1. Sales and Fusion Serviceの保護
  2. データベース・リソースの管理
機械翻訳について

データベース・リソースの管理

データ・セキュリティ・ポリシーによってデータベース・リソースが保護されます。 新しいデータベース・リソースを定義して保護する場合、またはデータベース・リソースの事前定義済データ・セキュリティ条件がニーズを満たさない場合、データベース・リソースを構成できます。

セキュリティ・コンソールのデータベース・リソースおよびポリシーの管理ページを使用して、次のことができます:

  • 新しいデータベース・リソースの定義

  • 新しいデータベース・リソースを保護するためのデータ・セキュリティ・ポリシーの作成

  • データベース・リソースのデータベース・リソース条件の作成

このトピックのタスクを実行するには、ITセキュリティ・マネージャ・ジョブ・ロールが必要です。

ノート: 可能な場合は、カスタム・アクセス・グループを使用して、データへのユーザー・アクセスを構成することをお薦めします。 アクセス・グループは、カスタム・データ・セキュリティ・ポリシーよりもパフォーマンスが高く、管理が容易です。 アクセス・グループを使用して要件を達成できない場合にのみ、このトピックの手順を使用してデータ・セキュリティを構成します。 アクセス・グループの詳細は、アクセス・グループの章を参照してください。

データベース・リソースの定義

データベース・リソースは、ビジネス・オブジェクトに対応するデータベース表またはビューです。 保護するカスタム・ビジネス・オブジェクトを作成する場合は、関連するデータベース表またはビューをデータベース・リソースとして定義する必要があります。 表またはビューをデータベース・リソースとして定義するには、次を実行する必要があります:

  • データベース・リソースの主キー列を指定

  • データ・セキュリティ・ポリシーを介してユーザーが使用できるようにする行インスタンス・セットに列を含めることを除外するデータベース・リソースの列をフィルタ

  • データベース・リソースの条件とアクションを識別し、データ・セキュリティ・ポリシーで保護できるリソース部分と、データに対して実行できる操作を決定

次の手順では、これらの各タスクについて説明します。

新しいデータベース・リソースを定義するには:

  1. 「セキュリティ・コンソール管理」タブで、一般サブタブを選択し、「データベース・リソースの管理」をクリックします。

    データベース・リソースおよびポリシーの管理ページが表示されます。

  2. Search Results(検索結果)リージョンで、Create(作成)アイコンをクリックします。

    「データベース・リソースの作成」ページが表示されます。 一般情報サブタブはデフォルトで選択されています。

  3. 新しいデータベース・リソースの値を入力します。

    次の表では、新しいデータベース・リソースに指定するフィールド値について説明します。

    フィールド

    オブジェクト名

    データベース・リソースとして定義するカスタム・ビジネス・オブジェクトの名前。

    表示名

    ビジネス・オブジェクトの表示名。

    データ・オブジェクト

    カスタム・ビジネス・オブジェクトが表すデータ・リソース(表またはビュー)を選択します。

    「データ・オブジェクト」フィールドの値を選択すると、主キー列領域とフィルタ列の詳細領域が表示されます。

    モジュール

    リソースに関連付けられているユーザー・モジュールを選択します。

  4. ビジネス・オブジェクトに対して機能セキュリティ・ポリシーが定義されている場合は、「機能セキュリティ使用可能」チェック・ボックスをクリックします。

  5. 主キー列領域で、作成アイコンをクリックします。

  6. 「主キー」フィールドで、ビジネス・オブジェクトが表すデータベース表またはビューの主キー列を選択します。

  7. フィルタ列の詳細領域で、データ・セキュリティ・ポリシーで定義された行インスタンス・セットから除外する列を選択します。 フィルタされた列のデータにはユーザーがアクセスできません。 列をデータ・フィルタとして選択するには、使用可能な列リストから選択された列リストに移動します。

  8. 条件サブタブをクリックして新しいデータベース・リソースの条件を作成し、作成アイコンをクリックします。

    「データベース・リソース条件の作成」ダイアログ・ボックスが表示されます。 条件は、データ・セキュリティ・ポリシーで保護できるデータベース・リソースの行を指定します。

