本ブログでは、様々なSAPビジネスアプリケーションのIDとアクセス権限を管理、統制するためのソリューションであるSAP Cloud Identity Access Governanceの概要を紹介いたします。
昨今のリモートワークの普及、非正規雇用の拡大、クラウドアプリケーションの拡大を背景に、過剰なアクセス権の付与と職務分掌リスク、特権ユーザ管理、退職者のユーザID無効化など、IDと権限に関するセキュリティリスクと、数多くのオンプレミスおよびクラウドアプリケーションでのアクセス管理に関する運用管理コスト、およびコンプライアンスの重要性は、増加する一方です。複雑なビジネスとITの環境において、企業の変化するニーズに適応する、シンプルでありながら包括的なクラウドベースのID管理およびアクセスガバナンスソリューションが求められています。
SAP Cloud Identity Access Governanceは、SAP Cloud Platform上に構築されたSaaSアプリケーションです。採用(オンボーディング)から退職(オフボーディング)まで、従業員および非正規社員向けの自動化された、エンドツーエンドの ID ライフサイクル管理を提供します。
特徴としては、SAP S/4HANA、SAP ERPとSAPのクラウドアプリケーション(SAP Ariba、SAP Fieldglass、SAP SuccessFactors、SAP S/4HANA Cloud、SAP Analytics Cloud、SAP Integrated Business Planning、SAP Marketing Cloud)、Microsoft Azure Platform、Microsoft Active Directory、他との統合 (*) を標準で提供していることと、SAP S/4HANA、SAP ERP、SAP Ariba、SAP Fieldglass、他のための職務分掌リスクが事前定義されていることです。
(*) 統合に関する最新情報については、オンラインヘルプの中のIntegration Scenariosを参照ください。
SAP Cloud Identity Access Governanceは、従来からのSAP Access Controlとほぼ同様の機能範囲を提供します(SAP Access Controlについてはこちらのブログも参照ください)。SAP Cloud Identity Access Governanceはそれだけで利用することもできますし、SAP Access Controlを補完する形で利用することもできます。
セキュリティ管理者およびコンプライアンス管理者は、アクセス分析に含まれるアプリを使って、ダッシュボード分析から対処すべき課題の優先順位を把握し、分析するユーザーを選択し、権限の割り当てを調整して、リスクを排除または軽減します。変更は対象システムにプロビジョニングされます。
以下はアクセス分析ダッシュボードの画面です。リスクスコア上位のユーザや四半期ごとのリスク傾向などが可視化されています。
以下は、選択したユーザーのアクセス分析の画面です。このユーザーへのアクセス権限の割り当て、職務分掌(SoD)リスクの数、アクセス有効性(割り当てられているロールに対して実際に利用されているロールの割合)などを確認できます。また、この画面から利用されていない、あるいはリスクのあるロールのはく奪、またはリスク軽減コントロールの追加などを行うことが可能です。
セキュリティ管理者は、ロール設計に含まれるアプリを使って、最適なビジネスロールを作成できます。ビジネスロールは、管理対象のアプリケーションで定義された技術的なアクセス権限(アプリケーションに依存してロールやグループとして表されます)のグループです。その目的は、ユーザに割り当てることができる 1 つのオブジェクトにさまざまなアクセス権限を統合することで、権限の管理をより効率的にすることです。
以下はビジネスロールを定義するアプリの画面です。ビジネスロールの作成、変更において、職務分掌リスクをチェックすることが可能です。また、既存の割り当てを学習して機械学習ベースで最適なロールを提案する機能も提供されています。
ユーザーは、アクセス申請登録アプリを使って、セルフサービス形式で必要なアクセス権限を申請します。アクセス権限には、上記のビジネスロール、アプリケーションで定義された技術ロールやグループなどが含まれます。アクセス申請は、承認者のInboxに転送され、承認あるいは却下されます。承認する前に、特定されたSoDリスクに対してリスク軽減のコントロールを付加することも可能です。
ワークフローの承認ステップはあらかじめ定義されたテンプレートとして提供されています。ユーザーのマネージャ、ロールのオーナー、セキュリティ管理者を関与させることができます。現時点では、テンプレートの修正はできませんが、すぐに利用を開始できます。
以下はアクセス申請登録の画面です。SAP S/4HANAシステム上のロールを申請しようとしているところです。
最終的に承認されたアクセス申請は、対象のシステムにプロビジョニングされます。全体のフローは下図で表されます。
アクセス認証とは、ユーザーのアクセス権限の割り当てを定期的にレビューするプロセスです。管理者が一つのアクセス認証の活動(キャンペーンと呼びます)を定義することで、レビューワー(マネージャあるいはロールのオーナー、セキュリティオーナー)がワークフローのInboxからレビューし、承認あるいはアクセス権限のはく奪を指定します。管理者はレビューの進行状況を確認することができます。
以下は、一つのアクセス認証の活動(キャンペーンと呼びます)を定義する画面です。レビューの計画期間、コーディネータ(責任者)、対象となるユーザーなどを指定しています。
SAP ERPやSAP S/4HANAシステム上で緊急に特権アクセスが必要になったユーザーは、特権アクセスをセルフサービス形式で申請します。レビューワーの承認後、申請ユーザーは、SAP S/4HANA、SAP ERP上で、特権アクセスを使って緊急の処理を実行できます。実行ログは、SAP Cloud Identity Access Governanceに転送され、セキュリティ管理者は実行ログをレビューできます。
SAP Cloud Identity Access Governance
SAP Cloud Identity Access Governance
Blogs tagged SAP Cloud Identity Access Governance
背景
