SAP Cloud Identity Access Governance (IAG) の概要

本ブログでは、様々なSAPビジネスアプリケーションのIDとアクセス権限を管理、統制するためのソリューションであるSAP Cloud Identity Access Governanceの概要を紹介いたします。

背景

昨今のリモートワークの普及、非正規雇用の拡大、クラウドアプリケーションの拡大を背景に、過剰なアクセス権の付与と職務分掌リスク、特権ユーザ管理、退職者のユーザID無効化など、IDと権限に関するセキュリティリスクと、数多くのオンプレミスおよびクラウドアプリケーションでのアクセス管理に関する運用管理コスト、およびコンプライアンスの重要性は、増加する一方です。複雑なビジネスとITの環境において、企業の変化するニーズに適応する、シンプルでありながら包括的なクラウドベースのID管理およびアクセスガバナンスソリューションが求められています。

SAP Cloud Identity Access Governanceとは

SAP Cloud Identity Access Governanceは、SAP Cloud Platform上に構築されたSaaSアプリケーションです。採用(オンボーディング)から退職(オフボーディング)まで、従業員および非正規社員向けの自動化された、エンドツーエンドの ID ライフサイクル管理を提供します。

特徴としては、SAP S/4HANA、SAP ERPとSAPのクラウドアプリケーション(SAP Ariba、SAP Fieldglass、SAP SuccessFactors、SAP S/4HANA Cloud、SAP Analytics Cloud、SAP Integrated Business Planning、SAP Marketing Cloud)、Microsoft Azure Platform、Microsoft Active Directory、他との統合 (*) を標準で提供していることと、SAP S/4HANA、SAP ERP、SAP Ariba、SAP Fieldglass、他のための職務分掌リスクが事前定義されていることです。

(*) 統合に関する最新情報については、オンラインヘルプの中のIntegration Scenariosを参照ください。

SAP Access Controlとの関係

SAP Cloud Identity Access Governanceは、従来からのSAP Access Controlとほぼ同様の機能範囲を提供します(SAP Access Controlについてはこちらのブログも参照ください)。SAP Cloud Identity Access Governanceはそれだけで利用することもできますし、SAP Access Controlを補完する形で利用することもできます。

主な機能

アクセス分析

セキュリティ管理者およびコンプライアンス管理者は、アクセス分析に含まれるアプリを使って、ダッシュボード分析から対処すべき課題の優先順位を把握し、分析するユーザーを選択し、権限の割り当てを調整して、リスクを排除または軽減します。変更は対象システムにプロビジョニングされます。

以下はアクセス分析ダッシュボードの画面です。リスクスコア上位のユーザや四半期ごとのリスク傾向などが可視化されています。

以下は、選択したユーザーのアクセス分析の画面です。このユーザーへのアクセス権限の割り当て、職務分掌(SoD)リスクの数、アクセス有効性(割り当てられているロールに対して実際に利用されているロールの割合)などを確認できます。また、この画面から利用されていない、あるいはリスクのあるロールのはく奪、またはリスク軽減コントロールの追加などを行うことが可能です。

ロール設計

セキュリティ管理者は、ロール設計に含まれるアプリを使って、最適なビジネスロールを作成できます。ビジネスロールは、管理対象のアプリケーションで定義された技術的なアクセス権限(アプリケーションに依存してロールやグループとして表されます)のグループです。その目的は、ユーザに割り当てることができる 1 つのオブジェクトにさまざまなアクセス権限を統合することで、権限の管理をより効率的にすることです。

以下はビジネスロールを定義するアプリの画面です。ビジネスロールの作成、変更において、職務分掌リスクをチェックすることが可能です。また、既存の割り当てを学習して機械学習ベースで最適なロールを提案する機能も提供されています。

アクセスリクエスト

ユーザーは、アクセス申請登録アプリを使って、セルフサービス形式で必要なアクセス権限を申請します。アクセス権限には、上記のビジネスロール、アプリケーションで定義された技術ロールやグループなどが含まれます。アクセス申請は、承認者のInboxに転送され、承認あるいは却下されます。承認する前に、特定されたSoDリスクに対してリスク軽減のコントロールを付加することも可能です。

ワークフローの承認ステップはあらかじめ定義されたテンプレートとして提供されています。ユーザーのマネージャ、ロールのオーナー、セキュリティ管理者を関与させることができます。現時点では、テンプレートの修正はできませんが、すぐに利用を開始できます。

以下はアクセス申請登録の画面です。SAP S/4HANAシステム上のロールを申請しようとしているところです。

最終的に承認されたアクセス申請は、対象のシステムにプロビジョニングされます。全体のフローは下図で表されます。

アクセス認証

アクセス認証とは、ユーザーのアクセス権限の割り当てを定期的にレビューするプロセスです。管理者が一つのアクセス認証の活動(キャンペーンと呼びます)を定義することで、レビューワー(マネージャあるいはロールのオーナー、セキュリティオーナー)がワークフローのInboxからレビューし、承認あるいはアクセス権限のはく奪を指定します。管理者はレビューの進行状況を確認することができます。

以下は、一つのアクセス認証の活動(キャンペーンと呼びます)を定義する画面です。レビューの計画期間、コーディネータ(責任者)、対象となるユーザーなどを指定しています。

特権アクセス管理

SAP ERPやSAP S/4HANAシステム上で緊急に特権アクセスが必要になったユーザーは、特権アクセスをセルフサービス形式で申請します。レビューワーの承認後、申請ユーザーは、SAP S/4HANA、SAP ERP上で、特権アクセスを使って緊急の処理を実行できます。実行ログは、SAP Cloud Identity Access Governanceに転送され、セキュリティ管理者は実行ログをレビューできます。

関連情報

公式ホームページ

SAP Cloud Identity Access Governance

オンラインヘルプ

SAP Cloud Identity Access Governance

コミュニティのブログ

Blogs tagged SAP Cloud Identity Access Governance