セキュリティとレポート(第28章) 21C

Oracle Fusion Transactional Business Intelligenceのセキュリティ

Oracle Fusion Transactional Business Intelligenceは、リアルタイムのセルフサービス・レポート・ソリューションです。適切なロールを持つすべてのアプリケーション・ユーザーは、Transactional Business Intelligenceを使用して、意思決定を支援する分析を作成できます。また、ビジネス・ユーザーは、様々なツールを使用して、ビジネス・アプリケーションの現状分析を実行できます。これらのツールには、問合せおよびレポートの標準ツールとしてのOracle Business Intelligence Enterprise Edition、Oracle Business Intelligence AnswersおよびOracle Business Intelligence Dashboardユーザー・ツールが含まれます。このトピックでは、Transactional Business Intelligenceのサブジェクト領域、ビジネス・インテリジェンス・カタログのフォルダおよびビジネス・インテリジェンス・レポートへのアクセスを保護する方法について要約しています。

サブジェクト領域

サブジェクト領域は、職務ロールを使用して機能的に保護されます。サブジェクト領域へのアクセスを許可する職務ロールの名前には、「トランザクション分析職務」という語が含まれています(例: 「ワークフォース・トランザクション分析職務」)。

次の表は、事前定義済のHCMジョブ・ロールがアクセスできるサブジェクト領域を示しています。

HCMジョブ・ロール	サブジェクト領域
福利厚生マネージャ	すべての福利厚生
報酬マネージャ	すべての報酬
報酬アナリスト	すべての報酬
人事管理アナリスト	「目標」、「ワークフォース管理」、「ワークフォース・パフォーマンス」、「ワークフォース・プロファイル」、「タレント・レビュー」
ライン・マネージャ	すべてのワークフォース管理
給与マネージャ	すべての給与

ユーザーがレポート内のすべてのサブジェクト領域にアクセスできない場合、分析は失敗します。

ビジネス・インテリジェンス・カタログのフォルダ

ビジネス・インテリジェンス・カタログのフォルダは、サブジェクト領域へのアクセスを保護する職務ロールと同じ職務ロールを使用して機能的に保護されます。そのため、ワークフォース・トランザクション分析職務を継承するユーザーは、次にアクセスできます。

Business Intelligenceの「カタログ」の「ワークフォース管理」フォルダ
「ワークフォース管理」サブジェクト領域

次の表は、事前定義済のHCMジョブ・ロールがアクセスできるフォルダを示しています。

HCMジョブ・ロール	ビジネス・インテリジェンス・カタログのフォルダ
福利厚生マネージャ	Transactional Business Intelligenceの「福利厚生」
報酬マネージャ	Transactional Business Intelligenceの「報酬」
報酬アナリスト	Transactional Business Intelligenceの「報酬」
人事管理アナリスト	Business Intelligence Publisherの「目標」、「パフォーマンス」、「プロファイル」 Transactional Business Intelligenceの「キャリア」と「ワークフォース管理」
ライン・マネージャ	Business Intelligence Publisherの「報酬」と「ワークフォース管理」 Transactional Business Intelligenceの「ワークフォース管理」とBusiness Intelligence Answersの多くのフォルダ
給与マネージャ	Transactional Business IntelligenceおよびBusiness Intelligence Answersの「給与」フォルダ

ビジネス・インテリジェンス・レポート

分析は、保存先のフォルダに基づいて保護されます。レポート権限を使用してビジネス・インテリジェンス・レポートを保護していない場合、ビジネス・インテリジェンス・レポートはデフォルトでフォルダ・レベルで保護されます。アプリケーション・ロール、カタログ・グループまたはユーザーに対して、フォルダおよびレポートに対する権限を設定できます。

次の権限を設定できます。

読取り、実行、書込みまたは削除
権限の変更
所有権の設定
Publisherレポートの実行
Publisherレポートのスケジュール
Publisher出力の表示

