セキュリティ・コンソールでのリスク管理ロールの作成

セキュリティ・コンソールを使用して、Oracle Fusion Cloud Risk Managementのジョブ・ロールや職務ロールを作成できます。

多くの場合、ロールを作成する際には、既存のロールをコピーして、要件にあわせてそのコピーを編集するのが効率的です。通常、作成するロールと類似した既存のロールがない場合は、ロールを最初から作成します。

ロールを最初から作成するには、セキュリティ・コンソールで「ロール」タブを選択し、「ロールの作成」ボタンをクリックします。一連のロール作成ページで値を入力し、「次」または「戻る」を選択して、ページ間をナビゲートします。

基本情報の設定

「基本情報」ページで:

1. 「ロール名」フィールドで、表示名(North America Risk Managerなど)を作成します。

2. 「ロール・コード」フィールドに、ロールの内部名(GRC_NA_RISK_MGR_JOBなど)を作成します。

   ノート: ロール・コードの先頭に「ORA_」を使用しないでください。この接頭辞は、Oracleで事前定義されているロール用に予約されています。ORA_の接頭辞が付いたロールは編集できません。

3. 「ロール・カテゴリ」フィールドで、他のロールと共通する目的を識別するタグを選択します。通常、ロール・タイプおよびそのロールが適用されるアプリケーションをタグに指定します。Oracle Risk Managementの場合、「GRC - ジョブ・ロール」および「GRC - 職務ロール」というタグを付けるのが適切です。

   職務ロール・カテゴリを選択した場合、作成中のロールをユーザーに直接割り当てることはできません。これを割り当てるには、ジョブ・ロールの階層に含めて、そのロールをユーザーに割り当てます。

4. 必要に応じて、「摘要」フィールドにロールの説明を入力します。

機能セキュリティ・ポリシーの追加

機能セキュリティ・ポリシーで一連の機能権限を選択し、各機能権限でフィールドや他のユーザー・インタフェース機能の使用を許可します。「機能セキュリティ・ポリシー」ページで、職務ロールのポリシーを定義できます。ポリシーは、職務ロールが属する他のロールによって継承される機能権限を選択します。通常、機能セキュリティ・ポリシーはジョブ・ロールに直接追加しません。

ポリシーを定義する際には、個別の権限を追加するか、既存のロールに属するすべての権限をコピーできます。

1. 「機能セキュリティ・ポリシーの追加」を選択します。

2. 「検索」フィールドで、「権限」値やロールのタイプを任意の組合せで選択し、少なくとも3文字を入力します。入力した文字が名前に含まれる、選択したタイプの項目が検索結果として返されます。

3. 権限またはロールを選択します。権限を選択する場合は、「ロールに権限追加」をクリックします。ロールを選択する場合は、「選択した権限の追加」をクリックします。

「機能セキュリティ・ポリシー」ページに、選択したすべての権限がリストされます。必要に応じて、権限の継承元のロールも表示されます。次のことが可能です:

• 権限をクリックすると、その権限が保護しているコード・リソースの詳細が表示されます。

• 権限を削除します。たとえば、ロールに関連付けられている権限を追加しますが、その一部のみを使用する場合は、残りの権限を削除する必要があります。権限を削除するには、その「x」アイコンをクリックします。

データ・セキュリティ・ポリシー

データ・セキュリティ・ポリシーは、Oracle Risk Management以外のOracle Cloudアプリケーションに適用されます。セキュリティ・コンソールの「ロールの作成」トレインにある「データ・セキュリティ・ポリシー」ページには、エントリを作成しないでください。単に「次へ」をクリックして、次のページに移動します。

ノート: 「データ・セキュリティ・ポリシー」ページを読取り専用に設定することもできます。これを行うには、「管理」タブを選択して、「管理」ページの「ロール」タブを選択します。「データ・セキュリティ・ポリシーの編集可能」オプションを見つけて選択を解除します。

ロール階層の構成

「ロール階層」ページには、作成中のロールがフォーカスされたビジュアライゼーション・グラフまたはビジュアライゼーション表が表示されます。「グラフの表示」ボタンまたは「表として表示」ボタンを選択して、どちらかを選択します。いずれの場合も、作成しているロールを、機能権限の継承元である他のロールにリンクします。

