ヘッダーをスキップ

Oracle Projects基礎
リリース12
E06005-01
目次へ
目次
前のページへ
前へ
次のページへ
次へ

Oracle Projectsでのセキュリティ

この章では、Oracle Projectsで使用される様々なセキュリティ体系について説明します。プロジェクト・セキュリティ、職責ベースのセキュリティおよび組織セキュリティがあります。

この章では次のトピックを説明します。

Oracle Projectsでのセキュリティ

Oracle Projectsでは、Projectsアプリケーション内の機能およびデータへのアクセスを管理するために、統合されたセキュリティ・メカニズムのセットが使用されます。これらのメカニズムは、次のとおりです。

Oracle Projects Securityの理解

Oracle Projectsには統合されたセキュリティ・メカニズムがいくつか用意されており、組織、プロジェクト、資源情報、および様々なOracle Projectsの機能に対するユーザー・アクセス権を簡単に定義できます。これらのメカニズムはすべて、Oracle Applicationsセキュリティの基礎である機能セキュリティに基づいています。

これらの統合されたセキュリティ・メカニズムを使用すると、Oracle Projectsのセキュリティを次のレベルで定義できます。

注意: セキュリティ・クライアント拡張を使用すると、Oracle Projectsセキュリティを上書きできます。

Oracle Projectsでデータを保護するために使用する対策は、会社のプロジェクト管理方法、およびユーザーに提供するアクセスのレベルによって異なります。セキュリティ機能を設定する前に、最初に、対象となるユーザーのタイプ、およびユーザーに必要と思われるデータ・アクセスと機能アクセスのレベルを時間をかけて検討してください。この章は、企業に関するセキュリティの設定方法の決定に役立つように作成されています。

機能セキュリティ: Oracle Projectsセキュリティの基本要素

Oracle Projectsのすべてのセキュリティ・メカニズムは、機能セキュリティを基に構築されます。職責ベースのセキュリティ、プロジェクト・セキュリティおよび組織セキュリティはすべて、ユーザーが使用できる機能のセットを決定します。機能セキュリティは、これらのいずれの機能をユーザーが実行できるかを管理します。

Oracle Applicationsの機能セキュリティの詳細は、『Oracle Applicationsシステム管理者ガイド』の機能セキュリティの概要に関する項を参照してください。

機能セキュリティを使用して管理できるOracle Projects機能のリストは、『Oracle Projectsインプリメンテーション・ガイド』の付録A「Oracle Projectsの機能セキュリティ」を参照してください。

メニュー

メニューでは、職責で使用可能な機能リストが定義されます。メニューを使用して、職責またはロールのいずれかに機能グループを割り当てます。メニューにサブメニューを組み込み、大きい機能グループを編成できます。

職責またはロールに一度に割り当てることができるメニューは1つのみです。このルールの唯一の例外は、プロジェクト・ステータス別ロール・ベースのセキュリティを使用する場合です。この場合、プロジェクト・ステータスごとに別々の機能メニューを作成し、これらの各メニューを個々のロールに割り当てます。

職責べースのセキュリティのメニュー使用方法の詳細は、「職責ベースのセキュリティ」を参照してください。

ロール・ベースのセキュリティのメニュー使用方法の詳細は、「プロジェクト・セキュリティの使用」を参照してください。

プロジェクト・ステータス別ロール・ベースのセキュリティの詳細は、「プロジェクト・セキュリティ別ロール・ベースのセキュリティ」を参照してください。

機能メニューの作成の詳細は、『Oracle Projectsインプリメンテーション・ガイド』のプロジェクトおよび組織のセキュリティに関する項を参照してください。

複数組織アクセス管理

複数組織アクセス管理(MOAC)機能を使用すると、職責を切り換えずに、2つ以上の営業単位の取引を入力および処理できます。

複数組織アクセスの提供

職責に複数営業単位アクセスを提供するには、オラクル人事管理システムでセキュリティ・プロファイルを定義し、それをプロファイル・オプション「MO: セキュリティ・プロファイル」に職責レベルで割り当てる必要があります。セキュリティ・プロファイルの定義時に使用できるのは、個々の営業単位、または組織が営業単位として分類されている組織階層(あるいはその両方)です。この方法で設定された職責に関連付けられているユーザーは、職責を変更せずに、複数営業単位の取引を入力および処理できます。

