8事業所ベースのアクセスの管理
この章の内容は次のとおりです。
事業所ベースのアクセスの概要
事業所ベースのアクセスを使用して、ロールとコンピュータのIPアドレスに基づいて、タスクおよびデータに対するユーザー・アクセスを管理できます。
事業所ベースのアクセスを有効にしてロールを公開にするには、「ITセキュリティ・マネージャ」ロールが必要です。ロールを公開にできるのは、事業所ベースのアクセスが有効になっている場合のみです。事業所ベースのアクセスを有効にするには、ユーザーが通常アプリケーションにサインインするコンピュータのIPアドレスを登録する必要があります。
事業所ベースのアクセスがどのように役立つかを理解するための例を示します。ユーザーがオフィス・ネットワークからアプリケーションにサインインしている場合に、そのユーザーにタスクまたは機能への完全なアクセス権を付与することにします。ただし、ユーザーがホーム・コンピュータまたはインターネット・キオスクからサインインしている場合は、アクセスを制限する必要があります。このようなユーザー・アクセス制御を行うには、セキュリティ・コンソールで事業所ベースのアクセスを有効にし、オフィス・コンピュータのIPアドレスを登録する必要があります。ユーザーは、オフィス・コンピュータからサインインした場合にタスクまたは機能への完全なアクセス権を付与されます。未登録のコンピュータからアプリケーションにサインインする場合、特定のロールに関連付けられていない汎用タスクのみを表示およびアクセスできます。未登録のコンピュータからはロールベースのタスクにアクセスできず、オフィスからであればこれらのタスクにアクセスできます。
事業所ベースのアクセスを有効にした場合
事業所ベースのアクセスを有効にした場合、登録済IPアドレスからアプリケーションにサインインするユーザーは、すべてのタスクへの完全なアクセス権を持ちます。一方、未登録IPアドレスからサインインするユーザーは、ロールベースのタスクおよびデータにアクセスできません。ただし、必要であれば、これらのユーザーにも完全なアクセス権を付与できます。また、公開アクセス(すべてのIPアドレスからのアクセス)を特定のロールに付与することもできます。これらのロールに関連付けられたユーザーは、サインイン元のIPアドレスに関係なく、すべてのタスクにアクセスできます。
前提条件
偶発的なアカウント・ロックアウトが発生した場合に管理者がOracle Applications Cloudへのアクセス権を再取得できるようにするには、管理者に次の設定を構成する必要があります。
-
有効なEメール
-
ITセキュリティ・マネージャ・ロール
-
Eメール通知が有効になります
事業所ベースのアクセスの仕組み
事業所ベースのアクセスでは、コンピュータの登録済IPアドレスと公開ロールを組み合せて、アプリケーションへのアクセスを管理します。
シナリオ
事業所ベースのアクセスの仕組みを理解するために、次のシナリオとユーザー・アクセスに与える影響を考慮してください。
アクセス関連の問題を回避するために、事業所ベースのアクセスを有効にする前に、特定のシナリオを慎重に検証して適切に計画してください。
| シナリオ | ユーザー・アクセスに与える影響 |
|---|---|
|
事業所ベースのアクセスを無効にします。 |
各コンピュータからアプリケーションにサインインするすべてのユーザーは、引き続き以前と同じレベルのアクセス権を保持します。 |
|
事業所ベースのアクセスを有効にし、いくつかのIPアドレスを登録しますが、いずれのロールにも公開アクセスを付与しません。 |
|
|
事業所ベースのアクセスを有効にし、いくつかのIPアドレスを登録して、一部のロールに公開アクセスを付与します。 |
|
|
事業所ベースのアクセスを有効にし、有効なIPアドレスを登録せず、いずれのロールにも公開アクセスを付与しません。 |
すべてのユーザーがロック・アウトされます。誰もサインインできません。 注意: このシナリオを試行して回避してください。事業所ベースのアクセスを有効にする場合は、少なくとも1つの有効なIPアドレスを登録し、公開アクセス(すべてのIPアドレスからのアクセス)をITセキュリティ・マネージャ・ロールに付与してください。
|
事業所ベースのアクセスの有効化および無効化
ロールと登録済IPアドレスに基づいて、ユーザーのタスクおよびデータへのアクセスを許可できるように、事業所ベースのアクセスを有効にできます。デフォルトでは、事業所ベースのアクセスは無効になっています。
開始する前に
テスト環境で事業所ベースのアクセスを構成し、本番環境で構成する前に試行します。事業所ベースのアクセスを有効にするには、「ITセキュリティ・マネージャ」ロールが必要です。さらに、次のステップを実行する必要があります。
-
有効なEメール・アドレスを設定します。必要に応じて、事業所ベースのアクセス制御のリセットまたはリカバリの通知がそのEメール・アドレスに送信されます。
-
通知テンプレート「ORA管理アクティビティ要求済テンプレート」が有効化されているユーザー・カテゴリに自分自身を追加します。
-
有効なIPアドレスのリストを準備しておきます。
事業所ベースのアクセスの有効化
-
「ナビゲータ」→「ツール」→「セキュリティ・コンソール」をクリックします。
-
「管理」ページで、「事業所ベースのアクセス」タブをクリックします。
-
「事業所ベースのアクセス使用可能」を選択します。
-
「IPアドレス許可リスト」テキスト・ボックスで、1つ以上のIPアドレスをカンマで区切って入力します。たとえば、192.168.10.12, 192.168.10.0などとします。IPアドレスの範囲を指定する場合は、192.168.10.0/24などのクラスレス・ドメイン間ルーティング(CIDR)表記を使用できます。
注意: 「IPアドレス許可リスト」に入力できるIPアドレス(IPv4のみ)範囲の接尾辞は最大で32です。たとえば、168.1.192.0/32~168.1.192.32/32です。ヒント: コンピュータのIPアドレスはこのページに表示されます。このコンピュータからサインインするときにアプリケーションへのアクセスが影響を受けないように、そのIPアドレスをリストに追加します。 -
「保存」をクリックします。
-
確認メッセージを確認し、「OK」をクリックします。
事業所ベースのアクセスを有効にした後、未登録のIPアドレスからもセキュリティ・コンソールにアクセスできるよう、ITセキュリティ・マネージャのロールを公開にします。
事業所ベースのアクセスの無効化
事業所ベースのアクセスを無効にするには、「事業所ベースのアクセス使用可能」チェック・ボックスの選択を解除します。既存のIPアドレスは読取り専用状態のままになり、機能を再び有効にすると同じ情報を再利用できます。この時点で、必要に応じてIPアドレスを追加または削除できます。
Oracle HCM Cloudでの事業所ベースのアクセスの例
このトピックでは、Oracle HCM Cloudユーザーの公開ロールを作成する一般的なユースケースについて説明します。これらのロールを使用すると、ユーザーは未登録IPアドレスから制限付きのタスク・セットを実行できます。
処理待ち就業者のための公開アクセス
プレボーディング中に、処理待ちの就業者がOracle HCM Cloudでいくつかのタスクを完了するよう求められる場合があります。通常、処理待ち就業者はオフィス・ネットワークにアクセスしたり、登録済のIPアドレスを使用したりすることはできません。そのため、処理待ち就業者ロールを公開にして、個人情報の表示や文書レコードのアップロードなどのタスクを実行できるようにします。または、処理待ち就業者ロールで実行できることを制限するために、権限を制限したカスタム・ロールを作成し、公開にすることもできます。これにより、処理待ち就業者が任意のIPアドレスからサインインしてプレボーディング・タスクを完了できるようになります。
外部学習者のための公開アクセス
たとえば、パートナ、再販者、契約者、フランチャイズなどの外部学習者に研修を提供する必要があるとします。通常、学習にアクセスできるのは従業員のみであり、オフィスのネットワークにいるか登録済IPアドレスを使用する必要があります。外部学習者が特定の学習タスクを使用できるようにするため、外部学習者ロールを作成して公開します。このロールでは外部学習者が必要とするタスクのみをサポートします。これにより外部学習者ロールを持つユーザーが任意のIPアドレスから学習にアクセスできるようになります。
Oracle Recruiting Cloudユーザーのための公開アクセス
すべての外部候補者がパブリック・ドメインからOracle Recruiting Cloudキャリア・サイトにアクセスする必要があるとします。このアクセス権を付与するために、事前定義済の匿名ユーザー抽象ロール(ORA_FND_ANONYMOUS_USER_ABSTRACT)を公開できます。
