4ユーザーおよびセキュリティ

この章の内容は次のとおりです。

• ユーザー設定の概要

• 制限付きユーザー

• ユーザー間のレコードの転送

ユーザー設定の概要

ユーザーおよびセキュリティの設定の概要

『CX Sales実装スタート・ガイド』のステップに従って最初のユーザー設定を行ったので、ロールベース・アクセス・コントロールを使用してOracleアプリケーションから機能やデータに安全にアクセスする方法は習得済です。ロールベース・アクセス・コントロール・モデルでは、ユーザーにロールが割り当てられ、保護されたシステム・リソースに対するアクセス権限がロールに割り当てられます。

トランザクションUIにアクセスする営業ユーザー(リードや商談を扱う営業担当など)はリソースとして作成され、営業リソースと呼ばれます。

デフォルト・プリファレンス

ユーザーおよびロールのデフォルト・プリファレンスを設定するには、設定ユーザーとして、またはITセキュリティ・マネージャ・ジョブ・ロールを持つ他のユーザーとして「セキュリティ・コンソール」にアクセスします。設定ユーザー(またはITセキュリティ・マネージャ・ジョブ・ロールを持つその他のユーザー)は「セキュリティ・コンソール」にアクセスできます。

ユーザー・アイデンティティ・ストア

Lightweight Directory Access Protocol (LDAP)アイデンティティ・ストアは、ユーザー・アイデンティティ・データのリポジトリです。LDAPディレクトリには、LDAPユーザー・アカウントの定義が格納されます。通常、ユーザー・アカウントに対する変更は、営業アプリケーションとLDAPディレクトリ・サーバー間で自動的に同期されます。ただし、アプリケーションとLDAPディレクトリ・サーバー間の情報交換を管理するために、プロセスを毎日実行する必要もあります。詳細は、『CX SalesおよびB2B Serviceの保護ガイド』にあるアプリケーション・セキュリティの設定に関する章を参照してください。

UIおよびその他の設定オプションでの設定タスク

設定ユーザーは、「設定と保守」で複数の異なるタスクを使用してユーザーを作成および保守します。他にも考慮する必要がある設定オプションがあります。次の表に、これらのタスクと設定オプションを示します。

