1クラウドのHCMセキュリティの概要

この章の内容は次のとおりです。

• Oracle HCM Cloudの保護の概要

• ロールベースのセキュリティ

• 事前定義済のHCMロール

• ロール・タイプ

• ロールの継承

• 職務ロール・コンポーネント

• 集計権限

• セキュリティの構成に関するガイドライン

• 事前定義済ロールをレビューするためのオプション

• Oracle Fusion Applicationsセキュリティ・コンソール

Oracle HCM Cloudの保護の概要

Oracle Human Capital Management Cloudは保護された状態で提供されます。このガイドでは、HCMの機能とデータへのユーザー・アクセスを有効にする方法を説明します。実装中はこのガイドで説明するタスクの多くを実行します。タスクの多くは後から要件が変更したときに実行することもできます。このトピックでは、このガイドのスコープの概要と各章の内容について説明します。

ガイドの構成

次の表で、このガイドの各章の内容について説明します。

章	内容
クラウドのHCMセキュリティの概要	ロールベース・セキュリティの概念とOracle Fusion Applicationsセキュリティ・コンソールの概要
実装ユーザーの作成	実装ユーザーのロールと実装ユーザーの作成手順
実装ユーザーのHCMデータ・ロールの作成	実装ユーザーによる機能実装の実行を有効にするデータ・アクセスの提供方法
抽象ロールに対する基本データ・アクセスの有効化	すべての従業員、派遣就業者、およびライン・マネージャに対する基本データ・アクセスの提供方法
実装ユーザーに対するロールの割当	実装ユーザーにデータ・ロールと抽象ロールを割り当てる方法
アプリケーションのセキュリティの設定	セキュリティ・コンソールへの企業オプションの設定と、Oracle Fusion Applicationsセキュリティ表の維持
Microsoft Active Directoryのブリッジの操作	Microsoft Active Directoryのブリッジをインストールおよび構成する方法とユーザー・アカウントの同期方法
事業所ベースのアクセスの管理	事業所ベースのアクセスを有効化して、承認済IPアドレスをリストし、選択したロールを公開にする方法
アプリケーション・ユーザーに対する準備	アプリケーション・ユーザーに影響を与える企業全体のオプションと関連する決定
アプリケーション・ユーザーの作成	アプリケーション・ユーザーを作成する方法と、その方法の手順
アプリケーション・ユーザーの管理	ワークフォース・ライフ・サイクル全体でユーザー・アクセスを維持する方法
アプリケーション・ユーザーに対するロールのプロビジョニング	アプリケーション・ユーザーによるロールの取得方法と、標準のロール・マッピングの作成手順
アプリケーション・ユーザーとロールに関するレポート	ユーザー・アカウント、非アクティブ・ユーザー、ユーザーにプロビジョニングされたロール、およびパスワードの変更に関するレポート
HCMデータ・ロールとセキュリティ・プロファイル	HCMデータ・ロールを作成および管理し、HCMセキュリティ・プロファイルを使用してユーザーがアクセスできるデータを識別する方法
個人セキュリティ・プロファイル	個人レコードへのアクセスを保護する方法
組織セキュリティ・プロファイルとその他のセキュリティ・プロファイル	組織、ポジション、文書タイプ、国別仕様データ・グループ、給与、および給与フローへのアクセスを保護する方法
セキュリティ・コンソールの使用	セキュリティ・コンソールを使用して、ロール階層とロール分析をレビューする方法
ジョブ・ロール、抽象ロール、職務ロールの作成および編集	事前定義済ロールをコピーしてロールを作成する方法、ロールを新規に作成する方法、およびカスタム・ロールを編集する方法
ロールの再生成	ロールの階層が変更されたときに、データ・ロールと抽象ロールのデータ・セキュリティ・ポリシーを再生成する方法
値セットへのアクセスの保護	値セットの保護方法、および保護された値セットへのアクセス権をAPPIDユーザーが取得する方法
個人プロファイルのコンテンツ・セクションの保護	個人プロファイルのコンテンツ・タイプ・データへのユーザー・アクセスを保護する方法
後任プラン、在職者および候補者へのアクセスの保護	すべての後任プランへのアクセスを可能にするスーパーユーザー・ロールを作成する方法、および在職者と候補者のリストへの制限付きアクセスを構成する方法
レスポンシブ・ユーザー・エクスペリエンス・ページの値リストへのアクセスの保護	カスタム・ロールを有効にしてレスポンシブ・ユーザー・エクスペリエンス・ページの値リストにアクセスする方法
セキュリティとレポート	ユーザーがOracle Transactional Business IntelligenceとOracle Business Intelligence Publisherレポートを実行できるようにする方法
ワークフロー・アクセスのロール	ワークフロー機能へのアクセスを可能にする事前定義済ロール
Oracle HCM Cloudビジネス・オブジェクトの監査	HCMビジネス・オブジェクトの監査を構成し、監査レポートにアクセスする方法
証明書管理	データの暗号化と復号化のためにPGPおよびX.509証明書を生成、インポート、エクスポートおよび削除する方法
ロールの最適化	オプションのロールの最適化レポートを使用して、ロール階層の冗長性およびその他の非効率性を分析する方法
拡張データ・セキュリティ	次のオプションのクラウド・サービスの概要: Database Vault for Oracle Fusion Human Capital Management Security Cloud Service Transparent Data Encryption for Oracle Fusion Human Capital Management Security Cloud Service