• 職務ロールを作成している場合は、それに職務ロールを追加できます。実際には、ジョブ・ロールに組み込む職務セットを拡張していることになります。

• ジョブ・ロールを作成している場合は、それに職務ロールを追加できます。

ロールを追加するには:

1. 「ロールの追加」を選択します。

2. 「検索」フィールドで、ロール・タイプの組合せを選択し、少なくとも3文字を入力します。入力した文字が名前に含まれる、選択したタイプの項目が検索結果として返されます。

3. 必要なロールを選択し、「ロール・メンバーシップの追加」をクリックします。選択したロールだけでなく、階層全体も追加します。

グラフ・ビューでは、ビジュアライゼーションのコントロール・パネル、凡例および概要ツールを使用して、ロール階層を定義するノードを操作できます。

職務の分割の分析の実行

職務の分割ページで、作成しているロールの階層に職務の分割の競合が含まれているかどうかを特定できます。これらは、リスクを伴うタスクを個々のユーザーが完了できるようにするロールのペアです。

これらの競合はプロビジョニング・ルールによって定義されるため、組織がOracle Fusion Cloud Advanced Controlsを使用してプロビジョニング・ルールを作成する場合にのみ、このページに値が表示されます。その場合は、「分析」ボタンをクリックします。

作成しているロールの階層がルールに違反している場合、競合するロールのペアがこのページにリストされます。その場合は、「ロール階層」ページに戻って、各ペアから1つのロールを削除する必要があります。ただし、そのようにしたかを確認する検証は実行されません。したがって、このロールのクリーン・アップを実行しないと、どのユーザーに割り当てても、職務の分離が競合していると組織がみなす状況になるロールを作成することになるので、注意してください。

プロビジョニング・ルールを組織が使用しない場合は、このページを非アクティブにできます。Oracle Fusion Functional Setup Managerの「管理者プロファイル値の管理」ページで、ASE_SEGREGATION_OF_DUTIES_SETTINGプロファイル・オプションを「いいえ」に設定してください。

ユーザーの追加

「ユーザー」ページで、作成中のジョブ・ロールを割り当てるユーザーを選択できます。(職務ロールはユーザーに直接割り当てません。)

ノート: 「ユーザー」ページをアクティブにするには、「ユーザー・ロール・メンバーシップの編集可能」オプションを選択する必要があります。これを見つけるには、「管理」タブを選択して、「管理」ページの「ロール」タブを選択します。このオプションを選択しないと、「ユーザー」ページは読取り専用になります。

ユーザーをジョブ・ロールに追加すると、そのロールが機能アクセス権を付与するページに、そのユーザーがアクセスできるようになります。ただし、データが保護されたページにデータが表示されるのは、(ロールにその機能が付与されている場合に)そのユーザーがレコードを作成したとき、またはそれらのレコードの所有者がレコードを選択したときのみです。

ユーザーを追加するには:

1. 「ユーザーの追加」を選択します。

2. 「検索」フィールドで、「ユーザー」値やロールのタイプを任意の組合せで選択し、少なくとも3文字を入力します。入力した文字が名前に含まれる、選択したタイプの項目が検索結果として返されます。

3. ユーザーまたはロールを選択します。ユーザーを選択する場合は、「ロールにユーザー追加」をクリックします。ロールを選択した場合、「選択したユーザーの追加」をクリックします。これにより、割り当てられたすべてのユーザーが、作成しているロールに追加されます。

選択したすべてのユーザーが「ユーザー」ページにリストされます。ユーザーを削除できます。たとえば、ロールに関連付けられているすべてのユーザーを追加したとします。ただし、一部のユーザーのみに新しいロールを割り当てる場合は、残りを削除する必要があります。ユーザーを削除するには、その「x」アイコンをクリックします。

ロールの完了

「サマリーおよび影響レポート」ページで、選択内容をレビューします。サマリー・リストには、追加および削除した機能セキュリティ・ポリシー、ロールおよびユーザーの数が表示されます。影響リストには、自分の変更の影響を受けるロールおよびユーザーの数が表示されます。これらのリストのいずれかを展開すれば、その数に含まれるポリシー、ロールまたはユーザーの名前を表示できます。

変更する必要がある場合は、適切なページに戻って変更します。ロールに問題がなければ、「保存してクローズ」を選択します。