「MO: セキュリティ・プロファイル」オプションによって職責アクセスが付与された営業単位でOracle Projectsが実装されていない場合、その営業単位は、Projectsのウィンドウまたはページの営業単位値リストには表示されません。ただし、「実装オプション」ウィンドウの営業単位値リストには、ユーザーにアクセス権があるすべての営業単位が表示されます。ここで、その営業単位に対してOracle Projectsを実装できます。

使用中のセキュリティ・プロファイルに営業単位の追加または削除などの変更を加えた場合は、その後に必ず、Oracle Human Resourcesで「セキュリティ・リストの修正」処理(PERSELM)を実行する必要があります。

「MO: 営業単位」および「MO: セキュリティ・プロファイル」

「MO: 営業単位」または「MO: セキュリティ・プロファイル」プロファイル・オプションによって、職責ごとにユーザーがアクセス可能な営業単位のリストが決定されます。

「MO: セキュリティ・プロファイル」プロファイル・オプションに割り当てられている営業単位に基づいて、複数の営業単位に対するアクセス権がある場合は、「MO: デフォルト営業単位」プロファイル・オプションを定義できます。このプロファイル・オプションによって、「営業単位」フィールドに表示されるデフォルトの営業単位が決定されます。

「MO: セキュリティ・プロファイル」プロファイル・オプションが定義されていない場合は、「MO: 営業単位」プロファイル・オプションに割り当てられている営業単位がデフォルトの営業単位として使用されます。

「MO: セキュリティ・プロファイル」プロファイル・オプションが定義されていて、このプロファイル・オプションを介して職責に1つの営業単位のみに対するアクセス権が付与される場合、その職責があるユーザーには、その営業単位がデフォルトの営業単位として表示されます。

注意: 「MO: 営業単位」プロファイル・オプションは、複数組織アクセス管理が組み込まれていなかった以前のOracle Projectsのバージョンで使用されていました。職責に対して「MO: セキュリティ・プロファイル」オプションを設定すると、「MO: 営業単位」の値が上書きされます。しかし、「MO: セキュリティ・プロファイル」オプションに値を設定しない場合は、「MO: 営業単位」プロファイル・オプションを定義する必要があります。

次の表に、「MO: 営業単位」、「MO: セキュリティ・プロファイル」および「MO: デフォルト営業単位」プロファイル・オプションに値が設定されている場合、または空白のままの場合に、営業単位フィールドの値がどのように移入されるかの例を示します。

MO: 営業単位 MO: セキュリティ・プロファイル MO: デフォルト営業単位 表示される営業単位
設定なし設定あり(Visionサービス、VisionサービスR&D、Visionプロジェクト製造)設定あり(Visionサービス)デフォルト営業単位 = Visionサービス。その他の営業単位 = VisionサービスR&D、Visionプロジェクト製造
設定なし設定あり(Visionサービス)設定なしデフォルト営業単位 = Visionサービス
設定あり(Visionサービス)設定なし設定なしデフォルト営業単位 = Visionサービス
設定あり(VisionサービスR&D)設定あり(Visionサービス、VisionサービスR&D、Visionプロジェクト製造)設定あり(Visionプロジェクト製造)デフォルト営業単位 = Visionプロジェクト製造。その他の営業単位 = Visionサービス、VisionサービスR&D
設定なし設定あり(Visionサービス、VisionサービスR&D、Visionプロジェクト製造)設定なし(セキュリティ・プロファイルに存在しない営業単位。例: Progress S&L)デフォルト営業単位なし。すべての営業単位 = Visionサービス、VisionサービスR&D、Visionプロジェクト製造