実装中、機能領域タスク・リストまたは実装プロジェクトからセキュリティ関連のタスクを実行します。実装が完了すると、ほとんどのセキュリティ関連タスクをセキュリティ・コンソールで実行できます。関連トピックでは例外も示されます。たとえば、セキュリティ・コンソールではなく、「新規個人」作業領域で就業者を雇用します。

ロールベースのセキュリティ

Oracle Fusion Applicationsでは、ユーザーは機能やデータへのアクセスを取得するためのロールを持っています。ユーザーは任意の数のロールを持つことができます。

この図では、ユーザーLynda Jonesは3つのロールを持っています。

LyndaはOracle Human Capital Management Cloud (Oracle HCM Cloud) にサインインするときに、ロールを選択する必要はありません。これらのロールはすべて同時にアクティブになります。

Lyndaがアクセスできる機能とデータは、このロールの組合せで決まります。

• 従業員として従業員の機能とデータにアクセスできます。

• ライン・マネージャとしてライン・マネージャの機能とデータにアクセスできます。

• 人事担当者(HR担当者)として、Vision OperationsのHR担当者の機能とデータにアクセスできます。

ロールベースのアクセス・コントロール

Oracle Fusion Applicationsのロールベース・セキュリティは、誰がどのデータで何を実行できるかを制御します。

次の表に、ロールベースのアクセスの概要を示します。

要素	説明
誰が	ユーザーに割り当てられているロール
何を	ロールを持つユーザーが実行できる機能
どのデータ	機能を実行するときに、ロールを持つユーザーがアクセスできるデータのセット

次の表に、ロールベースのアクセスの例を示します。

誰が	何を	どのデータ
ライン・マネージャ	パフォーマンス文書の作成が可能	レポート階層内の就業者に関するデータ
従業員	給与明細の表示が可能	従業員のデータ
給与マネージャ	給与バランスのレポートが可能	指定された給与のデータ
HR担当者	就業者の異動が可能	指定された組織の就業者のデータ

事前定義済のHCMロール

多くのジョブと抽象ロールがOracle Human Capital Management Cloud (Oracle HCM Cloud)で事前定義されています。事前定義済のHCMジョブ・ロールは、次のとおりです。

