20ジョブ・ロール、抽象ロール、職務ロールの作成および編集

この章の内容は次のとおりです。

• HCMロールのコピーに関するガイドライン

• セキュリティ・コンソールのロールのコピー・オプション

• 抽象ロールのコピーに関するガイドライン

• ジョブ・ロールおよび抽象ロールのコピー

• ジョブ・ロールおよび抽象ロールの編集

• CSVファイル・パッケージを使用したロール定義の管理

• ジョブ・ロールおよび抽象ロールの新規作成

• 職務ロールのコピーおよび編集

HCMロールのコピーに関するガイドライン

事前定義済ロールをコピーしてそのコピーを編集する方法は、ロール作成の推奨アプローチです。このトピックでは、ロールをコピーする際の検討事項を説明します。

ロール階層のレビュー

事前定義済のジョブ・ロール、抽象ロール、または職務ロールをコピーする場合は、最初にロール階層をレビューすることをお薦めします。このレビューでは、カスタム・ロールで参照、コピー、または削除する継承されたロールを確認します。たとえば、「給与マネージャ」ジョブ・ロールは特に「給与管理者」ジョブ・ロールを継承します。「給与マネージャ」ロールをコピーする場合は、「給与管理者」ロールをコピーするか、参照するか、あるいはコピーから削除するかを決定する必要があります。セキュリティ・コンソールの「ロール」タブでロール階層をグラフィカル形式または表形式でレビューできます。次も実行できます。

• ロール階層を「ロール」タブからスプレッドシートにエクスポートする。

• ロール階層をレビューして、「分析」タブからスプレッドシートにエクスポートする。

• 「ユーザーおよびロールのアクセス監査レポート」を実行する。

ヒント: 集計権限はコピーされません。ジョブ・ロールまたは抽象ロールをコピーすると、その継承された集計権限がコピーから参照されます。

権限のレビュー

ジョブ・ロールおよび抽象ロールは、機能セキュリティ権限とデータ・セキュリティ・ポリシーを、それらが継承したロールから継承します。機能セキュリティ権限とデータ・セキュリティ・ポリシーはジョブ・ロールまたは抽象ロールに直接付与される場合もあります。これらの直接付与された権限は、次のようにセキュリティ・コンソールの「ロール」タブでレビューできます。

• ロールのグラフィカル・ビューでは、その継承されたロールと機能セキュリティ権限が同時に表示されます。

• 表形式のビューでは、「表示」値を設定してロールと機能セキュリティ権限を切り替えます。いずれかのビューをスプレッドシートにエクスポートできます。

カスタム・ロールが存在する場合は、そのロールを編集して直接付与された機能セキュリティ権限を追加または削除します。

ノート: データ・セキュリティ・ポリシーは、ロールを編集するときのみ表示されます。データ・セキュリティ・ポリシーは変更しないことをお薦めします。

トランザクション分析職務ロール

「人事管理アナリスト」ジョブ・ロールなどの一部のロールは、Oracle Transactional Business Intelligenceレポート権限で使用されるトランザクション分析職務ロールを継承します。「人事管理アナリスト」ジョブ・ロール、またはトランザクション分析職務ロールを継承する他のロールをコピーする場合は、トランザクション分析職務ロールをコピーしないでください。ロールをコピーする場合は、関連レポートに対する権限を更新し、ロールのコピーを使用してそれらを保護する必要があります。かわりに、事前定義済トランザクション分析職務ロールを、「人事管理アナリスト」などの関連ジョブ・ロールのコピーに追加します。

コピーしたロールの命名

デフォルトでは、コピーしたロールは、コピー元のロールと同じ名前にサフィクスCustomが付いた名前になります。コピーしたロールのロール・コードのサフィクスは_CUSTOMです。コピーしたロールのロール・コードからは、自動的にプリフィクスORA_が付かなくなります。セキュリティ・コンソールの「管理」タブで、カスタム・ロールのローカル命名規則をプリフィクス、サフィクスまたはその両方を使用して定義できます。

