Skip to Content
Technical Articles

SAP Cloud Identity Access Governance (IAG) の概要

本ブログでは、様々なSAPビジネスアプリケーションのIDとアクセス権限を管理、統制するためのソリューションであるSAP Cloud Identity Access Governanceの概要を紹介いたします。

背景

昨今のリモートワークの普及、非正規雇用の拡大、クラウドアプリケーションの拡大を背景に、過剰なアクセス権の付与と職務分掌リスク、特権ユーザ管理、退職者のユーザID無効化など、IDと権限に関するセキュリティリスクと、数多くのオンプレミスおよびクラウドアプリケーションでのアクセス管理に関する運用管理コスト、およびコンプライアンスの重要性は、増加する一方です。複雑なビジネスとITの環境において、企業の変化するニーズに適応する、シンプルでありながら包括的なクラウドベースのID管理およびアクセスガバナンスソリューションが求められています。

SAP Cloud Identity Access Governanceとは

SAP Cloud Identity Access Governanceは、SAP Cloud Platform上に構築されたSaaSアプリケーションです。採用(オンボーディング)から退職(オフボーディング)まで、従業員および非正規社員向けの自動化された、エンドツーエンドの ID ライフサイクル管理を提供します。

特徴としては、SAP S/4HANA、SAP ERPとSAPのクラウドアプリケーション(SAP Ariba、SAP Fieldglass、SAP SuccessFactors、SAP S/4HANA Cloud、SAP Analytics Cloud、SAP Integrated Business Planning、SAP Marketing Cloud)、Microsoft Azure Platform、Microsoft Active Directory、他との統合 (*) を標準で提供していることと、SAP S/4HANA、SAP ERP、SAP Ariba、SAP Fieldglass、他のための職務分掌リスクが事前定義されていることです。

(*) 統合に関する最新情報については、オンラインヘルプの中のIntegration Scenariosを参照ください。

SAP Access Controlとの関係

SAP Cloud Identity Access Governanceは、従来からのSAP Access Controlとほぼ同様の機能範囲を提供します(SAP Access Controlについてはこちらのブログも参照ください)。SAP Cloud Identity Access Governanceはそれだけで利用することもできますし、SAP Access Controlを補完する形で利用することもできます。

主な機能

アクセス分析

セキュリティ管理者およびコンプライアンス管理者は、アクセス分析に含まれるアプリを使って、ダッシュボード分析から対処すべき課題の優先順位を把握し、分析するユーザーを選択し、権限の割り当てを調整して、リスクを排除または軽減します。変更は対象システムにプロビジョニングされます。

以下はアクセス分析ダッシュボードの画面です。リスクスコア上位のユーザや四半期ごとのリスク傾向などが可視化されています。

以下は、選択したユーザーのアクセス分析の画面です。このユーザーへのアクセス権限の割り当て、職務分掌(SoD)リスクの数、アクセス有効性(割り当てられているロールに対して実際に利用されているロールの割合)などを確認できます。また、この画面から利用されていない、あるいはリスクのあるロールのはく奪、またはリスク軽減コントロールの追加などを行うことが可能です。

ロール設計

セキュリティ管理者は、ロール設計に含まれるアプリを使って、最適なビジネスロールを作成できます。ビジネスロールは、管理対象のアプリケーションで定義された技術的なアクセス権限(アプリケーションに依存してロールやグループとして表されます)のグループです。その目的は、ユーザに割り当てることができる 1 つのオブジェクトにさまざまなアクセス権限を統合することで、権限の管理をより効率的にすることです。

以下はビジネスロールを定義するアプリの画面です。ビジネスロールの作成、変更において、職務分掌リスクをチェックすることが可能です。また、既存の割り当てを学習して機械学習ベースで最適なロールを提案する機能も提供されています。

アクセスリクエスト

ユーザーは、アクセス申請登録アプリを使って、セルフサービス形式で必要なアクセス権限を申請します。アクセス権限には、上記のビジネスロール、アプリケーションで定義された技術ロールやグループなどが含まれます。アクセス申請は、承認者のInboxに転送され、承認あるいは却下されます。承認する前に、特定されたSoDリスクに対してリスク軽減のコントロールを付加することも可能です。

ワークフローの承認ステップはあらかじめ定義されたテンプレートとして提供されています。ユーザーのマネージャ、ロールのオーナー、セキュリティ管理者を関与させることができます。現時点では、テンプレートの修正はできませんが、すぐに利用を開始できます。

以下はアクセス申請登録の画面です。SAP S/4HANAシステム上のロールを申請しようとしているところです。

最終的に承認されたアクセス申請は、対象のシステムにプロビジョニングされます。全体のフローは下図で表されます。

アクセス認証

アクセス認証とは、ユーザーのアクセス権限の割り当てを定期的にレビューするプロセスです。管理者が一つのアクセス認証の活動(キャンペーンと呼びます)を定義することで、レビューワー(マネージャあるいはロールのオーナー、セキュリティオーナー)がワークフローのInboxからレビューし、承認あるいはアクセス権限のはく奪を指定します。管理者はレビューの進行状況を確認することができます。

以下は、一つのアクセス認証の活動(キャンペーンと呼びます)を定義する画面です。レビューの計画期間、コーディネータ(責任者)、対象となるユーザーなどを指定しています。

特権アクセス管理

SAP ERPやSAP S/4HANAシステム上で緊急に特権アクセスが必要になったユーザーは、特権アクセスをセルフサービス形式で申請します。レビューワーの承認後、申請ユーザーは、SAP S/4HANA、SAP ERP上で、特権アクセスを使って緊急の処理を実行できます。実行ログは、SAP Cloud Identity Access Governanceに転送され、セキュリティ管理者は実行ログをレビューできます。

関連情報

公式ホームページ

SAP Cloud Identity Access Governance

オンラインヘルプ

SAP Cloud Identity Access Governance

コミュニティのブログ

Blogs tagged SAP Cloud Identity Access Governance

 

Be the first to leave a comment
You must be Logged on to comment or reply to a post.