Redwood: アクセス・コントロール・リストを使用したカタログおよびカテゴリの保護

独自のデータ・アクセス・グループを作成し、基準ベースのアクセス制御を使用して、どのユーザーがカタログおよびカテゴリを表示または管理できるかを制御できるようになりました。 アクセス権は、役割に応じて、個々のユーザーまたはフィルター済みリストに基づいてユーザーに付与できます。 基本フレックスフィールド属性および付加フレックスフィールド属性に基づいて条件を作成し、様々なカタログまたはカテゴリに権限を割り当てることで、各カタログまたはカテゴリへのアクセスを制御できます。

機能領域カタログは、アクセス制御リストを介して保護されません。

特定のデータへのアクセス権を付与して、組織内のユーザーを選択できます。 たとえば:

  • 一部のユーザーは、カタログおよびカテゴリに対する管理アクセス権を必要とします。

  • また、カタログおよびカテゴリに対する表示アクセス権のみが必要な場合もあります。

基準に基づくアクセス・コントロールを有効にするには、次の構成タスクを実行する必要があります。 

  1. チームを構成します。

  2. データ・アクセス条件を使用して権限セットを作成します。

  3. チームの作成、ロール、ユーザーまたはフィルタ済みリストの追加、および権限セットの適用を行います。

次のメンバー(またはユーザー)をチームに追加できます。

  • ロール: これらは、セキュリティ・コンソールで作成されたロールに割り当てられたユーザーです。

  • ユーザー: これらは、セキュリティ・コンソールで作成された個々のユーザーです。

  • フィルタ済リスト: これらは、「就業者」属性の条件を使用してグループに追加された就業者です。

ロールまたはユーザーを直接割り当てる場合は、ユーザーを就業者に変換する必要はありません。 ただし、フィルター済みリストを使用する予定の場合は、ユーザーを従業員に変換する必要があります。 フィルタ済リストの作成方法の詳細は、Redwood: アクセス制御リストを使用した製造業者の保護を参照してください。

製品管理ランディング・ページのチームへのリンク

製品管理ランディング・ページのチームへのリンク

チームの構成

「製品管理」ランディング・ページにナビゲートし、「処理」「チーム」をクリックします。

「チームを検索」ページでは、既存のチームを検索したり、新しいチームを作成できます。 チームごとにユーザーを追加し、適用可能な権限セットを選択できます。

新しいチームを作成するには:

  1. 「チームの検索」ページで「作成」をクリックします。

  2. 「新規チーム」ページで、次の詳細を指定します:

  • 名前- チームの一意の名前。

  • 説明- チームの簡単な説明。

  • ステータス- チームのステータスを「アクティブ」に設定します。

  • 「メンバー」タブで、次の手順を実行します。

    • チームで必要なロールを追加します。

    • チームに必要な個々のユーザーを追加します。

    • フィルタリングされたリストに対して定義されたメンバーシップ条件に基づいてメンバーを追加します。

  • 「権限セット」タブで、次の手順を実行します。

    • 「権限セット」ページで作成した権限を追加します。

  1. 「保存してクローズ」をクリックします。

「新規チーム」ページの「メンバー」タブ

「新規チーム」ページの「メンバー」タブ

「チーム」ページの「権限セット」タブ

「チーム」ページの「権限セット」タブ

条件の作成

ユーザーは、カタログまたはカテゴリの基本および付加フレックスフィールド属性に基づいて、カタログまたはカテゴリの制限を定義するための条件を作成できます。

「検索条件」ページで「条件の作成」をクリックし、「カタログ」を選択します。

次の詳細を追加します:

  1. ルール名- 条件の一意の名前。

  2. 説明- 条件の簡単な説明

  3. アクティブ- デフォルトでは、これは「はい」に設定されます。

  4. ルールの追加

    • 属性- ルールを設定する属性を選択します。 カタログまたはカテゴリの基本属性または付加フレックスフィールド属性にルールを追加できます。

    • 演算子- 「次と等しい」、「次と等しい」または「次と等しくない」などの演算子を選択します。

    • 値- 属性値を指定します。

アクセス条件を使用した権限セットの作成

権限セットを使用すると、カタログおよびカテゴリに対するアクセスを定義できます。 各権限セットで、チーム・メンバーにアクセス権を付与するカタログおよびカテゴリに複数の権限を追加できます。