• 福利厚生管理者

• 福利厚生マネージャ

• 福利厚生スペシャリスト

• 資金マネージャ

• 報酬管理者

• 報酬アナリスト

• 報酬マネージャ

• 報酬スペシャリスト

• 法人の社会的責任マネージャ

• 従業員育成マネージャ

• 従業員ウェルネス・マネージャ

• 環境、安全衛生マネージャ

• 人材管理アプリケーション管理者

• 人材管理統合スペシャリスト

• 人事管理アナリスト

• 人事管理ヘルプ・デスク管理者

• 人事管理ヘルプ・デスク・エージェント

• 人事管理ヘルプ・デスク・マネージャ

• 人事管理マネージャ

• 人事担当者

• IT監査者

• ナレッジ・オーサリングHCM

• ナレッジ検索HCM

• 学習スペシャリスト

• 給与管理者

• 給与マネージャ

• 採用担当者

• 採用管理者

• 勤怠管理の管理者

• 勤怠管理マネージャ

事前定義済のHCM抽象ロールは、次のとおりです。

• 派遣就業者

• 従業員

• エグゼクティブ・マネージャ

• 採用マネージャ

• 採用のジョブ応募アイデンティティ

• ライン・マネージャ

• 処理待ち就業者

これらの事前定義済ジョブ・ロールおよび抽象ロールは、Oracle HCM Cloudセキュリティ・リファレンス実装の一部です。セキュリティ・リファレンス実装は、提供された状態のまま使用できる一連の事前定義済セキュリティ定義です。

また、セキュリティ・リファレンス実装には、次のようなすべてのOracle Fusion Applicationsに共通するロールも含まれています。

• アプリケーション実装コンサルタント

• ITセキュリティ・マネージャ

事前定義済ロールをHCMデータ・ロールなどに含めることができます。通常、従業員やライン・マネージャなどの抽象ロールをユーザーに直接割り当てます。

ロール・タイプ

Oracle Human Capital Management Cloud (Oracle HCM Cloud)では、次の5つのタイプのロールを定義しています。

• データ・ロール

• 抽象ロール

• ジョブ・ロール

• 集計権限

• 職務ロール

このトピックでは、ロール・タイプの概要を説明します。

データ・ロール

データ・ロールには、就業者のジョブと、該当のジョブを持つユーザーがアクセスする必要のあるデータが結合されています。たとえば、HCMデータ・ロールの国人事担当者には、ジョブ(人事担当者)とデータ・スコープ(国)が結合されています。1つ以上のHCMセキュリティ・プロファイルでデータ・ロールのデータ・スコープを定義します。HCMデータ・ロールは、セキュリティ・リファレンス実装の一部ではありません。すべてのHCMデータ・ロールはローカルで定義し、それらをユーザーに直接割り当てます。

抽象ロール

抽象ロールは、雇用する就業者が行うジョブとは別に、企業における就業者のロールを表します。Oracle HCM Cloudで事前定義された3つの主要な抽象ロールは、次のとおりです。

• 従業員

• 派遣就業者

• ライン・マネージャ

抽象ロールを作成することもできます。すべての就業者は少なくとも1つの抽象ロールを持つ可能性があります。抽象ロールによって、ユーザーは独自の情報の管理や就業者ディレクトリの検索などの標準機能にアクセスできます。抽象ロールはユーザーに直接割り当てます。

ジョブ・ロール

ジョブ・ロールは、雇用する就業者が実行するジョブを表します。事前定義済ジョブ・ロールには、「人事管理アナリスト」や「給与マネージャ」などがあります。ジョブ・ロールを作成することもできます。通常は、ジョブ・ロールをデータ・ロールに含め、それらのデータ・ロールをユーザーに割り当てます。「ITセキュリティ・マネージャ」と「アプリケーション実装コンサルタント」の事前定義済ジョブ・ロールはHCMのジョブ・ロールと見なされないため、この一般ルールの例外です。また、HCMセキュリティ・プロファイルはそれらのデータ・スコープを定義しません。

集計権限

集計権限には、個々のタスクまたは職務の機能権限と、関連のデータ・セキュリティ・ポリシーが結合されています。集計権限で提供される機能権限によって、タスク・フロー、アプリケーション・ページ、作業領域、レポート、バッチ・プログラムなどへのアクセスを付与できます。集計権限は他のロールを継承しません。すべての集計権限は事前定義されており、編集できません。集計権限は作成できませんが、事前定義済の集計権限をカスタムのジョブ・ロール、抽象ロールおよび職務ロールに含めることはできます。集計権限はユーザーに直接割り当てません。

職務ロール

各事前定義済の職務ロールは、コピーおよび編集可能な権限の1つの論理グループを表します。職務ロールは集計権限と次の点で異なります。

• 職務ロールには、複数の機能セキュリティ権限が含まれます。

• 職務ロールは集計権限や他の職務ロールを継承できます。

• 職務ロールは作成できます。

ジョブ・ロールと抽象ロールは、直接または間接的に職務ロールを継承できます。事前定義済およびカスタムの職務ロールをカスタム・ジョブや抽象ロールに含めることができます。職務ロールはユーザーに直接割り当てません。

