リリース12
E05069-01
目次
前へ
次へ
| Oracle Applicationsシステム管理者ガイド - セキュリティ リリース12 E05069-01 | 目次 | 前へ | 次へ |
この項では、Oracle User Managementの設定タスクについて説明します。実装担当者またはシステム管理者は、ロール、ロール継承階層、ロール・カテゴリおよび登録プロセスを定義することで、Oracle Applicationsにおけるアクセス制御およびセキュリティ・ポリシーを設定します。これらのコンポーネントにより、管理者が使用できる各種アプリケーション・メニューおよびデータへの様々なアクセス・レベルが指定されます。
Oracle Applications RBACモデルの一部として、Oracle User Managementではロール・カテゴリが採用されています。管理者は、ロールおよび職責をまとめるロール・カテゴリを作成して、ロールおよび職責の検索プロセスを容易にすることができます。「Oracle User Mangementによるアクセス制御」の「概要」で、「ロール・ベースのアクセス制御(RBAC)」を参照してください。
「セキュリティ管理者」ロールが割り当てられたユーザー(通常はsysadmin)でログオンし、ナビゲータで「ユーザー管理」職責を選択し、「ロール・カテゴリ」サブタブをクリックします。
編集可能な表に移動し、「更新」ボタンをクリックしてから、「参照コードの作成」ボタンをクリックします。
「参照コードの作成」フィールドで必要な情報を入力し、「適用」ボタンをクリックします。
Oracle Applicationsでは、ロールは、役職の実行に必要な権限を付与する役職機能に相当します。ロールを定義することで、ユーザーがアクセスできるアプリケーション(職責)と、これらのアプリケーション内のデータおよび機能を決定できます。「Oracle User Mangementによるアクセス制御」の「概要」で、「ロール・ベースのアクセス制御(RBAC)」を参照してください。
「セキュリティ管理者」ロールが割り当てられたユーザー(通常はsysadmin)でログオンし、ナビゲータで「ユーザー管理」職責を選択し、「ロールおよびロール継承」サブタブをクリックします。
「ロールの作成」ボタンをクリックします。
ロールの構成に必要な情報を入力し、オプションで、次のタブにアクセスしてロールの構成を続行します。
「権限」。このタブを使用して、ロールに権限を割り当てます。
「セキュリティ」ウィザードを使用した委任管理の設定
この項の情報は、Oracle User Managementアプリケーションのコンテキストにおける委任管理ロールにのみ適用されます。
「保存」または「適用」をクリックして変更を保存します。
オプションで、次の操作を実行してロールを更新します。
「検索」フィールドを使用するか、または「ロール継承階層」メニューで適切なノードを開くことで、変更するロールを検索します。
「更新」アイコンをクリックし、必要に応じてロールを変更します。
「保存」ボタンを使用すると、変更が保存され、引き続き現在のページに変更が表示されます。「適用」ボタンを使用すると、変更が保存され、前のページに戻ります。オプションで、ロールの作成および更新プロセス中に、ロール・カテゴリを使用してロールを編成できます。これを行わない場合は、デフォルトによりロールが「その他」ロール・カテゴリに格納されます。詳細は、「ロール・カテゴリの定義」を参照してください。また、「ロール継承階層の定義」を使用して、必要な下位ロールまたは上位ロールを定義できます。
「セキュリティ・ウィザード」ページには、現在ログインしているユーザーが使用可能なセキュリティ・ウィザードのリストが表示されます。ウィザード名をクリックして起動すると、そのウィザードを使用してロール関連のデータ・セキュリティ・ポリシーを設定できます。ウィザードを完了すると、「ロールの作成 / 更新」UIに戻ります。
ロールに権限を割り当てるには、実行時にロールの担当者が使用できるナビゲーション・メニュー、権限セットまたはデータ・セキュリティ・ポリシー(あるいはそのすべて)を指定した付与を作成します。メニューおよび権限セットにも、個々の機能および権限が含まれます。「Oracle User Mangementによるアクセス制御」の「概要」で、「ロール・ベースのアクセス制御(RBAC)」を参照してください。
「セキュリティ管理者」ロールが割り当てられたユーザー(通常はsysadmin)でログオンし、ナビゲータで「ユーザー管理」職責を選択し、「ロールおよびロール継承」サブタブをクリックします。
「ロール継承階層」で、権限を割り当てるロールにアクセスし、「更新」アイコンをクリックします。
「権限」サブタブをクリックし、「付与の作成」ボタンをクリックします。
必要な情報を入力し、「次へ」をクリックして付与を定義します。
「名称」および「有効開始日」など、付与の識別に必要な情報を入力します。
「セキュリティ・コンテキスト」。このオプション・パラメータは、割り当てられる権限の可用性を制限します。セキュリティ・コンテキストを定義しない場合、すべてのコンテキストにおいてユーザーが権限を使用できます。セキュリティ・コンテキストは、有効化コンテキストとも呼ばれます。
「営業単位」。多くの場合、組織は複数の異なる営業単位で構成されます。個々の営業単位のコンテキストでのみ有効となるように付与を制限できます。
「職責」。職責により、ユーザーがアクセスできるアプリケーションが決定されます。オプションで、個々の職責のコンテキストでのみ、またはすべての職責で使用可能となるように付与を制限できます。
「データ・セキュリティ」。データ・セキュリティ・ポリシーを作成するときは、ビジネス・オブジェクトを選択する必要があります。詳細は、「Oracle Application Object Libraryセキュリティ」の章を参照してください。
前のステップで特定のオブジェクトを定義した場合、そのオブジェクトのオブジェクト・データ・コンテキスト(データ・スコープとも呼ばれます)を選択します。オブジェクト・データ・コンテキストを指定すると、オブジェクトのアクセス粒度の追加レベルが提供されます。「データ・コンテキスト」メニューから次のいずれかを選択します。
「すべての行」。このオプションを選択すると、データベース・オブジェクトのすべての行へのアクセスが可能になります。たとえば、データベース・オブジェクトが書籍である場合、オブジェクトのすべての行に対してデータ・セキュリティ・ポリシーを作成すると、データベースに列挙されたすべての書籍へのアクセスが可能になります。
「インスタンス」。このオプションを選択すると、オブジェクトの1つのインスタンスへのアクセスが可能になります。一般に、特定のインスタンスがデータベース内の1行に対応しており、通常はオブジェクトの主キー値によって識別されます。たとえば、書籍オブジェクトのデータ・セキュリティ・ポリシーには一意のISBN番号が含まれ、データベースから1つの書籍のみが戻されます。
「インスタンス・セット」。このオプションを選択すると、オブジェクトの関連インスタンス・セットへのアクセスが可能になります。このセットは、オブジェクトの属性に対する条件として指定されます。条件はSQL WHERE句として表現され、オプションでVPDポリシーとして実装できます。たとえば、データ・セキュリティ・ポリシーには、2005年に出版されたすべての書籍のインスタンス・セットが含まれる可能性があります。