表示や管理などの権限を使用して、条件付きでカタログおよびカテゴリへのアクセスを提供できます。

「権限セットの検索」ページに、すでに作成されている権限セットのリストが表示されます。 実行できる処理は次のとおりです。

  • 特定の権限セットを検索します。

  • 権限セットの名前をクリックして、権限セットの詳細を表示します。

  • 権限セットを列でソートします。

権限セットを作成するには、「権限セットの検索」ページで「作成」をクリックし、次の詳細を追加します:

  1. 名前- 権限セットの一意の名前。

  2. 説明- 権限セットの簡単な説明。

  3. 権限の追加:

    • オブジェクト- アプリケーション内のオブジェクトのリストが含まれます。 「Catalog」を選択します。

    • 条件- オブジェクト属性にフィルタを適用することで、オブジェクトに絞り込むことができます。 使用可能な条件のリストから条件を選択します。

    • 権限: チームが実行できる内容に応じて、「表示」または「管理」のいずれかを選択します。

      • 表示権限: ユーザーはカタログおよびカテゴリ属性を読取り専用形式で表示できます。

      • 権限の管理- ユーザーはカタログまたはカテゴリを表示および編集できます。

カタログ属性またはカテゴリ属性のいずれかを使用して条件を作成し、両方を1つの条件に結合しないようにすることをお薦めします。

カタログおよびカテゴリへのセキュリティの適用方法

カタログは、品目の分類に使用されるカテゴリの集合であり、カタログまたはカテゴリでアクセス権を付与できます。

「表示」または「管理」権限がカタログまたはカテゴリに適用されると、次のことがわかります。

  • カタログ・レベルのセキュリティ: カタログ・レベルで「表示」または「管理」権限を割り当てると、それらの権限がそのカタログ内のすべてのカテゴリに自動的に適用されます。

  • カテゴリ・レベルのセキュリティ: 表示権限または管理権限を特定のカテゴリに割り当てると、そのすべての子カテゴリに対して同じ権限が拡張されます。 また、祖先カテゴリとその上のカタログには、「表示」権限が自動的に付与されます。

カテゴリが別のカタログと共有されている場合は、次のことを知っておく必要があります。

  • カテゴリ共有のセキュリティ: ソース・カタログからのセキュリティ権限は、カテゴリを共有するターゲット・カタログに拡張されません。

  • 子カテゴリの継承: カテゴリがソース・カタログからターゲット・カタログに共有されると、その子カテゴリも自動的に共有されますが、そのセキュリティ権限はターゲット・カタログに拡張されません。

次に、カテゴリでセキュリティがどのように適用されるかを理解する例を示します。

電子カタログとそのカテゴリ階層の例。

電化製品

  • スマートフォン

    • 電話Xシリーズ

      • 電話Xプロ

      • 電話X Pro最大

  • ラップトップ

    • ラップトップ・エア

    • ラップトッププロ

  • オーディオとウェアラブル

    • イヤホンX

    • スマートウォッチY

この例では、Electronicsは複数のカテゴリを含むカタログです。

ユーザーがElectronicsカタログに対する「表示」または「管理」権限を持っている場合、ユーザーはカタログ内のすべてのカテゴリにアクセスできます。

ユーザーが「Phone X Series」カテゴリに対する「管理」権限を持っている場合、ユーザーはその子カテゴリ「Phone X Pro」および「Phone X Pro Max」に対する「管理」権限も持ちます。さらに、ユーザーは、スマートフォン・カテゴリや電子カタログなど、祖先に対する表示権限を継承します。 その結果、ユーザーには次の階層が表示されます。