表の1行目を説明すると次のようになります。「MO: 営業単位」プロファイル・オプションは設定されていませんが、「MO: セキュリティ・プロファイル」は、営業単位Visionサービス、Visionサービス、R&DおよびVisionプロジェクト製造について設定されています。同様に、「MO: デフォルト営業単位」プロファイル・オプションは、営業単位Visionサービスについて設定されています。この例では、営業単位フィールドには、Visionサービスがデフォルト値として移入されます。ただし、値リストには、VisionサービスR&DとVisionプロジェクト製造営業単位も表示されます。

職責ベースのセキュリティ

職責ベースのセキュリティでは、ユーザーのログイン職責で、ユーザーが実行できる機能が決定されます。各職責は、「MO: 営業単位」プロファイル・オプションまたは「MO: セキュリティ・プロファイル」プロファイル・オプションのいずれかの設定によって、ユーザー・アクセスをそれが関連付けられている営業単位内の情報に限定します。「MO: セキュリティ・プロファイル」プロファイル・オプションを設定すると、職責を変更せずに、2つ以上の営業単位の取引を入力および処理できます。機能をメニューに割り当て、そのメニューを職責に割り当てます。この結果、ユーザーの職責によって、ユーザーが実行できる機能が決定されます。

職責ベースのセキュリティの詳細は、『Oracle Projectsインプリメンテーション・ガイド』の職責ベースのセキュリティに関する項を参照してください。

職責への追加ユーザー・レベル・セキュリティの提供

次のプロファイル・オプションを使用すると、プロジェクトおよび資源に対するアクセス権を、これらと直接関連のないユーザーに付与できます。

職責ベースのセキュリティと組み合せて追加のプロファイル・オプションを提供する方法の詳細は、『Oracle Projectsインプリメンテーション・ガイド』の追加のユーザー・レベル・セキュリティの定義に関する項を参照してください。

プロジェクト・セキュリティ

プロジェクト・セキュリティを使用すると、基本的な職責ベースのセキュリティ体系に複数のセキュリティ・レイヤーを追加できます。プロジェクト・セキュリティには、プロジェクト・ロールとプロジェクト・アクセス・レベルが含まれます。プロジェクト情報に対するセキュリティ・アクセス権は、懸案管理と変更管理、およびプロジェクト・ステータス・レポート機能による影響を受ける場合もあります。

この項では、プロジェクト・セキュリティのこれらの側面の概要を提供します。また、プロジェクト・セキュリティ拡張を使用してプロジェクト・セキュリティを上書きする方法についても説明します。

注意: この項で説明するプロジェクト・セキュリティの要素は、Oracle Applications FrameworkのHTMLアーキテクチャを使用するOracle Projectsアプリケーションの部分にのみ適用されます。HTML以外のアーキテクチャを使用するOracle Projects機能は、職責ベースのセキュリティにのみ依存します。

プロジェクトのロール・ベースのセキュリティ

ロール・ベースのセキュリティを使用すると、プロジェクト・チームでユーザーに割り当てられているロールに基づいて、プロジェクトの機能に対するアクセス権を管理できます。ロール・ベースのセキュリティでは、メニューがロールに割り当てられます。ロールに割り当てられたアクセス権は、プロジェクトに対するユーザーのロールの期間中、ユーザーが使用できます。

メニューが割り当てられているロールは、システムによって保護ロールとみなされます。未保護ロール(メニュー割当のないロール)では、そのセキュリティ・アクセス権の決定に職責メニューが使用されます。

ロール・ベースのセキュリティは、プロジェクト固有であるため、職責ベースのセキュリティより高い柔軟性が提供されます。ユーザーは、様々なプロジェクト・チームで様々なロールを果たす場合があります。つまり、ユーザーに付与される機能アクセス権は、プロジェクトごとに異なる場合があります。