値リストからオプションを選択して、ロールに割り当てる機能(権限)が含まれる必要な権限セットまたはナビゲーション・メニューを選択します。
付与情報を確認し、「終了」をクリックします。
委任管理権限により、委任管理者(ローカル管理者)が管理できるユーザー、ロールおよび組織情報が決定されます。各権限は個別に付与されますが、この3つを組み合せて機能させることにより、委任管理者に完全な機能セットを提供します。「Oracle User Mangementによるアクセス制御」の「概要」で、「委任管理」を参照してください。
ローカル管理者には、ローカル管理者が管理できるユーザーを決定するユーザー管理権限を付与する必要があります。ローカル管理者には、ユーザーのサブセットごとに異なる権限を付与できます。たとえば、ローカル管理者には、あるユーザーのセットについては問合せの権限のみ付与し、別のユーザーのセットについてはフル権限(更新およびパスワードのリセットを含む)を付与できます。ローカル管理者は、管理権限を持っていないユーザーを問い合せることはできません。
Oracle User Managementには、ロールに対してユーザー管理権限を定義するための次のシード済権限が組み込まれています。
| 機能コード | 表示名 | 説明 |
|---|---|---|
| UMX_OBJ_ACTIVATE_ACCT | ユーザー・アカウントの作成、 無効化、 再有効化、ユーザー名の更新 | ユーザー・アカウントの作成、無効化、再有効化およびユーザー名の更新を行う権限。「ユーザー管理の個人」に対するデータ・セキュリティ・ポリシーとともに付与する必要があります。 |
| UMX_OBJ_EDIT_PERSON | 個人詳細の編集 | 個人詳細を編集する権限。「ユーザー管理の個人」(UMX_PERSON_OBJECT)ビジネス・オブジェクトに対するデータ・セキュリティ・ポリシーとともに付与する必要があります。 |
| UMX_OBJ_PASSWD_MGMT | パスワードの再設定 | パスワードを再設定する権限。「ユーザー管理の個人」(UMX_PERSON_OBJECT)ビジネス・オブジェクトに対するデータ・セキュリティ・ポリシーとともに付与する必要があります。 |
| UMX_OBJ_VIEW_PERSON | 個人詳細の問合せ | 個人詳細を問い合せる権限。「ユーザー管理の個人」(UMX_PERSON_OBJECT)ビジネス・オブジェクトに対するデータ・セキュリティ・ポリシーとともに付与する必要があります。
注意: これは、Oracle User Managementで個人およびユーザーを管理するセキュリティ管理者が必要とする最小限の権限です。 |
| UMX_SYSTEM_ACCT_ADMINSTRATION | システム・アカウント保守(個人にリンクされないユーザー) | 全システム・アカウント(個人に関連付けられないユーザー・アカウントとして定義)の作成、無効化、再有効化、パスワード再設定。
注意: システム管理者にのみ付与してください。 |
「セキュリティ管理者」ロールが割り当てられたユーザー(通常はsysadmin)でログオンし、ナビゲータで「ユーザー管理」職責を選択し、「ロールおよびロール継承」サブタブをクリックします。
ロール階層で、ユーザー管理権限を割り当てるロールにアクセスし、「更新」アイコンをクリックします。
「セキュリティ・ウィザード」ボタンをクリックします。
「ユーザー管理 : セキュリティ管理設定」の「ウィザードを実行」アイコンをクリックします。
「ユーザー管理」サブタブをクリックし、「行の追加」ボタンをクリックします。
「ユーザー」フィールドで、ロールの割当て先となる管理者が管理できるユーザーのセットを選択します。ドロップダウン・リストには、「ユーザー管理の個人」オブジェクト(UMX_PERSON_OBJECT)に関係する様々なデータ・セキュリティ・ポリシーが含まれます。Oracle User Managementには、ユーザーのサンプル・データ・セキュリティ・ポリシーが組み込まれています。組織は、これらのポリシーを使用するか、独自のポリシーを作成できます。詳細は、「データ・セキュリティ・ポリシーの定義」を参照してください。
「権限」フィールドで、委任管理ロールに関連付ける権限を選択します。権限により、前のステップで定義したユーザーのセットを管理する際に管理者が実行できる処理が決定されます。「権限」ドロップダウン・リストには、「ユーザー管理の個人」オブジェクトに関連付けられた権限が含まれる権限セットが含まれます。組織は、既存の権限の様々な組合せを新規権限セットにグループ化することで、ビジネス・ニーズおよびユーザーの管理に必要とする粒度レベルに基づいて権限セットを追加できます。詳細は、「権限セット」を参照してください。
「保存」または「適用」をクリックして変更を保存します。
委任管理は、異なるユーザーのサブセットに対する異なる権限を提供できます。ロールに対してユーザーおよび権限を定義した後は、オプションで、「表示」ノードをクリックして権限セットに属する権限を表示できます。また、「削除」アイコンをクリックして、ユーザーのセットに対するユーザー管理権限を削除できます。
「ロール管理権限」では、ローカル管理者が自分で管理するユーザーのセットに対して直接割当ておよび取消し可能なロールを定義します。
Oracle User Managementには、ロールに対してロール管理権限を定義するための次のシード済権限が組み込まれています。
| 機能コード | 表示名 | 説明 |
|---|---|---|
| UMX_OBJ_ADMIN_ROLE | ロールの割当 / 取消 | ユーザー管理アプリケーションでロールの割当ておよび取消しを行う権限。「ユーザー管理ロール」(UMX_ACCESS_ROLE)ビジネス・オブジェクトに対するデータ・セキュリティ・ポリシーとともに付与する必要があります。 |
「セキュリティ管理者」ロールが割り当てられたユーザー(通常はsysadmin)でログオンし、ナビゲータで「ユーザー管理」職責を選択し、「ロールおよびロール継承」サブタブをクリックします。
ナビゲーション・メニューで、ロール管理を定義するロールにアクセスし、「更新」アイコンをクリックします。
「セキュリティ・ウィザード」ボタンをクリックします。
「ユーザー管理 : セキュリティ管理設定」の「ウィザードを実行」アイコンをクリックします。
「ロール管理」リンクをクリックし、「使用可能ロール」フィールドを使用して、このロールに関連付け、このロールが割り当てられた後に管理者が管理できるロールを検索します。
目的のロールを選択して「選択済ロール」列に移動し、「保存」または「適用」をクリックします。
「保存」ボタンを使用すると、変更が保存され、引き続き現在のページに変更が表示されます。「適用」ボタンを使用すると、変更が保存され、前のページに戻ります。
組織管理権限は、ローカル管理者がOracle User Managementで表示できる外部組織を定義します。この権限により、管理者は組織に基づいて個人を検索できます。この場合、ローカル管理者にはその組織内の個人を表示するためのアクセス権限(ユーザー管理権限)も付与されていることが前提となります。付与されている管理者アカウント登録プロセスに応じて、管理者はその組織の新規個人を登録できる場合があります。