ノート: コピーしたロールはその命名パターンを、セキュリティ・コンソールの「管理」タブで指定したデフォルト値から取得します。このパターンは、コピーしているロールの「ロールのコピー:基本情報」ページで上書きできます。ただし、コピーしたロールで継承されたロールの名前には影響しません。たとえば、「従業員」ロールのディープ・コピーを実行すると、継承された職務ロールはその命名パターンをデフォルト値から取得します。

ロールの複製

ロールをコピーするときに階層内のロールがすでに存在する場合、そのロールのコピーは作成されません。たとえば、「従業員」ロールの2つ目のコピーを作成する場合、継承された職務ロールのコピーはすでに存在している可能性があります。この場合、メンバーシップがロールの既存のコピーに追加されます。継承されたロールの一意のコピーを作成するには、ディープ・コピーを実行する前にセキュリティ・コンソールの「管理」タブで一意の値を入力する必要があります。

事前定義済ジョブまたは抽象ロール階層のメンバーシップを保持するには、事前定義済ロールのシャロー・コピーを実行します。

ロール・コピーで実行される内容

セキュリティ・コンソールでロールをコピーすると、指定したロールのコピー・オプションに従ってロールがコピーされます。それ以外のものは更新されません。次に例を示します。

• コピーするロールがEL式で参照されている場合、その式が新しいロールを含むように更新されることはありません。

• コピー元のロールを持つユーザーに、新しいロールが自動的に割り当てられることはありません。

• ロール・プリファレンス

• ユーザーおよびロールのアクセス監査レポート

セキュリティ・コンソールのロールのコピー・オプション

セキュリティ・コンソールでロールをコピーする場合は、次のいずれかのオプションを選択します。

• 最上位ロールのコピー

• 最上位ロールと継承されたロールのコピー

このトピックでは、これらの各オプションの影響について説明します。

最上位ロールのコピー

「最上位ロールのコピー」オプションを選択すると、選択したロール階層の最上位ロールのみがコピーされます。コピー元のロールがメンバーになっているロールでコピーに対するメンバーシップが作成されます。つまり、最上位ロールのコピーは、コピー元のロールの継承されたロール階層を参照します。それらの継承ロールに対して行われた変更は、コピー元のロールとコピーの両方に表示されます。したがって、コピーのロール階層を編集する場合は注意が必要です。次のことが可能です。

• コピー元のロールに影響を与えずに、ロールをコピーに直接追加できる。

• コピー元のロールに影響を与えずに、コピーの直接継承されたロールを削除できる。ただし、コピーによって間接的に継承されたロールを削除すると、削除されたロールの親ロールを継承するロールに影響を与えます。

• 最上位ロールのコピーに直接付与される機能セキュリティ権限およびデータ・セキュリティ権限を追加または削除できる。

カスタム・ロールをコピーして、継承ロールを編集すると、その変更は、編集したロールを継承するすべてのロールに影響します。

最上位ロールをコピーするオプションは、シャロー・コピーと呼ばれます。この図は、シャロー・コピーの効果の概要を示しています。これは、コピーがコピー元のロールと同じ継承ロールのインスタンスを参照することを示しています。継承ロールはコピーされません。

他のロールに影響を与える可能性がある変更、または事前定義されたロールに行えなかった変更を実施する必要がある場合を除き、シャロー・コピーを作成することをお薦めします。他のロールに影響を与えずに継承したロールを編集するには、最初にこれらの継承したロールのコピーを作成する必要があります。継承されたロールをコピーするには、「最上位ロールと継承されたロールのコピー」オプションを選択します。

ヒント: 「ロールのコピー: サマリーおよび影響レポート」ページには、有用な変更のサマリーが示されます。この情報をレビューして、他のロールに影響を与える変更を誤って行っていないか確認します。

最上位ロールと継承されたロールのコピー

「最上位ロールと継承されたロールのコピー」の選択は、ロール階層全体のコピー要求です。次のルールが適用されます。

• 継承された集計権限はコピーされません。かわりに、コピーされたロールの各集計権限にメンバーシップが追加されます。

• 継承された職務ロールは、同じ名前のコピーが存在しない場合にコピーされます。それ以外の場合、新しいロールに対して職務ロールの既存のコピーにメンバーシップが追加されます。

