1. HCMの保護
  2. アプリケーションのセキュリティの設定

6アプリケーションのセキュリティの設定

この章の内容は次のとおりです。

アプリケーション・セキュリティ設定タスクの概要

「ITセキュリティ・マネージャ」ジョブ・ロールを持つTechAdminユーザーの実装中に、「初期ユーザー」機能領域でタスクを実行します。このトピックでは、これらのタスクのいくつかについて概要を説明します。この章ではそれらのタスクの詳しく説明していきます。

アプリケーション・セキュリティ・プリファレンスの管理

このタスクでは、セキュリティ・コンソールの「管理」タブが開きます。

セキュリティ・コンソールの「管理」タブの「一般」サブタブで、次を実行します。

  • 証明書のデフォルトの有効期間を指定する。証明書は、Oracle HCM Cloudが他のアプリケーションと交換するデータの暗号化および復号化に使用するキーを確立します。

  • セキュリティ・コンソール・ユーザーに最新のユーザーおよびロール情報をインポートするよう知らせる警告を表示する頻度を指定します。

セキュリティ・コンソールの「管理」タブの「ロール」サブタブで、次を実行します。

  • コピーしたロールのデフォルトのプレフィクスとサフィクスを指定する。

  • セキュリティ・コンソールの「ロール」タブにロールをグラフィカルに表示できるノード数に対する制限を指定する。

  • 「ロール」タブの階層が、デフォルトではグラフィカル形式または表形式のどちらで表示されるか指定する。

セキュリティ・コンソールの「管理」タブの「Active Directory用ブリッジ」サブタブで、Microsoft Active Directory用ブリッジを構成します。

セキュリティ・コンソールの「ユーザー・カテゴリ」タブで、次を実行します。

  • ユーザー・カテゴリを作成する。

  • ユーザー・カテゴリにユーザーを追加する。

  • ユーザー・カテゴリのユーザー名のデフォルト書式を指定する。

  • ユーザー・カテゴリのパスワード・ポリシーを管理する。

  • 選択したユーザー・カテゴリのユーザーに対するユーザーおよびパスワード・イベントの通知を管理する。

  • 選択したユーザー・カテゴリの通知テンプレートを作成する。

アプリケーション・セキュリティへのユーザーおよびロールのインポート

このタスクでは、Oracle Fusion Applicationsセキュリティ表を初期化および維持するプロセスを実行します。このプロセスは毎日実行するようスケジュールすることをお薦めします。すべてのリリース更新の後にも、このプロセスを実行する必要があります。

ユーザー・ログイン履歴のインポート

このタスクは、ユーザー・アクセスの履歴をOracle Fusion Applicationsにインポートするプロセスを実行します。この情報は、「非アクティブ・ユーザー・レポート」に必要です。

ユーザー名書式

実装時に、デフォルト・ユーザー・カテゴリのユーザー名のデフォルト書式を指定します。このトピックでは、使用可能な形式を説明します。形式を選択するには、「アプリケーション・セキュリティ・プリファレンスの管理」タスクを実行します。このときに、セキュリティ・コンソールの「管理」ページが開きます。「ユーザー・カテゴリ」タブをクリックし、デフォルト・ユーザー・カテゴリの名前をクリックして開きます。「詳細」サブタブの「編集」をクリックして、ユーザー名書式を編集します。任意のユーザー・カテゴリ書式をいつでも変更できます。

使用可能なユーザー名書式

次の表で、使用可能なユーザー名形式を説明します。

ユーザー名書式 説明

Eメール

勤務先Eメール(またはパーティ電子メール、パーティ・ユーザー)はユーザー名です。たとえば、john.smith@example.comのユーザー名はjohn.smith@example.comになります。重複名を一意にするために、数値が追加されます。たとえば、john.smith@example.comおよびjohn.smith1@example.comがすでに存在している場合、john.smith2@example.comを使用できます。

「Eメール」はデフォルト書式です。

FirstName.LastName

就業者の名と姓を1つのピリオドで区切った名前がユーザー名になります。たとえば、John Frank Smithのユーザー名はjohn.smithになります。重複名を一意にするために、ユーザーのミドル・ネームまたはランダムな文字が使用されます。たとえば、John Smithのユーザー名はjohn.frank.smithまたはjohn.x.smithになります。

FLastName

就業者の姓の前に名のイニシャルを加えた名前がユーザー名になります。たとえば、John Smithのユーザー名はjsmithになります。

個人またはパーティ番号

パーティ番号または個人番号がユーザー名になります。企業で個人番号の手動採番を使用している場合は、雇用プロセス中に入力した任意の番号がユーザー名になります。それ以外の場合は、番号が自動的に生成され、編集することはできません。自動的に生成された番号がユーザー名になります。たとえば、John Smithの個人番号が987654の場合、ユーザー名は987654になります。