設定タスクまたはオプションとナビゲーション	説明
「ジョブ・ロールの管理」タスク ナビゲーション:「設定と保守」→「販売」オファリング→「ユーザーおよびセキュリティ」機能領域	Oracleには、多数の事前定義済ジョブ・ロールがあります。関連する営業ロールは、『CX Sales実装スタート・ガイド』のリストに記載されています。 次の作業を行うときに「ジョブ・ロールの管理」タスクを実行します。 ジョブ・ロールまたは抽象ロールのロール階層の検討。 カスタム・ジョブ・ロールとカスタム抽象ロールの作成。 ユーザーに割り当てられたロールの表示と、特定のロールを持つユーザーの一覧表示。 このタスクでは、セキュリティ・コンソールの「ロール」タブが開きます。
「職務の管理」タスク 「販売およびサービス・アクセスの管理」タスク ナビゲーション:「設定と保守」→「販売」オファリング→「ユーザーおよびセキュリティ」機能領域	次の作業を行うときに「職務の管理」タスクを実行します。 ジョブ・ロールまたは抽象ロールの職務の検討。 カスタム・ジョブまたは抽象ロールの職務の管理。 カスタムの職務ロールの作成。 このタスクでは、セキュリティ・コンソールの「ロール」タブが開きます。
「データ・セキュリティ・ポリシーの管理」タスク 「販売およびサービス・アクセスの管理」タスク ナビゲーション:「設定と保守」→「販売」オファリング→「ユーザーおよびセキュリティ」機能領域	「データ・セキュリティ・ポリシーの管理」タスクを使用して、オブジェクトまたは属性グループに対するユーザーまたはロールへの権限の付与を決定するデータ・セキュリティ・ポリシーを管理します。このタスクでは、セキュリティ・コンソールの「ロール」タブが開きます。 「販売およびサービス・アクセスの管理」タスクを使用して、データ・セキュリティをレビューおよび構成することもできます。このタスクによって「販売およびサービス・アクセス管理」作業領域が開きます。詳細は、『CX SalesおよびB2B Serviceの保護ガイド』を参照してください。
「ユーザーおよびロール」タスク ナビゲーション: 「ナビゲータ」→「ユーザーおよびロール」項目または「設定と保守」→「販売」オファリング→「ユーザーおよびセキュリティ」機能領域	UIでアプリケーション・ユーザーを作成するには、「ユーザーおよびロール」タスクを使用します。「ITセキュリティ・マネージャ」ジョブ・ロールを付与されているユーザーが、「ユーザーの管理」タスクを実行します。 注意:ユーザーをインポートして営業ユーザーを作成することもできます。使用可能なユーザー・インポート・オプションの詳細は、『CX SalesおよびB2B Serviceのインポートおよびエクスポートの管理の理解』ガイドおよび『Oracle Sales Cloud実装スタート・ガイド』を参照してください。
「HCMロール・プロビジョニング・ルールの管理」タスク ナビゲーション:「設定と保守」→「販売」オファリング→「ユーザーおよびセキュリティ」機能領域	Oracleには、アプリケーションに含まれる標準的なジョブ・ロールの多くをプロビジョニングするための、事前定義済のロール・マッピング・ルールが用意されています。ただし、「HCMロール・プロビジョニング・ルールの管理」タスクを使用すると、アプリケーション・ユーザーへのロールのプロビジョニングを制御するために必要な追加のロール・マッピングを作成できます。たとえば、チャネル営業マネージャ・ロールを特定の営業マネージャに自動的にプロビジョニングするロール・マッピングを作成できます。
インポートおよびエクスポート管理	データ・ファイルを使用して、ユーザーを一括インポートできます。使用可能なユーザー・インポート・オプションの詳細は、『CX SalesおよびB2B Serviceのインポートおよびエクスポートの管理の理解』ガイドおよび『Oracle Sales Cloud実装スタート・ガイド』を参照してください。
「パートナ・ユーザーのインポート」タスク	「パートナ・ユーザーのインポート」タスクを使用して、パートナ担当者データをインポートすることもできます。詳細は、『パートナ・リレーションシップ実装スタート・ガイド』を参照してください。
シングル・サインオン認証	シングル・サインオン認証は、オプションでユーザー認証に使用できます。従来のオンプレミス環境からOracle Cloud実装へ移行した企業では、従業員の認証に既存のアイデンティティ管理ソリューションを使用したり、シングル・サインオン機能を提供する必要がある場合があります。フェデレーテッド・シングル・サインオンを実装すると、ユーザーが組織の境界を越えてアプリケーションやシステムにシングル・サインオンでアクセスできるようになります。詳細は、My Oracle Support (https://support.oracle.com)の『Oracle Applications Cloudサービス資格/権利(Doc ID 2004494.1)』を参照してください。
ユーザー・パスワードのリセット	ITセキュリティ・マネージャ・ジョブ・ロールでプロビジョニングされた設定ユーザーは、「セキュリティ・コンソール」作業領域の「ユーザー」タブを使用して、すべてのアプリケーション・ユーザーのパスワードをリセットできます。「セキュリティ・コンソール」にアクセスできないユーザーは、設定および処理メニューの「プリファレンスの設定」リンクのみを使用して自分のパスワードをリセットできます。このメニューは、アプリケーションで自分のユーザー名をクリックするか、サインイン・ページのパスワードを忘れた場合リンクを使用したときに使用可能になります。詳細は、『CX Sales実装スタート・ガイド』を参照してください。
Eメール・アドレスの更新	ユーザーのEメール・アドレスを変更するには、「セキュリティ・コンソール」作業領域の「ユーザー」タブを使用します。このトピックに記載された手順を使用して、設定ユーザーと営業ユーザーの両方のアドレスを更新できます。営業ユーザーのEメール・アドレスを更新する場合は、営業ユーザーの作成時に使用したのと同じインポート・プロセスを使用することもできます。詳細は、『CX Sales実装スタート・ガイド』を参照してください。

