認証情報および接続のスコープ保護
特定のタイプの接続および資格情報レコードをスコープに属するものとして分類し、スコープの保護をそれらに拡張することができます。 これらのスコープポリシーは、テーブルで作成したレコードを保護し、別のスコープとのプライベートなレコードのやり取りを防止します。
接続 [sys_connection] テーブルおよびディスカバリー認証情報 [discovery_credentials] テーブルの [アプリケーション] フィールドを使用して、これらのタイプのレコードを特定のスコープに関連付けることができます。Zurich の UI フォームには表示されませんが、簡単に追加できます。これらのレコードタイプの詳細と、UI フォームへのフィールドの追加方法については、以下を参照してください。
接続および資格情報レコードの使用を特定のスコープに制限することは、セキュリティを強化する必要があるアプリケーションを管理するために重要です。これらのアプリケーションには HR サービスデリバリ (HRSD) または セキュリティオペレーション スコープ指定の管理対象アプリケーションで作成された接続および認証情報レコードは、admin ユーザーには表示されません。 接続および認証情報レコードを特定のアプリケーションスコープに関連付けると、次の保護が得られます。
- 制限付きスコープにアクセス制御リストルール (ACL) が適用されます。スコープ指定の ACL の詳細については、「アクセス制御リストのルール」を参照してください。注:スコープ管理および強化セキュリティを使用する一部のアプリケーションでは、追加のセットアップが必要になる場合があります。詳細については、「人事ロールの管理」を参照してください。
- スクリプトを使用してクエリーが実行されたときにレコードを保護します。グローバルスコープからクエリーを実行し、接続および認証情報レコードが保護されたスコープ内にある場合、アクセス権が付与されていない限り、クエリーには表示されません。
制限付きの発信者アクセスを使用して、クエリー制限付きレコードへのアクセスをカスタマイズおよび付与できます。詳細については、「制限付き発信者アクセス特権の設定」を参照してください。スコーピング制限は、接続 [sys_connection] テーブルおよびディスカバリー認証情報 [discovery_credentials] テーブルのすべての子テーブルにも適用されます。空のフィールドおよびその他のスコープは制限されません。
注:
スコープ保護は、新しいレコードを設定する際の混乱を避けるために、特定の保護されたスコープに対してのみ有効になります。誰かがスコープ対象のアプリケーションスコープで接続を行っても、自動的にスコープが制限されることはありません。