別のユーザー名ルールを選択した場合は、「保存」をクリックします。変更はすぐに有効になります。

システム・ユーザー名

選択したユーザー名ルールが失敗する場合があります。たとえば、ユーザー・アカウントが要求されたときに個人のパーティ番号、個人番号、Eメールが使用できないことがあります。この場合、一意のユーザー名が定義されるまで次に示すオプションを記載されている順序で適用してシステム・ユーザー名が生成されます。

  1. Eメール

  2. FirstName.LastName

  3. 姓のみ使用できる場合は、ランダムな文字が姓の先頭に付きます。

セキュリティ・コンソール・オプションの「生成ルールが失敗した場合にシステム・ユーザー名を生成」によって、システム・ユーザー名を生成するかどうかを制御します。このオプションは無効にすることができます。この場合、ユーザー名が選択した形式で生成できないと、エラーが発生します。

ヒント: システム・ユーザー名が生成された場合は、後から編集して希望の値を指定できます。

ユーザー名の編集

人事(HR)担当者とライン・マネージャは、ユーザー名を任意の形式で入力し、就業者を雇用するときのデフォルトのユーザー名を上書きできます。HR担当者は、「ユーザーの編集」および「ユーザー・アカウントの管理」ページでも個々のユーザーのユーザー名を編集できます。ユーザー名の最大長は80文字です。

勤務先Eメール

ライン・マネージャまたはHR担当者は、就業者を雇用するときに勤務先Eメールを省略する場合があります。その場合、就業者の詳細を編集してEメールを後から追加することできません。ただし、セキュリティ・コンソールでユーザーを編集し、そこでEメールを入力できます。異なるユーザー名が生成された後にユーザー名として勤務先Eメールを使用するには、既存のユーザー名を編集します。

パスワード・ポリシー

実装時に、デフォルト・ユーザー・カテゴリのパスワード・ポリシーを設定します。このトピックでは、使用可能なオプションについて説明します。パスワード・ポリシーを設定するには、「アプリケーション・セキュリティ・プリファレンスの管理」タスクを実行します。このタスクでは、セキュリティ・コンソールの「管理」ページが開きます。「ユーザー・カテゴリ」タブをクリックし、デフォルト・カテゴリの名前をクリックして開きます。「パスワード・ポリシー」サブタブで「編集」をクリックして、ポリシーを編集します。任意のユーザー・カテゴリのパスワード・ポリシーをいつでも変更できます。

パスワード・ポリシーのオプション

次の表で、パスワード・ポリシーの設定で指定できるオプションについて説明します。

パスワード・ポリシーのオプション 説明 デフォルト値

パスワード失効までの日数

パスワードの有効期間を日数で指定します。この期間後、ユーザーはパスワードをリセットする必要があります。デフォルトでは、パスワードが失効したユーザーは「パスワードを忘れた場合」プロセスに従う必要があります。

90

パスワード失効警告までの日数

パスワードの失効についてユーザーに通知するタイミングを指定します。デフォルトでは、ユーザーはサインインしてパスワードを変更するよう要求されます。この値は、「パスワード失効までの日数」オプションの値以下に設定する必要があります。

80

ノート: この値は、更新18Bからの新規インストールの場合は10になります。

パスワード・リセット・トークン失効までの時間数

ユーザーは、パスワードのリセットを要求するときに、パスワード・リセット・リンクを送信します。このオプションでは、パスワード・リセット・リンクがアクティブな期間を指定します。パスワードがリセットされる前にリンクが失効した場合、リセットを再度要求する必要があります。1から9999の値を入力できます。

4

パスワードの複雑性

パスワードを単純にするか、複雑にするか、または非常に複雑するかを指定します。パスワード検証ルールで、選択した複雑性テストに失敗したパスワードを識別します。

単純

前回のパスワードの禁止

新しいパスワードを前回のパスワードと異なるものにする場合に選択します。

ユーザーが「設定およびアクション」「プリファレンスの設定」「パスワード」を選択してパスワード・リセットを要求すると、このオプションによって前回のパスワードを再利用できるかどうかが決定します。ただし、ユーザーのパスワードが期限切れになると、ユーザーは前回のパスワードを再利用できます。このオプションは、失効後のパスワードの再利用には影響しません。

いいえ

管理者によるパスワードの手動リセットを許可

パスワードは自動的に生成するか、ITセキュリティ・マネージャによって手動でリセットできます。ユーザーのパスワードを手動でリセットできるようにする場合はこのオプションを選択します。手動でリセットされたか、自動的に生成されたかに関係なく、すべてのパスワードは現在の複雑性ルールを満たす必要があります。

はい

ノート: ユーザー・カテゴリに対して適切な通知テンプレートが有効になっている場合にのみ、ユーザーにパスワード・イベントが通知されます。これらのイベントの事前定義済通知テンプレートは、「パスワード失効警告テンプレート」、「パスワード失効テンプレート」、「パスワード・リセット・テンプレート」です。

パスワード失効レポート

「パスワード失効レポート」では、パスワード失効警告およびパスワード失効通知が送信されます。「パスワード失効レポート」は毎日実行されるようスケジュールする必要があります。レポートをスケジュールするには:

  1. 「スケジュール済プロセス」作業領域で、「新規プロセスのスケジュール」をクリックします。

  2. 「プロセスのスケジュール」ダイアログ・ボックスで、「パスワード失効レポート」プロセスを検索して選択します。

  3. 「OK」をクリックします。

  4. 「プロセス詳細」ダイアログ・ボックスで、「拡張」をクリックします。

  5. 「スケジュール」タブで、「実行」「スケジュールの使用」に設定します。

  6. 「周期」値を選択します。たとえば、「日次」を選択します。

  7. 開始日時を選択します。

  8. 「送信」をクリックします。

注意: 「パスワード失効レポート」ジョブはパスワード失効通知を送信するきに、失効したユーザー・パスワードをリセットします。その後「パスワード失効レポート」ジョブはパスワード失効チェックのサイクルを新たに開始し、パスワード失効警告およびパスワード失効通知を送信します。

ロール・プリファレンス

実装中、企業のデフォルトのロール・プリファレンスを設定します。このトピックでは、ロール・プリファレンスとその影響について説明します。ロール・プリファレンスを設定するには、「アプリケーション・セキュリティ・プリファレンスの管理」タスクを実行し、セキュリティ・コンソールの「管理」ページの「一般」サブタブを開きます。「管理」ページの「ロール」サブタブをクリックします。また、セキュリティ・コンソールでいつでもロール・プリファレンスを設定できます。

コピーしたロール名

ロールを作成するには、事前定義済ロールをコピーし、コピーしたロールを編集することをお薦めします。事前定義済ロールをコピーすると、次のようになります。

  • 事前定義済ロールを識別するORA_プリフィクスが、コピーしたロールのロール・コードから自動的に削除されます。

  • 企業のプリフィクスとサフィクスの値は、コピーしたロールのロール名とコードに自動的に追加されます。

セキュリティ・コンソールの「管理」タブの「ロール」サブタブで企業のプリフィクスおよびサフィクス値を指定します。デフォルトでは、次のようになります。

  • プリフィクス値は空です。

  • ロール名のサフィクスはCustomです。

  • ロール・コードのサフィクスは_CUSTOMです。

たとえば、「Benefits Administrator」ジョブ・ロール(ORA_BEN_BENEFITS_ADMINISTRATOR_JOB)をコピーすると、コピーしたロールのデフォルト名とコードは次のようになります。

  • 福利厚生管理者カスタム

  • BEN_BENEFITS_ADMINISTRATOR_JOB_CUSTOM

必要に応じて、プリフィクス値を指定し、サフィクス値を変更できます。これらの値を変更する場合は、「保存」をクリックします。変更はすぐに有効になります。

グラフ・ノードとデフォルト・ビュー

セキュリティ・コンソールの「ロール」タブで、ロール階層を表示できます。デフォルトでは、これらの階層は表形式で表示されます。デフォルトでグラフィカル形式を使用するには、セキュリティ・コンソールの「管理」タブの「ロール」サブタブで「デフォルトの表形式表示可能」オプションの選択を解除します。

ロール階層が「ロール」タブに表示されると、ロール数が非常に多い場合があります。グラフィカル・ビューでノード数を制限するには、セキュリティ・コンソールの「管理」タブの「ロール」サブタブで「グラフ・ノード制限」オプションをオンに設定します。指定した制限を超えるノードを含むロール階層を表示する場合は、表形式に切り替えることをお薦めします。

関連トピック

ユーザー・カテゴリ: 説明

様々な機能要件および操作要件に基づいて、ユーザーを分類および分離できます。ユーザー・カテゴリには、指定された設定がそのグループの全員に適用されるように、一連のユーザーをグループ化するオプションが用意されています。ユーザーをグループ化する一般的なシナリオは次のとおりです。

  • ユーザーは企業内の様々な組織に属し、各組織は異なるユーザー管理ポリシーに従います。

  • パスワードのリセットに関連する慣例が、ユーザー間で均一ではありません。

  • アプリケーションで実行する様々なタスクについての自動通知の受信に関するプリファレンスが、ユーザーごとに異なります。

「セキュリティ・コンソール」ページで、「ユーザー・カテゴリ」タブをクリックします。次のタスクを実行できます。

  • ユーザーのカテゴリへの分離

  • 次のURLの指定

  • 通知の有効化

ユーザーのカテゴリへの分離

ユーザー・カテゴリを作成し、既存のユーザーを追加します。特に指定されていないかぎり、既存のすべてのユーザーは自動的にデフォルト・ユーザー・カテゴリに割り当てられます。要件に応じてカテゴリをさらに作成し、それらのカテゴリにユーザーを割り当てることができます。

