Redwood: アクセス・コントロール・リストを使用した製造業者の保護

基準に基づくアクセス・コントロールを使用して、一連の就業者に特定の製造業者へのアクセスを許可できるようになりました。 これは、組織内の様々なタイプの就業者に基づいて製造業者データへのアクセスを許可する必要がある場合に特に役立ちます。

アクセスはチームで制御できます:

  • チーム - チームは、チーム・メンバーのセット、メンバーシップ条件および1つ以上の権限セットで構成されます。
  • メンバーおよびメンバーシップ条件 - メンバーは、チームに個別に追加することも、特定のメンバーシップ条件に一致する就業者のフィルタ済リストから導出することもできます。 たとえば、同じビジネス・ユニット、事業所、部門などに属する就業者です。
  • 権限セット - 各権限セットには個別の権限が含まれます。 各権限は、権限が付与されるオブジェクト、満たす必要がある条件、および付与されるアクセスのタイプを識別します。

たとえば、管理者は、ニューヨーク市またはヒューストンを拠点とするコンポーネント・エンジニアにすべての製造業者を表示する権限を付与し、管理権限を一部の米国製造業者に制限することができます。

基準に基づくアクセス・コントロールを有効にするには、次の構成タスクを実行する必要があります。

  1. チーム・メンバーを作成します。
  2. データ・アクセス条件を使用して権限セットを作成します。
  3. チームの作成、メンバーシップ条件またはメンバーの追加、および権限セットの適用を行います。

アクセス・コントロール・リストの作成

アクセス・コントロール・リストの作成

チーム・メンバーの作成

「設定および保守」-->「製品管理」-->「ユーザーおよびセキュリティ」-->「ユーザーの管理」から、チームの一員となる就業者を作成および管理できます。 ユーザーが作成されたら、セキュリティ・コンソールで適切な権限セットが割り当てられていることを確認します。 詳細は、「アクセス要件」の項を参照してください。

各ユーザーは、チームに関連付ける前に、アプリケーションで適切な就業者タイプとして設定する必要があります。

就業者を設定したら、メンバーシップ条件を作成して、チームの関連就業者をフィルタで除外します。 これは、「自分のクライアント・グループ」-->「データ交換」のフィルタ済リストから実行できます。

「自分のクライアント・グループ」からのフィルタ済リスト・リンク

「自分のクライアント・グループ」からのフィルタ済リスト・リンク

条件の作成時に、ここで説明するようにフィールドに入力します:

  1. 名前 - メンバーシップ条件の名前を指定します。
  2. 詳細 - メンバーシップ条件の摘要を指定します。
  3. オブジェクト - 就業者アサイメント抽出を選択します。
  4. サブスクライバ - 「製品ライフ・サイクル管理」を選択します。
  5. ステータス - ステータスを「アクティブ」に設定します。
  6. 条件を作成します:
  • メンバー属性(「事業所」、「部門」など)を選択します。
  • 演算子(次のいずれか、次のいずれでもない)。
  • 属性の値。

条件は、事業所コード、事業所名、部門名、部門タイトル、雇用主名、アサイメント・ユーザー・ステータス、アサイメント・ステータス・タイプ、システムPersonタイプ、ユーザーPersonタイプ、アサイメント・カテゴリ、ポジション・コード、ポジション・コード、ポジション名、就業者タイプといった属性に基づいて作成できます。

「および」または「または」演算子で区切られた複数の条件を選択できます。 たとえば、事業所がニューヨーク市またはヒューストンであるメンバーをフィルタします。 作成した条件は、チームの作成時に選択できます。

米国事業所のコンポーネント・エンジニアのメンバーシップ条件

米国事業所のコンポーネント・エンジニアのメンバーシップ条件

アクセス条件を使用した権限セットの作成

「製品管理」→「タスク」メニュー→「チームの構成」→「権限セット」から権限セット検索ページにナビゲートします。

権限セット検索ページに、すでに作成されている権限セットのリストが表示されます。

このページでは、次のことができます。

  • 特定の権限セットを検索できます。
  • 権限セット名をクリックすると、権限セットの詳細が表示されます。
  • 権限セットのリストは列でソートできます。

権限セットの検索ページ

権限セットの検索ページ

権限セットを作成するには、権限セット検索ページで「作成」をクリックし、次の詳細を追加します:

  1. 名前 - 権限セットの一意の名前。
  2. 摘要 - 権限セットの概略。
  3. 権限の追加:
  • オブジェクト - 製造業者、品目、変更オーダーなどのアプリケーション内のオブジェクトのリストが含まれます。 アクセス・コントロールは現在、製造業者についてのみ有効です。
  • 条件 - オブジェクト属性にフィルタを適用してオブジェクトを絞り込むのに役立ちます。 使用可能な条件のリストから条件を選択するか、新しい条件を作成します。
  • 権限 - これは、チームが実行できる内容に応じて、ユーザーが「作成」、「表示」または「管理」のいずれかを選択するのに役立ちます。
    • 作成権限 - これにより、ユーザーは製造業者を作成できます
    • 表示権限 - これにより、ユーザーは製造業者属性を読取り専用形式で表示できます。
    • 管理権限 - これにより、ユーザーは製造業者を表示および編集できます。

権限セットの作成および編集ページ

権限セットの作成および編集ページ

この例では、この権限セットによって次のアクセス権が付与されます。

  1. アプリケーション内のすべての製造業者の表示
  2. 米国を拠点とするすべての製造業者の管理(表示および編集)

同じページから新しい条件を作成することもできます。

条件の作成

条件は、製造業者属性に基づいて製造業者に対する制限を定義するために使用されます。 ユーザーは、1つ以上の製造業者属性に条件を作成できます。

「権限セット」ページの「条件の作成」ボタンを使用して、新しい条件を作成します。

次の詳細を追加します:

  1. 名前 - 条件の一意の名前。
  2. 摘要 - 条件の簡単な説明
  3. アクティブ - デフォルトでは、「はい」に設定されています。
  4. ルールの追加
  • 属性 - ルールを設定する属性を選択します。 製造業者のヘッダーまたは拡張可能フレックスフィールド属性にルールを追加できます。
  • 演算子 - 「次と等しい」、「次に一致する」または「次と等しくない」などの演算子を選択します。
  • 値 - 属性値を指定します

「および」と「または」を組み合せてネストされたルールを設定して、ビジネス要件を満たすこともできます。

条件の作成

条件の作成

この例では、米国の製造業者条件によって、国属性が米国である製造業者が除外されます。

チームの作成、メンバーシップ条件の追加および権限セットの適用

チーム・メンバー、ニューヨーク市とヒューストンを拠点とするコンポーネント・エンジニアのメンバーシップ条件、およびすべての製造業者への表示アクセスと米国の製造業者への管理アクセスを許可する権限セットを作成したので、チームを作成してチームに関連付けることができます。

チームの構成を開始するには、「タスク」パネルにナビゲートし、「チームの構成」をクリックします。

「製品管理エクスペリエンス」セクションのチームの新しいリンク

「製品管理エクスペリエンス」セクションのチームの新しいリンク

チームの検索ページでは、既存のチームを検索したり、新しいチームを作成できます。 チームごとにメンバーシップを定義し、適用可能な権限セットを選択できます。

チームの検索ページ

チームの検索ページ

チーム・メンバーは、手動で追加またはメンバーシップ条件によって導出できます。

新しいチームを作成するには:

  1. チームの検索ページで、「作成」をクリックします。
  2. 「チームの作成」ページで、次の詳細を指定します:
  • 名前 - チームの一意の名前
  • 摘要 - チームの簡単な説明。
  • ステータス - チームのステータスを「アクティブ」に設定します。
  1. 「メンバーシップ」タブで、次の手順を実行します:
  • フィルタ済リストに対して定義されたメンバーシップ条件に基づいてメンバーを追加します。
  • オプションで、個々のメンバーを直接追加します。
  1. 「権限セット」タブで、次の手順を実行します:
  • 「権限セット」ページで作成した権限を追加します。

「チームの作成」ページの「メンバーシップ」タブ

「チームの作成」ページの「メンバーシップ」タブ

「チームの作成」ページの「権限セット」タブ

「チームの作成」ページの「権限セット」タブ

チームに付与されたすべての権限は、チームのすべてのメンバーに付与されます。 複数のチームにユーザーを追加すると、そのユーザーは、各チームがアクセスできるすべての製造業者にアクセスできます。

新規ユーザーが作成され、チームに定義されたメンバーシップ条件を満たす場合、そのメンバーには、データ・アクセスのためのチームの権限が自動的に割り当てられます。

同様に、ユーザーが組織を離れると、そのユーザーはメンバーシップ条件を満たさなくなり、アクセスできなくなります。 ユーザーが部署間で移動した場合、チーム・アクセスはメンバーシップ・ルールに対して定義された条件に基づいて自動的に計算されます。

メンバーまたはメンバーシップ条件は、複数のチームに含めることができます。 1つの権限セットを複数のチームに割り当てることもできます。

デフォルトでは、チームは非アクティブです。 権限が適用された後、メンバーはチーム・ステータスがアクティブに設定されている場合にのみデータにアクセスできます。

チーム・データの更新

チーム・データの更新は、次のスケジュール済プロセスによって管理できます。

  • チームのアクセス・コントロール・リストのリフレッシュ - チームのアクセス・コントロール・リストを完全にリセットする場合は、このジョブを実行します。
  • メンバーシップ基準に基づくメンバー・リストの更新 - メンバーシップ条件をチームに初めて関連付けるときに、このジョブを実行します。 メンバー・データが変更される頻度に基づいて、メンバー・リストをリフレッシュする頻度を指定できます。 このジョブは、メンバーが部門を移動したり、組織に参加したり、組織を離れるときに、このジョブを実行可能なスケジュールされたリフレッシュの前にデータをリフレッシュする場合に実行できます。 このジョブを機能させるには、Atomフィードを有効にする必要があります。 詳細は、Atomフィードを参照してください。