たとえば、あるユーザーに、1年の前半の半年はプロジェクトAのプロジェクト引合ロールを割り当て、後半の半年はプロジェクトBのコンサルタント・ロールを割り当てることができます。2つのロールは異なるメニューに関連付けられるため、完全に別々のロール・ベースのセキュリティ・アクセス権を使用できます。

これに対して、職責では、アプリケーション・レベルでアクセス権が管理されます。ユーザーには、組織、資源およびプロジェクト全体にわたる広範囲の機能アクセス権が付与されます。個々のプロジェクト・レベルで機能セキュリティ・アクセス権を提供するようには設計されていません。

注意: ロール・ベースのセキュリティは、個々のユーザーの職責ベースのセキュリティを上書きします。職責ベースのセキュリティが適用されるユーザーは、プロジェクト・ロールが割り当てられていないユーザー、および対応する機能メニュー割当のないプロジェクト・ロールがあるユーザーです。

職責ベースのセキュリティの詳細は、「職責ベースのセキュリティの使用」を参照してください。

機能セキュリティおよび機能メニューの詳細は、「機能セキュリティ: Oracle Projectsセキュリティの基本要素」を参照してください。

ロールの理解

プロジェクト・ロールは、プロジェクトのチーム・メンバーに関するデフォルト情報(コンピテンス、役職情報およびセキュリティなど)の集まりです。プロジェクト・ロールを作成して、組織内のプロジェクトに必要な標準的なチーム・メンバー・ロールを表します。プロジェクト・ロールの例には、プロジェクト・マネージャ、プロジェクト管理者、データベース管理者およびコンサルタントなどがあります。各ロールには、異なるセットのコンピテンス、予測のための役職情報、およびプロジェクトに対するセキュリティ・アクセス権を管理するメニューを設定できます。

ロールの詳細は、『Oracle Projectsインプリメンテーション・ガイド』のプロジェクト・ロールの定義に関する項を参照してください。

事前定義のロール管理の概要

ロール管理を使用して、ロールの使用方法を管理します。ロール管理では、ユーザーがプロジェクト労務費を表示できるかどうかも管理できます。

次の事前定義管理を使用できます。

これらの管理は必要な数だけ特定のロールに割り当てることができます。ロールはプロジェクト・レベルでユーザーに割り当てるため、少なくとも、各ロールに「プロジェクト・メンバーとして許可」ロール管理を割り当てる必要があります。

注意: 「タスク・メンバーとして許可」ロール管理は使用できません。

プロジェクト・ステータス別ロール・ベースのセキュリティ

ロールをメニューと関連付けてロールに対するロール・ベースのセキュリティを設定する場合は、必要に応じて、プロジェクト・ステータスに基づいた追加のセキュリティ管理レイヤーを組み込むことができます。この追加のセキュリティ・レイヤーを使用すると、プロジェクトに関連する特定の機能へのアクセス権を決定する別の方法として、そのプロジェクトのステータスを使用できます。たとえば、プロジェクト・マネージャに対して、プロジェクトが発行済ステータスで営業パイプラインにある間は、そのプロジェクトの割当レート情報を更新できるようにし、これらのプロジェクトが承認された後は、その情報を更新できないように設定できます。プロジェクトの承認後は、プロジェクトの財務マネージャがその情報を更新できるようにする必要があります。

標準のロール・ベースのセキュリティを使用する場合は、ロールごとに1つのセキュリティ・メニューを定義します。セキュリティ・メニューでは、プロジェクト・ステータスに関係なく、すべてのプロジェクトに対する機能セキュリティが管理されます。

プロジェクト・ステータス別ロール・ベースのセキュリティを使用する場合は、ロールごとに複数のセキュリティ・メニュー(プロジェクト・ステータス値ごとに1つのメニュー)を定義できます。この結果、ロールとプロジェクト・ステータスの両方で機能セキュリティを管理できます。システムのプロジェクト・ステータス値またはユーザー定義のプロジェクト・ステータス値のセットのいずれかを使用できます。