ロールの継承

各ロールは他のロールの1つの階層です。

• HCMデータ・ロールは、ジョブ・ロールを継承します。

• ジョブ・ロールと抽象ロールは、多くの集計権限を継承します。これらのロールは、少数の職務ロールも継承できます。

  集計権限と職務ロールに加えて、ジョブ・ロールと抽象ロールには多くの機能セキュリティ権限やデータ・セキュリティ・ポリシーが直接付与されます。

• 職務ロールは、他の職務ロールや集計権限を継承できます。

セキュリティ・コンソールでジョブ・ロールや抽象ロールの完全な構造を確認できます。

データ・ロールや抽象ロールをユーザーに割り当てると、ユーザーはそれらのロールに関連付けられたデータと機能セキュリティをすべて継承します。

ロールの継承の例

この例では、ロールの継承方法を示します。

図は、いくつかの代表的な集計権限と1つの職務ロールを示しています。実際は、ジョブ・ロールと抽象ロールは、多くの集計権限を継承します。これらのロールが継承する職務ロールは自身で職務ロールや集計権限を継承できます。

この例では、ユーザーBob Priceは2つのロールを持っています。

• HR担当者Vision Corporation、データ・ロール

• 「従業員」、抽象ロール

この表では、この2つのロールについて説明しています。

ロール	説明
HR担当者Vision Corporation	ジョブ・ロール「人事担当者」を継承します。このロールは、人事担当者が実行するタスクと機能へのアクセスを提供する集計権限と職務ロールを継承します。データ・ロールに割り当てられたセキュリティ・プロファイルは、ロールの保護されたデータに対するアクセスを提供します。
従業員	すべての従業員が実行する、特定のジョブに関連付けられていないすべてのタスクと機能へのアクセスを提供する集計権限と職務ロールを継承します。抽象ロールに割り当てられたセキュリティ・プロファイルは、ロールの保護されたデータに対するアクセスを提供します。

職務ロール・コンポーネント

このトピックでは、一般的な職務ロールのコンポーネントについて説明します。職務ロールを作成する予定がある場合など、職務ロールの作成方法を理解する必要があります。

機能セキュリティ権限とデータ・セキュリティ・ポリシーが職務ロールに付与されます。職務ロールは集計権限や他の職務ロールも継承できます。たとえば、「ワークフォース・ストラクチャ管理職務」ロールは、この図に示す構造を持っています。

その集計権限に加え、「ワークフォース・ストラクチャ管理職務」ロールには多くの機能セキュリティ権限とデータ・セキュリティ・ポリシーが付与されます。

データ・セキュリティ・ポリシー

「事業所の管理」、「アサイメント等級の管理」、「HRジョブの管理」など多くのデータ・セキュリティ・ポリシーが、「ワークフォース・ストラクチャ管理職務」ロールに直接付与されます。また、集計権限からデータ・セキュリティ・ポリシーを間接的に取得します。

各データ・セキュリティ・ポリシーには次が結合されています。

• データ・セキュリティ・ポリシーが付与されるロール。ロールには、「ワークフォース・ストラクチャ管理職務」などの職務ロール、ジョブ・ロール、抽象ロール、または集計権限を使用できます。

• アクセスされている、アサイメント等級などのビジネス・オブジェクト。データ・セキュリティ・ポリシーは、このリソースをテーブル名で識別します、PER_GRADES_Fはアサイメント等級を表します。

• ビジネス・オブジェクトの固有のインスタンスへのアクセスを制御する条件(存在する場合)。通常、条件は、HCMセキュリティ・プロファイルを使用して保護するリソースに指定されます。それ以外の場合、ビジネス・オブジェクト・インスタンスはキー値で識別できます。たとえば、「ワークフォース・ストラクチャ管理職務」ロールを持つユーザーは企業内のすべての等級を管理できます。

• データに対して許可されるアクションを定義するデータ・セキュリティ権限。たとえば、「「アサイメント等級の管理」はデータ・セキュリティ権限です。

機能セキュリティ権限

「事業所の管理」、「アサイメント等級の管理」、「HRジョブの管理」など多くの機能セキュリティ権限が、「ワークフォース・ストラクチャ管理職務」ロールに直接付与されます。また、集計権限から機能セキュリティ権限を間接的に取得します。

