1. SCMの保護
  2. データ・セキュリティ
機械翻訳について

データ・セキュリティ

デフォルトで、ユーザーはすべてのデータへのアクセスが拒否されます。

データ・セキュリティによって、次の方法でユーザーによるデータの使用が可能になります。

  • プロビジョンされるロールを介して可能な権限を定義するポリシー

  • アプリケーション・コードで定義されたポリシー

必要なアクセスを付与するロールをプロビジョニングすることによってデータを保護します。

データ・ロールは、HCMセキュリティ・プロファイルに基づいても生成されます。 データ・ロールとHCMセキュリティ・プロファイルを使用すると、データ・セキュリティ・ポリシーで指定されたインスタンス・セットを定義できます。

ジョブ・ロールをユーザーにプロビジョニングすると、ジョブ・ロールによって、継承された職務ロールのデータ・セキュリティ・ポリシーに基づいてデータ・アクセスが制限されます。 データ・ロールをユーザーにプロビジョニングすると、データ・ロールによって、継承されたジョブ・ロールのデータ・アクセスがデータのディメンションに制限されます。

データ・セキュリティは、ロールに付与され、データへのアクセスのコントロールに使用される権限で構成されます。 権限とは、単一のビジネス・オブジェクトに対する単一の現実世界の処理(アクション)のことである。 データ・セキュリティ・ポリシーとは、指定された条件におけるオブジェクトまたは属性グループに関する主要ユーザーに対する一連の権限の付与のことです。 権限付与により、ロール(被付与者)は一連のデータベース・リソースに対するアクションが許可されます。 データベース・リソースとは、オブジェクト、オブジェクト・インスタンスまたはオブジェクト・インスタンス・セットのことです。 資格とは、一連のデータベース・リソースに対して適用される実行可能な1つ以上のアクションのことです。

次の表では、データを保護する方法について説明します。

データ・セキュリティ機能

目的

データ・セキュリティ・ポリシー

データへのアクセスがロールに付与される条件を定義します。

ロール

ロール・プロビジョニングを介してユーザーに対し条件付きのデータ・セキュリティ・ポリシーを適用。

HCMセキュリティ・プロファイル

SQLコードをユーザーが入力する必要なく、個人レコード、ポジションおよび文書タイプなどのオブジェクト・タイプのインスタンスに関するデータ・セキュリティ条件を定義。

ユーザーがアクセスできるデータのセットは、データ・ロールの作成とプロビジョニングによって定義されます。 Oracleデータ・セキュリティは、Oracle Platform Security Services (OPSS)と統合され、データへのアクセス権を持つユーザーまたはロール(外部で格納される)に付与されます。 ユーザーには、ユーザーがプロビジョニングされるロールまたはロール階層に割り当てられた権限を介してアクセス権が付与されます。 条件とは、ユーザーが権限を持つビジネス・ユニットなどによって、特定のディメンション内でのアクセスを指定するWHERE句のことです。

データ・セキュリティ・ポリシー

データ・セキュリティ・ポリシーによって、「誰がどのデータ・セットに対して何を実行できるか」というセキュリティ要件が明確化されます。

たとえば、倉庫マネージャは、自分が操作できる在庫組織の在庫トランザクション・データを管理できます。

誰が

実行可能なアクション

対象

該当するデータ・セット

倉庫マネージャ

管理

在庫トランザクション

運用できる在庫組織向け

データ・セキュリティ・ポリシーとは、通常、ロールによるビジネス・オブジェクトの保護を可能にする権限について定義する、英語などの自然言語で記述された文書のことです。 権限には次の内容が記録されます。

  • 表または表示

  • 資格(権限によって表されるアクション)

  • インスタンス・セット(条件で識別されるデータ)