  9. このトピックの後半にあるデータベース・リソースの条件の作成の手順の説明に従って、リソース条件を作成します。

  10. 処理サブタブをクリックします。

    データベース・リソースに対する処理を定義して、ビジネス・オブジェクトで保護できる操作データ・セキュリティ・ポリシーを指定します。 たとえば、各アクションに名前を付けて、データ・セキュリティ・ポリシーで特定のロールにそのアクションを付与することによって、ユーザーが読取り、更新または削除のアクセス権を持つかどうかを指定できます。 アクションは、ビジネス・オブジェクトが実装する操作に対応している必要があります。

  11. 「行の追加」アイコンをクリックします。

  12. 「名前」および「表示名」フィールドに値を入力します。 入力する処理名は、対応するビジネス・オブジェクトに定義された操作名と一致する必要があります。 アクションは、データ・セキュリティ・ポリシーで定義したデータベース・リソース条件で指定された行インスタンス・セットに対して機能します。つまり、条件によって、特定のアクションに対してユーザーが使用できる行インスタンス・セットが決まります。

    複数のアクションを指定できます。

  13. 「送信」をクリックします。

  14. データベース・リソースが作成されたことを確認する確認ダイアログ・ボックスが表示されたら、OKをクリックします。

データベース・リソースの条件の作成

データベース・リソース条件は、データ・セキュリティ・ポリシーで保護できるデータベース・リソースの部分を定義します。 Oracleによって提供される事前定義済条件は編集できませんが、事前定義済データベース・リソースまたは作成したデータベース・リソースに対して新しい条件を作成できます。

条件は、単純なXMLフィルタまたはリソース自体の属性を問い合せるSQL述語(WHERE句)によって決定される行インスタンスのグループです。 SQLのWHERE句をパラメータとともに使用して、複数の行インスタンス・セットを指定する条件を定義できます。 単一行インスタンス条件(単一値)またはすべての行インスタンス条件(すべての値)の条件を定義する必要はありません。 データ・セキュリティ・ポリシーの作成時に、単一値のケースとすべての値のケースの両方を簡単に定義できます。

注意: カスタムSQL述語はアプリケーションのパフォーマンスに悪影響を及ぼす可能性があるため、作成しないようにすることをお薦めします。 カスタムSQL述語を使用する場合は、独自に作成して保守する必要があります。

データベース・リソースの条件を作成するには:

  1. 「セキュリティ・コンソール管理」タブの一般サブタブで、データベース・リソースの管理をクリックします。

    データベース・リソースおよびポリシーの管理ページが表示されます。

  2. 条件を編集するデータベース・リソースを検索します。

  3. 検索結果リストで、適切なデータベース・リソースを選択し、編集アイコンをクリックします。

    「データ・セキュリティの編集」ページが表示されます。

  4. 条件サブタブを選択して、リソースの新規条件を定義します。

    データベース・リソースに定義されている既存の条件が表示されます。 事前定義済条件は削除または編集できません。

  5. 「作成」アイコンをクリックします。

    「データベース・リソース条件の作成」ダイアログ・ボックスが表示されます。

  6. 条件の名前と表示名を入力します。

  7. 「条件タイプ」で、次のいずれかを選択します:

    • 属性ピッカーを使用して単純な条件を定義する場合は、「フィルタ」を選択します。 フィルタ条件タイプを選択する場合は、次の値も指定する必要があります:

      • 「一致」オプションでは、フィルタ条件にAND句を含める場合は「すべて」オプションを選択し、フィルタ条件にOR句を含める場合は任意オプションを選択します。

      • Conditions(条件)領域で、Add(追加)アイコンをクリックします。

      • フィルタ値を定義します。

        次の表では、各フィールドのフィルタ値について説明します。

        フィールド

        列名

        フィルタを定義する列を選択します。

        ツリー演算子

        フィルタで使用する演算子がツリー演算子の場合は、このオプションを選択します。

        オペレータ

        選択したカラム・フィルタの演算子を選択します。

        演算子のテストとして値を入力します。

        「ツリー演算子」オプションを指定した場合は、検索アイコンをクリックします。 「ツリー・ノードの選択」ダイアログ・ボックスが表示され、演算子値を選択できます。

      • 「保存」をクリックします。

    • 条件の属性名がわかっている場合に、データベース・リソースによって指定された表またはビューに対する問合せで構成されるSQL述語を使用する場合は、SQL述語を選択します。 「SQL述語」フィールドにSQL値を入力します。

