1. アクセス認証の使用
  2. スコープ条件の連携

スコープ条件の連携

トップダウン・スコープ指定とボトムアップ・スコープ指定のどちらを使用しても、任意の数の条件フィルタを作成できます。それらは相互にOR関係があるために、あるフィルタで除外されたはずのロールが別のフィルタで選択される場合があります。

論理の競合を防ぐため、フィルタはすべてを含めるか、すべてを排除するようにする必要があります。したがって、最初の条件フィルタで「次と等しい」「次を含む」または「次のいずれかと一致」の条件が使用される場合、後続の各フィルタでは、これら3つの条件のいずれかを使用する必要があります。最初の条件フィルタで「次と等しくない」「次を含まない」または「次のいずれにも一致しない」の条件を使用する場合、後続の各フィルタでは、これら3つの条件のいずれかを使用する必要があります。

次に2つの例を示します:

  • 使用可能なロールに、Accounts Payable SupervisorおよびAccounts Payable Managerが含まれるとします。条件フィルタでアクセス・ポイント属性を使用してSupervisorロールを選択できます。それによりManagerロールは除外されます。ただし、2番目の条件フィルタで、アクセス・ポイント属性を使用してManagerロールを選択できます。その結果、両方のロールが認証プロジェクトに含まれます。

  • User1およびUser2に、Accounts Receivable Specialistロールが割り当てられています。ただし、ユーザーのデータ・アクセスの管理では、User1への割当ては、Europeというビジネス・ユニットに適したデータにのみ適用すると定義されています。User2への割当ては、Americaというビジネス・ユニットへの適用として定義されています。条件フィルタでビジネス・ユニットがEuropeを含むと指定すると、それ自体では、User1に割り当てられるのでロールがスコープ指定され、User2が除外されます。ただし、2番目のフィルタでビジネス・ユニットがAmericaを含むと指定すると、User2への割当てが選択されるため、両方のユーザーへのロール割当てが認証に対してスコープ指定されます。

否定の条件(「次と等しくない」「次を含まない」、または「次のいずれにも一致しない」)を使用する場合は、条件フィルタが予期しない結果を返さないように注意してください。

たとえば、EuropeとAmerica以外のビジネス・ユニットで作業しているユーザーに対してのみAccounts Receivable Specialistロールの割当てをスコープ指定する場合があります。したがって、User1およびUser2への割当てを除外する必要があります。そのため、ビジネス・ユニットにEuropeを含まないおよびビジネス・ユニットにAmericaを含まないというフィルタを作成できます。しかし、これらのフィルタは実際には、これらの2つのユーザーへのロール割当てをスコープ指定します。Europeを除外するフィルタはAmerican (User2)を受け入れ、Americaを除外するフィルタはEuropean (User1)を受け入れます。

必要な効果を得るには、かわりにビジネス・ユニットがEurope、Americaのいずれにも一致しないと指定するフィルタを作成する必要があります。

データ・セキュリティ条件を使用するフィルタには、その他の考慮事項が適用されます:

  • あるロールの包含または除外は、別の関連ロールによって継承される場合があります。

    たとえば、US Accounts Payable Managerロールは、単独でユーザーに割り当てることと、2番目のロールのAccounts Payable North Americaのロール階層に含まれることの両方が可能です。ユーザーへのデータ・アクセスの管理では、一部のユーザーへのUS Accounts Payable Managerの割当てによって、Americaビジネス・ユニットに関連付けられたデータにのみアクセス権が付与されるように指定できます。

    フィルタでビジネス・ユニットがAmericaと等しいと指定すると、US Accounts Payableのみでなく、Accounts Payable North Americaの割当てもこれらのユーザーに対して選択されます。

    ただし、認証所有者は、認証者ワークシートに表示する属性を選択している場合があります。ユーザーへのロール割当てのレコードに適切な値が表示されます。各値は、値が直接割り当てられたロールのレコードにのみ表示され、継承されたロールのレコードには表示されません。この例で、所有者が表示属性としてビジネス・ユニットを選択したとします。値Americaは、ユーザーへのUS Accounts Payable Managerの割当てのレコードに表示されます。これは、ユーザーへのAccounts Payable North Americaの割当てのレコードには表示されません。

  • ユーザーのデータ・アクセスの管理はロールを割り当てられたユーザーが使用できるデータを定義しますが、場合によっては、データ・セキュリティ・ポリシーなどの他のセキュリティ構成によって、ユーザーのデータ・アクセスの管理で作成した定義が拡張されることがあります。

    たとえば、User3にAccounts Receivable Managerロールが割り当てられているとします。ユーザーのデータ・アクセスの管理では、割当てはAR Brazilというビジネス・ユニットに関連付けられたデータに制限されます。User3にAccounts Payable Managerロールも割り当てられているとします。ユーザーのデータ・アクセスの管理では、割当てはAP Italyというビジネス・ユニットに関連付けられたデータに制限されます。データ・セキュリティ・ポリシー構成のため、AR入金ページでは、User3にAR Brazilのデータのみが表示されますが、AP請求書ページでは、User3にAR BrazilとAP Italyの両方のデータが表示されます。