注意:「ユーザーおよびセキュリティ」機能領域のタスク・リストに表示されるその他のデータ・セキュリティ・タスクは、営業アプリケーションには適用されません。『CX Sales実装スタート・ガイド』および『CX SalesおよびB2B Serviceの保護ガイド』に記載されているガイダンスに従ってください。

• Oracle Sales Cloud実装スタート・ガイド

• CX SalesおよびB2B Serviceの保護ガイド

• 販売の使用ガイドにあるリソースの管理に関する章

• 採用および使用状況のサブジェクト領域

• すべてのユーザー用の一般プリファレンスの設定

設定ユーザーの定義の概要

アプリケーションを設定するときの最初のタスクの1つは、設定タスクを実行できるユーザーの作成です。

環境のプロビジョニング時には、初期ユーザーが自動的に作成されます。この初期ユーザーは、他のユーザーの作成や追加権限の付与などのセキュリティ・タスクを実行できるように構成されています。初期ユーザーは、アプリケーションの設定を支援する設定ユーザーと呼ばれるユーザーを作成できます。設定ユーザーは、実装プロジェクトのタスクの実行、企業体系の設定、アプリケーション・ユーザーの作成およびセキュリティの管理を担います。

設定ユーザーを作成するには、「設定と保守」作業領域の「ユーザーの管理」タスクを使用します。このタスクには、「設定と保守」作業領域で次のオプションを選択してアクセスできます。

• オファリング: 顧客データ管理

• 機能領域: ユーザーおよびセキュリティ

• タスク: ユーザーの管理

設定ユーザーの作成の詳細は、Sales Cloudの実装スタートガイドを参照してください。

• Oracle Sales Cloud実装スタート・ガイド

• CX SalesとB2Bサービスの保護ガイド

パスワード・ポリシーの構成

アプリケーションには、ユーザーのサインイン・ポリシーに関するデフォルト設定があります。たとえば、デフォルトでは、ユーザーのサインイン・パスワードが期限切れになるまでに、90日間が設定されます。このデフォルト値は変更可能であり、他のサインイン・パラメータを構成できます。詳細は、関連トピックを参照してください。

• パスワード・ポリシー

• ユーザーのパスワードをリセットするにはどうすればよいですか

• ユーザー名とパスワード通知

• ユーザーにユーザー名とパスワードを通知するにはどうすればよいですか

破棄ドメインEメール

実装時に、ユーザーの設定、および自動Eメールをトリガーするビジネス・フローのテストを行います。この設定の段階では、Eメールが実際のユーザーに送信されないようにするため、Oracle提供の破棄Eメール・ドメインを使用できます。

破棄Eメール・ドメイン

Eメールのバウンスの原因となるため、架空のEメール・アドレスを使用することはお薦めしません。架空のEメールは、通常、次の3つの形式になります。

• 有効なドメインの、正しくないユーザー識別子

• ランダムなドメイン

• 存在しないドメイン

架空のEメール・アドレスを使用すると、意図せずに実際の人にEメールを送信したり、Eメールを送信するIPアドレスの評判を損ねたり、スパムの送信者として潜在的にフラグが付けられるなど、多くのマイナスの結果が生じる可能性があります。たとえば、ssfが実際のドメインではなく単なるランダムな一連のアルファベットであると考えて、tina.best@ssf.comにEメールを送信するとします。しかし、実際にEメールがSpruce Street Foods (ssf.com)に送信されます。その後、Spruce Street FoodsのEメール・サーバーで、有効な受信者が存在するかどうかが確認されて、受信者が存在しない場合は、送信者のIPアドレスについての評価が決定されます。

