IBM TechXchange Japan Identity and Access Management (IAM) User Group

IBM TechXchange Japan Identity and Access Management (IAM) User Group

 View Only

認証キャンペーン機能について(IBM Verify Identity Governance)

By Tetsuro Saito posted 4 hours ago

  

こんにちは。

今回のブログでは、IBM Verify Identity Governanceが活用できるユースケースについて(2/2)の回で少し触れたIBM Verify Identity Governance (IBM VIG)の認証キャンペーン機能について、画面も混じえながらご紹介させいただきます。

1. 認証キャンペーンとは(復習)

認証キャンペーンは、IDの管理者が設定する包括的なプロセスであり、以下の要素を定義しながら作成・実行します。

  • どのアクセス権限がレビューされるべきか(例:すべてのアカウント、特定のエンタイトルメント、ユーザーとロールの割り当てなど)
  • 誰がレビューの責任者か(例:直属のマネージャー、アプリケーションのオーナー、特定のセキュリティチームなど)。
  • レビューをどのくらいの頻度で行うか(例:四半期ごと、毎年、オンデマンドなど)
  • 認証キャンペーン終了後に、レビューされていない資格がどのように処理されるか?(例:アクションなし、すべて承認、すべて拒否)

2. 認証キャンペーンの作成・実行

認証キャンペーンはIBM VIGの管理者画面から作成・実行できます。

管理者画面のナビゲーション・メニューから"認証者の管理"をクリックします。

"証明書の管理"画面から"キャンペーンの作成"をクリックします。

キャンペーンの作成画面が開きます。

ここでは作成するキャンペーンの名前と説明、キャンペーン・タイプ(アカウント、資格から選択)、優先順位を設定します。キャンペーン・タイプではアカントそのものの確認をするか、アカントに紐づいた資格(アクセス権)を確認するかを指定できます。

画面右下の"次へ"をクリックします。

"アプリの有効範囲"ではキャンペーンの対象とするサービスを指定します。すべてのサービスを対象とする場合はそのまま画面右下の"次へ"をクリックします。

"資格有効範囲"の設定画面が表示されます。ここでは、キャンペーンの対象とする資格を選択します。すべての資格を対象とする場合は"資格名"の左のチェックボックスをクリックして"次へ"をクリックします。

"ユーザー有効範囲"画面が表示されます。すべてのユーザーを対象とする場合はそのまま"次へ"をクリックします。

"レビューアーの設定"画面が表示されます。この画面ではキャンペーンにおけるレビューの実施者を設定することができます。各ユーザーのマネージャー、アクセス権の所有者、自分自身、特定の人、サービスオーナーから選択します。ここでは特定のユーザーを指定してみます。

レビューアーとしてDavid Foxを指定します。その他、レビューアーの決定をログ保管だけにする、とか有効化するタイミングを選択することができます。"次へ"をクリックします。

"キャンペーン・スーパーバイザーの設定"画面に遷移します。オプションでキャンペーンの進捗状況の追跡を支援する1人以上の人を指定できます。"次へ"をクリックします。

"スケジュール"画面が表示されます。ここではキャンペーンの実施タイミングを設定します。即時実行の他、3ヶ月毎に実施するなど定期的に繰り返し実施するような設定もできます。"期間"ではキャンペーンを完了するために必要な期間を設定します。ここでは"即時実行(ワンタイム・キャンペーン)を選択して"次へ"をクリックします。

"リマインダーとキャンペーンの終了"画面になります。ここでレビューアーに送信するリマインダーの送信タイミングを指定します。"キャンペーンのクローズ"では、キャンペーン終了時にレビュー未完了の資格の扱いについて指定します。推奨は"アクションなし"です。右下の"キャンペーンのスケジュール"をクリックします。

作成したキャンペーンが"実行中のキャンペーン"として進捗状況とともに表示されました。

3. キャンペーンの実施

レビューアーであるDavid Foxの画面に移ります。5つのユーザーレコードがレビュー対象としてリストされているのがわかります。

リスト最上部の"Tom White (DevOps-Infrastructure)"をクリックすると下の黒い画面が表示されます。

このユーザーは赤枠で囲んだような職務分掌上の中程度のリスクが指摘されています。これはIBM Verify Identity Governanceが活用できるユースケースについて(1/2)でご紹介した"アクセス・リスクの管理"機能で定義したSODリスク定義が自動的に判定したものになります。ここではリスクについて慎重に確認した上で、資格を継続適用することとして"承認"をクリックします。

"資格の承認"画面になります。コメントを追記して"承認"をクリックします。

リスト最上部の"Tom White (DevOps-Infrastructure)"が要レビューリストから消え、完了の数が"1"になりました。

このように、レビュー担当者の画面にリストされた、確認が必要なユーザーに対して承認、却下、リダイレクトがなされ、キャンペーンとして進行していくことになります。すべての確認が終わると管理者画面で進行状況が100%となり、キャンペーンの完了が確認されます。

4. まとめ

今回は、IBM Verify Identity Governance (IBM VIG)の認証キャンペーン機能について、画面も混じえながら全体の流れをご紹介させいただきました。

ID管理、アクセス権管理は作成・付与したあとも定期的な見直し・棚卸しが重要なタスクとなりますが、このブログでIBM VIGを利用した場合のキャンペーン作成からレビューまでのイメージがつかめていただけましたら幸いです。

ここまで読んでいただきありがとうございました。

#IBMVerify

0 comments
11 views

Permalink

https://community.ibm.com/community/user/blogs/tetsuro-saito/2025/08/25/ibm-verify-identity-governance-cert-campaign