承認されているサード・パーティ・ベンダーとの統合では、REST APIを使用してデータをOracle Recruiting Cloudに戻せます。このような統合をサポートするには、統合権限を持つカスタム統合ロールを作成します。有効にする統合サービス(ジョブ配信、バックグラウンド・チェック、アセスメントなど)によっては、これらのロールが複数必要になる場合があります。すべてのカスタム・ロールを公開して、イントラネット外部のパートナ・アプリケーションがREST APIをコールできるようにする必要があります。また、アプリケーションから統合リクエストを開始するOracle Recruiting Cloudユーザーに統合ロールを付与する必要もあります。Oracle Recruiting Cloudは事前定義済の統合ロールを提供していません。
事業所ベースのアクセスの管理に関するFAQ
許可リスト登録とは
許可リスト登録は、信頼できるエンティティにデータまたはアプリケーションへのアクセスを許可するプロセスです。事業所ベースのアクセスを有効にし、コンピュータのIPアドレスを登録するときに、それらのIPアドレスを信頼できるアクセス・ポイントとして格納します。つまり、それらのIPアドレスを許可リスト登録します。それらのコンピュータからサインインするユーザーは、信頼できるユーザーとみなされ、アプリケーションへのアクセスが制限されません。
「管理」ページに「事業所ベースのアクセス」タブが表示されないのはなぜですか。
不適切な構成を防止するために、「事業所ベースのアクセス」タブに関連付けられているプロファイル・オプション「事業所ベースのアクセス・コントロールへのアクセス使用可能」が無効になる可能性があります。その結果、タブは表示されません。「管理」ページに「事業所ベースのアクセス」タブが表示されるように、アプリケーション実装コンサルタントまたは管理者に連絡してプロファイル・オプションを有効にしてください。
ロールを公開にするにはどうすればよいですか。
セキュリティ・コンソールで、公開にするロールを指定します。職務ロールを除く、すべてのロールを公開にできます。「ロールの編集」ページで、オプション「ロールはすべてのIPアドレスからアクセス可能」を選択し、変更を保存します。そのロールに関連付けられているすべてのユーザーは、アプリケーションにサインインするために使用するコンピュータに関係なく、ロールベースのタスクにアクセスできます。
常にセキュリティ・コンソールにアクセスできるようにするにはどうすればよいですか。
事業所ベースのアクセスが有効な場合は、コンピュータのIPアドレスを許可リストに追加する必要があります。また、「ITセキュリティ・マネージャ」ロールに公開アクセス権が付与されるようにします。未登録のコンピュータからサインインする必要がある場合でも、セキュリティ・コンソールと、「ITセキュリティ・マネージャ」ロールに関連付けられている他のタスクにアクセスできます。
アプリケーションにサインインしていないとき、事業所ベースのアクセスを無効にするにはどうすればよいですか。
事業所ベースのアクセスを無効にする必要があるが、アプリケーションからロックアウトされているためにセキュリティ・コンソールにサインインできません。管理者に提供されたURLを使用して、「管理アクティビティ」ページへのアクセスをリクエストする必要があります。
次の権限があることを確認します。
-
ASE_ADMINISTER_SSO_PRIV
-
ASE_ADMINSTER_SECURITY_PRIV
「管理アクティビティ」ページへのアクセス権をリクエストすると、次の形式のURLを含む電子メールが登録済の電子メールIDに届きます。
https://<FA POD>/hcmUI/faces/AdminActivity
URLをクリックすると、セキュアな「管理アクティビティ」ページに移動します。「事業所ベースのアクセス使用不可」オプションを選択して、「送信」をクリックします。事業所ベースのアクセスが無効になっていることを示す確認メッセージが表示されます。その後Oracle Applications Cloudのログイン・ページにリダイレクトされるので、登録済のユーザー名およびパスワードを使用してサインインすると以前のようにタスクおよびデータにアクセスできます。