レポート・データ・セキュリティ

Oracle Transactional Business Intelligenceレポートで返されるデータは、アプリケーション・ページで返されるデータと同様の方法で保護されます。データ・アクセスは、セキュリティ・プロファイルにリンクされたロールによって付与されます。このトピックでは、Transactional Business Intelligenceレポートのデータへのアクセスの保護においてトランザクション分析職務ロールが果たす役割について説明します。また、カスタム・ジョブ・ロールでこのアクセスを有効にする方法についても説明します。

トランザクション分析職務ロール

サブジェクト領域およびビジネス・インテリジェンス・カタログのフォルダへのアクセスを提供するトランザクション分析職務ロールにはそれぞれ、1つ以上のデータ・セキュリティ・ポリシーが付与されます。これらのポリシーにより、データへのアクセスが有効になります。

カスタム・ジョブ・ロール

Transactional Business Intelligenceレポートへのアクセス権を持つジョブ・ロールを作成する場合、このロールに適切な職務ロールを付与する必要があります。カスタム・ロールには、トランザクション分析職務ロールのOBIバージョンとHCMバージョンの両方が必要です。これらの職務ロールによって、カスタム・ジョブ・ロールにレポート実行のための機能とデータ・セキュリティが確保されます。

たとえば、ロールがワークフォース・トランザクション分析サブジェクト領域にアクセスする必要がある場合、ロールは次の表の職務ロールを継承する必要があります。

職務ロール	バージョン
ワークフォース・トランザクション分析職務	OBI
ワークフォース・トランザクション分析	HCM

「ワークフォース・トランザクション分析職務」ロールは、関連するデータ・セキュリティ・ポリシーを付与され、BIコンシューマ・ロールを継承します。

ノート: OBIトランザクション分析職務ロールをコピーすることはお薦めしません。かわりに、事前定義済のOBIトランザクション分析職務ロールをカスタム・ロールに追加します。ロールをコピーする場合は、関連レポートに対する権限を更新し、ロールのコピーを使用してそれらを保護する必要があります。

ビジネス・インテリジェンス・ロール

「Oracle Business Intelligence」ロールは、Oracle Business Intelligence PublisherとOracle Fusion Transactional Business Intelligenceの両方に適用されます。これらによって、レポートの実行権限や作成権限などのビジネス・インテリジェンス機能へのアクセス権が付与されます。これらのロールは、レポート、サブジェクト領域、ビジネス・インテリジェンス・カタログのフォルダおよびHCMデータへのアクセス権を付与するロールに追加するロールです。このトピックでは、ビジネス・インテリジェンス・ロールについて説明します。

次の表は、ビジネス・インテリジェンス・ロールをリストしています。

ビジネス・インテリジェンス・ロール	説明
BIコンシューマ・ロール	ビジネス・インテリジェンス・レポートを実行します。
BI作成者ロール	レポートを作成および編集します。
BI管理者ロール	ダッシュボードの作成や編集、レポートやフォルダなどのセキュリティ権限の変更などの管理タスクを実行します。
「BI Publisherデータ・モデル・デベロッパ」ロール	Business Intelligence Publisherデータ・モデルを作成および編集します。

BIコンシューマ・ロール

事前定義済のTransactional Business Intelligenceトランザクション分析職務ロールは、BIコンシューマ・ロールを継承します。BIコンシューマ・ロールを継承するカスタム・ロールを構成すると、このロールはレポートを実行できますが、作成はできません。

BI作成者ロール

BI作成者ロールは、BIコンシューマ・ロールを継承します。BI作成者ロールを持つユーザーは、Transactional Business Intelligenceレポートを作成、編集および実行できます。

BI管理者ロール

BI管理者ロールは、スーパーユーザー・ロールです。BIコンシューマ・ロールを継承するBI作成者ロールを継承します。このロールは、テスト環境のユーザーにのみプロビジョニングすることを推奨します。

BI管理者ロール・アクセスを持つ事前定義済のHCMジョブ・ロールはありません。

「BI Publisherデータ・モデル・デベロッパ」ロール

「BI Publisherデータ・モデル・デベロッパ」ロールは、「アプリケーション実装コンサルタント」ロールによって継承される「アプリケーション開発者」ロールによって継承されます。したがって、このいずれかの事前定義済ジョブ・ロールを持つユーザーは、Business Intelligence Publisherデータ・モデルを管理できます。