Oracle User Managementには、ロールに関する組織管理権限を定義するための次のシード済権限が組み込まれています。
| 機能コード | 表示名 | 説明 |
|---|---|---|
| UMX_OBJ_VIEW_RLTNSHPS | 組織関連の問合せ/登録 | 組織関連を問合せおよび登録する権限。「ユーザー管理組織」(UMX_ORGANIZATION_OBJECT)ビジネス・オブジェクトに対するデータ・セキュリティ・ポリシーとともに付与する必要があります。 |
「セキュリティ管理者」ロールが割り当てられたユーザー(通常はsysadmin)でログオンし、ナビゲータで「ユーザー管理」職責を選択し、「ロールおよびロール継承」サブタブをクリックします。
ナビゲーション・メニューで、組織管理を定義するロールにアクセスし、「更新」アイコンをクリックします。
「セキュリティ・ウィザード」ボタンをクリックします。
「ユーザー管理 : セキュリティ管理設定」の「ウィザードを実行」アイコンをクリックします。
「組織管理」リンクをクリックし、「組織権限の割当」ボタンをクリックします。ドロップダウン・リストには、「ユーザー管理の個人」オブジェクト(UMX_PERSON_OBJECT)に関係する様々なデータ・セキュリティ・ポリシーが含まれます。Oracle User Managementには、組織管理権限のサンプル・データ・セキュリティ・ポリシーが組み込まれています。組織は、これらのポリシーを使用して独自のポリシーを作成できます。
適切な組織権限を検索し、選択します。
「保存」または「適用」をクリックして変更を保存します。
「保存」ボタンを使用すると、変更が保存され、引き続き現在のページに変更が表示されます。「適用」ボタンを使用すると、変更が保存され、前のページに戻ります。
Oracle Applicationsでは、組織はデータ・セキュリティを使用して、オブジェクトへのアクセス権限を制御する権限割当てを管理できます。データ・セキュリティ・ポリシーは、データ・セキュリティ・フレームワークを利用するために記述されたアプリケーションに対してのみ定義できます。詳細は、「データ・セキュリティの概要」を参照してください。特定のオブジェクトへのアクセス権限は、指定されたデータ・セキュリティ・ポリシー(データ・スコープまたはアクセス・ポリシーとも呼ばれます)により構成する必要があります。データ・セキュリティ・ポリシーは、操作を対応するデータベース・オブジェクトのインスタンスのサブセットに対してのみ実行できるように、操作を制限します。詳細は、「オブジェクト・インスタンス・セット」を参照してください。
「機能開発者」職責を持つユーザーでログオンし、ナビゲータで「機能開発者」職責をクリックし、「セキュリティ」タブにナビゲートして「オブジェクト」サブタブをクリックします。
データ・セキュリティ・ポリシーを作成するオブジェクトを検索し、アクセスします。たとえば、「ユーザー管理の個人」ビジネス・オブジェクト(UMX_PERSON_OBJECT)を検索するには、「コード」フィールドに「UMX%」と入力し、「進む」ボタンをクリックして、検索結果リストで「ユーザー管理の個人」オブジェクト(UMX_PERSON_OBJECT)をクリックします。ポリシーを作成するすべてのオブジェクトについて、SQL文がそのオブジェクトの主キー値を戻すことを確認してください。この例では、個人パーティIDのリストです。
「オブジェクト・インスタンス・セット」サブタブをクリックします。「インスタンス・セットの作成」ボタンをクリックして新規オブジェクト・インスタンス・セットを作成するか、または「更新」アイコンをクリックして既存のオブジェクト・インスタンス・セットを変更します。
必要な情報を入力し、「適用」ボタンをクリックします。
注意: パフォーマンス上の理由により、SQL条件が適切に調整されていることを確認し、またセキュリティ上の理由により、SQL条件がテストされ、正しい結果を戻すことを確認してください。オラクル社では、組織が定義したデータ・セキュリティ・ポリシーのパフォーマンスまたは正確さについて責任を負いません。
ロール継承階層を使用することで、ロールに下位ロールを含めることができます。ユーザーにロールが割り当てられると、ユーザーはそのロールおよびすべての下位ロールに対して定義された権限を継承します。たとえば、「営業マネージャ」ロールには「マネージャ」および「営業担当」ロールを含めることができ、その両方に「従業員」ロールを含めることができます。「営業マネージャ」ロールが付与されている個人はすべて、「マネージャ」、「営業担当」および「従業員」ロールを自動的に継承します。
図3-1 ロール継承階層
「ロール継承階層」では、ロールはその下位ロールに割り当てられた権限を継承します。
「セキュリティ管理者」ロールが割り当てられたユーザー(通常はsysadmin)でログオンし、ナビゲータで「ユーザー管理」職責を選択し、「ロールおよびロール継承」サブタブをクリックします。
「検索」フィールドを使用するか、「ロール継承階層」メニューで適切なノードを開くことで、ロール継承階層を作成するロールを検索します。複数のロールが含まれるロール継承階層を作成する場合、継承される下位ロールを追加する最上位ロールから始めます。
このロールの隣の「ノードの追加」アイコンをクリックします。
表示されたメニューで、「検索」フィールドを使用するか、または「ロール継承階層」メニューでロールを検索します。
ロールを選択してから、「選択」ボタンまたは「クイック選択」アイコンをクリックします。
このプロセスを繰り返して、必要なすべての下位ロールを対応する上位ロールに追加します。オプションで、ロール継承階層内のすべての上位ロールのノードを開くことで、結果を確認できます。また、「ノードの削除」アイコンをクリックして、任意の下位ロールを削除できます。
組織は、それぞれの要件に応じて、ロール継承階層に異なる配置オプションを使用できます。
すでに職責を定義した組織は、ロールを作成し、既存の職責をこれらのロールに割り当てることで、RBACを利用できます。たとえば、組織は「従業員」ロールと「マネージャ」ロールを作成し、これらに「費用」職責と「Human Resources」職責を追加し、それぞれ従業員とマネージャがこれらの職責を使用できるようにするとします。その場合、組織はこれらの各職責を従業員に手動で割り当てたり取り消すかわりに、必要に応じて単に「従業員」ロールと「マネージャ」ロールを割当てまたは取消しできます。「マネージャ」ロールは「従業員」ロールを継承しているため、「マネージャ」ロールが割り当てられたマネージャは、「従業員」ロールに関連付けられた職責および権限もすべて継承します。
次の例では、人事管理マネージャが「マネージャ」ロールを介して「Human Resourcesマネージャ・セルフ・サービス」職責を継承し、さらに、「マネージャ」ロールが「従業員」ロールから継承した「Human Resources従業員セルフ・サービス」職責を継承します。
注意: この項では、「費用」職責および「Human Resources」職責への参照は例としてのみ使用しています。アプリケーションによっては、組織はアプリケーションの既存のセキュリティ・モデルで動作する複数の職責を作成する必要があります。詳細は、アプリケーション固有のマニュアルを参照してください。
図3-2 ロール継承を使用したロールへの既存の職責の割当て
「マネージャ」および「従業員」など、必要な役職機能を表すロールを作成します。
