権を取り消すことで、セキュリティリスクを軽減します。
  • 手作業による入退出作業への依存度を低減します

グローバルアカウント解約設定

終了処理は一貫性が必要であると同時に、柔軟性も必要である。

組織によっては、早期解約開始時にアカウントを無効化し、最終解約時にアカウントを削除したい場合があります。また、特定のアプリケーションについては、個別の業務プロセスや規制プロセスがあるため、何も対応したくない場合もあります。大規模な企業では、ユーザー層、地域、従業員の種類、管理対象システムによって、解約時の対応が異なる場合もあります。

AGは、管理対象システム全体でアカウントの終了動作を一元的に定義できるグローバルアカウント終了設定を提供するようになりました。

AG - グローバルアカウント設定

(スクリーンショット:グローバルアカウント解約設定)

管理者は、早期解約時および最終解約時に管理対象アカウントに対してどのような処理を行うかを構成できます。サポートされるアクションには、アカウントの無効化、アカウントの削除、または何も行わないことが含まれます。また、管理者は、選択した管理対象システムおよびユーザーグループに対してオーバーライドルールを定義することで、グローバルポリシーを変更することなく、ビジネス固有の例外を処理できます。これにより、組織は解約動作を一元的に管理しながら、必要に応じて例外処理もサポートできます。

(スクリーンショット:グローバルアカウント設定)

主な機能は以下のとおりです。

  • 管理対象システム全体にわたって集中終了動作を適用する
  • 早期終了および最終終了時のアクションを設定する
  • アカウントライフサイクルの開始時と終了時に、さまざまなアクションをサポートする
  • ポリシー主導のアカウントアクションを使用して、手動による解約処理を削減します。
  • 選択された管理対象システムおよびユーザー集団に対するオーバーライドルールのサポート
  • グローバル設定とオーバーライド設定を使用して、ビジネス固有の退職例外を処理する

利点:

  • 管理対象システム全体で終了処理を一元化する
  • 段階的な退職戦略をサポートする
  • 従業員の退職時に残存アクセスリスクを低減します。
  • ビジネスニーズが異なるアプリケーションやユーザー層に対して例外を設けることができます。

イベントベースのマイクロ認証

定期的なアクセス権限の見直しは依然として重要ですが、一部のアクセス権限の変更は、業務上のイベントが発生した際に見直す必要があります。例えば、従業員が部署、マネージャー、勤務地、役職、またはその他の重要なID属性を変更した場合、ユーザーの既存のアクセス権限はもはや適切ではない可能性があります。次の四半期または年次キャンペーンまで待つと、不要なアクセス権限が長期間維持されてしまう可能性があります。

AGはイベントベースのマイクロ認証機能を強化し、管理者が選択したID属性の変更時に、集中的なアクセスレビューをトリガーできるようにしました。管理者は、属性値を使用してIDを選択することで、イベントベースのレビュー設定を構成し、レビュー範囲を特定のアプリケーション、ロール、または権限に絞り込み、イベント構成ごとに異なるワークフローを使用することで、レビュー範囲を絞り込むことができます。これにより、アクセスレビューがより迅速かつ的確に行えるようになります。

AG - イベントベースのマイクロ認証設定

(スクリーンショット:イベントベースのマイクロ認証設定)

主な機能は以下のとおりです。

  • 選択したID属性が変更されたときにアクセスレビューをトリガーする
  • コアおよびカスタムID属性を使用したイベントベースの設定をサポートします。
  • 異なる値の変化に基づいて、同じ属性に対して複数のイベント定義を有効にする
  • 属性値を使用してレビュー対象集団を絞り込む
  • レビュー範囲を特定のアプリケーション、役割、または権限に絞り込む
  • イベント構成ごとに個別のワークフローをサポートする

利点:

  • 入社、異動、退職イベント発生時のアクセス権限の確認に役立ちます
  • イベント駆動型アクセスリスクに対する定期的なキャンペーンへの依存度を低減します
  • 影響を受けるIDのみを対象としたレビュータスクを作成することで、認証疲れを軽減します。
  • さまざまなビジネスシナリオに対応した、多様なワークフローを実現します。

IDオーケストレーションのアップデート

アイデンティティガバナンスは、アイデンティティおよびアカウントデータの質に依存します。組織は、アイデンティティがどこから取得されるのか、属性がどのように維持されるのか、アカウントがどのように関連付けられるのか、そしてどのシステムが管理されているのかを把握する必要があります。