すべてのプロジェクト・ステータス値に対してセキュリティ・メニューを定義する必要はありません。プロジェクト・ステータス値にメニューが関連付けられていない場合は、ロールに関連付けられているセキュリティ・メニューが使用されます。

プロジェクト・ステータス別ロール・ベースのセキュリティは、個々のロールごとにロール・レベルで設定します。この機能では、一部のロールに対してはプロジェクト・ステータス別ロール・ベースのセキュリティを設定できますが、設定できないロールもあります。

プロジェクト・アクセス・レベル

さらに、アクセス・レベルを使用すると、プロジェクトとプロジェクト・テンプレートを検索および表示できるユーザーを管理できます。プロジェクトとプロジェクト・テンプレートに対するアクセス・レベルは、「基礎情報」ページで設定します。プロジェクトに対して適切な権限がある場合は、そのプロジェクトに対して次のいずれかのアクセス・レベル値を設定できます。

「UPG: プロジェクト・アクセス・レベルの更新」コンカレント・プログラムを使用すると、複数のプロジェクトのアクセス・レベルを一度に更新できます。

基本プロジェクト情報の設定の詳細は、「プロジェクト情報」を参照してください。

「UPG: プロジェクト・アクセス・レベルの更新」プログラムの詳細は、「処理」を参照してください。

懸案管理と変更管理のセキュリティ

Oracle Projectsの懸案管理機能と変更管理機能は、機能に対する別の種類のセキュリティ・アクセス権を提供できます。懸案管理と変更管理を使用すると、適切な権限があるユーザー(例: スーパーユーザー)、組織権限があるユーザー、およびプロジェクト・マネージャは、懸案および変更を作成し、それらに対する所有者を指定できます。指定後、これらの所有者が、懸案および変更の進捗、解決および消込を監視できます。

懸案管理の詳細は、『Oracle Project Managementユーザー・ガイド』の懸案管理の概要に関する項を参照してください。

変更管理の詳細は、『Oracle Project Managementユーザー・ガイド』の変更管理の使用に関する項を参照してください。

プロジェクト・セキュリティ拡張

プロジェクト・セキュリティ拡張を使用すると、デフォルトのセキュリティを上書きし、プロジェクトおよび労務費セキュリティに対して独自のビジネス・ルールを実装できます。

プロジェクト・セキュリティ拡張は、Oracle ProjectsアプリケーションのHTML以外のアーキテクチャにのみ適用されます。Oracle Applications Framework機能には適用されません。

プロジェクト・セキュリティ拡張の詳細は、『Oracle Projects API, クライアント拡張およびオープン・インタフェース・リファレンス』のプロジェクト・セキュリティ拡張に関する項を参照してください。

組織セキュリティ

組織権限を使用すると、ユーザーに対するセキュリティ・アクセス権を組織レベルで指定できます。この権限は、その職階で1つ以上の組織内のすべてのプロジェクトまたは資源を監視するために必要となる場合に指定します。組織権限は、選択した組織権限のタイプに応じて、指定した組織に関する全プロジェクト、全資源、全予測または全稼働状況の情報に対するアクセス権を提供できます。

ユーザーの組織権限の対象となる各組織を指定し、それらの組織に対してユーザーが取得する権限のタイプを指定する必要があります。

注意: 組織権限では、組織階層は認識されません。たとえば、ユーザーに最上位組織に対する組織権限がある場合、そのユーザーは、最上位組織の下位にあるすべての組織に対する資源権限を自動的に付与されることはありません。ユーザーの資源権限の対象となる各組織を指定する必要があります。