ロール継承階層を定義します。詳細は、「ロール継承階層の定義」を参照してください。
職責が対応するロールにより継承されていることを確認します。
必要に応じてロールをユーザーに割り当てます。
旧リリースのOracle Applicationsでは、アプリケーション内の個々の機能へのアクセスは、職責、メニュー階層およびメニュー排他によってのみ定義可能でした。職責には、アプリケーションのナビゲーション・メニューの定義とアプリケーションに対する権限の付与という二重の役割があり、アプリケーション内のページ・セットへのアクセスを必要とする様々なジョブ機能を持つユーザー・セットごとに、次のいずれかを設定した新規職責を定義する必要がありました。
職責ごとの完全に新しいメニュー階層
アプリケーション内の全機能のスーパーセットをカバーする共通メニューおよび職責ごとに定義されたメニュー排他ルール
たとえば、Human Resourcesアプリケーションでは通常、少なくとも従業員とマネージャのそれぞれに1つずつ、あわせて2つの職責が必要でした。
Oracle User Managementでは、アプリケーションへのアクセス権限を定義する新しい代替の方法として、RBACおよびロール継承を使用する方法を提供しています。これにより、組織はナビゲーション・メニューをアクセス制御と分離できます。現在では、アプリケーション自体を表すものとして職責を定義できるようになり、その結果、アプリケーションごとに必要な職責は1つのみとなります。アプリケーションごとに、使いやすさとエンド・ユーザーのナビゲーションの実際の使い心地を特に考慮してメニューをカスタマイズできます。かわりに、アプリケーション(職責)の各部およびその対応するメニュー階層へのアクセスは、様々なロールによって制御され、各ロールが特定のジョブ機能または個人のセットを表します。
このメカニズムを使用したアクセス制御の決定には、複数の利点があります。
管理および変更は最小限の作業で実行できます。
単一メニューに新規ページを追加するだけです。
新規ページへのアクセス権限は、ロール継承階層内の最下位レベル(下位ロール)に1度付与するだけです。
完全に新しいアプリケーション(職責)が個人のセットに自動的に割り当てられるためには、これを既存のロールの下位ロールとして定義するだけです。
新規アプリケーション内の各種ページおよび機能へのアクセス権限を割り当てる必要があるのは、ロール継承階層内の最下位レベルのみです。これらの権限は、階層内のすべての上位ロールによって自動的に継承されます。
あるページまたはアプリケーション全体へのアクセス権限の取消しは、アクセス権限の追加と同じくらい容易に実行できます。
エンド・ユーザーによる操作性が向上しています。エンド・ユーザーは、アプリケーション・ナビゲータでアクセスできるアプリケーションのリストを参照できます。各アプリケーション内の各種機能へのアクセス権限は、エンド・ユーザーに割り当てられたロールによって決定されます。
注意: この項では、「費用」職責および「Human Resources」職責への参照は例としてのみ使用しています。アプリケーションによっては、組織はアプリケーションの既存のセキュリティ・モデルで動作する複数の職責を作成する必要があります。詳細は、アプリケーション固有のマニュアルを参照してください。
「費用」または「Human Resources」など、特定のアプリケーションを表すために使用される新規職責を定義します。詳細は、「職責の定義」を参照してください。
アプリケーション内のすべてのメニュー機能および必要なすべての下位メニューが含まれる完全なメニューを設計し、このメニューを新規職責に関連付けます。たとえば、「費用」職責および「Human Resources」職責のどちらにも、従業員およびマネージャのすべてのメニューが含まれます。詳細は、「新規メニュー構造の定義」を参照してください。
最小限の権限の原則に従って、アプリケーション内のすべてのメニュー・オプション(各メニュー項目は機能および権限に対応)がデフォルトで使用不可となる必要があります。そのためには、メニュー項目ごとに「付与」チェック・ボックスの選択を解除します。
次の図は、メニューがすべて使用不可となったアプリケーション職責(この場合は「費用」および「Human Resources」)を示しています。
図3-3 アプリケーション全体でメニューが使用不可となっている職責
注意: この段階でユーザーに職責を割り当てた場合、ユーザーはアプリケーション内のどのメニュー項目(機能)にもアクセスできません。
アプリケーションへのアクセス権限が必要な各種役職機能を持つ個人を表すロール(「マネージャ」ロールおよび「従業員」ロールなど)を作成します。詳細は、「ロールの作成および更新」を参照してください。
ロール継承関連を定義します。詳細は、「ロール継承階層の定義」を参照してください。たとえば、「マネージャ」ロールは「従業員」ロールを継承し、「従業員」ロールは「費用」職責および「Human Resources」職責を継承する必要があります。次の図は、ロールがその下位ロールが継承する職責を継承する、ロール継承関連を示しています。
図3-4 下位ロールが継承する職責をロールが継承するロール継承関連
各ロールに権限を割り当てます。詳細は、「ロールに対する権限の割当て」を参照してください。各権限は、ロールが割り当てられたユーザーが使用できる必要があるアプリケーション(職責)内のメニュー項目(機能)にマップされます。たとえば、組織は「費用」職責および「Human Resources」職責の従業員関連権限を「従業員」ロールに付与し、これらの職責のマネージャ関連権限を「マネージャ」ロールに付与します。その結果、「マネージャ」ロールはこれらの職責内のすべてのメニュー項目にアクセスできますが、「従業員」ロールは従業員関連機能にのみアクセスできます。
図3-5 権限、ロールおよび継承
ロール継承階層内の下位ロールに割り当てられた権限は、上位ロールによって自動的に継承されます。たとえば、「オンライン納税申告書」ページへのアクセス権限を「従業員」ロールに付与した場合、「マネージャ」ロールが割り当てられたユーザーは、ロール継承により自動的にこのページへのアクセスが可能になります。採用および解雇指示のページは「マネージャ」ロールにのみ付与されるため、「従業員」ロールのみが割り当てられたユーザーはこのページを使用できません。
権限は、常に権限セットによって割り当てられます。権限セットは、指定の機能(権限)セットを表します。各ロールに付与する権限(機能およびメニュー項目)を決定する場合、新規権限セットの作成が必要となる場合があります。メニューおよび権限セットはデータベース内の同じ表に格納されます。つまり、権限を割り当てる際に双方の交換が可能です(どちらも使用できます)。
オプションにより、各アプリケーションごとに必要に応じて、追加権限およびデータ・セキュリティ・ポリシーをロールに割り当てます。
Oracle User Managementには、次の「顧客管理者」ロールおよび「セキュリティ管理者」ロールが組み込まれています。これらのロールは、ロールおよびロール継承を設定してアプリケーション(職責)内のユーザー・アクセスを決定する方法を示しています。どちらのロールも「ユーザー管理」職責を継承しますが、各ロールには異なる権限およびデータ・セキュリティ・ポリシーが付与されています。「ユーザー管理」職責では、メニュー階層内のすべての機能(権限)について「付与」フラグが削除されています。かわりに、これらの権限は各ロールの要件に応じてロールに付与されます。