こうした望ましくない状態を回避するために、Oracleでは、Eメール・ドメインを各地のデータ・センターに用意して、設定時に一時的に使用できるようにしました。Oracleクラウド・アプリケーションから破棄ドメインの1つに送信されるEメールは、データ・センターから送出されることはありません。送信プロセス中にメール・サーバーによって破棄されます。ドメイン情報を破棄ドメインの1つに置き換えることで、受信者アドレスを破棄アドレスに変えることができます。したがって、ここで示す例ではtina.best@discard.mail.us1.cloud.oracle.comを使用します。

破棄ドメインと、それらに関連付けられているデータ・センターを次に示します。

破棄ドメイン	データ・センター
@discard.mail.us1.cloud.oracle.com	オースティン
@discard.mail.us2.cloud.oracle.com	シカゴ
@discard.mail.us6.cloud.oracle.com	アッシュバーン
@discard.mail.ca2.cloud.oracle.com	マーカム
@discard.mail.ca3.cloud.oracle.com	カルガリー
@discard.mail.ap1.cloud.oracle.com	シドニー
@discard.mail.ap2.cloud.oracle.com	シンガポール
@discard.mail.em1.cloud.oracle.com	リンリスゴー
@discard.mail.em2.cloud.oracle.com	アムステルダム
@discard.mail.em3.cloud.oracle.com	スラウ
@discard.mail.em4.cloud.oracle.com	フランクフルト
@discard.mail.em5.cloud.oracle.com	ミュンヘン

破棄ドメインは、データ・センターの境界を越えます。サービスを提供するデータ・センターに関係なく、いずれも使用できます。Oracleでは、地政学的な境界を考慮し、データ・センターの領域に破棄データを留めておく必要がある場合に備えて、データ・センター固有のドメインが用意されています。

破棄ドメインは、政府および防衛のデータ・センターにも使用できます。これらの制限されたデータ・センターの詳細は、My Oracle Supportを介してクラウド操作のサービス要求をログに記録してください。

ユーザーをインポートする場合、インポート・ファイルで破棄ドメインを使用してから、後で戻って、実際のドメイン情報でユーザーを再インポートできます。ユーザーのインポートの詳細は、CX Sales実装スタート・ガイドのユーザーのインポートに関するトピックを参照してください。

• Oracle Sales Cloud実装スタート・ガイド

• CX SalesおよびB2B Serviceの保護ガイド

営業管理者について

営業管理者ジョブ・ロールを持つユーザーは、営業アプリケーションに関連するほとんどの設定タスクを実行します。

このユーザーは営業プロセスに直接参加しませんが、営業管理者ユーザーは組織階層の営業リソースおよび従業員として作成します。ステップは、『CX Sales実装スタート・ガイド』を参照してください。

営業管理者ユーザーが通常実行するタスクは次のとおりです。

• タスク・リストおよび設定レポートをダウンロードします。

• 営業プロファイル・オプションを設定します。

• 営業の拡張可能参照を構成します。

• 営業のほとんどのスケジュール済プロセスを実行します。

• アプリケーション・コンポーザおよびページ・コンポーザでページを構成します。

• 営業カレンダを設定します。

• アカウントおよび担当者オプションを設定します。

• グローバル検索オプションを管理します。

• 集中テリトリ管理者として機能します。

• 商談を構成します。

• 予測基準を構成します。

• 販売目標を管理します。

• 作業割当を構成します。

• 価格台帳を管理します。

• 販売製品およびプロモーションを作成および管理します。

• 販売カタログを設定および管理します。

• モバイル・アプリケーションを設定します。

• パートナ機能を設定します。

• 構成タスクを実行します。

• データ・インポートおよびエクスポートを実行します。

• 営業インフォレット・ページを追加および構成します。

• アカウント、リード、商談などのアプリケーション・ページに分析を追加します。

• 分析を分析ページに追加します。

• ビジネス・インテリジェンス(BI)で分析を作成します。

• BIで分析を編集します。

注意: 営業管理者が持つ設定権限は、設定ユーザーのものとは異なります。営業機能およびコンポーネントの設定と管理に必要な権限はありますが、企業およびセキュリティ機能の実装に必要な上位レベルの権限はありません。