継承された職務ロールがコピーされると、カスタムの職務ロールが作成されます。したがって、他のロールに影響を与えずに編集できます。同様に、その後にコピー元の職務ロールに加えられた変更は、それらのロールのコピーには表示されません。たとえば、それらの職務ロールが事前定義されており、アップグレード中に更新された場合、アップグレード後に手動でコピーを更新する必要がある場合があります。このオプションは、ディープ・コピーと呼ばれます。

この図は、ディープ・コピーの効果を示しています。この例では、同じ名前の継承された職務ロールのコピーはまだ存在しません。したがって、最上位ロールをコピーすると、継承された職務ロールがコピーされます。集計権限は、新しいロールから参照されます。

抽象ロールのコピーに関するガイドライン

セキュリティ・プロファイルが割り当てられているロールには、割り当てられたセキュリティ・プロファイルから生成されるデータ・セキュリティ・ポリシーが含まれます。

このようなロールをコピーすると、割り当てられているセキュリティ・プロファイルから生成されたものを含め、すべてのデータ・セキュリティ・ポリシーがコピーされます。これらのデータ・セキュリティ・ポリシーをセキュリティ・コンソールでロール・コピーから正常に削除するのは困難です。そのため、不要なデータ・セキュリティ・ポリシーのコピーを回避するために、コピーする前に抽象ロールからセキュリティ・プロファイルを取り消すことをお薦めします。コピーが完了したら、セキュリティ・プロファイルを抽象ロールに再割り当てします。

ヒント: セキュリティ・プロファイルが割り当てられた事前定義済の抽象ロールのコピーをすでに作成している場合は、コピーしたデータ・セキュリティ・ポリシーを次のように削除できます。

1. カスタム・ロールを編集します。

2. 「データ・セキュリティ・ポリシー」ページで、プリフィクスORA_で始まるポリシー名でフィルタします。これらのポリシーは、コピーした事前定義済抽象ロールに割り当てられていたセキュリティ・プロファイルから生成されたものです。

3. フィルタされたリストで、ORA_で始まるすべてのポリシーを削除します。

残りのデータ・セキュリティ・ポリシーは、事前定義済で削除不可のものか、カスタム・ロールに割り当てたセキュリティ・プロファイルから生成されたものです。

ジョブ・ロールおよび抽象ロールのコピー

任意のジョブ・ロールまたは抽象ロールをコピーし、それをカスタム・ロールの基礎として使用できます。特に変更が小さいものである場合は、ロールをコピーした方が新規に作成するよりも効率的です。このトピックでは、ロールをコピーしてロールを作成する方法を説明します。このタスクを実行するには、「ITセキュリティ・マネージャ」ジョブ・ロールまたは権限が必要です。

ロールのコピー

次のステップを実行します。

1. セキュリティ・コンソールの「ロール」タブで、コピーするロールを検索します。

2. 検索結果でロールを選択します。デフォルトでは、ロール階層は表形式で表示されます。

   ヒント: 必要に応じて、「グラフの表示」アイコンをクリックして、階層をグラフィカル形式で表示します。

3. 検索結果で、選択したロールの下矢印をクリックして、「ロールのコピー」を選択します。

4. 「コピー・オプション」ダイアログ・ボックスで、コピー・オプションを選択します。

5. 「ロールのコピー」をクリックします。

6. 「ロールのコピー: 基本情報」ページで、必要に応じて、「ロール名」、「ロール・コード」、「摘要」および「ロールはすべてのIPアドレスからアクセス可能」の値をレビューおよび編集します。「ロールはすべてのIPアドレスからアクセス可能」は、事業所ベースのアクセスが有効になっている場合にのみ表示されます。

   ヒント: ロール名とロール・コードには、セキュリティ・コンソールの「管理」タブの「ロール」サブタブで指定されたコピーしたロールのデフォルトのプリフィクスとサフィクスが付いています。コピーしているロールでこれらの値を上書きできます。ただし、コピーしたロールで継承されたロールは、「ロールのコピー:基本情報」ページで行った名前の変更による影響を受けません。

7. 「サマリーおよび影響レポート」トレイン・ストップをクリックします。

8. 「送信してクローズ」をクリックし、OKをクリックして確認メッセージを閉じます。

9. セキュリティ・コンソールの「管理」タブの「ロール・コピー・ステータス」サブタブでコピーの進行状況をレビューします。ステータスが「完了」の場合は、コピーしたロールを編集できます。

   必要に応じて、「ロールのコピー: 基本情報」ページの後で中間トレイン・ストップにアクセスし、ロールのコピーを保存する前に編集できます。

ジョブ・ロールおよび抽象ロールの編集

事前定義済ジョブ・ロールまたは抽象ロールをコピーし、コピーを編集してロールを作成できます。このトピックでは、セキュリティ・コンソールでロールを編集する方法を説明します。このタスクを実行するには、「ITセキュリティ・マネージャ」ジョブ・ロールまたは権限が必要です。

ロールの編集

次のステップを実行します。

1. セキュリティ・コンソールの「ロール」タブで、カスタム・ロールを検索して選択します。

2. 検索結果で、選択したロールの下矢印をクリックして、「ロールの編集」を選択します。

3. 「ロールの編集:基本情報」ページで、ロール名と説明は編集できますが、ロール・コードは編集できません。事業所ベースのアクセスが有効になっている場合、「ロールはすべてのIPアドレスからアクセス可能」オプションも管理できます。

4. 「次」をクリックします。

機能セキュリティ権限の管理

「ロールの編集: 機能セキュリティ・ポリシー」ページの「権限」タブには、コピーしたアプリケーション・ロールに付与されている機能セキュリティ権限が表示されます。このページの「詳細」セクションに保護するコード・リソースの詳細を表示する権限を選択します。

ロールから権限を削除するには、権限を選択し、「削除」アイコンをクリックします。権限をロールに追加するには:

1. 「機能セキュリティ・ポリシーの追加」をクリックします。

2. 「機能セキュリティ・ポリシーの追加」ダイアログ・ボックスで、権限またはロールを検索および選択します。

3. ロールを選択する場合は、「選択した権限の追加」をクリックし、選択したロールからすべての機能セキュリティ権限をカスタム・ロールに追加します。

   ヒント: ロールに機能セキュリティ権限がない場合は、エラー・メッセージが表示されます。必要に応じて、「ロールの編集: ロール階層」ページでロールをロール階層に追加できます。

   単一の権限を選択する場合は、「ロールに権限追加」をクリックします。

4. 「OK」をクリックして確認メッセージを閉じます。

5. 追加の権限に対して、ステップ2以降を繰り返します。

6. 「機能セキュリティ・ポリシーの追加」ダイアログ・ボックスを閉じます。

7. 「次」をクリックします。

ノート: 機能セキュリティ権限が集計権限の一部を構成している場合、集計権限をロール階層に追加します。機能セキュリティ権限はロールに直接付与しないでください。セキュリティ・コンソールではこのアプローチが適用されます。

読取り専用である「リソース」タブには、機能セキュリティ権限によるものではない、ロールに直接付与されているリソースがリストされます。セキュリティ・コンソールでは、ロールに直接リソースを付与できないため、リリース12より前に作成されたリソース権限のみがこのタブに表示されます。これらの値は編集できません。

データ・セキュリティ・ポリシーの管理

「ロールのコピー:データ・セキュリティ・ポリシー」ページで変更を行わないでください。

継承されたロールの追加および削除

「ロールの編集:ロール階層」ページには、コピーされたロールとその継承された集計権限および職務ロールが示されます。デフォルトでは、階層は表形式で表示されます。ロールは追加または削除できます。

ロールを削除するには:

1. 表でロールを選択します。

2. 「削除」アイコンをクリックします。

3. 「OK」をクリックして確認メッセージを閉じます。

ノート: 削除するロールは、編集するロールによって直接継承されている必要があります。ロールが間接的に継承されている場合、その親ロールを編集する必要があります。

ロールを追加するには:

1. 「ロールの追加」アイコンをクリックします。

2. 「ロール・メンバーシップの追加」ダイアログ・ボックスで、追加するロールを検索して選択します。

3. 「ロール・メンバーシップの追加」をクリックします。

4. 「OK」をクリックして確認メッセージを閉じます。

5. 追加のロールに対して、ステップ2以降を繰り返します。

6. 「ロール・メンバーシップの追加」ダイアログ・ボックスを閉じます。

   「ロールの編集:ロール階層」ページには、更新したロール階層が表示されます。

7. 「次」をクリックします。

ユーザーに対するロールのプロビジョニング

ユーザーに対してロールをプロビジョニングするには、ロール・マッピングを作成する必要があります。セキュリティ・コンソールで、ユーザーにロールをプロビジョニングしないでください。

ロールのレビュー

「ロールの編集:サマリーおよび影響レポート」ページで、変更のサマリーをレビューします。「戻る」をクリックして修正します。それ以外の場合は、次を実行します。

1. 「保存してクローズ」をクリックしてロールを保存します。

2. 「OK」をクリックして確認メッセージを閉じます。

ロールはすぐに使用可能になります。

CSVファイル・パッケージを使用したロール定義の管理

セキュリティ・コンソールを使用してロール定義を編集するかわりに、CSVファイル・パッケージを使用してロール定義を編集できます。

この方法が便利なのは、カスタム・ジョブ・ロールまたは抽象ロールを一括更新する場合に、カスタム・ロールに対して追加または削除するロールおよび権限の正確な名前がわかっているときです。このアプローチを使用してデータ・セキュリティ・ポリシーを追加または削除することはできません。

CSVファイル・パッケージへのカスタム・ロール定義のエクスポート

次のステップを実行します。

1. 「ナビゲータ」→「その他」 →「設定および保守」作業領域をクリックします。

2. 「ワークフォース配置」オファリングを選択します。

3. 「ユーザーおよびセキュリティ」機能領域を選択します。

4. 「ジョブ・ロールの管理」タスクを選択し、CSVファイルにエクスポート→「新規作成」処理を選択します。

5. カスタム・ジョブ・ロールまたは抽象ロールを機能セキュリティ・カスタム・ロール: スコープに追加します。

6. 「送信」をクリックして、カスタム・ロール定義のエクスポートを開始します。

7. CSVファイルにエクスポート→「すべて表示」処理を選択して、エクスポートの進行状況を監視します。

8. エクスポートが完了したら、「処理」メニューから、「ダウンロード」→CSVファイル・パッケージを選択します。.zipファイルがデスクトップにダウンロードされます。

CSVファイル・パッケージの変更

次のステップを実行します。

1. .zipファイルを解凍し、内容を表示します。4つのファイルがあります。

   • ASM_SETUP_CSV_METADATA.xml - CSVファイルの構造を定義します

   • ORA_ASE_FUNCTIONAL_SECURITY_CUSTOM_ROLES.csv - エクスポートされた各ロールの基本情報が含まれます

   • ORA_ASE_FUNCTIONAL_SECURITY_CUSTOM_ROLE_HIERARCHY.csv - エクスポートされたロールのロール階層メンバーシップが含まれます

   • ORA_ASE_FUNCTIONAL_SECURITY_CUSTOM_ROLE_PRIVILEGE_MEMBERSHIP.csv - エクスポートされたロールに対する機能セキュリティ権限付与が含まれます

     ASM_SETUP_CSV_METADATA.xmlを変更する必要はありません。

     カスタム・ロール階層に集計権限または職務ロールを追加するには、ORA_ASE_FUNCTIONAL_SECURITY_CUSTOM_ROLE_HIERARCHY.csvファイルに行を追加し、「AddOrRemoveRoleMembership」列にADDと入力します。表示名ではなく、集計権限またはロール・コードを使用します。

     カスタム・ロール階層から集計権限または職務ロールを削除するには、ORA_ASE_FUNCTIONAL_SECURITY_CUSTOM_ROLE_HIERARCHY.csvファイルで削除する集計権限またはロール・コードを含む行を更新し、「AddOrRemoveRoleMembership」列にREMOVEと入力します。