| ロール属性 | 顧客管理者 | セキュリティ管理者 |
|---|---|---|
| 権限セット |
|
|
| ユーザー管理 |
|
|
| その他の権限 |
|
|
登録プロセスは事前定義済の登録コンポーネントであり、これによってエンド・ユーザーは、新規アカウントの要求またはシステムへの追加アクセスの要求など、独自の登録タスクを実行できます。登録プロセスは、管理者に対し、新規ユーザー・アカウントをより迅速かつ効率的に作成する方法も提供します。
Oracle User Managementでは、次の4タイプの登録プロセスを提供しています。
セルフ・サービス・アカウント要求
追加アクセスに対するセルフ・サービス要求
管理者によるアカウントの作成
管理者支援による追加アクセス要求
「Oracle User Managementによるアクセス制御」の「プロビジョニング・サービス」を参照してください。
すべての登録プロセスにおいて、同じインフラストラクチャおよびプロセス・ロジックが使用されます。登録プロセスを定義するステップは、作成する登録プロセスのタイプに応じて異なります。
「セキュリティ管理者」ロールが割り当てられたユーザー(通常はsysadmin)でログオンし、ナビゲータで「ユーザー管理」職責を選択し、「登録プロセス」サブタブをクリックします。
「登録プロセスの作成」ボタンをクリックします。
「登録プロセスの作成: 摘要」に必要な情報を入力し、「次へ」ボタンをクリックします。この情報により次の内容が指定されます。
「ロール」。オプションで登録プロセスを関連付けるロールであり、要求が処理されると、登録プロセスの最後にこのロールがユーザーに割り当てられます。
「タイプ」。作成する登録プロセスのタイプ。
「登録プロセス・コード」。登録プロセスの一意の識別子。
「表示名」。登録プロセスの表示名。
「摘要」。登録プロセスの摘要。
「アプリケーション」。登録プロセスが分類されるアプリケーション。この情報は登録プロセスの問合せに使用できます。
「有効:自」。登録プロセスが最初に有効になる日付。
「有効:至」。登録プロセスの終了をオプションで指定できる日付。
登録プロセスのランタイム実行情報を入力し、「次へ」ボタンをクリックします。この情報により次の内容が指定されます。
「登録開始ページ」。追加のユーザー登録情報を取得する登録プロセスの最初のページ(機能として表示されます)。「セルフ・サービス・アカウント要求」登録プロセスを作成している場合を除き、この情報の入力はオプションです。
「通知イベント」。ワークフローを起動するワークフロー・ビジネス・イベント。通知ワークフローはイベントを予約し、後で通知を承認者またはユーザーに送信します。
「承認取引タイプ」。実行時にOracle Approval Managementルール・エンジンにより解釈される承認ルーティング・ルールのセット。これらのルールでは、Oracle User Managementでの使用を目的として定義したユーザー取引タイプに基づいて、承認が必要かどうか、およびどのユーザー・セットにより必要とされているかが決定されます。
「ビジネス・イベント名」。Oracle User Managementにより処理のためにコンテキスト情報を使用して呼び出されるカスタム・ビジネス・イベント。
「使用可能グループ」列から適切なロールまたはグループを選択し、「発行」ボタンをクリックして、登録プロセスの適格性情報を入力します。「追加アクセスに対するセルフ・サービス要求」の場合、適格性により、登録プロセスに関連付けられたロールに対して登録できるユーザーが定義されます。「管理者によるアカウントの作成」の場合、適格性により、登録プロセスによって新規ユーザーを登録できる管理者が決定されます。Oracle User Managementには、適格性ポリシーを定義する次のシード済権限が組み込まれています。
| 機能コード | 表示名 | 説明 |
|---|---|---|
| UMX_OBJ_ADMIN_CRTN_FLOW | 管理者アシストありアカウント作成 | 「管理者アシストありアカウント作成」登録プロセスを表す権限。「登録プロセス」(UMX_REG_SRVC)ビジネス・オブジェクトに対するデータ・セキュリティ・ポリシーとして付与する必要があります。 |
| UMX_OBJ_ROLE_ELGBLTY | セルフ・サービス適格 | 追加アクセスの登録プロセスを表す権限。指定のロールまたは登録プロセスに対して登録に適格なエンド・ユーザーのセットを決定します。「登録プロセス」(UMX_REG_SRVC)ビジネス・オブジェクトに対するデータ・セキュリティ・ポリシーとして付与する必要があります。 |
Oracle User Managementで呼び出される適切なビジネス・イベントの予約を登録し、予約ロジックにより登録データが適切な目的スキーマに書き込まれることを確認します。
オプションで、登録プロセスを検索し、検索結果ページで「更新」ボタンをクリックして、登録プロセスを更新します。
オプションで、「セルフ・サービス・アカウント要求」タイプの登録プロセスについて、次のプロファイル・オプションを設定します。
登録リンク。Oracle User Managementは、ログイン・ページへのアクセスに使用される中間層に基づいてログイン・ページに異なる登録リンクを表示することをサポートしています。組織は、サーバー・レベルのプロファイル・オプション「UMX: 「ここで登録」リンク - デフォルト登録プロセス」(UMX_REGISTER_HERE_REG_SRV)を設定し、登録リンクに異なるリンク先を指定できます。
登録パラメータ。登録リンクには、設計時に認識されていない追加パラメータを含めることもできます。これらのパラメータは、登録プロセスの全段階で、たとえば承認要求のルーティングなどのために使用できます。この目的でサーバー・レベルのプロファイル・オプション「UMX: 「ここで登録」リンク - デフォルト登録パラメータ」(UMX_REGISTER_HERE_REGPARAMS)を設定できます。このプロファイル・オプションの設定書式は、「ParamName1=ParamValue1&ParamName2=ParamValue2」です。
UI固有パラメータ。組織は、登録UIに表示されるメニューなど、登録ユーザー・インタフェースのレンダリングの管理に使用するパラメータを追加指定できます。この目的で、サーバー・レベルのプロファイル・オプション「UMX: 「ここで登録」リンク - デフォルトHTMLパラメータ」(UMX_REGISTER_HERE_HTMLPARAMS)を設定できます。このプロファイル・オプションの設定書式は、「ParamName1=ParamValue1&ParamName2=ParamValue2」です。
注意: 変更を有効にするには、場合によってApacheサーバーを再起動する必要があります。
Oracle User Managementの登録インフラストラクチャは、構成可能なユーザー名ポリシーをサポートしています。このポリシーは、アプリケーションに組み込まれているサンプル・ユーザー作成フローで提示ユーザー名を生成する際、および選択したユーザー名書式を検証する際に使用されます。