昨今のリモートワークの普及、非正規雇用の拡大、クラウドアプリケーションの拡大を背景に、過剰なアクセス権の付与と職務分掌リスク、特権ユーザ管理、退職者のユーザID無効化など、IDと権限に関するセキュリティリスクと、数多くのオンプレミスおよびクラウドアプリケーションでのアクセス管理に関する運用管理コスト、およびコンプライアンスの重要性は、増加する一方です。複雑なビジネスとITの環境において、企業の変化するニーズに適応する、シンプルでありながら包括的なクラウドベースのID管理およびアクセスガバナンスソリューションが求められています。
SAP Cloud Identity Access Governanceとは
SAP Cloud Identity Access Governanceは、SAP Cloud Platform上に構築されたSaaSアプリケーションです。採用(オンボーディング)から退職(オフボーディング)まで、従業員および非正規社員向けの自動化された、エンドツーエンドの ID ライフサイクル管理を提供します。
特徴としては、SAP S/4HANA、SAP ERPとSAPのクラウドアプリケーション(SAP Ariba、SAP Fieldglass、SAP SuccessFactors、SAP S/4HANA Cloud、SAP Analytics Cloud、SAP Integrated Business Planning、SAP Marketing Cloud)、Microsoft Azure Platform、Microsoft Active Directory、他との統合 (*) を標準で提供していることと、SAP S/4HANA、SAP ERP、SAP Ariba、SAP Fieldglass、他のための職務分掌リスクが事前定義されていることです。
(*) 統合に関する最新情報については、オンラインヘルプの中のIntegration Scenariosを参照ください。
SAP Access Controlとの関係
SAP Cloud Identity Access Governanceは、従来からのSAP Access Controlとほぼ同様の機能範囲を提供します(SAP Access Controlについてはこちらのブログも参照ください)。SAP Cloud Identity Access Governanceはそれだけで利用することもできますし、SAP Access Controlを補完する形で利用することもできます。
主な機能
アクセス分析
セキュリティ管理者およびコンプライアンス管理者は、アクセス分析に含まれるアプリを使って、ダッシュボード分析から対処すべき課題の優先順位を把握し、分析するユーザーを選択し、権限の割り当てを調整して、リスクを排除または軽減します。変更は対象システムにプロビジョニングされます。
以下はアクセス分析ダッシュボードの画面です。リスクスコア上位のユーザや四半期ごとのリスク傾向などが可視化されています。
以下は、選択したユーザーのアクセス分析の画面です。このユーザーへのアクセス権限の割り当て、職務分掌(SoD)リスクの数、アクセス有効性(割り当てられているロールに対して実際に利用されているロールの割合)などを確認できます。また、この画面から利用されていない、あるいはリスクのあるロールのはく奪、またはリスク軽減コントロールの追加などを行うことが可能です。
ロール設計
セキュリティ管理者は、ロール設計に含まれるアプリを使って、最適なビジネスロールを作成できます。ビジネスロールは、管理対象のアプリケーションで定義された技術的なアクセス権限(アプリケーションに依存してロールやグループとして表されます)のグループです。その目的は、ユーザに割り当てることができる 1 つのオブジェクトにさまざまなアクセス権限を統合することで、権限の管理をより効率的にすることです。
以下はビジネスロールを定義するアプリの画面です。ビジネスロールの作成、変更において、職務分掌リスクをチェックすることが可能です。また、既存の割り当てを学習して機械学習ベースで最適なロールを提案する機能も提供されています。
アクセスリクエスト
ユーザーは、アクセス申請登録アプリを使って、セルフサービス形式で必要なアクセス権限を申請します。アクセス権限には、上記のビジネスロール、アプリケーションで定義された技術ロールやグループなどが含まれます。アクセス申請は、承認者のInboxに転送され、承認あるいは却下されます。承認する前に、特定されたSoDリスクに対してリスク軽減のコントロールを付加することも可能です。
ワークフローの承認ステップはあらかじめ定義されたテンプレートとして提供されています。ユーザーのマネージャ、ロールのオーナー、セキュリティ管理者を関与させることができます。現時点では、テンプレートの修正はできませんが、すぐに利用を開始できます。
以下はアクセス申請登録の画面です。SAP S/4HANAシステム上のロールを申請しようとしているところです。
最終的に承認されたアクセス申請は、対象のシステムにプロビジョニングされます。全体のフローは下図で表されます。
アクセス認証
アクセス認証とは、ユーザーのアクセス権限の割り当てを定期的にレビューするプロセスです。管理者が一つのアクセス認証の活動(キャンペーンと呼びます)を定義することで、レビューワー(マネージャあるいはロールのオーナー、セキュリティオーナー)がワークフローのInboxからレビューし、承認あるいはアクセス権限のはく奪を指定します。管理者はレビューの進行状況を確認することができます。
以下は、一つのアクセス認証の活動(キャンペーンと呼びます)を定義する画面です。レビューの計画期間、コーディネータ(責任者)、対象となるユーザーなどを指定しています。
特権アクセス管理
SAP ERPやSAP S/4HANAシステム上で緊急に特権アクセスが必要になったユーザーは、特権アクセスをセルフサービス形式で申請します。レビューワーの承認後、申請ユーザーは、SAP S/4HANA、SAP ERP上で、特権アクセスを使って緊急の処理を実行できます。実行ログは、SAP Cloud Identity Access Governanceに転送され、セキュリティ管理者は実行ログをレビューできます。
関連情報
公式ホームページ
SAP Cloud Identity Access Governance
オンラインヘルプ
SAP Cloud Identity Access Governance
コミュニティのブログ
Blogs tagged SAP Cloud Identity Access Governance
- SAP Managed Tags:
