1. Oracle Essbaseデータベース管理者ガイド
  2. セキュリティ・フィルタを使用したデータベース・セルへのアクセスの制御
  3. フィルタの割当て

フィルタの割当て

フィルタを定義した後、それらのフィルタをユーザーまたはグループに割り当てることができます。それにより、同じフィルタ設定を必要とする複数のユーザーを管理できます。フィルタの定義に対する変更は、フィルタのユーザーによって自動的に継承されます。

フィルタは、管理者ロールを持つユーザーには影響しません。

フィルタの割当ては、MaxLまたはEssbase Webインタフェースで実行できます。

ノート:

フィルタを割り当てるには、アプリケーション・レベルで役割が割り当てられている必要があります。MaxLでは、アプリケーション・レベルのユーザーおよびグループの役割が暗黙的に割り当てられます。Essbase Webインタフェースでは、フィルタの割当て前に、明示的にアプリケーション・レベルの役割を割り当てる必要があります。

MaxLを使用したフィルタの割当て

MaxLでは、MaxL文のgrantを使用することでフィルタを割り当てることができます。

  1. filter1というフィルタを作成します。
    MAXL> create filter sample.basic.filter1 read on 'Jan, sales', no_access on
        '@children(Qtr2)';
  2. user1にフィルタ・アクセスを許可します。
    MAXL> grant filter sample.basic.filter1 to user1;

Essbase Webインタフェースを使用したフィルタの割当て

フィルタの割当てにEssbase Webインタフェースを使用するには、最初にアプリケーション・レベルで役割を割り当ててからフィルタを割り当てます。

  1. アプリケーション・レベルで役割を割り当てます。
    1. 「アプリケーション」ページで、アプリケーションを開きます。
    2. 「カスタマイズ」ページを選択します。
    3. 「権限」タブを選択します。
    4. 「追加」をクリックします。

      ユーザーとグループのリストが表示されます。

    5. ユーザーの横にある「追加Redwoodの「追加」アイコンのイメージ。」をクリックします。

      このトピックでは、例を示すためにユーザーの役割を持つユーザーuser1を使用します。

    6. 右側のパネルを閉じるために、「閉じるRedwoodの「閉じる」アイコンのイメージ。」をクリックします。
  2. filter1というフィルタを作成します。このフィルタでは、'Jan, sales'に対する読取りアクセスが可能になり、@children(Qtr2)にアクセスできなくなります。
  3. user1にフィルタ・アクセスを許可します:
    1. 「アプリケーション」ページで、アプリケーションを開きます。
    2. キューブを開きます。
    3. 「カスタマイズ」ページを選択します。
    4. 「フィルタ」タブを選択します。
    5. filter1を選択します。
    6. 「ロール」タブを選択します。
    7. 「追加」をクリックします。

      ユーザーのリストが表示されます。

    8. user1の横にある「追加Redwoodの「追加」アイコンのイメージ。」をクリックします。
    9. 「閉じる」Redwoodの「閉じる」アイコンのイメージ。をクリックします。

      user1は、filter1のメンバーとして表示されます。

  1. アプリケーション・レベルで役割を割り当てます。
    1. 「アプリケーション」ページで、アプリケーション名の右側にある「アクション」メニューをクリックします。
    2. 「検査」をクリックして、「権限」を選択します。
    3. ダイアログ・ボックスの右側にある「追加「追加」アイコンの画像。」をクリックします。

      ユーザーとグループのリストが表示されます。

    4. ユーザーの横にある「追加「追加」アイコンの画像。」をクリックします。

      このトピックでは、例を示すためにユーザーの役割を持つユーザーuser1を使用します。

    5. 右側のパネルを閉じるために、「閉じるEssbase Webインタフェースの「閉じる(x)」アイコンの画像。」をクリックします。
    6. フィルタ割当てを確認するには、フィルタ・エディタ画面にある「ロール」をクリックします。

      user1が表示されます。

  2. filter1というフィルタを作成します。このフィルタでは、'Jan, sales'に対する読取りアクセスが可能になり、@children(Qtr2)にアクセスできなくなります。
  3. user1にフィルタ・アクセスを許可します:
    1. 「アプリケーション」ページで、アプリケーションを展開してキューブ名の右側にある「アクション」メニューをクリックします。
    2. 「検査」を選択してから、「フィルタ」を選択します。
    3. filter1を選択してから、「ロール」を選択します。
    4. 「追加「追加」アイコンの画像。」をクリックします。

      ユーザーとグループのリストが表示されます。

    5. user1の横にある「追加」アイコン「追加」アイコンの画像。をクリックします。
    6. 「閉じる」をクリックします。

      user1は、filter1のメンバーとして表示されます。


      user1を示すフィルタ・エディタの「ロール」タブの画像。

フィルタ定義の重複

メンバー指定が重複している行がフィルタに含まれている場合、優先順にリストされた次のルールに従って、継承されるアクセス権が設定されます。

  1. より詳細なディメンションの組合せリストを定義するフィルタは、詳細度の低いフィルタよりも優先されます。

  2. 前述のルールによって重複の競合が解決しない場合は、重複するフィルタ行の中で最も高いアクセス・レベルが適用されます。

たとえば、次のフィルタには重複の競合が含まれます。

  • アクセス: 書込み。メンバー指定: Actual。

  • アクセス: なし。メンバー指定: Actual。

  • アクセス: 読取り。メンバー指定: Actual、@IDESCENDANTS (New York)。

3番目の指定では、他の2つよりもより詳細なレベルでセキュリティを定義します。そのため、New York支店のメンバーの実績データすべてに対する読取りアクセス権が付与されます。

書込みアクセス権はなしよりもアクセス・レベルが高いため、実績の残りのデータ値に書込みアクセス権が付与されます。

予算などのその他すべてのセルには、最小限のデータベース権限に従ってアクセスできます。

書込みアクセス権がある場合は、読取りアクセス権もあります。

ノート:

データベース・アウトラインのメンバーに対する変更は、フィルタに自動的には反映されません。変更するメンバー参照を手動で更新する必要があります。

メタデータのフィルタ定義の重複

任意の行内の影響を受けるメンバー・セット(メタ読取りメンバーとその祖先)が、他の行のメタ読取りメンバーと重複していない場合にのみ、複数行を使用したメタ読取りフィルタを定義する必要があります。複数行にメタ読取りを含むフィルタでは、1行につき1つのディメンションを指定することをお薦めします。ただし、祖先とメタ読取りメンバーが重複していないかぎり、引き続き1つのディメンションの異なるメンバー・セットを複数のメタ読取り行に指定できます。

たとえば、Sample Basicでは、次のフィルタ定義に重複の競合があります。

  • アクセス: メタ読取り。メンバー指定: California。

  • アクセス: メタ読取り。メンバー指定: West。

最初の行で、Californiaにメタ読取りを適用すると、Californiaにアクセスできるようになりますが、その祖先へのアクセスはブロックされます。そのため、Westに対するメタ読取りアクセスは無視され、このフィルタを割り当てられたユーザーはWestにアクセスできません。

CaliforniaだけでなくWestにもメタ読取りを割り当てるには、これらを次の1行にまとめます。アクセス: メタ読取り。メンバー指定: California、West。

アクセス定義の重複

ユーザーおよびグループのアクセス権の定義が重複している場合は、優先順にリストされている次のルールが適用されます。

  1. より詳細なディメンションの組合せリストを定義するアクセス・レベルは、詳細度の低いレベルよりも優先される。

  2. 前述のルールによって重複の競合が解決しない場合は、最も高いアクセス・レベルが適用される。

例1:

ユーザーのFredには、次のデータベース・アクセス権が定義されています。

FINPLAN     R
CAPPLAN     W
PRODPLAN    N

彼はGroup Marketingに割り当てられており、Group Marketingには次のデータベース・アクセス権があります。

FINPLAN     N
CAPPLAN     N
PRODPLAN    W

彼の有効な権限は次のように設定されています。

FINPLAN     R
CAPPLAN     W
PRODPLAN    W

例2:

ユーザーのMaryには、次のデータベース・アクセス権が定義されています。

FINPLAN     R
PRODPLAN    N

彼女はGroup Marketingに割り当てられており、Group Marketingには次のデータベース・アクセス権があります。

FINPLAN     N
PRODPLAN    W

彼女の有効な権限は次のように設定されています。

FINPLAN     R
PRODPLAN    W

さらに、Maryは(データベースFINPLANの)フィルタ・アーティファクトREDも使用します。フィルタには、次の2つのフィルタ行があります。

  • アクセス: 読取り。メンバー指定: Actual。

  • アクセス: 書込み。メンバー指定: Budget、@IDESCENDANTS (New York)。

Group Marketingでは、(データベースFINPLANの)フィルタ・アーティファクトBLUEも使用します。フィルタには、次の2つのフィルタ行があります。

  • アクセス: 読取り。メンバー指定: Actual、Sales。

  • アクセス: 書込み。メンバー指定: Budget、Sales。

重複しているフィルタから、Maryの有効な権限、彼女やグループに割り当てられる権限は次のとおりです。

  • R: FINPLANデータベース全体。

  • W: New York支店のすべての予算データに対して。

  • W: 予算と売上に関連するデータ値に対して。