注意: Oracle User Managementには、ユーザーをEメール・アドレスで識別するデフォルト・ポリシーが用意されています。
次の表に、Oracle Applicationsに付属するシード済ユーザー名ポリシーを示します。
| コード | 説明 |
| UMX_USERNAME_POLICY:EMAIL_ADDRESS | ポリシーで定義されたEメール・アドレス書式を使用するユーザー名ポリシー |
| UMX_USERNAME_POLICY:NONE | ユーザー名書式に制限のないユーザー名ポリシー |
管理者は、これらのシード済ポリシーのいずれかを構成できます。さらに、必要な場合はカスタム・ポリシーを実装することも可能です。
注意: カスタム・ポリシー作成方法の詳細は、OracleMetaLinkの『UMX Developer's Guide』(Note 399400.1)を参照してください。
ユーザー名ポリシーの構成は、3段階のプロセスです。
第1段階: 提示ユーザー名生成のサブスクリプション設定
「ワークフロー管理者Webアプリケーション」職責を割り当てられたユーザー(通常はsysadmin)でログオンします。
「ワークフロー管理者Webアプリケーション」->「ビジネス・イベント」の順にナビゲートします。
「ビジネス・イベント」ページで、oracle.apps.fnd.umx.username.generateという名前のビジネス・イベントを検索します。
「サブスクリプション」アイコンをクリックして「サブスクリプション」ページにナビゲートします。
ポリシーに対応するサブスクリプションのステータスを「使用可能」に変更します。
第2段階: 検証イベントのサブスクリプション設定
「ワークフロー管理者Webアプリケーション」職責を割り当てられたユーザー(通常はsysadmin)でログオンします。
「ワークフロー管理者Webアプリケーション」->「ビジネス・イベント」の順にナビゲートします。
「ビジネス・イベント」ページで、oracle.apps.fnd.user.name.validateという名前のビジネス・イベントを検索します。
「サブスクリプション」アイコンをクリックして「サブスクリプション」ページにナビゲートします。
ポリシーに対応するサブスクリプションのステータスを「使用可能」に変更します。
第3段階: プロファイル・オプション設定
機能管理者職責を割り当てられたユーザー(通常はsysadmin)でログオンします。
機能管理者->「コア・サービス」->「プロファイル」の順にナビゲートします。
「プロファイル・オプションの保守」ページでプロファイル名「UMX: ユーザー名ポリシー」を指定して検索します。
「更新」アイコンをクリックして「プロファイルの更新オプション」ページにナビゲートします。
ポリシーに対応する値を選択して「適用」ボタンをクリックします。
前述の3段階すべてで、設定値は同じユーザー名ポリシーに対応している必要があります。
ユーザー名ポリシーの変更後は、リスナーとJVMを再起動する必要があります。
Oracle Applicationsのアクセス制御の委任管理レイヤーにより、ローカル管理者は、具体的に定義された様々な管理タスクを実行できます。ローカル管理者は、適切なロールが割り当てられると、アクセス可能なユーザーおよび個人のサブセットを管理します。この管理では、アカウントの作成、更新または無効化、組織のロールの限定セットの付与または取消しおよびパスワードの変更が可能です。
Oracle User Managementにより、ローカル管理者はシステム内の個人およびユーザーを管理できます。個人は、ユーザー・アカウントを所有する、または所有しないシステム内の個人ですが、ユーザーは、ユーザー・アカウントを所有するシステム内の個人です。さらに、システム管理者は個人にリンクされていないゲスト・アカウントなどのシステム・アカウントも管理できます。
通常、個人およびユーザーはローカル管理者によって管理されます。この場合、ローカル管理者は次のタスクを実行できます。
新規個人の登録(オプション。「管理者によるアカウントの作成」登録プロセスへのアクセス権限が付与されていることが必須)
ユーザー・アカウントの作成、更新または無効化
パスワードの再設定
ロールの割当てまたは取消しによる、システムの様々な部分へのアクセス権限のユーザーに対する付与
前の項で示した委任管理タスクを実行するための前提条件を次に示します。各タスクには追加の前提条件がある場合があります。
「ユーザー保守UI」(UMX_USER_ADMIN_UI_PERMS)権限セットが付与されているロール。このロールは、「ユーザー管理」職責も継承する必要があります。
「ユーザー管理」、「ロール管理」および「組織管理」の適切な権限。
管理者が管理できる個人のセットに関する「個人詳細の問合せ」(UMX_PERSON_OBJECT)権限。
管理者が管理できる個人のセットに関する「個人詳細の編集」(UMX_OBJECT_EDIT_PERSON)権限(オプション)。
システム管理者の場合、「システム・アカウント保守」(UMX_SYSTEM_ACCOUNT_ADMINISTRATION)権限。
「ユーザー管理」職責にナビゲートし、「ユーザー」サブタブをクリックします。
検索フィールドを使用して、必要な個人またはユーザーを検索します。
生成された個人またはユーザーのリストで、必要なアイコンをクリックし、結果のウィンドウで必要なステップを実行して管理します。個人およびユーザーの管理オプションは、管理者に割り当てられた権限によって異なります。Oracle User Managementには、個人およびユーザーを保守する次の基本オプションおよび拡張オプションが用意されています。
ユーザーの問合せ
個人情報の編集
パスワードの再設定
アカウント情報の保守(アカウントの作成、無効化、再有効化)
システム・アカウント保守
ロールの割当 / 取消
管理者は、システム内のユーザー・アカウントを所有していない個人に対して、ユーザー・アカウントを作成できます。
ユーザー・アカウントを作成、無効化および再有効化するには、管理者に次の権限が割り当てられている必要があります。
共通の前提条件。詳細は、「個人およびユーザーの保守」の「共通の前提条件」を参照してください。
管理者が管理できる個人のセットに関する「ユーザー・アカウントの作成、 無効化、 再有効化」(UMX_OBJ_ACTIVATE_ACCT)権限。
デフォルトでは、ユーザー名は個人のEメール・アドレスから導出されます。
「ユーザー管理」職責へのアクセス権限を付与するロールを持つユーザーでログインし、ナビゲータで「ユーザー管理」職責を選択し、「ユーザー」サブタブをクリックします。
アカウントを作成する個人を検索し、アカウントがまだ存在しない場合は、個人名の隣の「アカウントの作成」アイコンをクリックします。検索すると、管理に適格なユーザーのサブセットについてのみ結果が生成されます。
必要な情報を入力または変更し、「発行」ボタンをクリックします。
個人のEメール・アドレスに基づくユーザー名を使用することをお薦めします。
Oracle User Managementにより、管理者は自分が管理するシステム内のユーザー・セットのパスワードを再設定できます。パスワードを再設定すると、「UMXパスワード」(UMXUPWD)ワークフローを使用して、Eメール・メッセージがユーザーに送信されます。
ユーザー・パスワードを再設定するには、管理者に次の権限が割り当てられている必要があります。
