Oracle Searchのパブリック・ワーカー・アクセスの拡張
拡張された公開就業者アクセス(PWA)設定を使用して、Oracle Searchで公開個人検索のより詳細で柔軟なセキュリティ基準を定義できるようになりました。
この機能を使用すると、次のことができます。
- 複数のパブリック・ワーカー・アクセス構成があること。
- 構成へのロールの関連付け
- 包括的な属性セットを使用して、複雑なPWA条件を定義します。
「セキュリティ・フィルタ」プロファイル・オプションを使用した公開就業者アクセス
より複雑なフィルタリング要件をサポートし、様々なパブリック・ワーカー・アクセス構成とロール関連をサポートするために、ORA_PER_PUBLIC_WORKER_ACCESS_ENABLED (セキュリティ・フィルタを使用したパブリック・ワーカー・アクセス使用可能)プロファイル・オプションの使用可能な値が拡張されました。 実装に最適なオプションを決定するには、次の表を参照してください。
| 現在の値 | 前の値 |
|---|---|
| 無効 | いいえ |
| 企業 | はい |
| ロールベース | <新しい値> |
ロールベースのプロファイル・オプション値を選択すると、複数の公開就業者アクセス構成を定義できます。各構成は、1つ以上の割当可能なロールに関連付けることができます。 構成がどのロールにも関連付けられていない場合、どのユーザーにも適用されません。
再定義済および新規のプロファイル・オプション値
エンタープライズ公開就業者アクセス構成
この機能拡張の一環として、企業全体のPublic Workers Access (PWA)構成では、高度なフィルタリング・オプションを利用して、組織の特定のニーズにより適切に連携することもできます。
含まれる公開就業者の以前のオプションは次のとおりです。
-
すべての労働者、
-
ユーザーの雇用主の従業員、
-
ユーザーのビジネス・ユニットの就業者、または
-
その他の包含基準。
前述のオプションでビジネス・ニーズがサポートされておらず、Oracle Searchのパブリック・ワーカー・アクセスを定義する場合は、プロファイル・オプションを「エンタープライズ」に設定したままにできます。 次の例に示すように、組織全体にわたって拡張フィルタ基準を定義できます。
エンタープライズの拡張フィルタを使用した公開就業者アクセス
ページの上部にあるバナー「Public worker access enabled」は、「Enterprise」プロファイル・オプションの値が選択されていることを示しています。
企業全体のフィルタ・ルールの管理
拡張フィルタ・ルールで使用可能な属性は、就業者のアサイメントおよび雇用関係の属性に制限されます。 これには、組織内で特に使用される割当ベースの付加フレックス・フィールドが含まれます。 公開就業者アクセス・フィルタ・ルールで参照して使用するには、属性がOracle Search索引にすでに存在している必要があります。
付加フレックスフィールド(Dffs)をサポートするためのOracle Search索引の変更
個人インデックスにカスタム属性を追加または削除するには、fa-hcm-personインデックスを変更する必要があります。 個人索引では個人、アサイメントおよび雇用関係付加フレックスフィールド(DFF)の追加がサポートされていますが、公開就業者アクセス(PWA)はアサイメントおよび雇用関係セグメントのみをサポートします。 索引の管理方法の詳細は、検索索引の概要のトピックを参照してください。
注意: インデックスに多数のカスタムフィールドを追加すると、検索パフォーマンスとインデックスのサイズに影響する可能性があります。これは、インデックス取り込みのパフォーマンスに影響します。 個人インデックスに必要な最小フィールドのみを追加します。
公開就業者アクセス・フィルタ・ルール構成
拡張公開就業者アクセス・フィルタ・ルールをサポートするために、追加の属性が追加されました。 更なる説明を以下に示します。 拡張フィルタを定義する際のガイダンスは、次の表を参照してください。
| ルール属性/演算子 | Meaning |
|---|---|
| 直属のマネージャ | この属性は、セッション・ユーザー値演算子でのみ機能します。 この組合せは、サインイン ユーザーの直属部下のみを表示するように検索結果を絞り込みます。 |
| 階層マネージャ |