レポートのロールおよび権限の表示

レポートのロールおよび権限を表示すると、Oracle Transactional Business Intelligenceセキュリティの仕組みの理解に役立ちます。

このトピックでは、次のものを表示する方法について説明します。

ジョブ・ロールが継承するレポート・ロール
ビジネス・インテリジェンス・カタログのOracle Transactional Business Intelligenceサンプル・レポートに対する権限

セキュリティ・コンソールでの継承レポート・ロールの表示

「ITセキュリティ・マネージャ」ジョブ・ロールまたは権限でサインインし、次のステップを実行します。

セキュリティ・コンソールで、ジョブ・ロールを検索して選択します。たとえば、「人事管理アナリスト」ジョブ・ロールを検索して選択します。

企業設定に応じて、ロールがグラフィカル形式または表形式で表示されます。デフォルトで表形式表示が表示されない場合は、表形式表示に切り替えます。
人事管理アナリストは、レコード文書トランザクション分析や休暇欠勤管理トランザクション分析などの多くのトランザクション分析職務ロールを継承します。これらのロール(名前に「職務」という語がない場合)は、HCMロールです。これらのロールのロール・コードは、ORA_という文字で始まります。表でこれらのロールを見つけます。
多くのトランザクション分析職務ロール(名前に「職務」という語がある場合)も表示されることに注意してください。たとえば、人事管理アナリストは、「レコード文書トランザクション分析職務」ロールおよび「休暇欠勤管理トランザクション分析職務」ロールを継承します。これらのロールは、OBIロールです。これらのロールのロール・コードは、FBI_という文字で始まります。表でこれらのロールを見つけます。
「休暇欠勤管理トランザクション分析職務」ロールは、BIコンシューマ・ロールを継承することに注意してください。ほとんどのOBI職務ロールは、BIコンシューマ・ロールを継承します。
「人事管理アナリスト」ロールは、BI作成者ロールを直接継承します。BI作成者ロールを見つけます。BI作成者ロールもBIコンシューマロールを継承することに注意してください。

ヒント: オフラインでレビューするために、ロール階層をスプレッドシートにエクスポートできます。

ビジネス・インテリジェンス・カタログの権限の表示

これらの権限を表示するには、BI管理者ロールを継承するロールが必要です。事前定義済の「HCM」ジョブ・ロールは、BI管理者ロールを継承しません。

「レポートおよび分析」作業領域を開きます。
「コンテンツ」ペインで、「カタログの参照」アイコンをクリックします。ビジネス・インテリジェンス・カタログページが開きます。
「フォルダ」ペインで、「共有フォルダ」を展開します。

「人材管理」フォルダを展開し、「給与」フォルダを展開します。
「トランザクション分析サンプル」フォルダをクリックします。

「BIカタログ」ページにレポートのリストが表示されます。
「原価計算レポート」で、「詳細」→「権限」をクリックします。

「権限」ダイアログ・ボックスが開きます。必要に応じて、スクロールして、BI管理者ロールが含まれた権限の完全なリストを表示します。
「Oracle Applications」タブをクリックして、ホーム・ページに戻ります。

Business Intelligence Publisherの保護リスト・ビュー

Oracle Business Intelligence Publisherは、データ・モデルに基づいて書式付きレポートを作成するための一連のツールです。「新規」→「レポート」をクリックして、Business Intelligence Composerまたはビジネス・インテリジェンス・カタログからBusiness Intelligence Publisherにアクセスできます。このトピックでは、保護リスト・ビューを使用して、ビジネス・インテリジェンス・レポートのデータへのアクセスを保護する方法について説明します。

一部のレポート・ツールでは、1つのレポート・ファイルでデータ・モデル、レイアウト、翻訳が組み合わされています。このアプローチでは、ビジネス・インテリジェンス管理者は、小さな変更をサポートするために、同じレポートの複数のコピーを保持する必要があります。一方、Business Intelligence Publisherでは、データ・モデル、レイアウト、翻訳が分離されます。したがって、レポートに対して次の操作が可能です。