「個人およびユーザーの保守」の項で、「共通の前提条件」を参照してください。
管理者が管理できるユーザーに対する「パスワードの再設定」(UMX_OBJ_PASSWD_MGMT)権限
「ユーザー管理」職責へのアクセス権限を付与するロールを持つユーザーでログインし、ナビゲータで「ユーザー管理」職責を選択し、「ユーザー」サブタブをクリックします。
「検索」フィールドを使用してパスワードを変更するユーザーを検索し、ユーザーの隣の「パスワードの再設定」アイコンをクリックします。
次のいずれかのオプションを選択し、必要な情報を指定して、「発行」ボタンをクリックします。
「自動生成」。追加情報は不要であり、自動的に新規パスワードが生成されます。
「手動入力」。パスワードの入力と確認を要求するプロンプトが表示されます。
パスワード再設定の対象となる個人は、パスワードが失効され、次回ユーザーがログインする際に再設定が必要であると記載されたEメール通知を受け取ります。この通知は、「UMXパスワード」(UMXUPWD)ワークフローによって送信されます。
Oracle User Managementでは、管理者は不正なパスワードによるログインの失敗が原因でロックされたユーザー・アカウントのロックを解除できます。
アカウントのロックを解除するには、管理者に次の権限が割り当てられている必要があります。
「個人およびユーザーの保守」の項で、「共通の前提条件」を参照してください。
管理者が管理できるユーザーに対する「パスワードの再設定」(UMX_OBJ_PASSWD_MGMT)権限。
「ユーザー管理」職責へのアクセス権限を付与するロールを持つユーザーとしてログインします。
ナビゲータで「ユーザー管理」職責を選択し、「ユーザー」サブタブをクリックします。
「検索」フィールドを使用して、アカウントのロックを解除するユーザーを検索します。「アカウント・ステータス」列にステータス「ロック済」とともに南京錠アイコンが表示されている場合、そのユーザー・アカウントはロックされています。
検索したユーザーの隣にある「パスワードの再設定」アイコンをクリックし、前項で説明したステップに従ってユーザーのパスワードを再設定します。パスワードを再設定すると、ユーザー・アカウントのロックが解除されます。
Oracle User Managementでは、管理者は自分が管理するユーザーのサブセットに対してロールを割り当てたり、ロールを取り消すことができます。管理者が割当てまたは取消しできるのは、管理権限が付与されているロールのみです。
ユーザーに対してロールの割当てまたは取消しを行うには、管理者に次の権限が割り当てられている必要があります。
共通の前提条件。詳細は、「個人およびユーザーの保守」の「共通の前提条件」を参照してください。
管理者が割当てまたは取消しを行うロールに対する適切な管理権限。詳細は、「ロールに対するロール管理権限の定義」を参照してください。
「ユーザー管理」職責へのアクセス権限を付与するロールを持つユーザーでログインし、ナビゲータで「ユーザー管理」職責を選択し、「ユーザー」サブタブをクリックします。
ロールの割当てまたは取消しを行う個人を検索し、個人名の隣の「更新」アイコンをクリックしてから、「ロール」サブタブをクリックします。
ユーザーにロールを割り当てるには、「ロールの割当」ボタンをクリックし、目的のロールを選択します。
ロールを削除するには、ロールに終了日を設定する必要があります。ロールが継承されたロールである場合、そのロールを削除するには、ロール継承階層内の元のロールを削除する必要があります。ロールの継承階層を表示するには、ロールの隣の「表示」ハイパーリンクをクリックします。
管理者は、自分が適切な権限を持つロールのみを付与または取消しできます。ロールに登録プロセスが存在する場合、登録プロセスが呼び出され、Oracle User Managementの登録エンジンによって要求が処理されます。ロールに登録プロセスが存在しない場合、ロールは直接割り当てられます。ロールが既存のユーザーの登録プロセスに関連付けられており、この登録プロセスに追加情報を取得するための参照が含まれる場合、「追加情報要」リンクがレンダリングされます。要求の処理前に、管理者はこのリンクをクリックして、必要な追加情報をすべて指定する必要があります。
Oracle User Managementは、管理者がユーザーにロールを割り当てる間に、職務分離制約の防止、検出、規定および解決のためにOracle Internal Controls Manager(ICM)と統合されます。
たとえば、どのユーザーにもロールAとロールBの兼務を許可しないように、制約を(ICMの一連のUIを使用して作成して)定義できます。このような場合、すでにロールAを付与されているユーザーに管理者がロールBを割り当てようとすると、ダイアログ・ページに制約違反情報が表示されます。
この時点で、管理者は次の2つの処理のいずれか一方を実行できます。
ロール割当てページに戻り、違反の原因となった割当てを削除します。
制約違反を上書きします(「AMWではSOD違反の上書きが可能です」権限が付与されている場合)。管理者がこの権限を持っていると、制約違反ダイアログ・ページに「適用」ボタンと「取消」ボタンが表示されます。「適用」をクリックすると制約が上書きされ、警告が表示されてもユーザーにロールBを割り当てることができます。「取消」をクリックすると、保存操作は取り消され、ユーザーにロールBは付与されません。
UMXとICMの統合は、サイト・レベルのプロファイル・オプション「UMX: ICM検証の使用可能」の設定に従って有効化されます。デフォルト値は「Yes」です。
この項では、プロキシ・ユーザー機能の設定および使用方法について説明します。
「システム管理者」でログインし、「ユーザー管理」->「ユーザー」の順にナビゲートします。
他のユーザーにプロキシ権限を付与できるようにするユーザー(委任者)を問い合せます。「結果」表の「更新」アイコンをクリックし、「ユーザー詳細」ページにナビゲートします。
「ユーザー詳細」ページで、「ロールの割当」ボタンをクリックし、値リストで「プロキシの管理」ロールを検索します。
このロールを選択し、理由を入力して「適用」ボタンをクリックします。
委任者に「プロキシの管理」ロールを割り当てることで、委任者は自分の業務を代行する他のユーザーにプロキシ権限を付与できるようになります。
「プロキシの管理」ロールを持つユーザー(前項を参照)として、Oracle Applicationsにログオンし、「グローバル作業環境」メニューをクリックします。
「プロキシの管理」リンクの下で「個人の追加」ボタンをクリックします(後述の「注意」を参照)。
値リストからユーザーを選択し、必要に応じて開始日と終了日を更新します。
「適用」をクリックして変更内容を保存します。
変更内容が保存されると、プロキシ権限を付与されたユーザーに通知が送信されます。
注意: 「個人の追加」値リストの内容を制御する権限はUMX_OBJ_DESIGNATE_PROXYで、オブジェクトはUMX_USER_OBJECTです。デフォルトのインスタンス・セットには、すべての個人が含まれています。このリストは、新規のインスタンス・セットと付与を作成(および既存の付与を削除)し、個人のリストを制限することで変更できます。
プロキシ・ユーザー・メカニズムは、ユーザーにより次のように使用されます。
