以下のワークフローでは、
- A. 人事部門による「入社研修プロセス」から『自動起動』されるケース(新規ID発行)と、
- B1. 一時雇用者等のためのIDが『申請』されるケース(新規ID発行)、
- B2. そして社員の『パスワード忘れ』『改名時のID変更』のケース(既存ID更新)、
に対応している。Aはプロセス間連携、BはWebフォーム連携を想定している(プロセスモデル接続API)
当然の話ながら、「アカウント発行」や「アカウント再発行」を行う以上、「アカウント削除」についてもその業務フローを整備したい。「紙面の都合」と言う名の「大人の都合」でまたの機会としたい。
<各タスク名>
0.承認者指名、1.承認、2.認証コード発行、3.認証コードを聞いて入力、4.仮パスワード変更確認、5.確認
[セキュアな パスワード発行: 「2.認証コード発行」画面]
<各プロセスデータ名>
- 件名(text)
- 文字型:アカウント利用者名
- 日付型:発行希望期日
- 選択型:発行理由(人事部新入社員/一時雇用者/パスワード忘れ/改名等/その他)
- 文字型:発行理由
- 文字型:アカウント情報通知用メールアドレス
- 文字型:電話番号/内線番号
- 文字型:アカウントID
- 文字型:アカウントIDの第2希望
- 文字型:発行アカウントID
- 文字型:発行アカウント初期PW
- ユーザ型:アカウント利用者
- 文字型:承認上司氏名
- ユーザ型:承認者
- 数値型:発行した認証コード
- 選択型:却下フラグ(OK/却下)
- 掲示板型:通信
このワークフローでは『仮パスワード』を発行する前に『認証コード』を発行し、その『認証コード』を別手段で口頭確認することにより、「利用者本人が申請した事」と「本人のメールアドレスである事」を確認する。
すなわち、タスク『2.認証コード発行』で発行された「任意の数値」(認証コード)は、アカウント利用者が指定したメールアドレスに送信される。タスク『3.認証コードを聞いて入力』では、情報システム部メンバが「電話」「Webチャット」「面会」等、アカウント利用者本人である事を十分確認できる手段を用いて、送信された「任意の数値」(認証コード)を本人から聞いて確認する。そして『発行した数値』と『電話等で聞いた数値』が等しい場合に限って、パスワードが届けられる。平たく言えば『多くの人間が共謀しなければ「不正発行」が行えない仕組み』とも言える。
なお、内部統制視点では、発行後1日以内に「仮パスワード」が利用者本人によって変更されたことを確認するタスクが必須だ。すなわちタスク『4.仮パスワード変更確認』の滞留には注意したい。
<メール設定:認証コード通知>
<類似プロセス>
- 急ぎで回すデータセンター入館申請フロー (2011-01-11)
- パスワードを忘れたヤツを軽く締めるワークフロー (2010-10-29)
- アカウント発行の一週間後「仮パスワード変更」を確認 (2010-12-11)
0 件のコメント :
コメントを投稿