最新のAGアップデートでは、アイデンティティオーケストレーションが以下の3つの分野で改善されています。

  1. ID属性の権威ある情報源構成
  2. IDとアカウントの関連付けモード
  3. 新しい統合

アイデンティティ属性の出典としての権威ある情報源

多くの企業は、すべてのID属性を保有する単一のシステムを持っていません。あるシステムが主要なIDレコードを作成する一方で、他の信頼できるシステムが、部署、所在地、従業員の種類、職務データ、プロジェクトの詳細、あるいは企業固有の属性といった追加属性を提供する場合があります。

AGでは、権威ある情報源の設定方法に関して、より柔軟な設定が可能になりました。管理者は、権威ある情報源を以下のように設定できます。

  • アイデンティティや属性の源、または
  • アイデンティティ属性の情報源のみ

これは、1つのシステムがID生成の責任を担いつつ、追加の信頼できるシステムが完全なID取り込みを必要とせずにID属性を提供できることを意味します。

AG_Orchestrated_System_configuration

(スクリーンショット:IDソースとしてのみ使用されるオーケストレーションシステム構成)

主な機能は以下のとおりです。

  • 完全なID情報を取り込まなくても、権威ある情報源がID属性を提供できるように有効化する
  • アイデンティティライフサイクルのためのシステムを1つサポートし、他のシステムがアイデンティティ属性値を提供するようにする。
  • 既存のIDに、追加の信頼できるソースからの属性を追加する

利点:

  • 複数のソースからのエンタープライズIDシステムをサポートします
  • 本人確認プロファイルを改善し、重複本人確認リスクを低減します。
  • ソースシステムモデリングにおける管理上の柔軟性が向上します。
  • 組織が複数のシステムからの信頼できるIDデータを利用できるように支援します。

IDとアカウントの関連付けモード

IDとアカウントの関連付けは、アクセスガバナンスの基盤となります。アカウントがIDと正しく関連付けられていない場合、アクセス状況の確認、ライフサイクルアクションの自動化、アクセスのプロビジョニング、誰が何にアクセスできるかのレポート作成が困難になります。AGは、データ取り込み時にマッチングルールを適用する方法について、管理者により詳細な制御機能を提供します。

マッチングルールモードには以下が含まれます。

  • 有効にする
  • 新規に有効にする
  • 無効にする

これらのモードは、本人確認とアカウント照合の両方に適用されます。

「有効」にすると、既存の一致レコードの再評価を含め、マッチングルールが広範囲に適用されます。「新規レコードに対して有効」にすると、既存の一致を維持したまま、新しく取り込まれたレコードにのみマッチングが適用されます。これにより、管理者は確立された相関関係を損なうことなく、更新されたマッチングロジックを導入できます。「無効」にすると、既存の一致は維持されますが、新しい自動マッチングは実行されません。

AGはまた、信頼できる情報源から同期されたIDと、管理対象システムから照合されたアカウント(相関関係を含む)に関する可視性も提供します。

AG - アイデンティティとアカウントの相関モード

(スクリーンショット:本人確認とアカウントの関連付けモード)

主な機能は以下のとおりです。

  • データ取り込み時にマッチングルールがどのように適用されるかを制御する
  • 統合システムから取り込まれたIDとアカウントの可視性を提供する

利点:

  • 取り込み時に相関ルールを適用する方法をより詳細に制御できます。
  • 繰り返し行われるデータロード時の意図しない再マッチングを削減します。
  • 更新されたマッチングルールのより安全な展開をサポートします

新しい統合

AGは統合範囲を拡大し続けており、顧客は一元化されたIDガバナンスプラットフォームからより多くのアプリケーションやシステムを管理できるようになります。

最新のアップデートには、以下のサービスとの新たな連携が含まれています。

  • Palo Alto Networks Prisma Cloud
  • Oracle Warehouse Management Cloud
  • Oracle Utilities WACS
  • Oracle Utilities CCS

これらの統合により、クラウドセキュリティ、倉庫管理、ユーティリティアプリケーションなど、AGの適用範囲が拡大されます。また、Oracleワークロードと非Oracleワークロードの両方でガバナンスを実現するという、より広範な方向性も継続されます。

利点:

  • アクセスガバナンスをより多くのエンタープライズアプリケーションに拡張します
  • 顧客が複数のシステムにわたる可視性とガバナンスを一元化するのに役立ちます
  • より広範なアプリケーション環境におけるアイデンティティオーケストレーションをサポートします。

まとめ

これらのアップデートにより、ライフサイクル自動化、アクセスレビュー、およびIDオーケストレーション全体にわたってOracle Access Governanceが強化されます。

