システム・アクセス・グループの概要
システム・アクセス・グループおよびルールは、ユーザーに割り当てられたジョブ・ロールおよび抽象ロールに基づいて、オブジェクト・データへのアクセスをユーザーに提供します。
更新22B以降で初めて販売アプリケーションを使用している場合は、システム・アクセス・グループとそれに関連付けられたオブジェクト共有ルールを使用して、データへのユーザーのアクセスがデフォルトで管理されます。 更新22Bより前にOracle SalesまたはFusion Serviceでプロビジョニングされていた場合は、データ・セキュリティ・ポリシーのかわりにシステム・グループおよびルールを使用してデータ・アクセスを管理することをお薦めします。
Oracleでは、次の2つのタイプのシステム・アクセス・グループを作成します:
-
事前定義済ロールのグループ。 アクセス・グループは、環境内の事前定義済の営業およびサービス・ジョブ・ロール、およびリソースと認証済ユーザーの抽象ロールごとに生成されます。
事前定義済オブジェクト共有ルールは、各グループに割り当てられます。 ルールによって、グループ・メンバーは必要なデータにアクセスできます。 これらの事前定義済ルールは、デフォルトでアクティブです。
-
カスタム・ロールのグループ。 アクセス・グループは、環境内のカスタム・ジョブ・ロールごとに生成されます。
カスタム・ロール用に生成されたアクセス・グループは、オブジェクト共有ルールに関連付けられていません。 これらのグループに事前定義ルールまたはカスタム・ルールを手動で追加する必要があります。 コピーしたソース・ロールに対して生成されたアクセス・グループなど、別のアクセス・グループからルールをコピーして、グループ・メンバーにデータへのアクセス権を付与することもできます。
UIでは、2つのタイプのシステム・アクセス・グループを次のように区別できます:
-
ORA_プレフィクス: 事前定義済ジョブ・ロールまたはリソースおよび認証済ユーザー抽象ロールに対して生成されたシステム・アクセス・グループに割り当てられた番号は、ORA_プレフィクスで始まります。 カスタム・ジョブ・ロールに対して生成されたアクセス・グループに割り当てられた番号には、ORA_プレフィクスは含まれません。
-
「事前定義済」チェック・ボックスは、事前定義済ジョブ・ロールおよびリソースおよび認証済ユーザーの抽象ロールに対して生成されたシステム・アクセス・グループに対して選択されます。 カスタム・ジョブ・ロールに対して生成されたグループの場合、このチェック・ボックスは選択されません。
システム・アクセス・グループのメンバー
事前定義済またはカスタムのジョブ・ロールに割り当てたユーザーは、関連付けられたシステム・アクセス・グループのメンバーとして自動的に含められます。 リソースではないユーザーを含むすべての認証済ユーザーも、すべてのユーザー・システム・アクセス・グループに自動的に追加されます。 すべてのユーザー・システム・アクセス・グループを使用して、アプリケーションのすべての認証済ユーザーにオブジェクト・レコードへのアクセス権を付与できます。
アクセス制御データのリフレッシュ・プロセスは、環境内のカスタム・ジョブ・ロールおよびユーザー・ジョブ・ロール割当に対する変更でシステム・グループを更新するために、1時間ごとに自動的に実行されます。 ただし、「アクション」メニューから「グループおよびメンバーの更新」オプションを選択して、アクセス・グループのメイン・ページからいつでもプロセスを実行することもできます。
システム・グループに対して実行できる変更
事前定義またはカスタムのオブジェクト共有ルールをシステム・グループに追加できます。
ただし、新しいシステム・グループを作成したり、既存のシステム・グループを削除することはできません。 また、手動で、グループ・メンバーシップ・ルールを使用して、またはインポートおよびエクスポート機能を使用して、システム・グループのメンバーを追加または削除することはできません。 ユーザーは、割り当てられているジョブ・ロールに従って、システム・アクセス・グループに自動的に追加または削除されます。