ユーザー、グループ、アプリケーション・ロールおよびデータ・アクセスの管理について
サービス管理者またはセキュリティ管理者として、初期タスクの1つは、ユーザーがOracle Fusion Data Intelligenceを使用するための適切なアクセス権を持つようにすることです。
ユーザーは、オブジェクトおよびデータにアクセスする必要があります。 オブジェクトへのアクセスには、フォルダや属性、キー・メトリック、ワークブック、レガシーのOracle BI Enterprise Editionダッシュボードやアンサーなどのサブジェクト領域やサブジェクト領域の要素が含まれます。 ユーザーにアクセス権を付与するには、そのユーザーにグループを割り当てます。 グループは、それらにマップされたアプリケーション・ロール(データおよび職務)から権限を継承します。 セキュリティ設定は、メイン・セマンティック・モデルとのみマージできます。
セキュリティ機能の強化
- Oracle Fusion Data Intelligenceインスタンスに関連付けられたOracle Identity Cloud Serviceでのみ、ユーザーおよびグループを作成および管理します。 セキュリティ管理者は、Oracle Identity Cloud Serviceにユーザー管理者ロールがある場合は、ユーザー・グループ管理を実行できます。 「Oracle Cloud InfrastructureコンソールでのOracle Identity Cloud Serviceユーザーおよびグループの管理」を参照してください。 Oracle Fusion Data Intelligenceでは、セキュリティ・ページでユーザーおよびグループを表示できますが、作成、変更または削除はできません。
- このリリース以降で使用可能な既存のライセンス・グループに対応するライセンス・アプリケーション・ロールを使用します。 ライセンスされたアプリケーション・ロールをカスタム・グループに割り当てることができます。 これらのライセンス・アプリケーション・ロールは、デフォルトで既存の事前作成済ライセンス・グループにマッピングされ、システム・ロールに関連付けられます。 これらの事前作成済のライセンス・グループおよびカスタム・グループをユーザーに割り当てると、該当するユーザーはコンシューマ、作成者、管理者などのシステム権限を取得します。
Oracle Fusion Data IntelligenceがリリースPlatform 23.R4より前のリリース、またはこのセキュリティ更新をまだ取得していない場合は、Oracle Fusion Data IntelligenceによってリリースPlatform 24.R2の一部として自動的に適用されるまで、既存のセキュリティ機能を引き続き使用できます。 リリースPlatform 23.R4より前のリリースの「Manage Users、Groups、Application Roles、and Data Access(ユーザー、グループ、アプリケーション・ロールおよびデータ・アクセスの管理)」の情報を参照してください。
これらの変更は必須であり、バナーの「スケジュール」「更新」オプションを使用してアプリケーションのセキュリティを強化するために、「セキュリティ」ページでこれらの機能拡張を発表して、より早く更新をスケジュールできます。 2024年5月以降にセキュリティ更新をスケジュールしないようにしてください。 現在のすべての設定が保持され、Oracle Identity Cloud Serviceで使用可能になります。スケジュール以外のアクションを実行する必要はありません。
ユーザーについて
Oracle Fusion Data Intelligenceにアクセスするユーザーは、Oracle Identity Cloud Serviceに存在する必要があります。
- Oracle Fusion Cloud ApplicationsユーザーをOracle Identity Cloud Serviceインスタンスと同期できます。
- Oracle Identity Cloud Serviceインスタンスでユーザーを手動で直接作成することも、Oracle Fusion Data Intelligenceユーザー・インタフェースを使用してOracle Identity Cloud Serviceインスタンスでユーザーを作成することもできます。
- 他のサード・パーティ・システムのユーザーをOracle Identity Cloud Serviceインスタンスと同期できます。
ユーザーは、割り当てられたOracle Fusion Data Intelligence固有のシステム・グループに基づいてOracle Fusion Data Intelligenceにアクセスできます。 割り当てられたジョブ固有のグループに基づいて、Oracle Fusion Data Intelligence内の様々な機能、オブジェクトおよびデータにアクセスできます。