  8. 「保存」をクリックして、新しい条件を保存します。

データベース・リソースのデータ・セキュリティ・ポリシーの作成

新しいビジネス・オブジェクトをデータベース・リソースとして登録すると、ユーザーは最初にビジネス・オブジェクトの操作を開始したり、リソースのデータにアクセスできなくなります。 データ・セキュリティ・ポリシーを定義して、カスタム・ビジネス・オブジェクトのデータをアプリケーションのユーザーが使用できるようにします。

データ・セキュリティ・ポリシーを作成する前に、次のタスクが完了していることを確認してください:

  • 保護するビジネス・オブジェクトを識別し、関連するデータベース表またはビューをデータベース・リソースとして登録します。

  • データベース・リソースに対して使用可能にする条件を識別および定義します。

  • このデータベース・リソースに対して保護するアクションを識別および登録します。

データベース・リソースのポリシーを作成するには:

  1. 「セキュリティ・コンソール管理」タブの一般サブタブで、データベース・リソースの管理をクリックします。

    データベース・リソースおよびポリシーの管理ページが表示されます。

  2. ポリシーを定義して、保護するデータベース・リソースを検索します。

  3. 検索結果リストで、データベース・リソースを選択し、ポリシーの詳細領域まで下にスクロールします。

    データベース・リソースに定義されているすべてのポリシーが表示されます。

  4. ポリシーを選択してから編集アイコンをクリックして、編集する既存のポリシーを選択できます。 ただし、この場合は、作成アイコンをクリックして新しいポリシーを作成します。

    一般サブタブが選択された状態で「ポリシーの作成」ダイアログ・ボックスが表示されます。

  5. 新しいポリシーについて次の情報を指定します:

    • 「名前」フィールドに、ポリシーの名前を入力します。

    • 「開始日」フィールドに、ポリシーがアクティブになる日付を入力します。

    「モジュール」フィールドには、ポリシーを作成しているデータベース・リソースに関連付けられているモジュールの名前が事前に入力されていますが、この値は変更できます。

  6. ロール・サブタブをクリックし、追加アイコンをクリックして、新しいポリシーを割り当てるロールを選択します。

    「選択して追加: ロール」ダイアログ・ボックスが表示されます。

  7. 新しいポリシーを割り当てるロールを次のように選択します:

    • 「ロール名」フィールドに、ロールの名前を入力します。

    • 「アプリケーション」フィールドに、ロール(CRM、HCM、FSCMなど)のアプリケーション・ストライプを入力し、「検索」をクリックします。

    • 表示されたロールのリストからロールを選択し、「適用」をクリックして、そのロールを新しいポリシーに関連付けます。

    • リストから追加のロールを選択し、ロールの追加が終了したら、OKをクリックします。

    選択したロールが割り当てられたすべてのユーザーに、ポリシーで定義されたデータへのアクセス権が付与されます。

  8. ルール・サブタブをクリックして、ポリシーが適用されるデータベース・リソースの行を指定するルールを定義します。

  9. 「行セット」フィールドで、次のいずれかの値を選択します:

    • 特定の行を保護するには、「単一値」を選択し、保護する行を「行」フィールドで検索して選択します。

    • リソース内のすべての行を保護するには、すべての値を選択します。

    • データ・リソース内のデータのサブセットを保護するには、複数値を選択し、保護するデータのサブセットを定義する条件を「条件」フィールドで検索して選択します。

  10. 処理サブタブをクリックし、使用可能な処理リストから選択した処理リストに処理を移動して、そのロールに付与するデータベース・リソースで保護されているデータに適用可能な処理を指定します。

  11. 「保存してクローズ」をクリックします。