ノート: ユーザーを割り当てることができるカテゴリは1つのみです。

次のURLの指定

パスワードをリセットするたびに、ユーザーを「サインイン」ページに戻すのではなく、WebサイトまたはアプリケーションにリダイレクトするURLを指定します。たとえば、ユーザーはパスワード・リセット要求を発行すると、パスワードをリセットするための電子メールを受信します。新しいパスワードが認証されると、ユーザーはWebサイトまたはアプリケーションに移動できます。何も指定されていない場合、ユーザーはOracle Applications Cloudの「サインイン」ページに移動します。ユーザー・カテゴリごとに指定できるURLは1つのみです。

通知の有効化

デフォルトで通知は有効になっていますが、プリファレンスに基づいてユーザーへの通知の送信を有効化または無効化できます。そのために、ユーザー・カテゴリごとに個別に通知を有効化または無効化できます。特定のカテゴリに属するユーザーが通知を受信しないようにする場合は、すべてのライフ・サイクル・イベントの通知を無効にできます。また、一部のイベントの通知のみをユーザーが受信するようにする場合は、それらのイベントの機能を選択的に有効にできます。

通知は一連の事前定義済イベントに対して送信されます。通知をトリガーするには、通知テンプレートを作成し、必要なイベントにマップする必要があります。要件に応じて、特定のイベントにマップされるテンプレートを追加または削除できます。

ノート: プリフィクスORAで始まる事前定義済の通知テンプレートは編集または削除できません。有効化または無効化することのみができます。ただし、ユーザー定義テンプレートを更新または削除することはできます。

ユーザー・カテゴリ機能では、一括更新を実行するためのSCIMプロトコルとHCMデータ・ローダーの両方をサポートしています。

関連トピック

ユーザー・カテゴリへのユーザーの追加

セキュリティ・コンソールを使用して、既存のユーザーを既存のユーザー・カテゴリに追加するか、新規カテゴリを作成して追加できます。新規ユーザーを作成すると、自動的にデフォルト・カテゴリに割り当てられます。後でユーザー・アカウントを編集し、ユーザー・カテゴリを更新できます。ユーザーを割り当てることができるのは、1つのカテゴリのみです。

ノート: セキュリティ・コンソールを使用して新規ユーザーを作成する場合、作成時にユーザー・カテゴリを割り当てることもできます。

次の3つの異なる方法で、ユーザーをユーザー・カテゴリに追加できます。

  • ユーザー・カテゴリを作成して、ユーザーを追加します

  • 既存のユーザー・カテゴリにユーザーを追加します

  • 既存のユーザーのユーザー・カテゴリを指定します

ノート: ユーザー・カテゴリは、セキュリティ・コンソールを使用してのみ作成および削除できます。アプリケーションで必要なユーザー・カテゴリを使用できる場合は、SCIM REST APIおよびデータ・ローダーで使用できます。ユーザー・カテゴリの名前は変更できません。

新規ユーザー・カテゴリへのユーザーの追加

ユーザー・カテゴリを作成してユーザーを追加するには:

  1. セキュリティ・コンソールで、「ユーザー・カテゴリ」「作成」をクリックします。

  2. 「編集」をクリックし、ユーザー・カテゴリ詳細を指定して、「保存してクローズ」をクリックします。

  3. 「ユーザー」タブをクリックし、「編集」をクリックします。

  4. 「ユーザー・カテゴリ: ユーザー」ページで、「追加」をクリックします。

  5. 「ユーザーの追加」ダイアログ・ボックスで、ユーザーを検索して選択し、「追加」をクリックします。

  6. 必要なユーザーを追加するまでユーザーの追加を繰り返し、「完了」をクリックします。

  7. 「ユーザー・カテゴリ」ページに戻るまで、各ページで「完了」をクリックします。

既存のユーザー・カテゴリへのユーザーの追加

ユーザーを既存のユーザー・カテゴリに追加するには:

  1. セキュリティ・コンソールで、「ユーザー・カテゴリ」をクリックし、既存のユーザー・カテゴリをクリックして開きます。

  2. 「ユーザー」タブをクリックし、「編集」をクリックします。

  3. 「ユーザー・カテゴリ: ユーザー」ページで、「追加」をクリックします。

  4. 「ユーザーの追加」ダイアログ・ボックスで、ユーザーを検索して選択し、「追加」をクリックします。

  5. 必要なユーザーを追加するまでユーザーの追加を繰り返し、「完了」をクリックします。

  6. 「ユーザー・カテゴリ」ページに戻るまで、各ページで「完了」をクリックします。

既存ユーザーのユーザー・カテゴリの指定

ユーザー・カテゴリに既存のユーザーを追加するには:

  1. セキュリティ・コンソールで、「ユーザー」をクリックします。

  2. ユーザー・カテゴリを指定するユーザーを検索して選択します。

  3. 「ユーザー・アカウント詳細」ページで、「編集」をクリックします。

  4. 「ユーザー情報」セクションで、「ユーザー・カテゴリ」を選択します。デフォルト・ユーザー・カテゴリは、変更するまでユーザーに設定されたままです。

  5. 「保存してクローズ」をクリックします。

  6. 「ユーザー・アカウントの詳細」ページで、「完了」をクリックします。

ユーザー・カテゴリが不要な場合は削除できます。ただし、そのユーザー・カテゴリにユーザーが関連付けられていないことを確認する必要があります。関連付けられている場合は、削除タスクを続行できません。「ユーザー・カテゴリ」ページで、行の「X」アイコンをクリックしてユーザー・カテゴリを削除します。

ユーザー名とパスワード通知

デフォルトでは、すべてのユーザー・カテゴリのユーザーに、ユーザー・アカウントおよびパスワードの変更が自動的に通知されます。これらの通知は、通知テンプレートに基づきます。多くのテンプレートが事前定義済ですが、ユーザー・カテゴリのテンプレートは作成できます。実装中に、各ユーザー・カテゴリに使用する予定の通知を識別し、不要な通知をすべて無効にします。このトピックでは、事前定義済通知テンプレートの概要を説明し、通知を有効化および無効化する方法を説明します。

事前定義済通知テンプレート

次の表で、事前定義済通知テンプレートについて説明します。各テンプレートは事前定義済イベントと関連付けられます。たとえば、「パスワード・リセット・テンプレート」はパスワード・リセット・イベントと関連付けられます。これらの通知テンプレートおよび関連するイベントは、ユーザー・カテゴリのセキュリティ・コンソールの「ユーザー・カテゴリ: 通知」ページで確認できます。

通知テンプレート 説明

パスワード失効警告テンプレート

パスワードが間もなく失効することをユーザーに警告し、パスワードをリセットする手順を示します

パスワード失効テンプレート

パスワードが失効していることをユーザーに通知し、パスワードをリセットする手順を示します

ユーザー名を忘れた場合のテンプレート

リマインダを要求したユーザーにユーザー名を送信します

パスワード生成済テンプレート

パスワードが自動的に生成されていることをユーザーに通知し、パスワードをリセットする手順を示します

パスワード・リセット・テンプレート

「自分のアカウント」で「パスワードのリセット」アクションを実行したユーザーにパスワード・リセット・リンクを送信します

パスワード・リセットの確認テンプレート

パスワードがリセットされたときにユーザーに通知します

パスワード・リセット・マネージャ・テンプレート

「自分のアカウント」ページで「パスワードのリセット」処理を実行したユーザーのマネージャにリセット・パスワード・リンクを送信します

パスワード・リセット・マネージャの確認テンプレート

ユーザーのパスワードがリセットされたときにユーザーのマネージャに通知します

新規アカウント・テンプレート

ユーザー・アカウントが作成されたときにユーザーに通知し、パスワード・リセット・リンクを提供します

新規アカウント・マネージャ・テンプレート

ユーザー・アカウントが作成されたときにユーザーのマネージャに通知します

作成したユーザー・カテゴリは、自動的に事前定義済の通知テンプレートに関連付けられ、これらのテンプレートはすべて有効になります。

事前定義済テンプレートは編集できません。ただし、テンプレートを作成して、事前定義済バージョンを無効にできます。各事前定義済イベントは、一度に1つの有効化された通知テンプレートとのみ関連付けることができます。

通知の有効化と無効化

ユーザー・カテゴリのユーザーに通知を送信するには、一般的に、ユーザー・カテゴリに対して通知を有効にする必要があります。「ユーザー・カテゴリ: 通知」ページで「通知使用可能」オプションが選択されていることを確認します。通知が有効な場合は、特定のテンプレートを無効にできます。たとえば、「新規アカウント・テンプレート」を無効にすると、関連するユーザー・カテゴリのユーザーにはアカウントが作成されたときに通知されません。他の通知は引き続き送信されます。

テンプレートを無効にするには:

  1. 「ユーザー・カテゴリ: 通知」ページで、「編集」をクリックします。

  2. 編集モードで、テンプレート名をクリックします。

  3. テンプレート・ダイアログ・ボックスで、「使用可能」オプションの選択を解除します。

  4. 「保存してクローズ」をクリックします。

処理待ち就業者の通知を有効にするにはどうすればよいですか。

処理待ち就業者および退職済就業者の個人Eメール・アドレスに通知を送信できます。通知を送信するには、ORA_PER_USER_ACCOUNT_NOTIFY_HOME_EMAILプロファイル・オプションを有効にする必要があります。