事前定義済のシステム・グループ、Oracle Fusion Data Intelligenceインスタンスに関連付けられたOracle Identity Cloud Serviceインスタンスで使用可能なグループ、およびOracle Fusion Data Intelligenceで作成したカスタム・グループを割り当てることができます。
グループについて
Oracle Fusion Data Intelligenceは、グループを使用して、サブジェクト領域、オブジェクトおよびデータへのアクセスをユーザーに提供します。
- Oracle Fusion Data Intelligence専用のOracle Identity Cloud Serviceで作成されたシステム・グループ。 これらのシステム・グループは、システム設定の管理、機能設定の実行、セキュリティの管理、データのモデル化など、Oracle Fusion Data Intelligenceへのサインイン後にシステム・タスクを実行するための一連の権限をユーザーに提供するシステム・ロールに関連付けられています。
- 営業担当部長、人事管理アナリスト、調達バイヤーなど、ジョブ固有のグループ。 ジョブ固有のグループは、Oracle Identity Cloud ServiceでグループとしてマップされるOracle Fusion Cloud Applicationsのジョブ・ロールです。 ジョブ固有のグループを参照してください。
- IDCS_AdministratorsやAll_Tenant_Usersなど、Oracle Fusion Data Intelligence専用ではなく、Oracle Identity Cloud Serviceで作成された汎用グループである他のグループ。
システム・グループ
Oracle Fusion Data Intelligenceは、Oracle Fusion Data Intelligenceインスタンスのプロビジョニング中に、Oracle Identity Cloud Serviceにシステム・グループ(ライセンス・グループとも呼ばれる)を作成します。
- Oracle Fusion Data Intelligenceのユーザーを認証します。
- 割り当てられているシステム・グループに基づいてOracle Fusion Data Intelligenceを使用することをユーザーにライセンス付与します。
システム・グループ・コード | システム・グループ名 | 説明 | 関連付けられたシステム・ロール* | リリース・プラットフォーム23.R4以降の関連ライセンス・アプリケーション・ロール |
---|---|---|---|---|
FAW_FUNCTIONAL_ADMINISTRATORS | FAW機能管理者 | Fusion Data Intelligence機能管理者 | FunctionalAdmin | FAW機能管理者ロール |
FAW_SECURITY_ADMINISTRATORS | FAWセキュリティ管理者 | Fusion Data Intelligenceセキュリティ管理者 | SecurityAdmin | FAWセキュリティ管理者ロール |
FAW_MODELERS | FAWモデラー | Fusion Data Intelligenceモデラー | モデラー | FAWモデラー・ロール |
FAW_MODELER_ADMINISTRATORS | FAWモデラー管理者 | Fusion Data Intelligenceモデラー管理者 | ModelerAdmin | FAWモデラー管理者ロール |
FAW_SERVICE_ADMINISTRATORS | FAWサービス管理者 | Fusion Data Intelligenceサービス管理者 | ServiceAdmin | FAWサービス管理者ロール |
FAW_LICENSED_ERP_AUTHORS | FAWでライセンスされたERP作成者 | Fusion Data Intelligence ERPライセンス作成者 | 作成者 | FAWでライセンスされたERP作成者ロール |
FAW_LICENSED_ERP_CONSUMERS | FAWでライセンスされたERPコンシューマ | Fusion Data Intelligence ERPライセンス・コンシューマ | コンシューマ | FAWライセンスERPコンシューマ・ロール |
FAW_LICENSED_HCM_AUTHORS | FAWでライセンスされたHCM作成者 | Fusion Data Intelligence HCMライセンス作成者 | 作成者 | FAWでライセンスされたHCM作成者ロール |