各機能セキュリティ権限は、「等級の管理」ページや「事業所の管理」ページなど関連のページで構成されるコード・リソースを保護します。一部のユーザー・インタフェースはデータ・セキュリティの対象ではないため、機能セキュリティ権限の中には同等のデータ・セキュリティ・ポリシーを持たないものもあります。

事前定義済の職務ロール

事前定義済の職務ロールは、1つのグループとして管理可能な権限の論理グループを表します。これらの職務ロールは、実際のタスク・グループも表します。たとえば、事前定義済「人事担当者」ジョブ・ロールは、「ワークフォース・ストラクチャ管理職務」ロールを継承します。ワークフォース・ストラクチャへのアクセス権がない「人事担当者」ジョブ・ロールを作成するには、次を実行します。

1. 事前定義済ジョブ・ロールをコピーします。

2. コピーから「ワークフォース・ストラクチャ管理職務」ロールを削除します。

集計権限

集計権限はロールの一種です。各集計権限には、1つの機能セキュリティ権限と関連するデータ・セキュリティ・ポリシーが結合されています。すべての集計権限は事前定義されています。このトピックでは、集計権限の命名と使用方法について説明します。

集計権限名

集計権限は、含まれている機能セキュリティ権限からその名前を取得します。たとえば、「就業者の昇格・昇進」集計権限には、「就業者の昇格・昇進」機能セキュリティ権限が含まれます。

ロール階層の集計権限

ジョブ・ロールと抽象ロールは、集計権限を直接継承します。職務ロールも集計権限を継承する場合があります。ただし、集計権限は他のどのタイプのロールも継承できません。ジョブ・ロールと抽象ロールのほとんどの機能とデータ・セキュリティは集計権限によって提供されるため、ロール階層のレベルは少数です。このフラットな階層は管理が容易です。

カスタム・ロールでの集計権限の使用

カスタム・ロールのロール階層に集計権限を含めることができます。集計権限をロールの構成要素として扱います。

集計権限の作成、編集、またはコピー

集計権限を作成、編集、またはコピーすることも、集計権限から別のロールに権限を付与することもできません。集計権限の目的は、特定のデータ・セキュリティ・ポリシーと組合された機能セキュリティ権限のみを付与することです。したがって、集計権限を単一のエンティティとして使用する必要があります。

ジョブ・ロールまたは抽象ロールをコピーした場合、コピー元のロールの集計権限はコピーされません。かわりに、コピーされたロールの集計権限にロール・メンバーシップが自動的に追加されます。

セキュリティの構成に関するガイドライン

事前定義済セキュリティ・リファレンス実装が企業を完全に表していない場合、変更できます。たとえば、事前定義済「ライン・マネージャ」抽象ロールに、報酬管理権限が含まれるとします。報酬を処理しないライン・マネージャがいる場合、それらの権限のないライン・マネージャ・ロールを作成できます。ロールを作成するには、既存のロールをコピーするか、ロールを新規に作成できます。

実装中、事前定義済ロールを評価し、変更が必要かどうかを判断します。事前定義済ロールをロール・コードで容易に識別できます。すべてのロール・コードにはプリフィクスORA_が付いています。たとえば、「給与マネージャ」ジョブ・ロールのロール・コードはORA_PAY_PAYROLL_MANAGER_JOBです。すべての事前定義済ロールには、多くの機能セキュリティ権限やデータ・セキュリティ・ポリシーが付与されます。また、集計権限や他の職務ロールも継承します。ロールに小さな変更を行う場合、事前定義済ロールをコピーして編集する方法が効率的です。ロールの新規作成が最も効率的なのは、ロールの権限がごく少数で、その特定が簡単な場合です。

欠落している企業ジョブ

セキュリティ・リファレンス実装内に表されていないジョブが企業内にある場合は、独自のジョブ・ロールを作成できます。必要に応じて、集計権限と職務ロールをカスタム・ジョブ・ロールに追加します。

様々な権限を持つ事前定義済ロール

事前定義済ジョブ・ロールの権限が企業内の対応するジョブと一致しない場合、独自のロールを作成できます。事前定義済ロールをコピーすると、コピーを編集できます。必要に応じて、集計権限、職務ロール、機能セキュリティ権限、およびデータ・セキュリティ・ポリシーを追加または削除できます。