この属性は、セッション・ユーザー値演算子でのみ機能します。 この組合せによって検索結果が絞り込まれ、サインイン済ユーザー(ユーザーのマネージャ階層全体で署名済)の直属のすべての就業者が表示されます。 |
| 直属部下あり | この属性は、マネージャに直属の部下である就業者があるかどうかを示します。 |
| セッション・ユーザー値** |
この演算子は、サインイン・ユーザーに属する属性を参照します。たとえば: 「Business Unit(ビジネス・ユニット)」= 「Session(セッション)」ユーザー値は検索結果を絞り込み、検索を実行しているサインイン・ユーザーと同じビジネス・ユニットで採用された就業者のみを表示します。 |
**セッション・ユーザー値は、ユーザーのビジネス・ユニット、部門、等級、ジョブ、雇用主、ポジション、国、直属のマネージャおよび階層マネージャでのみ機能します。
新規公開就業者アクセス検索機能
複数のパブリック・ワーカー・アクセス構成をサポートするために、ORA_PER_PUBLIC_WORKER_ACCESS_ENABLED (セキュリティ・フィルタ使用可能を使用したパブリック・ワーカー・アクセス)プロファイル・オプションが「ロールベース」に設定されている場合、新しい検索ページが表示されます。
公開就業者アクセス検索ページ
検索ページには事前定義済のフィルタが含まれており、割当済ロール数(なし、1つまたは複数)、関連ロール(名前別)または含まれるパブリック・ワーカー構成オプションのいずれかで構成を簡単に識別できます。 また、VB Studioを使用して、要件に合せて列およびフィルタをカスタマイズすることもできます。
公開就業者アクセス構成を削除できるのは、ロールが関連付けられていない場合のみです。 ロールが割り当てられている構成を削除しようとすると、構成を削除する前にまずロールを削除する必要があることを示すメッセージが表示されます。
ロールが割り当てられている場合、パブリック就業者アクセス構成を削除できません
検索ページの上部にあるバナー「Multiple public worker access enabled」は、ロールベースのプロファイル・オプション値が選択されていることを示しています。
ロール割当
複数のパブリック・ワーカー・アクセス構成の定義に加えて、各構成を1つ以上のユーザー・ロールに関連付ける機能も大幅に強化されています。
ロールは公開就業者アクセス構成に割り当てることができます
PWA構成の作成時にロールは必須ではありませんが、対応するロールを持つユーザーに対してアクティブになるには、1つ以上のロールが構成に関連付けられている必要があります。 たとえば、この機能を使用して、様々なロールおよび国別仕様要件に基づいてセキュリティ・アクセスをセグメント化できます。たとえば、米国とドイツに個別のPWAを作成できます。
監査およびデータ管理
公開就業者アクセス(PWA)の監査およびFSMインポート/エクスポート機能は、このリリースで変更されています。 データ移行は、事前定義済の「含まれるパブリック・ワーカー」オプションを使用するPWA構成(つまり、拡張フィルタ・オプションで定義されたものを除くすべて)でのみ可能です。 技術的な制限により、拡張フィルタ・オプションが有効になっている場合、環境間でPWAフィルタ・ルール定義を監査または移行することはできません。
ビジネス上の利点: 1つ以上のロールに割り当てることができる複数のパブリック・ワーカー・アクセス定義を構成して、Oracle Searchパブリック・ワーカー・リストを制限できます。 リストは、割当カスタム・フィールドなどの高度な基準に基づいて作成できるため、顧客に対する柔軟性が向上します。
有効化および構成ステップ
次のプロファイル・オプションを有効にします。
-
ORA_PER_PUBLIC_WORKER_ACCESS_ENABLED (セキュリティ・フィルタを使用したパブリック・ワーカー・アクセスの有効化の有効化)
次の表から、組織の要件に最適なプロファイル値を選択します。
|
プロファイル値 |
使途 |
|---|---|
|
無効 |
これがデフォルト値です。 このオプションを選択しても、Oracle Searchの公開就業者に制限は適用されません。 |
|
企業 |
このオプションは、企業全体で単一のパブリック・ワーカー・アクセス構成を適用します。 |
|