たとえば、支出は、支払プロセスにおいてあらゆる従業員経費に対する支払機能によって買掛管理マネージャが管理可能なビジネス・オブジェクトです。

ノート: 一部のデータ・セキュリティ・ポリシーは、権限付与として定義されていませんが、アプリケーション・コードで直接定義されます。 Oracle Fusion Applicationsオファリングのセキュリティ・リファレンス・マニュアルでは、権限を定義するデータ・セキュリティ・ポリシーと、Oracle Fusionのアプリケーション・コードで定義されているデータ・セキュリティ・ポリシーは区別されています。

データ・セキュリティ・ポリシーでは、資格(論理ビジネス・オブジェクトまたはダッシュボードに対して実行可能なアクション)、これらのアクションの実行が可能なロール、およびアクセスを制限する条件が特定されます。 条件とは、読取り可能なWHERE句のことです。 WHERE句はインスタンス・セットとしてデータ内で定義され、表名と必要な資格も記録する権限上で参照されます。

HCMセキュリティ・プロファイル

HCMセキュリティ・プロファイルは、個人および部門などのHCMデータの保護に使用します。 マネージャ・ロールなどの一部のロールのデータ承認は、ERPおよびSCMアプリケーションでもHCMで管理されます。 HCMセキュリティ・プロファイルを使用して、マネージャなどのジョブ・ロールの付与を生成できます。 結果のデータ・ロールとそのロール階層、および権限は、他のデータ・ロールと同様に機能します。

たとえば、HCMセキュリティ・プロファイルで、財務ディビジョン内のすべての従業員が識別されます。

HCM外部のアプリケーションでは、「HCMデータ・ロールUI」ページを使用して、HR個人へのアクセス権をロールに付与できます。

Oracle Product Hub Cloudのデータ・セキュリティに関する考慮事項

SCM内の一部の製品では、ディメンションの組合せに対するデータ・セキュリティがサポートされています。 Oracle Product Hub Cloudを使用すると、顧客は製品情報の管理に必要な複雑なアクセス制御要件に対応する柔軟でスケーラブルなセキュリティ・ソリューションを構築できます。

Product Hubのデータ・セキュリティは、次の表に示す基準と、それらの基準の値の例の組合せに基づいて構築されます。

基準

ユーザーEric Boyer

またはどのジョブ・ロール

または製品データ・ワード

対象品目組織

シアトル・ブランチ

実行できるアクション

品目構成の表示の実行が許可されています

Product Hubのビジネス・オブジェクトのセット

プリンタ品目区分用

品目を作成または表示する前に、品目区分および組織ごとにデータ・セキュリティを定義します。 品目のデータ・セキュリティは、個人またはグループごと、および在庫または品目組織ごとに、対応する品目区分で設定されます。 品目区分を使用して作成するすべての品目は、品目区分に対して定義されている品目データ・セキュリティを継承します。 品目固有のデータ・セキュリティを品目レベルで定義することもできます。

ユーザーまたはユーザー・グループごとに、ユーザー定義属性に対する表示またはデータ・レベルの保守権限を付与できます。 ユーザー定義属性グループに対してデータ・セキュリティを定義するには、拡張可能属性グループ・セキュリティを使用して、特定のグループまたはユーザーのみがアクセスできるようにすることで、属性グループのデータを保護します。 ユーザーまたはロールのデータ付与を作成した後、データ付与を属性グループに割り当て、データ付与を特定のグループまたはユーザーに割り当てます。

また、サプライヤが製品データをアップロードする特定の品目区分について、適切な品目データ権限をサプライヤ・ユーザーに割り当てることで、Oracle Product Hub Portal Cloudを介してアップロードされる製品データのデータ・セキュリティを提供できます。

ノート: Oracle Product Hub CloudおよびProduct Hub Portal Cloudのデータ・セキュリティの詳細は、その製品のユーザー・アシスタンスと実装コースを参照してください。

