セキュリティ・コンソールでのERPロールの作成
セキュリティ・コンソールを使用して、職務ロール、ジョブ・ロールまたは抽象ロールを作成できます。
多くの場合、ロールを作成する際には、既存のロールをコピーして、要件にあわせてそのコピーを編集するのが効率的です。 通常、作成するロールと類似した既存のロールがない場合は、ロールを最初から作成します。
ロールを最初から作成するには、セキュリティ・コンソールでロール・タブを選択し、「ロールの作成」ボタンをクリックします。 一連のロール作成ページに値を入力し、「次」または「戻る」を選択してその中を移動します。
基本情報の設定
「基本情報」ページで:
-
「ロール名」フィールドで、表示名(北米売掛管理スペシャリストなど)を作成します。
-
「ロール・コード」フィールドで、ロールの内部名(AR_NA_ACCOUNTS_RECEIVABLE_SPECIALIST_JOBなど)を作成します。
ノート: ロール・コードの先頭に「ORA_」を使用しないでください。 この接頭辞は、Oracleで事前定義されているロール用に予約されています。 ORA_の接頭辞が付いたロールは編集できません。 -
「ロール・カテゴリ」フィールドで、他のロールと共通する目的を識別するタグを選択します。 通常、タグはロール・タイプと、ロールが適用されるアプリケーション(Financialsなど)を指定 - ジョブ・ロール。
職務ロール・カテゴリを選択した場合、作成するロールをユーザーに直接割り当てることはできません。 これを割り当てるには、ジョブ・ロールまたは抽象ロールの階層に含め、そのロールをユーザーに割り当てます。
-
必要に応じて、「摘要」フィールドにロールの説明を入力します。
機能セキュリティ・ポリシーの追加
機能セキュリティ・ポリシーで一連の機能権限を選択し、各機能権限でフィールドや他のユーザー・インタフェース機能の使用を許可します。 「機能セキュリティ・ポリシー」ページでは、次のポリシーを定義できます:
-
職務ロール。 この場合、ポリシーは、職務が属する職務、ジョブまたは抽象ロールによって継承される可能性のある機能権限を選択します。
-
ジョブ・ロールまたは抽象ロール。 この場合、ポリシーはそのロールに固有の機能権限を選択します。
ポリシーを定義する際には、個別の権限を追加するか、既存のロールに属するすべての権限をコピーできます。
-
「機能セキュリティ・ポリシーの追加」を選択します。
-
検索フィールドで、値「権限」または任意の組合せのロールのタイプを選択し、少なくとも3文字を入力します。 検索では、入力した文字が名前に含まれている、選択したタイプのアイテムを含む値が返されます。
-
権限またはロールを選択します。 権限を選択する場合は、「ロールへの権限の追加」をクリックします。 ロールを選択する場合は、「選択した権限の追加」をクリックします。
ノート: 検索結果には、権限が含まれているかどうかに関係なく、すべてのロールが表示されます。 ロールに権限が含まれていない場合は、ここに追加するものはありません。 権限が含まれていないロールを追加するには、「ロール階層」ページに移動します。
「機能セキュリティ・ポリシー」ページに、選択したすべての権限がリストされます。 必要に応じて、権限の継承元のロールも表示されます。 次のことが可能です。
-
権限をクリックして、保護するコード・リソースの詳細を表示します。
-
権限を削除します。 たとえば、ロールに関連付けられた権限を追加したとします。 一部のみを使用する場合は、残りを削除する必要があります。 権限を削除するには、その「x」アイコンをクリックします。
データ・セキュリティ・ポリシーの追加
データ・セキュリティ・ポリシーは、明示的でも暗黙的でもかまいません。
-
明示的なポリシーは、特定のビジネス・ユニットに関するデータ・セットなど、特定のデータ・セットへのアクセス権を付与します。 このタイプのポリシーは、Oracle ERP Cloudの事前定義済ロールでは使用されません。
-
暗黙的ポリシーは、指定されたデータ・リソースのデータのセットにデータ権限(読取りなど)を適用します。 職務、ジョブまたは抽象ロールに対してこのタイプのポリシーを作成します。 暗黙的なポリシーごとに、少なくとも読取りおよび表示権限を付与する必要があります。
「データ・セキュリティ・ポリシー」ページを使用して、暗黙的なポリシーを管理できます。
データ・セキュリティ・ポリシーを作成するには、「データ・セキュリティ・ポリシーの作成」ボタンをクリックしてから、ポリシーを定義する値を入力します。 開始日は必須です。名前、終了日および摘要はオプションです。 データ・アクセスを定義する値は次のとおりです:
-
データ・リソース: データベース表。
-
データ・セット: データ・リソースによって使用可能になるデータのサブセットを選択する定義。
-
キー別の選択 主キー値を選択して、データ・セットを選択した値に一致する主キーを持つデータ・リソース内のレコードに制限します。
-
インスタンス・セット別の選択 データ・リソース内のデータのサブセットを定義する条件を選択します。 条件はリソースによって異なります。
-
すべての値: データ・リソースのすべてのデータをデータセットに含めます。
-
-
処理: 定義したデータ・セットに適用するデータ権限を1つ以上選択します。
「データ・セキュリティ・ポリシー」ページには、ロールに定義されているすべてのポリシーがリストされます。 ポリシーを編集または削除できます: 「処理」ボタンをクリックし、「編集」または「除去」オプションを選択します。
ロール階層の構成
「ロール階層」ページには、作成中のロールがフォーカスされたビジュアライゼーション・グラフまたはビジュアライゼーション表が表示されます。 「グラフの表示」ボタンまたは「表として表示」ボタンを選択して、その中から選択します。 いずれの場合も、作成しているロールを、機能およびデータ・セキュリティ権限の継承元である他のロールにリンクします。
-
職務ロールを作成する場合は、職務ロールを追加したり、職務ロールに権限を集計できます。 実際には、ジョブ・ロールまたは抽象ロールに組み込むための拡張職務セットを作成します。
-
ジョブ・ロールまたは抽象ロールを作成する場合は、集計権限、職務ロール、その他のジョブ・ロールまたは抽象ロールを追加できます。
ロールを追加するには:
-
「ロールの追加」を選択します。
-
検索フィールドで、ロール・タイプの組合せを選択し、少なくとも3文字を入力します。 検索では、入力した文字が名前に含まれている、選択したタイプのアイテムを含む値が返されます。
-
必要なロールを選択し、「ロール・メンバーシップの追加」をクリックします。 選択したロールだけでなく、階層全体も追加します。
グラフ・ビューでは、ビジュアライゼーションのコントロール・パネル、凡例および概要ツールを使用して、ロール階層を定義するノードを操作できます。
職務分掌分析の実行
リスクの拡張管理Management Cloudのプロビジョニング・ルール機能を使用する場合、職務の分離ページを使用して、作成するロールの階層に職務の分離の競合が含まれているかどうかを判断できます。 これらのプロビジョニング・ルールの作成の詳細は、拡張コントロールのリスクManagement Cloudユーザー・ガイドを参照してください。
ユーザーの追加
ユーザー・ページでは、作成するジョブまたは抽象ロールを割り当てるユーザーを選択できます。 (職務ロールをユーザーに直接割り当てることはできません。)
ユーザーを追加するには:
-
「ユーザーの追加」を選択します。
-
検索フィールドで、任意の組合せで値ユーザーまたはロールのタイプを選択し、少なくとも3文字を入力します。 検索では、入力した文字が名前に含まれている、選択したタイプのアイテムを含む値が返されます。
-
ユーザーまたはロールを選択します。 ユーザーを選択する場合は、「ロールへのユーザーの追加」をクリックします。 ロールを選択する場合は、「選択したユーザーの追加」をクリックします。これによって、作成中のロールに割り当てられているすべてのユーザーが追加されます。
選択したすべてのユーザーが「ユーザー」ページにリストされます。 ユーザーを削除できます。 たとえば、ロールに関連付けられているすべてのユーザーを追加したとします。 新しいロールを一部のみに割り当てる場合は、残りを削除する必要があります。 ユーザーを削除するには、その「x」アイコンをクリックします。
ロールの完了
「サマリーおよび影響レポート」ページで、選択内容をレビューします。 サマリー・リストには、追加および削除した機能セキュリティ・ポリシー、データ・セキュリティ・ポリシー、ロールおよびユーザーの数が表示されます。 影響リストには、自分の変更の影響を受けるロールおよびユーザーの数が表示されます。 これらのリストのいずれかを展開すれば、その数に含まれるポリシー、ロールまたはユーザーの名前を表示できます。
変更を行う必要があると判断した場合は、適切なページに戻って変更します。 ロールに問題がない場合は、「保存してクローズ」を選択します。