  1. 「設定および保守」作業領域で、「管理者プロファイル値の管理」タスクに移動します。

  2. 「管理者プロファイル値の管理」ページで、ORA_PER_USER_ACCOUNT_NOTIFY_HOME_EMAILプロファイル・オプション・コードを検索して選択します。

  3. 「プロファイル値」セクションで、プロファイル値としてYと入力します。

  4. 「保存してクローズ」をクリックします。

パスワードを忘れた場合のEメール通知にユーザー名が表示されないのはなぜですか。

これは、Eメール・アドレスに関連付けられたユーザー名が2つあるためです。アプリケーションでは、Eメール通知にユーザー名が1つのみ含められます。

ユーザー名を忘れた場合のEメール通知にユーザー名が表示されないのはなぜですか。

これは、Eメール・アドレスに関連付けられたユーザー名が2つあるためです。アプリケーションでは、Eメール通知にユーザー名が1つのみ含められます。

通知テンプレートの作成

事前定義済通知テンプレートは、ユーザー・アカウントの作成やパスワードのリセットなどユーザー・アカウント・ライフサイクルに関連するイベントに対して存在します。テンプレートが有効な場合、ユーザーには、ユーザーに影響を与えるイベントが自動的に通知されます。独自の通知を指定するには、通知テンプレートを作成します。このトピックでは、ユーザー・カテゴリの通知テンプレートの作成方法について説明します。

次のステップを実行します。

  1. セキュリティ・コンソールを開いて、「ユーザー・カテゴリ」タブをクリックします。

  2. 「ユーザー・カテゴリ」ページで、該当するユーザー・カテゴリの名前をクリックします。

  3. 「ユーザー・カテゴリ: 詳細」ページで、「通知」サブタブをクリックします。

  4. 「ユーザー・カテゴリ: 通知」ページで、「編集」をクリックします。

  5. 「テンプレートの追加」をクリックします。

  6. 「通知テンプレートの追加」ダイアログ・ボックスで、次の手順を実行します。

    1. テンプレート名を入力します。

    2. 「イベント」フィールドで、値を選択します。選択したイベントの事前定義済コンテンツは、「メッセージの件名」および「メッセージ・テキスト」フィールドに自動的に表示されます。メッセージ・テキストのトークンは、生成された通知でユーザー固有の値に自動的に置き換えられます。