次の表に、使用可能な4つの組織権限のタイプを示し、各権限が提供する情報アクセス権について説明します。

権限タイプ アクセス権
プロジェクト権限ユーザーは、組織内の全プロジェクトに関するすべての機能を実行できます。
デフォルトで、プロジェクト権限の機能セキュリティ・メニューは、プロジェクト・マネージャ・ロールの機能セキュリティ・メニューと同じです。実装チームは、企業のニーズに応じて、プロジェクト権限メニューを更新できます。
プロジェクト権限とプロジェクト・マネージャ・ロールの相違点は、プロジェクト・マネージャは、組織内の各プロジェクトのロールに割り当てられる必要があることです。プロジェクト権限は、ユーザーに1回割り当てるのみで、組織内のすべてのプロジェクトを対象にできます。
資源権限資源マネージャ・ロールで提供されるアクセス権と同じセキュリティ・アクセス権を提供します。
ユーザーは、組織全体のすべての資源に対して、候補の推薦、候補の作成と承認、および資源稼働状況の表示などのタスクを実行できます。
稼働状況権限ユーザーは、組織内のすべての資源に関する稼働状況を計算および表示できます。
予測権限ユーザーは、組織内のプロジェクトに関する予測情報を生成および表示できます。

各組織権限は、事前定義のメニューと関連付けられます。ユーザーにいずれかのタイプの組織権限を付与した場合、そのユーザーには、指定した組織について、そのメニューに関連付けられている機能セキュリティが付与されます。組織権限は本質的には、組織レベルのロール・ベースのセキュリティです。

権限および主担当者の定義の詳細は、『Oracle Projectsインプリメンテーション・ガイド』の組織権限に関する項を参照してください。

複数組織アクセス

職責を切り換えずに複数の営業単位にアクセスするには、セキュリティ・プロファイルを定義し、それを「MO: セキュリティ・プロファイル」プロファイル・オプションに割り当てる必要があります。このセキュリティ・プロファイルは、職責レベルで定義されます。

複数組織アクセスの提供の詳細は、「複数組織アクセスの提供」を参照してください。

セキュリティ・チェックのデモ

Oracle Projectsでは、ユーザーが処理を実行しようすると、セキュリティ・チェック処理がコールされます。この処理では、ユーザーが要求した処理を実行できる適切な権限が検索されます。

セキュリティ・チェックの例

本文の説明内容に関するイメージ

「セキュリティ・チェックの例」に示されているように、セキュリティ・チェック処理のロジックは、次のようになります。

  1. ユーザーがOracle Projectsで機能を実行しようとすると、その機能がプロジェクトに関連しているかどうかのチェックが開始されます。

  2. 機能がプロジェクトに関連している場合は、ユーザーにプロジェクトに関するロールがあるかどうかがチェックされます。

  3. ユーザーにプロジェクトに関するロールがある場合は、プロジェクトに関する保護ロールがあるかどうかがチェックされます。保護ロールとは、機能セキュリティ・メニューに関連付けられているロールです。

  4. ユーザーにプロジェクトに関する保護ロールがある場合は、そのロール・ベースのセキュリティ・アクセス権がプロジェクト・ステータスと関連付けられているかどうかがチェックされます。

  5. ユーザーのロールによって提供される機能セキュリティで、ユーザーが処理を実行できるかどうかがチェックされます。

  6. ユーザーに、組織権限を介して、処理を実行するための適切な機能セキュリティがあるかどうかがチェックされます。

  7. ユーザーに、ユーザーの割当職責を介して適切な機能セキュリティがあるかどうかがチェックされます。

注意: 懸案管理、変更管理、プロジェクト・ステータス・レポート機能および他のOracle Projects機能は、セキュリティ・チェックのルールを上書きする、特定の機能に対する一時アクセス権をユーザーに提供できます。

公共API

Oracle Projectsに用意されている公共APIを使用すると、外部システムからOracle Projectsにインポートされるデータの更新を管理するルールを定義できます。このトピックの詳細は、『Oracle Projectsインプリメンテーション・ガイド』のAPI管理に関する項を参照してください。