電化製品

  • スマートフォン

    • 電話Xシリーズ

      • 電話Xプロ

      • 電話X Pro最大

ユーザーがカタログの「休日営業」「スマートフォン」カテゴリを共有している場合、「休日営業」カタログへのアクセス権を持つユーザーのみが共有カテゴリを表示できます。

ソース・カタログからターゲット・カタログにカテゴリを共有するには、少なくともソース・カタログに対する表示権限とターゲット・カタログに対する管理権限が必要です。

カタログ・インスタンス・レポートの生成

「チームの検索」ページからカタログ・インスタンス・レポートを生成して、どのユーザーがカタログにアクセスできるかを表示できるようになりました。 その方法は次のとおりです:

  1. 「チームの検索」ページの「アクション」メニューから「オブジェクト・インスタンス・レポートの生成」を選択します。

  2. オブジェクト・インスタンスの生成レポート・ドロワーで、次の手順を実行します:

    • オブジェクト・タイプ: 「カタログ」を選択します。

    • 生成するカタログを選択し、「+」(プラス)アイコンをクリックします。

    • 「生成」をクリックします。

      スケジュール済プロセス・ジョブIDが表示されます。

  3. 「スケジュール済プロセス」ページにナビゲートします。

  4. 「Oracle Analytics Publisherレポートの生成」を検索し、レポートをダウンロードします。

  5. レポートで、添付TeamsCatalogInstanceReportをダウンロードします。

カタログのインスタンス・レポートに表示される詳細を次に示します。

  • カタログ名およびカテゴリ名
  • カタログへのアクセス権を持つユーザーのリストおよび対応する権限。
  • カタログに対して作成された権限セット。
  • アクセス権が付与されるカタログのフィールド、タブおよび属性

カタログおよびカテゴリのアクセス制御リストを表示するサンプル・レポート

カタログおよびカテゴリのアクセス制御リストを表示するサンプル・レポート

この機能がビジネスにもたらすメリットは次のとおりです。

  • 管理者は、表示や管理などのきめ細かいアクセス制御を定義でき、誰がカタログまたはカテゴリにアクセスできるかを定義するための制御を提供します。

  • ユーザー、ロール、条件などの割当てなど、複数の異なる方法で権限を管理するための柔軟なユーザー管理を提供します。

  • 各ユーザーに割り当てられた特権の識別と読みやすさを容易にします。

  • 既存のロールを活用し、チームに追加することで、より迅速なセキュリティ実装を可能にします。

有効化および構成ステップ

カタログに基準ベースのアクセス制御を使用するには、プロファイル・オプション「カタログのアクセス制御リストの有効化」を有効にする必要があります。 デフォルトでは、プロファイル・オプションは「いいえ」に設定されています。

プロファイル オプションを有効にすると、アクティブなチームに追加されるパーミッションおよびパーミッション セットを作成するまでは、既存のセキュリティ設定が引き続き適用されます。

プロファイル・オプションが有効で、カタログのパーミッションが作成され、アクティブなチームに追加されると、現在のパブリック設定やプライベート設定に関係なく、アプリケーション内のすべてのカタログがプライベートになります。 これらのカタログにユーザー権限を手動で割り当てる必要があります。

ヒントと考慮事項

  • 機能領域カタログは、アクセス制御リストを介して保護されません。

  • カタログ属性またはカテゴリ属性のいずれかを使用して条件を作成し、両方を1つの条件に結合しないようにすることをお薦めします。

  • 生成できるのはカタログのインスタンス・レポートのみです。 カテゴリのレポートを直接生成するオプションはありません。

  • ソースからターゲット・カタログにカテゴリを共有するには、ソースに対する「表示」権限とターゲットに対する「管理」権限が必要です。

  • この機能へのオプト・イン後に共通カタログへのアクセスを提供するには、共通カタログをフィルタする条件を作成し、権限セットを作成して、必要なユーザーがいるチームに権限セットを割り当てる必要があります。

主なリソース

アクセス要件

次の権限を含む構成済ジョブ・ロールが割り当てられているユーザーは、この機能にアクセスできます。

フィルタ済リストを使用してカタログまたはカテゴリの条件を構成するには:

  • RESTサービスの使用 - アイデンティティ統合(ASE_REST_SERVICE_ACCESS_IDENTITY_INTEGRATION_PRIV)

  • Atomフィードの使用 - 従業員ワークスペース(PER_ATOM_WORKSPACE_ACCESS_EMPLOYEES_PRIV)