Oracle Fusionサプライ・チェーン・オーケストレーションのデータ・セキュリティに関する考慮事項

データ・セキュリティを使用するには、機能として有効にする必要があります。 セキュリティ・コンソールとSetup and Maintenance(設定および保守)作業領域で実行する必要がある設定ステップもいくつかあります。 サプライ・チェーン・オーケストレーションのデータ・セキュリティの設定方法の概要を次に示します:

  1. 「設定および保守」作業領域にナビゲートします。

  2. 供給オーケストレーション作業領域機能でデータの保護を使用可能にします。

  3. セキュリティ・コンソール作業領域に移動します。

  4. 任意のユーザー定義ロールに、ORA_DOS_SUPPLY_CHAIN_OPERATIONS_MANAGER_JOBグローバル・ポリシーの供給オーダーの付与を追加します。 このポリシーは、デフォルトで事前定義されたSCOロールによって継承されます。

データ・セキュリティ・ポリシーに対応するためのロールを設定することもできます。 この設定は、セキュリティ・コンソール作業領域と設定およびメンテナンス作業領域で完了する必要があります。 設定の概要を次に示します。

セキュリティ・コンソール作業領域のアクション:

ロール、ユーザーおよびデータ・セキュリティ・ポリシーを作成します。

  1. 「ロール」ページを使用して、ロールを作成および保存します。 ロールの作成時に、事前定義済条件を使用してデータ・セキュリティ・ポリシーを作成することもできます。

  2. 「管理」ページで、「データベース・リソースの管理」をクリックして、データ・セキュリティ・ポリシーを作成および保存します。 追加のデータ・セキュリティ・ポリシーを作成し、既存のロールに割り当てる必要がある場合、そのようにします。 ユーザー定義の条件をポリシーに追加することもできます。

  3. 「ユーザー」ページを使用して、ユーザーを作成し、そのユーザーにロールを割り当てます。

設定およびメンテナンス作業領域の処理:

ユーザーのデータ・アクセスを管理し、ユーザーとロールを組織またはビジネス・ユニットにバインドします。

  1. 設定およびメンテナンス作業領域で、次のパスを使用します:

    • オファリング: 製造およびサプライ・チェーン資材管理

    • 機能領域: サプライ・チェーン・オーケストレーション

    • タスク: ユーザーのデータ・アクセスの管理

  2. 「ユーザーのデータ・アクセスの管理」ページで、データ・アクセスを持つユーザー・ラジオ・ボタンを選択します。

  3. 「追加」アイコンをクリックします。

  4. 「ユーザーのデータ・アクセスの作成」ダイアログ・ボックスで、必要な詳細を入力します。

ノート: 事前定義された条件でOrganization(組織)属性を使用する場合は、ユーザーとロールを組織にバインドします。 事前定義済条件でビジネス・ユニット属性が使用されている場合は、ユーザーおよびロールをビジネス・ユニットにバインドします。

スケジュール済プロセス作業領域での処理:

「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」スケジュール済プロセスを実行して、セキュリティの変更が自動的にリフレッシュされるようにします

サプライ・チェーン・オーケストレーションにおけるデータ・セキュリティ・ポリシーの条件

条件を使用して、データ・アクセスをユーザーに制限します。 これらの条件は、事前定義またはユーザー定義の場合があります。

データ・セキュリティの事前定義済条件:

データ・セキュリティ・ポリシーに使用できる事前定義済の条件には、次の3つのタイプがあります:

  • 追加設定なしですぐに使用できる事前定義済の条件: 作成者として承認されたユーザーの条件はすぐに使用できます。

  • 使用する前にセキュリティ・コンソール作業領域で構成する必要がある事前定義済条件 : 特定のユーザーに対してデータ・セキュリティ・ポリシーを定義する際に、追加パラメータを指定する必要があります:

    • 特定の供給タイプに対して承認されたユーザーの場合。 値は、MAKE、BUY、TRANSFER、ATPおよびUNASSIGNEDです。

    • 特定のソースからのオーダーを承認されたユーザー。 値は、INV、EXT、POR、DOO、YPS、WIE、DOSおよびYPRです。

    • 特定の顧客からのオーダーを承認されたユーザー。 値は顧客名です。

    • 構成品目を含むオーダーに対して承認されたユーザー用です。 値はYおよびNです。

    • バック・トゥ・バック・オーダーの承認済ユーザー用です。 値はYおよびNです。

    • 契約製造オーダーの承認済ユーザー。 値はYおよびNです。

    • 外注加工オーダーを承認されたユーザー用。 値はYおよびNです。

  • 使用する前に設定およびメンテナンス作業領域で構成する必要がある事前定義済条件:

    • 特定の組織に関連付けられたユーザー。 事前定義された条件でOrganization(組織)属性を使用する場合は、ユーザーとロールを組織にバインドします。

    • 特定のビジネス・ユニットに関連付けられたユーザー用です。 事前定義済条件でビジネス・ユニット属性が使用されている場合は、ユーザーおよびロールをビジネス・ユニットにバインドします。

データ・セキュリティのユーザー定義条件:

セキュリティ・コンソール作業領域を使用して独自の条件を作成し、それらをデータ・セキュリティ・ポリシーに組み込むことができます。 ユーザー定義条件の作成時に、追加の属性およびAND演算子を使用できます。 データ・セキュリティ・ポリシーに使用できるユーザー定義条件は、フィルタとSQL述語という2つのタイプです。

  • フィルタ条件を設定するには、基礎となるデータ・リソースから1つ以上の属性を選択し、演算子と許容値を使用して文を作成します。 フィルタ条件の定義中に、ポリシーに対して次の属性のみを選択する必要があります:

    • back_to_back_flag

    • config_item_flag

    • contract_manufacturing_flag

    • outside_processing_flag

    • supply_order_source

    • preparer_id

    • customer_id

    • destination_organization_id

    • destination_bu_id

    • supply_type

  • 述語条件は、サプライ・チェーン・オーケストレーションUIに追加されるSQL問合せ文です

Oracle Fusion Cloud Supply Chain Planningのデータ・セキュリティに関する考慮事項

Oracle Fusion Cloud Supply Chain Planningでは、デフォルトですべてのデータへのフル・アクセス権がユーザーに付与されます。 データ・アクセスを制限するには、データ・セキュリティを設定する必要があります。

Oracle Fusion Cloudサプライ・チェーン・プランニングは、ディメンションの組合せに対するデータ・セキュリティをサポートするSCM内の別の製品です。 Oracle Supply Chain Planningには、組織でのロールに基づいて様々なユーザーのデータ・アクセスを構成するための、柔軟なフィルタおよびルール・モデルがあります。

サプライ・チェーン・プランニングのデータ・セキュリティは、プラン入力の一部としてプランニング・セキュリティを管理するときに有効にします。 すべてのエンティティに対して、フル・アクセスを許可するか、読取り専用アクセスを許可するか、アクセスを許可しないかを選択できます。

ユーザーには、次のいずれかに基づいてアクセス権を付与できます:

  • 組織やビジネス・ユニットなどの組織構造

  • 製品ラインやカテゴリなどの製品構造

  • 販売組織

  • 顧客やサプライヤなど、特定の取引先へのアクセス

  • 特定のメジャー・グループへのアクセス

次のいずれかの基準を使用して、任意のジョブ・ロールの表示を定義するデータ・アクセス・セットを定義できます:

  • 製品

  • 在庫組織

  • 顧客

  • サプライヤ

各基準で、最下位レベル(品目など)または上位レベル(カテゴリなど)のフィルタを設定するには、適切な階層を選択します。 次に、データ・アクセス・セットは、アクセスを提供するために様々なユーザーに割り当てられます。

ノート: サプライ・チェーン・プランニングのデータ・セキュリティの詳細は、その製品のユーザー・アシスタンスおよび実装コースを参照してください。