Birthright AccessとEarly Terminationは、組織がアクセス権限の付与と取り消しを業務上の有効日と整合させるのに役立ちます。Global Account Termination Settingsは、例外処理の柔軟性を備えつつ、オフボーディング動作を一元的に制御できます。Event-Based Micro-Certificationは、重要なID変更が発生した際にチームがアクセス権限を確認するのに役立ちます。Identity Orchestrationのアップデートにより、統合システム全体でIDデータの取得、照合、および管理方法が改善されます。

これらの機能を組み合わせることで、組織は手作業を削減し、セキュリティを向上させ、実際のビジネスイベントに対してより迅速に対応できるアイデンティティガバナンスを実現できます。

Oracle Access Governanceの詳細については、以下をご覧ください。

コメント

コメントを投稿

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

イメージ
Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
続きを読む

ミリ秒の問題: BCCグループとOCIが市場データ・パフォーマンスを再定義する方法(AWSに対するベンチマークを使用) (2025/11/13)

イメージ
ミリ秒の問題: BCCグループとOCIが市場データ・パフォーマンスを再定義する方法(AWSに対するベンチマークを使用) (2025/11/13) https://blogs.oracle.com/cloud-infrastructure/post/milliseconds-matter-bcc-group-and-oci-vs-aws 投稿者: Steven Riley | Senior Cloud Architect William Bierds | Business Analyst and Systems Engineer - BCC Group International Travis Liles | Master Principal Cloud Architect Puru Patel | Cloud Architect - FSI これは、BCC グループと Oracle Cloud Infrastructure (OCI) 間の市場データ パートナーシップを紹介するブログ シリーズの第 2 部です。   はじめに 金融市場データアプリケーションは、トレーダー、金融機関、そして市場参加者が情報に基づいた意思決定を行えるよう、リアルタイムデータを提供することで、取引エコシステムにおいて重要な役割を果たしています。 前回のブログ で述べたように、取引環境において最適なパフォーマンスを確保するには、市場データを超低レイテンシかつ高い信頼性で配信する必要があります。 今日の急速に変化する金融市場において、クラウドは市場データ・アプリケーションにとって強力な推進力として台頭しています。適切なネットワークとインフラストラクチャがあれば、企業は実行時間の短縮、可用性の向上、そして堅牢なセキュリティを実現できます。しかし、企業によるクラウド導入は遅れており、ワークロードのクラウド移行計画を中止しているケースもあります。そこで、BCCグループとOracle Cloud Infrastructure(OCI)のパートナーシップが注目されています。 BCCグループは、主力市場データアプリケーションであるONE PlatformをOCI上に導入しました。このブログでは、以下の点について説明します。 このパートナーシップがなぜこれほど相乗効果をもたらすのかを探る OC...
続きを読む

Oracle Enterprise Manager 24aiの概要 (2024/12/18)

イメージ
Oracle Enterprise Manager 24aiの概要 (2024/12/18) https://blogs.oracle.com/observability/post/oracle-enterprise-manager-24 投稿者: David Le Roy | Senior Director of Product Management 本日、Oracle Enterprise Manager 24ai(EM 24ai)を発表します。これは、最新のAIを活用した管理テクノロジのパワーを活用して、データ・センターとクラウド全体にOracle Databaseとエンジニアド・システムをさらに充実させる画期的なリリースです。ソフトウェアの ダウンロード が可能になりました。この新しいリリースについてさらに学習するには、2024年12月17日から19日に開催されるOracle Enterprise Manager Technology Forumの年次開催にご 参加 ください。 図1: Oracle Enterprise Manager 24aiの概要 この新しいリリースについてさらに学習するには、2024年12月17日から19日に開催されるOracle Enterprise Manager Technology Forumの年次開催にご参加ください。12月17日午前9時に、エンジニアリング担当エグゼクティブ・バイスプレジデントのWim Coekaerts氏と製品管理担当シニア・バイスプレジデントのMughees Minhas氏が率いるイベント基調講演をご覧ください。基調講演に続き、データベース・パフォーマンス、エンジニアド・システム管理、可用性、セキュリティ、コンプライアンスなどに関するベストプラクティスと新製品機能をカバーする25のテクニカル・セッションが追加されました。オラクルのセッションでは、Oracle製品のエキスパートがお客様の技術的な質問にお答えできるよう、Oracle製品マネージャーや主要なお客様が主導しています。 本日 登録 ! Oracle Enterprise Manager 24aiの新機能 EM 24aiリリースは、お客様がオンプレミスおよびクラウドにデプロイされたOracle DatabaseおよびOracle Exadataフ...
続きを読む