  • HCMリストの管理(HRC_MANAGE_HCM_LISTS_PRIV)

  • 人材管理アプリケーション管理者(ORA_HRC_HUMAN_CAPITAL_MANAGEMENT_APPLICATION_ADMINISTRATOR_JOB)

チーム、権限セットおよび条件を構成するには:

  • ランディング・ページ・レイアウトの管理(EGP_MANAGE_LANDING_PAGE_LAYOUT_PRIV)

  • クリップボードへのアクセス(ACA_ACCESS_CLIPBOARD_PRIV)

  • HCM共通コンポーネントへのアクセス(HRC_ACCESS_HCM_COMMON_COMPONENT)

  • コンシューマ・アプリケーションの検索休憩の管理(EGP_MANAGE_SEARCH_CONS_REST_PRIV)

  • 製品開発のモニター(ACA_MONITOR_PRODUCT_DEVELOPMENT_PRIV)

  • アクセス制御チーム、権限セットおよび条件の構成(EGP_ACCESS_CONTROL_TEAMS_PRIV)

  • RESTサービスの使用 - アイデンティティ統合(ASE_REST_SERVICE_ACCESS_IDENTITY_INTEGRATION_PRIV)

  • Atomフィードの使用 - 従業員ワークスペース(PER_ATOM_WORKSPACE_ACCESS_EMPLOYEES_PRIV)

  • HCMリストの管理(HRC_MANAGE_HCM_LISTS_PRIV)

  • HCMルールの管理(HRC_MANAGE_HCM_RULES_PRIV)

  • スケジュール済プロセスの実行(HEY_RUN_SCHEDULED_PROCESSES_PRIV)

  • スケジュール済プロセスの管理(FND_MANAGE_SCHEDULED_PROCESSES_PRIV)

  • 製品管理ランディング・ページへのアクセス(EGP_ACCESS_LANDING_PAGE_PRIV)

  • スケジュール済ジョブ定義の管理(FND_MANAGE_SCHEDULED_JOB_DEFINITION_PRIV)

  • アクセス・ユーザー(EGP_ACCESS_USERS_PRIV)

次の権限を含む構成済ジョブ・ロールが割り当てられているユーザーは、この機能にアクセスできます。

  • Redwoodカタログへのアクセス(EGP_RW_READ_ONLY_CATALOGS_PRIV): 読取り専用アクセス権を持つユーザーにアクセス権を付与します。

  • Redwoodカタログの管理(EGP_RW_MANAGE_CATALOGS_PRIV): ユーザーにフル・アクセス権を付与します。

ジャーニ設定にアクセスし、ロール階層のロールを構成するには:

  • ジャーニの管理(ORA_PER_MANAGE_JOURNEY_TEMPLATE)

  • ガイド付きジャーニの管理(ORA_PER_MANAGE_GUIDED_JOURNEYS)

  • RESTサービスの使用 - ガイド付きジャーニ読取り専用(ORA_PER_REST_SERVICE_ACCESS_GUIDED_JOURNEYS_RO)

  • RESTサービスの使用 - ジャーニ・カテゴリ値リスト(ORA_PER_REST_SERVICE_ACCESS_JOURNEY_CATEGORIES_LOV)

ビジネス・ルールにアクセスするには:

  • サンドボックスの管理(FND_ADMINISTER_SANDBOX_PRIV) 

さらに、オブジェクト・レポートにアクセスするには、次を追加します:

  • 製品カタログ・トランザクション分析職務(FBI_PRODUCT_CATALOG_TRANSACTION_ANALYSIS_DUTY)

  • 製品トランザクション分析職務(FBI_PRODUCT_TRANSACTION_ANALYSIS_DUTY)

  • BIコンシューマ・ロール(BIConsumer)

職務ロールRedwood品目カタログ(ORA_EGP_RW_ITEM_CATALOGS_DUTY)には、「Redwoodカタログへのアクセス」権限と「Redwoodカタログの管理」権限の両方が含まれており、管理ユーザーと直接使用することも、他のジョブ・ロールで使用するように変更することもできます。