    3. 必要に応じて、「メッセージの件名」フィールドを更新します。ここに入力したテキストは、通知Eメールの件名に表示されます。

    4. 必要に応じて、メッセージ・テキストを更新します。

      次の表に、メッセージ・テキストでサポートされるトークンを示します。

      トークン 意味 イベント

      userLoginId

      ユーザー名

      • ユーザー名を忘れた場合

      • パスワードの期限切れ

      • パスワード・リセットの確認

      firstName

      ユーザーの名

      すべてのイベント

      lastName

      ユーザーの姓

      すべてのイベント

      managerFirstName

      マネージャの名

      • 新規アカウントの作成 - マネージャ

      • パスワード・リセットの確認 - マネージャ

      • パスワード・リセット - マネージャ

      managerLastName

      マネージャの姓

      • 新規アカウントの作成 - マネージャ

      • パスワード・リセットの確認 - マネージャ

      • パスワード・リセット - マネージャ

      loginURL

      ユーザーがサインインできるURL

      • 外部IDP署名証明書の失効

      • パスワードの期限切れ

      • パスワード失効警告

      resetURL

      ユーザーが自分のパスワードをリセットできるURL

      • 新規アカウントの作成 - マネージャ

      • 新規ユーザーの作成

      • パスワードの生成

      • パスワード・リセット

      • パスワード・リセット - マネージャ

      CRLFX

      改行

      すべてのイベント

      SP4

      スペース4つ

      すべてのイベント

      adminActivityUrl

      管理者が管理アクティビティを開始するURL

      管理アクティビティのリクエスト

      providerName

      外部アイデンティティ・プロバイダ

      外部IDP署名証明書の失効

      signingCertDN

      署名証明書

      外部IDP署名証明書の失効

      signingCertExpiration

      署名証明書失効日

      • 外部IDP署名証明書の失効

      • サービス・プロバイダ署名証明書の失効

      encryptionCertExpiration

      暗号証明書失効日

      サービス・プロバイダ暗号化証明書の失効

      adminFirstName

      管理者の名

      • 管理アクティビティ事業所ベースのアクセスの無効化の確認

      • 管理アクティビティのシングル・サインオン無効化の確認

      adminLastName

      管理者の姓

      • 管理アクティビティ事業所ベースのアクセスの無効化の確認

      • 管理アクティビティのシングル・サインオン無効化の確認

    5. テンプレートを使用可能にするには、「使用可能」オプションを選択します。

    6. 「保存してクローズ」をクリックします。

  7. 「ユーザー・カテゴリ: 通知」ページで「保存」をクリックします。

ノート: 事前定義済イベントの追加済テンプレートを有効にすると、同じイベントの事前定義済テンプレートが自動的に無効になります。

「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」プロセスのスケジュール

「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」プロセスを実行して、セキュリティ・コンソールを設定および保守する必要があります。実装時に、「ユーザーおよびロールのアプリケーション・セキュリティへのインポート」タスクを実行してこのプロセスを実行します。ユーザー、ロール、権限、およびデータ・セキュリティ・ポリシーをLDAPディレクトリ、ポリシー・ストアおよびアプリケーション・コア・グラント・スキーマからOracle Fusion Applicationsセキュリティ表にコピーします。Oracle Fusion Applicationsのセキュリティ表にこの情報を含めることにより、セキュリティ・コンソールの補助検索機能を迅速かつ確実に行うことができるようになります。プロセスを初めて完了まで実行した後、「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」を毎日実行するようにスケジュールすることをお薦めします。このトピックでは、プロセスのスケジュール方法を説明します。

ノート: プロセスを実行するたびに、最後に実行された以降の変更のみコピーされます。

プロセスのスケジュール

次のステップを実行して、「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」プロセスをスケジュールします。

  1. 「スケジュール済プロセス」作業領域を開きます。

  2. 「概要」ページの「検索結果」セクションで、「新規プロセスのスケジュール」をクリックします。

  3. 「新規プロセスのスケジュール」ダイアログ・ボックスで、「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」プロセスを検索して選択します。

  4. 「OK」をクリックします。

  5. 「プロセス詳細」ダイアログ・ボックスで、「拡張」をクリックします。

  6. 「スケジュール」タブで、「実行」「スケジュールの使用」に設定します。

  7. 「周期」「日次」に設定し、「間隔」1に設定します。

  8. 開始および終了日時を入力します。開始時間は、「待ち状態のLDAP要求の送信」プロセスの日次実行後になります。

  9. 「送信」をクリックします。

  10. 「OK」をクリックして確認メッセージを閉じます。

同期プロセス・プリファレンスのレビュー

セキュリティ・コンソールの「管理」タブの「一般」サブタブで、「同期プロセス・プリファレンス」オプションを設定できます。このオプションでは、「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」プロセスの実行を知らせる頻度を制御します。デフォルトでは、プロセスが過去6時間に正常に実行されている場合にのみ警告が表示されます。プロセスを毎日実行するようにスケジュールした場合は、このオプションを24よりも大きな値に設定できます。

「ユーザー・ログイン履歴のインポート」プロセスのスケジュール

実装時に、「設定および保守」作業領域で「ユーザー・ログイン履歴のインポート」タスクを実行します。このタスクでは、Oracle Fusion Applicationsへのユーザー・アクセスに関する情報がOracle Fusion Applicationsセキュリティ表にインポートするプロセスを実行します。この情報は「非アクティブ・ユーザー・レポート」に必要です。このレポートは、指定された期間、非アクティブになっているユーザーに関してレポートします。初めて「ユーザー・ログイン履歴のインポート」を実行した後、それを毎日実行するようにスケジュールすることをお薦めします。このようにすると、「非アクティブ・ユーザー・レポート」が最新の状態になります。

プロセスのスケジュール

次のステップを実行します。

  1. 「スケジュール済プロセス」作業領域を開きます。

  2. 「概要」ページの「検索結果」セクションで、「新規プロセスのスケジュール」をクリックします。

  3. 「新規プロセスのスケジュール」ダイアログ・ボックスで、「ユーザー・ログイン履歴のインポート」プロセスを検索して選択します。

  4. 「OK」をクリックします。

  5. 「プロセス詳細」ダイアログ・ボックスで、「拡張」をクリックします。

  6. 「スケジュール」タブで、「実行」「スケジュールの使用」に設定します。

  7. 「周期」「日次」に設定し、「間隔」1に設定します。

  8. 開始および終了日時を入力します。

  9. 「送信」をクリックします。

  10. 「OK」をクリックして「確認」メッセージを閉じます。

関連トピック

「待ち状態のLDAP要求の送信」プロセスを実行する理由

「待ち状態のLDAP要求の送信」プロセスを毎日実行して、将来の日付の要求および一括要求をLDAPディレクトリ・サーバーに送信することをお薦めします。「スケジュール済プロセス」作業領域でプロセスをスケジュールします。このトピックでは、「待ち状態のLDAP要求の送信」の目的について説明します。