PDFやスプレッドシートなど、多くの出力形式で生成および消費する。
Eメールやプリンタなどへの配信をスケジュールする。
翻訳ファイルを追加することにより、複数の言語で印刷する。
複数の受信者への配信をスケジュールする。

Business Intelligence Publisherのデータ・セキュリティと保護リスト・ビュー

物理SQLを使ってBusiness Intelligence Publisherデータ・モデルを作成する場合、2つのオプションがあります。

次のことが可能です。

データベース表からデータを直接選択します。この場合、返すデータは、データ・セキュリティ制限の対象になりません。保護されていないデータに基づいてデータ・モデルを作成できるため、データ・モデルを作成できるユーザーの数を最小限にすることを推奨します。
select文の保護リスト・ビューに参加します。返されるデータは、レポートを実行しているユーザーのロールに割り当てられるセキュリティ・プロファイルによって決まります。

次の表は、各データベース表の次のものを示しています。

保護リスト・ビュー
表のデータに関するレポートの実行に必要なデータ・セキュリティ権限(保護リスト・ビューを使用してアクセスする場合)

次の職務ロールには、次の表に示された権限があります。

休暇欠勤管理トランザクション分析
給与トランザクション分析
欠員トランザクション分析
ワークフォース・トランザクション分析

表	保護リスト・ビュー	データ・セキュリティ権限
HR_ALL_ORGANIZATION_UNITS_F	PER_DEPARTMENT_SECURED_LIST_V	部門データのレポート
HR_ALL_POSITIONS_F	PER_POSITION_SECURED_LIST_V	ポジション・データのレポート
PER_JOBS_F	PER_JOB_SECURED_LIST_V	HRジョブ・データのレポート
PER_LOCATIONS	PER_LOCATION_SECURED_LIST_V	事業所データのレポート
PER_GRADES_F	PER_GRADE_SECURED_LIST_V	アサイメント等級データのレポート

ノート: PER_JOBS_F、PER_LOCATIONSおよびPER_GRADES_Fは、現在保護されていません。これらの表の保護リスト・ビューと権限は、現在使用されていません。

次の職務ロールには、次の表に示された権限があります。

レコード文書トランザクション分析
給与トランザクション分析
ワークフォース・トランザクション分析

表	保護リスト・ビュー	データ・セキュリティ権限
PER_ALL_PEOPLE_F	PER_PERSON_SECURED_LIST_V	個人データのレポート
PER_PERSONS	PER_PUB_PERS_SECURED_LIST_V	個人繰延データのレポート

給与トランザクション分析職務ロールには、次の表の権限があります。

表	保護リスト・ビュー	データ・セキュリティ権限
HR_ALL_ORGANIZATION_UNITS_F	PER_LEGAL_EMP_SECURED_LIST_V	雇用主データのレポート
PER_LEGISLATIVE_DATA_GROUPS	PER_LDG_SECURED_LIST_V	国別仕様データ・グループ・データのレポート
PAY_ALL_PAYROLLS_F	PAY_PAYROLL_SECURED_LIST_V	給与定義データのレポート

報酬トランザクション分析職務ロールには、次の表の権限があります。

表	保護リスト・ビュー	データ・セキュリティ権限
CMP_SALARY	CMP_SALARY_SECURED_LIST_V	給与データのレポート

「人事管理アナリスト」ジョブ・ロールには、次の表の権限があります。

表	保護リスト・ビュー	データ・セキュリティ権限
PER_ALL_ASSIGNMENTS_M	PER_ASSIGNMENT_SECURED_LIST_V	アサイメント・データのレポート

保護リスト・ビューの詳細については、Oracleヘルプ・センターの『Oracle HCM Cloudの表とビュー』を参照してください。

Business Intelligence PublisherとPIIデータ

個人識別可能情報(PII)表は、仮想プライベート・データベース(VPD)ポリシーを使用してデータベース・レベルで保護されます。承認済ユーザーのみがPII表のデータに関するレポートを実行できます。この制限は、Oracle Business Intelligence Publisherレポートにも適用されます。PII表のデータは、職務ロールによって通常の方法で付与されたデータ・セキュリティ権限を使用して保護されます。このトピックでは、PIIデータを含む表と、これらのデータに関するレポートの実行に使用されるデータ・セキュリティ権限を示します。