ユーザー設定の詳細は、関連ガイドを参照してください。

• CX SalesおよびB2B Serviceの保護ガイド

• Oracle Sales Cloud実装スタート・ガイド

• 営業およびサービスのセキュリティ・リファレンス・ガイド

• 営業管理者によるサンドボックスの構成のテストの有効化

制限付きユーザー

営業制限付きユーザー

ジョブを効率的に実行するには、ユーザーは企業の自分のロールに関連するすべてのデータを表示できる必要があります。ただし、すべてのユーザーがそのデータを作成、更新または削除する機能も必要とするわけではありません。ユーザーに営業制限付きユーザー・ジョブ・ロールをプロビジョニングすることで、営業データを表示するための広範な権限を持つが、データを変更するための権限は制限される営業アプリケーション・ユーザーを作成できます。

営業制限付きユーザー・ジョブ・ロールによって提供されるアクセス権

営業制限付きユーザー・ジョブ・ロールが割り当てられたユーザーは、次のことを実行できます。

• アカウント、担当者、リードおよび商談を表示します。

• レポートおよび分析を作成および変更します。

• サービス要求を更新、作成および管理します。

• アクティビティ・オブジェクトのノート、タスクおよびアクティビティを作成、更新および削除します。

• 予測を編集します。

• Oracle Sales Lightboxのコンテンツにアクセスします。

営業制限付きユーザー・ジョブ・ロールを次のタイプのユーザーに割り当てると、過剰な権限を割り当てることなく、これらのユーザーは必要な営業データを表示できます。

• バックオフィス・ユーザーは、レポートの表示、予測の編集、およびアクティビティと顧客対応の表示を行うことができます。

• サービス担当者は、顧客が入手可能なすべての情報の表示、およびリードと商談の表示を行うことができます。

• 季節ユーザーまたは管理ユーザーは、リードおよび商談を表示できます。

制限付き営業ユーザーの作成の詳細は、「営業制限付きユーザーの作成」のトピックを参照してください。

注意: 一部のユーザーは、アプリケーション・データへの読取り専用アクセス権は必要ですが、データ更新権限は必要ない場合があります。たとえば、規制上の理由からアプリケーション・データをレビューするが、変更権限はない監査者などです。読取り専用モード(FND_READ_ONLY_MODE)プロファイル・オプションを使用して、個々のユーザーに読取り専用アクセス権を割り当てることができます。ユーザーに対するこのアクセス権の構成方法の詳細は、「個々のユーザーへの読取り専用アクセス権の提供」のトピックを参照してください。

• 個々のユーザーへの読取り専用アクセス権の提供

営業制限付きユーザーの作成

ユーザーに営業制限付きユーザー・ジョブ・ロールを割り当てることで、営業データを表示するための広範な権限を持つが、そのデータを作成、更新または削除するための権限は制限される営業アプリケーション・ユーザーを作成できます。たとえば、営業制限付きユーザー・ジョブ・ロールを経理ユーザーまたは法務ユーザー、季節ユーザーまたは管理ユーザー、あるいはEssential Userライセンスが割り当てられているユーザーに割り当てることができます。Essential Userライセンスは、クラウド・サービスの読取り専用サブスクリプションをユーザーに提供します。