「待ち状態のLDAP要求の送信」では、次の項目がLDAPディレクトリに送信されます。

  • ユーザー・アカウントを作成、一時停止、および再アクティブ化する要求。

    • 就業者用に個人レコードを作成すると、ユーザー・アカウント要求は自動的に作成されます。

    • 個人にロールや現在の雇用関係がない場合、ユーザー・アカウントを一時停止する要求が自動的に生成されます。

    • 一時停止したユーザー・アカウントを再アクティブ化する要求は、退職済就業者を再雇用した場合に自動的に生成されます。

    このプロセスでは、企業でユーザー・アカウントの自動作成と管理が無効になっていないかぎり、これらの要求がLDAPディレクトリに送信されます。

  • 勤務先Eメール。

    個人レコードを作成するときに勤務先Eメールを含めると、プロセスによってそれらのEメールがLDAPディレクトリに送信されます。

  • ロール・プロビジョニングおよびプロビジョニング解除要求。

    このプロセスでは、企業で自動のロール・プロビジョニングが無効になっていないかぎり、これらの要求がLDAPディレクトリに送信されます。

  • 個人ユーザーに対する個人属性の変更。

    このプロセスでは、企業でユーザー・アカウントの自動管理が無効になっていないかぎり、この情報がLDAPディレクトリに送信されます。

  • Oracle HCM Cloudで発信されたHCMデータ・ロールに関する情報。

ノート: これらすべての項目は、将来の日付であるか一括データ・アップロードで生成されていないかぎり、LDAPディレクトリに自動的に送信されます。「待ち状態のLDAP要求の送信」プロセスを実行して、将来の日付および一括要求をLDAPディレクトリ・サーバーに送信します。

一度に実行できるのは、「待ち状態のLDAP要求の送信」の1つのインスタンスのみです。

「待ち状態のLDAP要求の送信」プロセスのスケジュール

「待ち状態のLDAP要求の送信」プロセスでは、LDAPディレクトリに一括要求と将来の日付の要求が送信されます。「待ち状態のLDAP要求の送信」プロセスは毎日実行されるようスケジュールすることをお薦めします。この手順では、プロセスのスケジュール方法を説明します。

ノート: 実装が完了したときにのみプロセスをスケジュールしてください。プロセスをスケジュールすると、実装中に必要になっても、プロセスを必要に応じて実行できません。

プロセスのスケジュール

次のステップを実行します。

  1. 「スケジュール済プロセス」作業領域を開きます。

  2. 「概要」ページの「検索結果」セクションで、「新規プロセスのスケジュール」をクリックします。

  3. 「新規プロセスのスケジュール」ダイアログ・ボックスで、「待ち状態のLDAP要求の送信」プロセスを検索して選択します。

  4. 「プロセス詳細」ダイアログ・ボックスで、「ユーザー・タイプ」を設定し、処理するユーザーのタイプを特定します。値は、「個人」「パーティ」および「すべて」です。「ユーザー・タイプ」「すべて」に設定したままにすることをお薦めします。

  5. 「バッチ・サイズ」フィールドでは、単一のバッチの要求数を指定します。たとえば、400個の要求が存在し、「バッチ・サイズ」25に設定すると、このプロセスでは並列処理する要求の16個のバッチが作成されます。

    バッチ・サイズを自動的に計算することを示す値、Aをお薦めします。

  6. 「拡張」をクリックします。

  7. 「スケジュール」タブで、「実行」「スケジュールの使用」に設定します。

  8. 「周期」フィールドで、「日次」を選択します。

  9. 開始および終了日時を入力します。

  10. 「送信」をクリックします。

最新のLDAP変更の取得

LDAPディレクトリ内のユーザーとロールに関する情報はOracle Cloud Applicationsで自動的に使用できます。ただし、特定の状況では、「最新のLDAP変更の取得」プロセスを実行することをお薦めします。このトピックでは、「最新のLDAP変更の取得」を実行するタイミングと方法について説明します。

Oracle Cloud ApplicationsとLDAPサーバーの間でデータ整合性や同期化の問題が発生している可能性がある場合は、「最新のLDAP変更の取得」を実行します。たとえば、セキュリティ・コンソールのロールと「ロール・マッピングの作成」ページのロールの違いに気づくことがあります。すべてのリリース更新の後にも、このプロセスを実行することをお薦めします。

プロセスの実行

「ITセキュリティ・マネージャ」ジョブ・ロールでサインインし、次のステップを実行します。

  1. 「スケジュール済プロセス」作業領域を開きます。

  2. 「概要」ページの「検索結果」セクションで、「新規プロセスのスケジュール」をクリックします。

    「新規プロセスのスケジュール」ダイアログ・ボックスが開きます。

  3. 「名前」フィールドで、「最新のLDAP変更の取得」プロセスを検索して選択します。

  4. 「OK」をクリックして、「新規プロセスのスケジュール」ダイアログ・ボックスを閉じます。

  5. 「プロセス詳細」ダイアログ・ボックスで「送信」をクリックします。

  6. 「OK」をクリックし、「クローズ」をクリックします。

  7. 「スケジュール済プロセス」ページで、「リフレッシュ」アイコンをクリックします。

    プロセスが完了するまで、このステップを定期的に繰り返します。

ノート: 一度に実行できるのは「最新のLDAP変更の取得」の1つのインスタンスのみです。