     ORA_ASE_FUNCTIONAL_SECURITY_CUSTOM_ROLE_PRIVILEGE_MEMBERSHIP.csvで同様の変更を行い、カスタム・ロールに対して機能セキュリティ権限付与を追加および削除します。

     これらのCSVファイルのいずれかから行を削除した場合、削除する行に関してカスタム・ロールは変更されません。

2. CSVファイルの更新が終了したら、3つのCSVファイルとASM_SETUP_CSV_METADATA.xmlファイルを.zipファイルに圧縮します。これは、次の項でインポートするCSVファイル・パッケージです。

CSVファイル・パッケージのインポート

CSVファイル・パッケージをインポートし、変更をカスタム・ロール定義にアップロードするには、次のステップに従います。

1. 「ナビゲータ」 →「その他」 →「設定および保守」作業領域をクリックします。

2. 「ワークフォース配置」オファリングを選択します。

3. 「ユーザーおよびセキュリティ」機能領域を選択します。

4. 「ジョブ・ロールの管理」タスクを選択し、CSVファイルからインポート→「新規作成」処理を選択します。

5. CSVファイル・パッケージの入力を求められたら、前に作成した.zipファイルを選択します。

6. 「送信」をクリックしてCSVファイル・パッケージのインポートを開始します。

7. CSVファイルからインポート→「すべて表示」処理を選択して、インポートの進行状況を監視します。

8. インポートが完了したら、セキュリティ・コンソールでカスタム・ロールをレビューして、変更が適用されたことを確認します。

ロールの再生成

カスタム・ジョブ・ロールのロール階層を変更した場合は、このジョブ・ロールを継承するデータ・ロールを再生成します。

抽象ロールのロール階層を変更した場合は、抽象ロールを再生成します。

• ロールの再生成

• CSVファイル・パッケージを使用したロール定義の管理

ジョブ・ロールおよび抽象ロールの新規作成

事前定義済ロールが適していない場合、または少ない権限のロールが必要な場合は、ロールを新規に作成できます。このトピックでは、ジョブ・ロールまたは抽象ロールの作成方法を説明します。このタスクを実行するには、「ITセキュリティ・マネージャ」ジョブ・ロールまたは権限が必要です。

基本情報の入力

次のステップを実行します。

1. セキュリティ・コンソールの「ロール」タブで、「ロールの作成」をクリックします。

2. 「ロールの作成: 基本情報」ページで、「ロール名」フィールドにロールの表示名を入力します。たとえば、「営業部門管理ジョブ・ロール」と入力します。

3. 「ロール・コード」フィールドに入力します。たとえば、「SALES_DEPT_ADMIN_JOB」と入力します。

   抽象ロールにはサフィクス_ABSTRACT、ジョブ・ロールにはサフィクス_JOBが付きます。

4. 「ロール・カテゴリ」フィールドで、必要に応じて「HCM - 抽象ロール」または「HCM - ジョブ・ロール」を選択します。

   ノート: ジョブ・ロールの作成時には、必ず「HCM - ジョブ・ロール」カテゴリを選択してください。そうしないと、HCMデータ・ロールを作成するときに、ジョブ・ロールが使用可能なジョブ・ロールのリストに表示されません。

5. 事業所ベースのアクセスを使用している場合、「ロールはすべてのIPアドレスからアクセス可能」オプションが表示されます。このオプションを選択した場合、そのロールを持つユーザーは、どのIPアドレスからもそのロールが保護するタスクにアクセスできます。

6. 「次」をクリックします。

機能セキュリティ・ポリシーの追加

ロールを新規に作成する場合、最もよく行うのが1つ以上の集計権限または職務ロールをロールに追加することです。機能セキュリティ権限をロールに直接付与する方法はあまり使用しません。

機能セキュリティ権限を付与しない場合は、「次」をクリックします。付与する場合、次のように機能セキュリティ権限をロールに付与します。

1. 「ロールの作成: 機能セキュリティ・ポリシー」ページの「権限」タブで、「機能セキュリティ・ポリシーの追加」をクリックします。

2. 「機能セキュリティ・ポリシーの追加」ダイアログ・ボックスで、権限またはロールを検索および選択します。

3. ロールを選択する場合は、「選択した権限の追加」をクリックし、選択したロールからすべての機能セキュリティ権限をカスタム・ロールに追加します。

   ヒント: ロールに機能セキュリティ権限がない場合は、エラー・メッセージが表示されます。必要に応じて、「ロールの作成: ロール階層」ページでロールをロール階層に追加できます。

