アクセス・グループを使用した契約へのアクセスの制御

アクセス・グループを使用して契約レコードへのアクセスを制御できるようになりました。 アクセス・グループは、ユーザーにデータ権限を付与する代替の方法です。 アクセス・グループを作成してユーザーを割り当てると、すべてのグループ・メンバーは、グループに対して定義されたオブジェクト共有ルールに基づいて契約データへのアクセス権を受け取ります。 これらのルールによって、ユーザーが表示できる契約および提供されるアクセスのタイプ(読取りやフル・アクセスなど)が決まります。 アクセス・グループの使用は、Redwoodの契約UIを介して契約にアクセスするために必須です。 アクセス・グループは、契約クラシックUIにも使用できます。

アクセス・グループは、既存のデータ・セキュリティ・ポリシーを補足できます。 アクセス・グループとデータ・セキュリティ・ポリシーの両方が構成されている場合、ユーザーは両方のメカニズムによって付与された統合表示を受け取ります。 アクセス・グループによって提供されるアクセスのみを有効にする場合は、契約所有権やチーム・メンバーシップに基づくポリシーなど、既存のデータ・セキュリティ・ポリシーを介して付与された可視性を削除する必要があります。 アクセス・グループは機能セキュリティと連動します。アクセス・グループはユーザーがアクセスできる契約レコードを決定します。一方、ジョブ・ロールは、ユーザーがこれらのレコードに対して実行できる処理を引き続き制御します。

また、アクセス・グループには、カスタム・データ・セキュリティ・ポリシーよりもいくつかの利点があります。 これにより、パフォーマンスが向上し、より柔軟な属性ベースのアクセスがサポートされ、管理が大幅に容易になります。 アクセス・グループ・メンバーシップを介して付与されたレコードはワークスペースで検索およびフィルタできますが、カスタム・データ・セキュリティ・ポリシーによってのみ付与されたレコードは検索およびフィルタできません。 これらの利点により、アクセス・グループは、特にRedwood契約UIを採用する場合に、契約データへのアクセスを制御するための推奨メカニズムです。

契約のシステム・アクセス・グループ

事前定義済の契約関連ロールに対して、次のシステム・アクセス・グループが作成されます。 ユーザーは、ジョブ・ロール割当に基づいて、これらのグループに対して自動的に追加または削除されます。

  • 顧客契約管理者グループ
  • 顧客契約マネージャ・グループ
  • 顧客契約チーム・メンバー・グループ
  • エンタープライズ契約管理者グループ
  • エンタープライズ契約マネージャ・グループ
  • エンタープライズ契約チーム・メンバー・グループ
  • サプライヤ契約管理者グループ
  • サプライヤ契約マネージャ・グループ
  • サプライヤ契約チーム・メンバー・グループ

これらのグループは、「アクセス・グループ」の下に表示され、「タイプ」= 「システム・グループ」は変更できません。

システム・グループ

システム・グループ

契約の事前定義済オブジェクト共有ルール

契約オブジェクトには、次の事前定義済ルールを使用できます。 これらのルールは、適切なシステム・アクセス・グループに自動的に関連付けられ、変更できません。

一般アクセス・ルール

  • すべての契約

契約所有者ベースのルール

  • 契約所有者読取りアクセス
  • 契約所有者フル・アクセス

販売契約ルール
ビジネス・ユニット・ベース

  • ビジネス・ユニット別販売契約

リソース・ベース

  • リソース別営業契約読取りアクセス
  • リソース別営業契約フル・アクセス

リソース祖先ベース

  • リソース上位別営業契約読取アクセス
  • リソース上位別営業契約フル・アクセス

リソース組織マネージャ/メンバー/祖先/子孫ベース

  • リソース組織マネージャによる営業契約検針アクセス
  • 祖先リソース組織マネージャによる営業契約検針アクセス
  • リソース組織メンバー別営業契約読取りアクセス
  • 子孫リソース組織別営業契約検針アクセス
  • リソース組織マネージャによる営業契約フル・アクセス
  • 祖先リソース組織マネージャによる営業契約フル・アクセス
  • リソース組織メンバー別営業契約フル・アクセス
  • 子孫リソース組織別営業契約フル・アクセス

調達契約ルール
ビジネス・ユニット・ベース

  • ビジネス・ユニット別調達契約

リソース・ベース

  • リソース別調達契約検針アクセス
  • リソース別調達契約フル・アクセス

リソース祖先ベース

  • リソース上位別調達契約読取アクセス
  • リソース祖先による調達契約フル・アクセス

リソース組織マネージャ/メンバー/祖先/子孫ベース

  • リソース組織マネージャによる調達契約検針アクセス
  • 祖先リソース組織マネージャによる調達契約検針アクセス
  • リソース組織メンバー別調達契約検針アクセス
  • 子孫リソース組織別調達契約検針アクセス
  • リソース組織マネージャによる調達契約フル・アクセス
  • 祖先リソース組織マネージャによる調達契約フル・アクセス
  • リソース組織メンバー別調達契約フル・アクセス
  • 子孫リソース組織別調達契約フル・アクセス

契約の事前定義済オブジェクト共有ルール

契約の事前定義済オブジェクト共有ルール

事前定義済オブジェクト共有ルールの編集

事前定義済オブジェクト共有ルールの編集

カスタム契約アクセス・ルールの定義

幅広い契約属性を使用して、カスタム契約アクセス・ルールを構成できます。 これらの属性を使用すると、ビジネス基準に基づいて、アクセス・グループが表示または処理できる契約レコードを詳細に制御できます。