PII情報を含む表

次の表では、PII表と、それらの表のデータに関するレポートの実行に使用される権限をリストしています。

表	データ・セキュリティ権限
PER_ADDRESSES_F	個人住所のレポート
PER_CONTACT_RELSHIPS_F	個人連絡先のレポート
PER_DRIVERS_LICENSES	運転免許のレポート
PER_EMAIL_ADDRESSES	個人Eメールのレポート
PER_NATIONAL_IDENTIFIERS	個人国別識別子のレポート
PER_PASSPORTS	個人パスポートのレポート
PER_PERSON_DLVRY_METHODS	個人連絡方法のレポート
PER_PHONES	個人電話番号のレポート
PER_VISAS_PERMITS_F	個人ビザのレポート

ノート: 勤務先Eメールおよび電話番号は保護されません。

これらのすべての権限には、「人事管理アナリスト」ジョブ・ロールが継承するワークフォース機密レポート職務ロールを使用してアクセスできます。

ディメンション・セキュリティ

ディメンションとは、数値メジャーのグループ化または集約に使用するビジネス属性のコレクションまたは階層構造のことです。アサイメント・マネージャ・ディメンションを除くOracle Transactional Business Intelligenceのディメンションはいずれも、保護されていません。つまり、ディメンション(就業者ディメンションや部門ディメンションなど)を単独で選択すると、すべての就業者データおよび部門データはフィルタ処理されずに表示されます。Oracle Transactional Business Intelligenceのデータ・セキュリティは、複数のディメンションまたは1つのディメンションと1つ以上のメトリックを組み合せて選択しないかぎり、適用されません。

たとえば、「ワークフォース管理 - 就業者アサイメント・リアルタイム」サブジェクト領域から「部門名」を選択すると、すべての部門が表示されます。レポートに割当数を追加すると、データ・セキュリティが適用され、自分がアクセスできる部門の就業者のみが表示されます。

アサイメント・マネージャ

アサイメント・マネージャは、就業者とマネージャの間のレポート関係を表す階層構造です。このディメンションは、Oracle Transactional Business Intelligenceで保護されている唯一のHCMディメンションです。アサイメント・マネージャ階層は、ライン・マネージャに限定されています。サインインしているユーザーに直属の部下がいない場合、レポートにアサイメント・マネージャを含めても、そのユーザーにデータは表示されません。

アサイメント・マネージャの使用は、ライン・マネージャに限定してください。人事管理アナリストなど、他の一部のジョブ・ロールがマネージャ情報にアクセスする必要がある場合があります。その場合は、アサイメント・マネージャ階層ではなく就業者ディメンションのマネージャ名を使用してください。

セキュリティとレポートのFAQ

ライン・マネージャに報酬サブジェクト領域へのアクセス権を付与する方法を教えてください。

事前定義済の「ライン・マネージャ」ロールには、報酬サブジェクト領域へのアクセス権がありません。このアクセス権を付与するには、「ライン・マネージャ」ジョブ・ロールを作成します。「報酬トランザクション分析職務」ロールと報酬トランザクション分析ロールの両方をカスタム・ロールに追加します。

ライン・マネージャにタレント管理サブジェクト領域へのアクセス権を付与する方法を教えてください。

事前定義済の「ライン・マネージャ」ロールには、タレント管理サブジェクト領域へのアクセス権がありません。このアクセス権を付与するには、「ライン・マネージャ」ロールを作成します。関連するトランザクション分析職務ロールをカスタム・ロールに追加します。たとえば、ワークフォースの目標サブジェクト領域へのアクセス権を提供します。この場合、「目標管理トランザクション分析職務」ロールと目標管理トランザクション分析ロールの両方をカスタム・ロールに追加します。