次のステップを使用して、営業制限付きユーザーを作成します。

1. アプリケーションへの制限付きアクセス権を持つユーザーを作成します。

   このタスクの詳細は、「営業アプリケーション・ユーザーの作成」のトピックを参照してください。

2. ユーザーの作成時に、次の値を指定します。

   フィールド	値
   個人タイプ	従業員
   リソース・ロール	営業制限付きユーザー

3. 「ロール」リージョンで、「ロールの自動プロビジョニング」をクリックします。

   ユーザーに、次のロールが自動的に割り当てられます。

   • 営業制限付きユーザー・ジョブ・ロール

   • リソース抽象ロール

   • 従業員抽象ロール

     事前定義済ルールにより、従業員として作成されたすべてのアクティブ・ユーザーに従業員抽象ロールが自動的に割り当てられます。

• アプリケーション・ユーザーの作成

ユーザー間のレコードの転送

ユーザー間のレコードの転送について

レコードの一括転送を使用すると、ユーザー間でレコードを移動できます。レコード所有者、または所有者よりもロールやテリトリ階層が上位にあるユーザーは、あるユーザーから別のユーザーにレコードを転送できます。

レコードを転送する前に、次のことを理解する必要があります。

• レコード・タイプ

• レコード・フィルタ

• レコード転送ステータス

レコード・タイプ

レコード・タイプは、ユーザーに関連するオブジェクトまたは情報の幅広いカテゴリです。たとえば、ユーザーに関連付けられたディール登録などです。現在、ユーザーに属するリード、商談、ディール登録およびすべてのカスタム・オブジェクト(垂直カスタム・オブジェクトを除く)を一括転送できます。アカウントおよび担当者は一括転送できません。

レコード・フィルタ

レコード・フィルタを使用すると、ユーザーに関連付けられているレコードのリストを特定のレコード・タイプで絞り込むことができます。たとえば、ある期間内に作成されたディール登録のみを転送できます。すべてのレコード・タイプを対象とするフィルタは指定できません。「レコードの転送: フィルタの定義」ページでは、フィルタリング可能なレコード・タイプを表示して、レコード・フィルタを指定できます。

レコード転送ステータス

レコード転送ステータスが「一括転送ステータス」ページに表示され、転送ジョブのステータスが示されます。一括転送では、あるユーザーから別のユーザーにレコードを転送する前に、データの整合性が確保されるようにレコードを処理します。

レコード転送ジョブのステータスは、次のいずれかになります。

• 進行中: 転送ジョブは現在進行中です。

• 完了: 転送ジョブはエラーなしで完了しました。

• エラー: 転送ジョブでエラーが発生しました。

転送ジョブ名をクリックすると、転送されたレコード・タイプ、各レコード・タイプのステータスおよびレコード・タイプに関連付けられているログ・ファイルを表示できます。

ユーザー間のレコードの転送

この手順では、一括転送ツールを使用して、あるユーザーから別のユーザーにレコードを転送する方法を説明します。

あるユーザーから別のユーザーにレコードを転送するには:

1. 「ツール」メニューから「一括転送」に移動します。

2. 「一括転送ステータス」ページで、「レコードの転送」をクリックします。

3. 「レコードの転送: 所有者およびレコードの選択」ページで、レコードの現在の所有者および新規所有者を検索します。たとえば、Adam SmithからSamantha Hayesに転送する場合は、現在の所有者としてAdam Smithを選択し、新しい所有者としてSamantha Hayesを選択します。

4. 転送するレコードのタイプを選択します。たとえば、商談およびリードを転送する場合は、「商談」および「営業リード」を選択します。

   「転送詳細」列には、転送されるレコードのタイプがリストされます。

5. 「次」をクリックします。

   「レコードの転送: フィルタの定義」ページで、選択したレコード・タイプのフィルタを指定します。たとえば、商談の開始日およびクローズ日を指定すると、指定した期間内にクローズされた商談を転送できます。

6. レコード・タイプを選択して使用可能なフィルタを表示し、フィルタを指定します。

7. 「発行」をクリックします。

8. 確認ダイアログ・ボックスで「はい」をクリックします。

「一括転送ステータス」ページに、最近の一括転送ジョブとそのステータスがリストされます。