ルール定義に使用できる共通属性は次のとおりです。

  • ビジネス・ユニット
  • 契約ステータス
  • 目的
  • 契約タイプ
  • 契約区分
  • 法的エンティティ
  • バージョン・タイプ
  • テンプレート・フラグ
  • 契約番号
  • 契約ID
  • 作成日
  • 金額
  • 保留事由
  • すべての拡張可能属性
  • すべての付加フレックスフィールド

カスタム・ルールを定義すると、適切なアクセス・レベル(「読取り」または「完全」)で1つ以上のアクセス・グループを割り当てることができます。
カスタム契約アクセス・ルールの作成時に、事前定義済のシステム・ルールを事前定義済の条件として参照することもできます。

カスタム・ルール作成

カスタム・ルール作成

契約のアクセス・グループまたはオブジェクト共有ルールを変更した後、「モニター」セクションの下の4つのタブすべてから必要なESSジョブを実行して、変更が適用されるようにする必要があります。 これには、次のプロセスが含まれます。

  1. グループおよびメンバーの更新
    • ユーザーまたはロールの割当てが変更されたときに実行します。
  2. 公開ルール
    • オブジェクト共有ルールまたはルール割当が変更されたときに実行します。
  3. カスタム・オブジェクトおよびフィールドの同期
    • カスタム・オブジェクト、属性が更新されたときに実行します。
  4. オブジェクト共有ルール割当の実行(契約オブジェクト)
    • オブジェクト共有割当を移入するために実行

適用可能なすべてのESSジョブを実行すると、アクセス・グループ・メンバーシップ、ルール条件および契約表示がアプリケーション全体で完全に同期されます。

詳細は、Oracleの公式アクセス・グループ・ドキュメント(https://docs.oracle.com/en/cloud/saas/sales/fasac/overview-of-access-groups.html)を参照してください。

ESSジョブを実行するための「モニター」タブ

ESSジョブを実行するための「モニター」タブ

契約のアクセス・グループは、複雑なデータ・セキュリティ・ポリシーに依存することなく、契約リスト・ページに誰が誰を表示できるかを制御するための柔軟でビジネスフレンドリな方法を提供します。

有効化および構成ステップ

既存の事前定義済ルールを使用してアクセスを有効化または拡張するには:

  1. 「ツール」→「営業およびサービス・アクセス管理」→「オブジェクト・ルール」にナビゲートします。
  2. 「オブジェクト」ドロップダウンから「契約」を選択します。
  3. 「すべての契約」などの事前定義済ルールを開きます。
  4. 「アクセス・グループの割当て」の下の「追加」をクリックします。
  5. 目的のグループ(「エンタープライズ契約マネージャ・グループ」など)を選択し、「読取りまたはフル」アクセスを設定します。
  6. 保存してルールを公開します。

新しいカスタム共有ルールを作成するには:

  1. 「オブジェクト・ルール」の下の「作成」をクリックします。
  2. ルール名および摘要を入力します。
  3. ルール条件の定義
  4. 「読取り/フル・アクセス」を選択します。
  5. 1つ以上のアクセス・グループを割り当てます。
  6. 保存してルールを公開します。

前述の事前定義済ルールまたはカスタム・ルールを処理して適用するには:

  1. 「モニター」タブに移動します。
  2. 必要に応じて、4つのサブタブすべてから必要なESSジョブを実行します。
    1. グループおよびメンバーの更新
    2. 公開ルール
    3. カスタム・オブジェクトおよびフィールドの同期
    4. オブジェクト共有ルール割当の実行(契約オブジェクト)
  3. 必要に応じて、ほぼリアルタイムのアクセス更新をサポートするように、これらのプロセスを定期的に実行するようにスケジュールします。

ヒントと考慮事項

アクセス・グループの使用は、Redwood契約UIを介して契約にアクセスするために必須です。 アクセス・グループは、契約ジョブ・ロール、契約チーム・メンバーシップまたは既存のデータ・セキュリティ・ポリシーを介してユーザーがすでに受け取るデータ・アクセスを補完します。 アクセス・グループベースの可視性のみを適用する場合は、既存のデータ・セキュリティ・ポリシーを削除する必要があります。 そうしないと、ユーザーは両方のアクセス・メカニズムを介して契約レコードを引き続き表示できます。 アクセス・グループは、ユーザーが表示できる契約レコードを制御し、機能権限を付与しない

主なリソース

詳細は、Oracleの公式アクセス・グループ・ドキュメント(https://docs.oracle.com/en/cloud/saas/sales/fasac/overview-of-access-groups.html)を参照してください。

アクセス要件

契約のアクセス・グループおよびオブジェクト共有ルールを確認して使用するには、ユーザーがRedwoodの契約管理機能を使用して契約リスト・ページにアクセスできる必要があります。 次のオプトインを有効にします。

  • 次のものを検索して有効にします: Redwood Contract Management
    (オプトイン・コード: ORA_OKC_ENABLE_REDWOOD_MANAGE_CONTRACTS)

グループベースのデータ表示にアクセスするだけでなく、契約を表示または編集するための適切な機能権限をジョブ・ロールを介してユーザーに割り当てる必要もあります。

販売およびサービス・アクセス管理の詳細は、次の公式のAccess Groups Oracleドキュメントを参照してください。
https://docs.oracle.com/en/cloud/saas/sales/fasac/overview-of-access-groups.html