権限が欠落している事前定義済ロール

ジョブの権限がセキュリティ・リファレンス実装で定義されていない場合は、独自の職務ロールを作成できます。ただし、一般的な実装ではカスタムの職務ロールは使用しません。集計権限は作成できません。

事前定義済ロールをレビューするためのオプション

このトピックでは、事前定義済ロールに関する情報にアクセスするための方法をいくつか説明します。この情報は、各ロールを必要としているユーザーと、ロールをプロビジョニングする前に変更を行うかどうかを特定するのに役立ちます。

セキュリティ・コンソール

セキュリティ・コンソールでは、次を実行できます。

• ジョブ・ロール、抽象ロール、または職務ロールのロール階層を確認する。

• ロール階層をスプレッドシートに展開する。

• ロールに付与された機能セキュリティ権限とデータ・セキュリティ・ポリシーを識別する。

• ロールを比較して違いを特定する。

ヒント: すべての事前定義済ロールのロール・コードにはORA_のプリフィクスが付いています。

レポート

「ユーザーおよびロールのアクセス監査レポート」を実行できます。このXML形式のレポートでは、指定されたロール、すべてのロール、指定されたユーザー、またはすべてのユーザーの機能セキュリティ権限とデータ・セキュリティ・ポリシーが識別されます。

セキュリティ・リファレンス・マニュアル

次の2つのマニュアルでは、Oracle HCM Cloudユーザー向けのセキュリティ・リファレンス実装について説明しています。

• 『Oracle Applications Cloudのセキュリティ・リファレンス』には、Oracle Fusion Applicationsに共通するすべての事前定義済セキュリティ・データの説明が記載されています。

• 『Oracle HCM Cloudのセキュリティ・リファレンス』には、Oracle HCM Cloudに共通するすべての事前定義済セキュリティ・データの説明が記載されています。

どちらのマニュアルにも、各事前定義済ジョブと抽象ロールに関するセクションがあります。ロールごとに、次をレビューできます。

• 職務ロールと集計権限

• ロール階層

• 機能セキュリティ権限

• データ・セキュリティ・ポリシー

docs.oracle.comでセキュリティ・リファレンス・マニュアルにアクセスできます。

Oracle Fusion Applicationsセキュリティ・コンソール

Oracle Fusion Applicationsセキュリティ・コンソールは、ほとんどのセキュリティ管理タスクを実行する使いやすい管理作業領域です。このトピックでは、セキュリティ・コンソールの概要とアクセス方法について説明します。

セキュリティ・コンソールの機能

セキュリティ・コンソールを使用して次を実行します。

• ロール階層とロール分析のレビュー。

  ノート: セキュリティ・コンソールでHCMデータ・ロールをレビューできます。ただし、それらは「データ・ロールおよびセキュリティ・プロファイルの管理」ページで管理する必要があります。

• カスタム・ジョブ、抽象ロールおよび職務ロールの作成および管理。

• ユーザーに割り当てられているロールのレビュー。

• 実装ユーザーとそのロールの作成および管理。

• ロールの比較。

• ユーザーまたはロールのナビゲータのシミュレーション。

• ユーザー・カテゴリの作成および管理。

• 各ユーザー・カテゴリのユーザー名とパスワード・ポリシーのデフォルト形式の管理。

• パスワードの失効など、各ユーザー・カテゴリのユーザーライフ・サイクル・イベントの通知の管理。

• データの暗号化と復号化のためのPGPおよびX.509証明書の管理。

• 必要に応じたフェデレーションの設定、およびOracle Fusion Applications SecurityとMicrosoft Active Directory間でのユーザーとロール情報の同期。

セキュリティ・コンソールへのアクセス

セキュリティ・コンソールにアクセスするには「ITセキュリティ・マネージャ」ジョブ・ロールが必要です。「セキュリティ・コンソール」作業領域を選択してセキュリティ・コンソールを開きます。「設定および保守」作業領域で次のタスクを実行してもセキュリティ・コンソールが開きます。

• 実装ユーザーの作成

• アプリケーション・セキュリティ・プリファレンスの管理

• 職務の管理

• ジョブ・ロールの管理

• 実装ユーザーからのデータ・ロールの取消し