セキュリティの構成に関するガイドライン
事前定義済セキュリティ・リファレンス実装が企業を完全に表していない場合、変更できます。たとえば、事前定義済「ライン・マネージャ」抽象ロールに、報酬管理権限が含まれるとします。
報酬を処理しないライン・マネージャがいる場合、それらの権限のないライン・マネージャ・ロールを作成できます。ロールを作成するには、既存のロールをコピーするか、ロールを新規に作成できます。
事前定義済ロールおよび権限をそのまま割り当てると、すべてのデータおよび機能へのフル・アクセス権をユーザーに付与することになります。ビジネス・ニーズを本当に判断せずにこのような無制限のアクセスを提供すると、セキュリティ上の懸念が生じる可能性があります。また、割り当てられた権限は、クラウド・サービスを購入したかどうかに関係なく、サブスクリプションを消費する要因となる可能性があります。ライセンスに影響を与えるすべての事前定義済ロールの詳細なリストを参照できます。スプレッドシート(Predefined Roles with Subscription Impact)を参照してください。
実装中、事前定義済ロールを評価し、変更が必要かどうかを判断します。事前定義済ロールをロール・コードで容易に識別できます。すべてのロール・コードにはプリフィクスORA_が付いています。たとえば、「給与マネージャ」ジョブ・ロールのロール・コードはORA_PAY_PAYROLL_MANAGER_JOBです。すべての事前定義済ロールには、多くの機能セキュリティ権限やデータ・セキュリティ・ポリシーが付与されます。また、集計権限や他の職務ロールも継承します。推奨されるプロセスは、常に事前定義済ロールのコピーを作成し、不要な権限を削除して、必要な権限のみを割り当てることです。そうすることで、ビジネス・ニーズに基づいて、サブスクリプションの使用状況を制御された方法で把握できます。ロールの新規作成が最も効率的なのは、ロールの権限がごく少数で、その特定が簡単な場合です。
欠落している企業ジョブ
セキュリティ・リファレンス実装内に表されていないジョブが企業内にある場合は、独自のジョブ・ロールを作成できます。必要に応じて、集計権限と職務ロールをカスタム・ジョブ・ロールに追加します。
様々な権限を持つ事前定義済ロール
事前定義済ジョブ・ロールの権限が企業内の対応するジョブと一致しない場合、独自のロールを作成できます。事前定義済ロールをコピーすると、コピーを編集できます。必要に応じて、集計権限、職務ロール、機能セキュリティ権限、およびデータ・セキュリティ・ポリシーを追加または削除できます。
権限が欠落している事前定義済ロール
ジョブの権限がセキュリティ・リファレンス実装で定義されていない場合は、独自の職務ロールを作成できます。ただし、一般的な実装ではカスタムの職務ロールは使用しません。集計権限は作成できません。