ロールベース |
このオプションを使用すると、ユーザー・ロールに基づいて複数の公開就業者アクセス構成を定義できます。 |
各プロファイル値の目的
-
詳細は、「プロファイル・オプションを有効にするにはどうすればよいですか。」を参照してください
-
HCMのRedwoodの有効化の詳細は、HCMのRedwoodを採用する方法を参照してください。
ヒントと考慮事項
-
パブリック・ワーカーOracle Searchリストを利用するほとんどの顧客は、デフォルトの動作に満足しています。これにより、制限なくすべてのパブリック・ワーカーを表示できます。 公開就業者の現在のリストに満足している場合は、この機能を有効にする必要はありません。 ORA_PER_PUBLIC_WORKER_ACCESS_ENABLEDプロファイル・オプションは、即時利用可能な値である「無効」のままにします。
-
以前のリリースでパブリック・ワーカー・アクセス(PWA)を有効にしていて、「ロールに割当」機能を使用する場合は、このドキュメントの説明に従って、すべての新しいPWA構成を定義する必要があります。 重要な点は、既存の企業全体の公開就業者アクセスをロールベースに再構成できないことです。 企業全体の構成は1つのみで、ロールベースのアクセスが有効になっている場合は適用されなくなります。
-
ユーザーに複数のロールが付与され、各ロールに異なるパブリック・ワーカー・アクセス(PWA)構成がある場合、適用されたセキュリティはこれらの構成の組合せになります。つまり、アクセスは割り当てられたPWAの論理ORによって決定されます。
-
たとえば、ユーザーおよびロールUIを使用する場合、ロール委任および承認値リスト(LOV)は、この機能拡張の影響を受けます。
-
複数のパブリック・ワーカー・アクセス(PWA)構成を定義し、それぞれが異なるロール(Role1やRole2など)に割り当てられ、ユーザーに両方のロールが付与されると、ロール委任および承認値リスト(LOV)の実行時の動作によって両方のPWAの結果が結合されます。 つまり、LOVにはいずれかのPWAに含まれるすべてのユーザーが表示されます。たとえば、「PWA- インド」(Role1に割り当てられる)と「PWA- ドイツ」(Role2に割り当てられる)の両方のユーザーがリストされます。 実際には、2つのデータ・セット間で論理ORが実行され、両方の構成のすべての個人が表示されます。
-
拡張フィルタ・ルールは、ターゲット環境で手動で再定義する必要があります。 拡張フィルタ・ルールのない即時利用可能な(OOTB) PWA定義は、介入なしでエクスポートおよびインポートできます。 ただし、拡張フィルタを使用するPWA構成は、新しい環境で手動で再作成する必要があります。
-
既知の問題:
-
「フィルタの管理」ページで、「セッション・ユーザー値」演算子を選択すると、不要な「値」入力フィールドが表示される場合があります。 このフィールドは無視され、セッション・ユーザー値演算子は想定どおりに機能します。これは、ユーザー・インタフェースの表示の問題です。 修正が使用可能になるまで、ルールを保存するには任意の値を選択する必要があります。
フィルタの管理の例- 任意の値の入力
主なリソース
詳細は、Oracle Help Centerで次のトピックを参照してください:
- HCMセキュリティ設定のエクスポートおよびインポート
- Oracle HCM Cloudビジネス・オブジェクトを監査する方法
- Oracle HCM Cloudビジネス・オブジェクトの監査の有効化
- HCMデータ・ロールとセキュリティ・プロファイルのベスト・プラクティス
アクセス要件
公開就業者アクセス機能を使用するには、次のジョブ・ロールが必要です。
ITセキュリティ・マネージャ(ORA_FND_IT_SECURITY_MANAGER_JOB)
検索索引の管理へのアクセスには、次のロールに付与される「検索フレームワーク・マネージャ権限の付与」(FND_SEARCH_FWK_MGR_PRIV)権限が必要です。
- ITセキュリティ・マネージャ
- アプリケーション管理者
- アプリケーション開発者
- アプリケーション実装コンサルタント
監査および移行には、次のジョブ・ロールが必要です。
アプリケーション実装コンサルタント (ORA_ASM_APPLICATION_IMPLEMENTATION_CONSULTANT_JOB)