   単一の権限を選択する場合は、「ロールに権限追加」をクリックします。

4. 「OK」をクリックして確認メッセージを閉じます。

5. 追加の権限に対して、ステップ2以降を繰り返します。

6. 「機能セキュリティ・ポリシーの追加」ダイアログ・ボックスを閉じます。

7. 「次」をクリックします。

ノート: 機能セキュリティ権限が集計権限の一部を構成している場合、集計権限をロール階層に追加します。機能セキュリティ権限はロールに直接付与しないでください。セキュリティ・コンソールではこのアプローチが適用されます。

データ・セキュリティ・ポリシーの作成

「ロールの作成:データ・セキュリティ・ポリシー」ページでは入力を行わないでください。

ロール階層の構築

「ロールの作成:ロール階層」ページには、デフォルトでカスタム・ロールの階層が表形式で表示されます。1つ以上の集計権限、ジョブ・ロール、抽象ロール、および職務ロールをロールに追加できます。通常、ジョブ・ロールまたは抽象ロールを作成する場合、集計権限を追加します。ロールは常に作成しているロールに直接追加されます。

ロールを追加するには:

1. 「ロールの追加」アイコンをクリックします。

2. 「ロール・メンバーシップの追加」ダイアログ・ボックスで、追加するロールを検索して選択します。

3. 「ロール・メンバーシップの追加」をクリックします。

4. 「OK」をクリックして確認メッセージを閉じます。

5. 追加のロールに対して、ステップ2以降を繰り返します。

6. ロールの追加が完了したら、「ロール・メンバーシップの追加」ダイアログ・ボックスを閉じます。

7. 「次」をクリックします。

ロールのプロビジョニング

ユーザーに対してロールをプロビジョニングするには、ロールが存在する場合、ロール・マッピングを作成する必要があります。セキュリティ・コンソールで、ユーザーにロールをプロビジョニングしないでください。

ロールのレビュー

「ロールの作成:サマリーおよび影響レポート」ページで、変更のサマリーをレビューします。「戻る」をクリックして修正します。それ以外の場合は、次を実行します。

1. 「保存してクローズ」をクリックしてロールを保存します。

2. 「OK」をクリックして確認メッセージを閉じます。

カスタム・ロールはすぐに使用可能になります。

職務ロールのコピーおよび編集

職務ロールをコピーして、コピーを編集し、職務ロールを作成できます。職務ロールのコピーは、推奨される職務ロールの作成方法です。このトピックでは、職務ロールをコピーし、そのコピーを編集する方法を説明します。これらのタスクを実行するには、「ITセキュリティ・マネージャ」ジョブ・ロールまたは権限が必要です。

職務ロールのコピー

次のステップを実行します。

1. セキュリティ・コンソールの「ロール」タブで、コピーする職務ロールを検索します。

2. 検索結果でロールを選択します。デフォルトでは、ロール階層は表形式で表示されます。

   ヒント: 必要に応じて、「グラフの表示」アイコンをクリックして、階層をグラフィカル形式で表示します。

3. 検索結果で、選択したロールの下矢印をクリックして、「ロールのコピー」を選択します。

4. 「コピー・オプション」ダイアログ・ボックスで、コピー・オプションを選択します。

5. 「ロールのコピー」をクリックします。

6. 「ロールのコピー: 基本情報」ページで、必要に応じて、「ロール名」、「ロール・コード」、および「摘要」の値を編集します。

   ヒント: ロール名とロール・コードには、セキュリティ・コンソールの「管理」タブの「ロール」サブタブで指定されたコピーしたロールのデフォルトのプリフィクスとサフィクスが付いています。コピーしているロールでこれらの値を上書きできます。ただし、コピーしたロールで継承されたロールは、「ロールのコピー:基本情報」ページで行った名前の変更による影響を受けません。