他のユーザーの代理として許可されたユーザーの名前は、ページの右上隅にプリフィクス「ログイン名」付きで表示されます。このプリフィクスにより、誰の代理として操作しているかがわかります。
別のユーザー(委任ユーザー)に切り替えるには、「ユーザーのスイッチ」アイコンおよびリンクを選択して「ユーザーのスイッチ」ページにアクセスします。このページは、プロキシ・ユーザー機能の使用を許可されているユーザーに対してのみ表示されます。
「ユーザーのスイッチ」アイコンをクリックしてプロキシ・モードに切り替えます。このモードでは、選択したユーザーの代理として操作できます。
「ユーザーのスイッチ」ページには、委任ユーザーとして代理できるように指定した個人のアルファベット順リストが表示されます。
委任者を選択すると、アプリケーションがプロキシ・モードになります。このモードでは、アイコンとリンクが「ユーザーのスイッチ」から「セルフに戻る」に変わります。
ユーザー・ログイン情報詳細には、選択した委任者の代理として操作していることが反映されます。
プロキシ・モードでは、別のプロキシに直接切り替えることはできません。最初に自分自身に切り替える必要があります。
プロキシ・モードを終了するには、「セルフに戻る」をクリックします。
プロキシ・モードでは、「ページ・アクセス追跡」(PAT)が自動的に有効になり、委任者のプロキシとして操作中のユーザーがアクセスしたページが監査されます。
プロキシ・ユーザー・アクティビティのレポートを実行する手順は、次のとおりです。
「作業環境」->「プロキシの管理」機能の順にナビゲートします。
「プロキシ・レポートの実行」をクリックします。
適切なパラメータを入力してレポートを実行します。
レポートで最新の更新を確認するには、プロキシに対して「ページ・アクセス追跡データの移行」コンカレント・プログラムを実行する必要があります。詳細は、第5章を参照してください。
Oracle User Managementでは、管理者が新規個人を組織に登録できるサンプル登録プロセスが提供されています。組織は、サンプル登録プロセスを直接使用するか、これを独自の管理登録プロセスの定義方法の例として参照できます。
新規個人を登録するには、管理者に次の権限が割り当てられている必要があります。
共通の前提条件。詳細は、「個人およびユーザーの保守」の「共通の前提条件」を参照してください。
特定の管理アカウント作成登録プロセスを呼び出すために必要な権限。この権限は登録プロセス定義の一部として定義されます。
管理者が新規個人を登録できる必要がある全組織に対する「組織管理」権限。
「ユーザー管理」職責へのアクセス権限を付与するロールを持つユーザーでログインし、ナビゲータで「ユーザー管理」職責を選択し、「ユーザー」サブタブをクリックします。
「登録」ドロップダウン・リストで、呼び出す管理アカウント登録プロセスを選択し、「進む」ボタンをクリックします。
登録プロセス用に登録UIによって定義された、登録プロセスで要求される情報を入力し、「発行」ボタンをクリックして、結果のページで「OK」ボタンをクリックします。
実装担当者および管理者は、この項で説明するタスクを実行することで、エンド・ユーザー機能が正常に構成されているかどうかを検証できます。
Oracle User Managementでは、ユーザーは管理者のアシストを要求せずにアプリケーションへのアクセスに登録できます。アプリケーション・アクセスに登録するには、ユーザーは必要なフィールドに情報を指定し、「発行」ボタンをクリックする必要があります。
Oracle User Managementには、次のサンプルのセルフ・サービス登録プロセスが用意されています。
従業員セルフ・サービス登録
顧客セルフ・サービス登録(外部の個人)
組織は既存のフォームでこれらの登録プロセスを使用したり、独自の登録プロセスを作成するための参照用として使用できます。
Oracle User Managementでは、適格な特定のアプリケーションへの追加アクセスを要求できます。アプリケーション・アクセスはロールに基づいており、アプリケーションにアクセスするには、適切なロールが付与されている必要があります。割り当てられているロールを表示し、追加ロールを要求するには、次の操作を実行します。
システムにログインした後、右上隅の「作業環境」リンクをクリックしてから、サイドバー・メニューの「アクセス要求」リンクをクリックします。「アクセス要求」ページには、割り当てられているロールが表示されます。追加ロールを要求するには、「アクセスの要求」ボタンをクリックします。
ほとんどのロールはロール・カテゴリに従って編成されており、カテゴリに分類されていないロールは「その他」ノードの下に表示されます。要求するロールが含まれるロール・カテゴリを選択します。必要なロールが表示されない場合、そのロールに対して適格でないか、そのロールが追加アクセス要求用に設定されていないかのいずれかです。
システムへの追加アクセスを取得するために必要なロール(1つ以上)を選択し、「リストに追加」ボタンをクリックします。オプションで、「ロールの削除」ボタンをクリックして、リストからロールを削除できます。
必要なロールをすべて選択した後、「次へ」ボタンをクリックします。
要求の理由を入力し、「次へ」ボタンをクリックします。保留中のロールを削除するか、これらのロールのステータスを次に表示されるページで確認できます。
一部のロールでは、追加情報を指定するよう要求される場合があります。このような場合、ロールの要求処理を完了する前に、追加情報を求めるプロンプトが表示されます。
割り当てるロールが職務分離違反の原因になる場合は、操作によりワークフロー属性にフラグが設定され、要求の承認者に詳細が表示されます。
システム管理者にとって、ユーザーの紛失パスワードの再設定や、ユーザーに対するアカウントのユーザー(ログイン)名の指示が必要になることは珍しくありません。これは、しばらく作業できなくなってしまうユーザーにとっても、管理者にとっても、非生産的です。また、パスワードとしてユーザー名を使用していて、そのユーザー名を忘れてしまった場合や、その逆の場合などに、ユーザーがパスワードの再設定を要求することもあります。このタイプの状況が発生すると、さらに時間の浪費を招くことになります。
新機能により、E-Business Suiteの「ログイン」ページから容易にアクセスできるログイン・ヘルプ・メカニズムが実装され、このような管理作業に伴う所要時間が短縮されます。ユーザーは単に「ログイン」および「取消」ボタンの下にある「ログイン支援」リンクをクリックするだけです。
表示される画面で、次のいずれかの操作を実行できます。
「パスワード忘れ」セクションにナビゲートし、正しいユーザー名を入力して「パスワード忘れ」ボタンをクリックします。パスワードの再設定方法の詳細をEメールで受信することになります。
「ユーザー名忘れ」セクションにナビゲートし、アカウントに関連付けられているEメール・アドレスを入力して「ユーザー名忘れ」ボタンをクリックします。指定したアドレスにユーザー名がEメールで送信されます。
セキュリティの関係で、関連データはワークフロー表に安全に格納され、使用されたURLには有効期間および単一使用の両方の制限が適用されます。
以前のApplicationsリリースで必要だったID検証プロセスは不要になりました。かわりに、システムで定義されたユーザー名のEメール・アドレスに保護ページへのリンクが送信されます。ユーザーは、この保護ページからパスワードを即時に変更できます。