チーム・データを更新するためのスケジュール済プロセス

チーム・データを更新するためのスケジュール済プロセス

次のようなビジネス上の利点をもたらす次の機能が提供されています:

  • 製造業者データへのアクセス権を持つユーザーを定義するためのコントロール。
  • 様々な就業者に対してきめ細かいアクセス条件を追加する柔軟性。
  • 各ユーザーに割り当てられている権限を正確かつ簡単に識別可能。
  • 指定した条件に基づいて従業員リストを動的に作成できるため、製造業者データのセキュリティを管理する際の時間と労力を軽減。

これらの機能のデモを次に示します:

有効化のステップ

この機能を有効にするには、オプトインUIを使用します。 手順は、この文書の「新機能のオプションの取込み」の項を参照してください。

オファリング: 製品管理

ヒントと考慮事項

  • チームを介したアクセス・コントロールは、セキュリティ・コンソールから割り当てられた必要な機能権限とともに提供する必要があります。
  • Redwoodで製造業者にアクセスするには、ユーザーを就業者として定義する必要があります。 就業者は、企業内の雇用主との雇用関係を持つ個人です。
  • セキュリティ・コンソールから作成したメンバーをチームに追加する前に、「設定および保守」-->「製品管理」-->「ユーザーおよびロール」-->「ユーザーの管理」を介してそれらのメンバーが個人レコードにリンクされていることを確認します。
  • 新しい拡張可能フレックスフィールドを追加した場合は、これらの属性に基づいてセキュリティを定義するために、これらをデプロイする必要があります。
  • 拡張可能フレックスフィールド属性を含む権限セットまたは条件を更新する場合は、製造業者が更新を適用できるように索引を再作成する必要があります。
  • チームのメンバーシップ・ルールを作成する際は、アクティブなメンバーシップ条件と非アクティブなメンバーシップ条件の両方を使用できます。
  • 製造業者に対する作成権限は包括的権限であり、条件は適用できません。 製造業者に対する作成権限とともに条件を指定した場合でも、条件は適用されず、ユーザーは任意の製造業者を作成できます。
  • 権限セットで使用される条件で「都道府県」属性を変更または追加する場合は、製造業者が更新を適用できるように索引を再作成する必要があります。
  • この機能は、Redwoodで製造業者に適用されます。

主なリソース

アクセス要件

次の権限を含む構成済ジョブ・ロールが割り当てられているユーザーは、この機能にアクセスできます。

フィルタ済リストを使用して製造業者条件を構成するには:

  • RESTサービスの使用 - アイデンティティ統合(ASE_REST_SERVICE_ACCESS_IDENTITY_INTEGRATION_PRIV)
  • Atomフィードの使用 - 従業員ワークスペース(PER_ATOM_WORKSPACE_ACCESS_EMPLOYEES_PRIV)
  • HCMリストの管理(HRC_MANAGE_HCM_LISTS_PRIV)
  • 人材管理アプリケーション管理者(ORA_HRC_HUMAN_CAPITAL_MANAGEMENT_APPLICATION_ADMINISTRATOR_JOB)

チーム、権限セットおよび条件を構成するには:

  • 製品開発のモニター(ACA_MONITOR_PRODUCT_DEVELOPMENT_PRIV)
  • アクセス・コントロール・チーム、権限セットおよび条件の構成(EGP_ACCESS_CONTROL_TEAMS_PRIV)
  • RESTサービスの使用 - アイデンティティ統合(ASE_REST_SERVICE_ACCESS_IDENTITY_INTEGRATION_PRIV)
  • Atomフィードの使用 - 従業員ワークスペース(PER_ATOM_WORKSPACE_ACCESS_EMPLOYEES_PRIV)
  • HCMリストの管理(HRC_MANAGE_HCM_LISTS_PRIV)
  • HCMルールの管理(HRC_MANAGE_HCM_RULES_PRIV)
  • スケジュール済プロセスの実行(HEY_RUN_SCHEDULED_PROCESSES_PRIV)
  • スケジュール済プロセスの管理(FND_MANAGE_SCHEDULED_PROCESSES_PRIV)

保護された製造業者データにアクセスするには:

  • 製造業者の作成(EGP_CREATE_MANUFACTURER_PRIV)
  • 製造業者の表示(EGP_VIEW_MANUFACTURER_PRIV)
  • 製造業者の管理(EGP_MANAGE_MANUFACTURER_PRIV)

ジャーニ設定にアクセスし、ロール階層のロールを構成するには:

  • ジャーニの管理(ORA_PER_MANAGE_JOURNEY_TEMPLATE)
  • ガイド付きジャーニの管理(ORA_PER_MANAGE_GUIDED_JOURNEYS)
  • RESTサービスの使用 - ガイド付きジャーニ読取り専用(ORA_PER_REST_SERVICE_ACCESS_GUIDED_JOURNEYS_RO)
  • RESTサービスの使用 - ジャーニ・カテゴリ値リスト(ORA_PER_REST_SERVICE_ACCESS_JOURNEY_CATEGORIES_LOV)

ビジネス・ルールにアクセスするには:

  • サンドボックスの管理(FND_ADMINISTER_SANDBOX_PRIV)