7. 「サマリーおよび影響レポート」トレイン・ストップをクリックします。

8. 「送信してクローズ」をクリックし、OKをクリックして確認メッセージを閉じます。

9. セキュリティ・コンソールの「管理」タブの「ロール・コピー・ステータス」サブタブでコピーの進行状況をレビューします。ステータスが「完了」の場合は、コピーしたロールを編集できます。

コピーした職務ロールの編集

次のステップを実行します。

1. セキュリティ・コンソールの「ロール」タブで、職務ロールのコピーを検索して選択します。

2. 検索結果で、選択したロールの下矢印をクリックして、「ロールの編集」を選択します。

3. 「ロールの編集:基本情報」ページで、ロール名と説明は編集できますが、ロール・コードは編集できません。

4. 「次」をクリックします。

機能セキュリティ・ポリシーの管理

「ロールの編集: 機能セキュリティ・ポリシー」ページの「権限」タブには、コピーしたアプリケーション・ロールに付与されている機能セキュリティ権限が表示されます。保護するコード・リソースの詳細を表示する権限を選択します。

ロールから権限を削除するには、権限を選択し、「削除」アイコンをクリックします。権限をロールに追加するには:

1. 「機能セキュリティ・ポリシーの追加」をクリックします。

2. 「機能セキュリティ・ポリシーの追加」ダイアログ・ボックスで、権限またはロールを検索および選択します。

3. ロールを選択する場合は、「選択した権限の追加」をクリックし、選択したロールからすべての機能セキュリティ権限をカスタム・ロールに付与します。単一の権限を選択する場合は、「ロールに権限追加」をクリックします。

   ヒント: ロールに機能セキュリティ権限がない場合は、エラー・メッセージが表示されます。必要に応じて、「ロールの編集: ロール階層」ページでロールをロール階層に追加できます。

4. 「OK」をクリックして確認メッセージを閉じます。

5. 追加の権限に対して、ステップ2以降を繰り返します。

6. 機能セキュリティ・ポリシーの追加ダイアログ・ボックスを閉じます。

7. 「次」をクリックします。

ノート: 機能セキュリティ権限が集計権限の一部を構成している場合、集計権限をロール階層に追加します。機能セキュリティ権限はロールに直接付与しないでください。セキュリティ・コンソールではこのアプローチが適用されます。

読取り専用である「リソース」タブには、機能セキュリティ権限によるものではない、ロールに直接付与されているリソースがリストされます。セキュリティ・コンソールでは、ロールに直接リソースを付与できないため、リリース12より前に作成されたリソース権限のみがこのタブに表示されます。これらの値は編集できません。

データ・セキュリティ・ポリシーの管理

「ロールの編集:データ・セキュリティ・ポリシー」ページで変更を行わないでください。

継承されたロールの追加および削除

「ロールの編集:ロール階層」ページには、コピーされた職務ロールと継承する職務ロールと集計権限が示されます。デフォルトでは、階層は表形式で表示されます。ロールは追加または削除できます。

ロールを削除するには:

1. 表でロールを選択します。

2. 「削除」アイコンをクリックします。

3. 「OK」をクリックして情報メッセージを閉じます。

ロールを追加するには:

1. 「ロールの追加」をクリックします。

2. 「ロール・メンバーシップの追加」ダイアログ・ボックスで、追加するロールを検索して選択します。

3. 「ロール・メンバーシップの追加」をクリックします。

4. 「OK」をクリックして確認メッセージを閉じます。

5. 追加のロールに対して、ステップ2以降を繰り返します。

6. 「ロール・メンバーシップの追加」ダイアログ・ボックスを閉じます。

   「ロールの編集:ロール階層」ページには、更新したロール階層が表示されます。

7. 「次」をクリックします。

ロールのレビュー

「ロールの編集:サマリーおよび影響レポート」ページで、変更のサマリーをレビューします。「戻る」をクリックして修正します。それ以外の場合は、次を実行します。

1. 「保存してクローズ」をクリックしてロールを保存します。

2. 「OK」をクリックして確認メッセージを閉じます。

ロールはすぐに使用可能になります。