FAW_LICENSED_HCM_CONSUMERS | FAWでライセンスされたHCMコンシューマ | Fusion Data Intelligence HCMライセンス・コンシューマ | コンシューマ | FAWライセンスHCMコンシューマ・ロール |
FAW_LICENSED_SCM_CONSUMERS | FAWでライセンスされたSCMコンシューマ | Fusion Data Intelligence SCMライセンス・コンシューマ | コンシューマ | FAWライセンスSCMコンシューマ・ロール |
FAW_LICENSED_CX_CONSUMERS | FAWライセンスCXコンシューマ | Fusion Data Intelligence CXライセンス・コンシューマ | コンシューマ | FAWライセンス済CXコンシューマ・ロール |
FAW_LICENSED_SCM_AUTHORS | FAWでライセンスされたSCM作成者 | Fusion Data Intelligence SCMライセンス作成者 | 作成者 | FAWライセンスSCM作成者ロール |
FAW_LICENSED_CX_AUTHORS | FAWライセンスCX作成者 | Fusion Data Intelligence CXライセンス作成者 | 作成者 | FAWライセンス済CX作成者ロール |
*「システム・ロール」および「ライセンス付与ロール」を参照してください。
ジョブ固有のグループ
ジョブ固有のグループは、Oracle Fusion Cloud ApplicationsからOracle Identity Cloud Serviceに同期されるジョブ・ロールです。
共通のジョブ固有のグループ
一般的なジョブ固有のグループは、「Oracle Fusion HCMアナリティクス」や「Oracle Fusion ERPアナリティクス」などのOracle Fusion Data Intelligenceの一部であるアナリティクス・アプリケーション全体に適用されます。
ジョブ固有のグループ・コード | ジョブ固有のグループ名 | 説明 | 関連するアプリケーション・ロール | 関連するアプリケーション・ロール名 | 機能領域 |
---|---|---|---|---|---|
ORA_FND_INTEGRATION_SPECIALIST_JOB | 統合スペシャリスト | 企業情報システムの統合に関連するすべての活動の計画、調整、および管理を担当する個人。 作成者権限があります。 |
作成者 OA4F_COMMON_DATA_ADMIN_ANALYSIS_DUTY |
該当なし | 共通 |
アプリケーション・ロールについて
アプリケーション・ロールは、職務ロールとデータ・ロールで構成されます。
職務ロールは、特定のアクション(APトランザクション・サブジェクト領域へのアクセスなど)を実行する資格としてジョブの職務を定義します。 データ・ロールは、ウェアハウス表の行レベル・データへのアクセスを提供します。 データ・ロールは、特定のジョブ・ロールおよび特定のデータ・ディメンションを通じてユーザーが持っている機能アクセス権に基づいてユーザーをグループ化します。 たとえば、ユーザーのビジネス・ユニットのみに関連する請求書に基づいたユーザーのグループです。
職務ロール
事前定義済のサブジェクト領域と事前定義済のフロントエンド・オブジェクトを保護するための事前定義済の職務ロールは次のとおりです:
共通職務ロール
共通職務ロールは、アプリケーション「Oracle Fusion CXアナリティクス」、「Oracle Fusion HCMアナリティクス」、「Oracle Fusion ERPアナリティクス」などの一部であるアナリティクス・アプリケーション全体に適用されます。
職務ロール・コード | 職務ロール名 | 詳細 | 機能領域 | サブジェクト領域表示名または関連ロールに対するアクセス権の取得 |
---|---|---|---|---|
OA4F_COMMON_DATA_ADMIN_ANALYSIS_DUTY | データ・ウェアハウス・リフレッシュ分析職務 | 共通 - ウェアハウス・リフレッシュ統計サブジェクト領域に対するプレゼンテーション・カタログ・アクセスを管理するためのオブジェクト・セキュリティ・ロール。 | 共通 | 共通 - ウェアハウス・リフレッシュ統計 |
OA4F_COMMON_USAGE_TRACKING_DUTY | 使用状況トラッキング分析職務 | 「共通 - 使用状況トラッキング」サブジェクト領域に対するプレゼンテーション・カタログ・アクセスを制御するためのオブジェクト・セキュリティ・ロール。 | 共通 | 共通 - 使用状況トラッキング |
OA4F_SECURITY_REPORTING_DUTY | セキュリティ・レポート職務 | 「セキュリティ割当」および「セキュリティ監査履歴」サブジェクト領域に対するプレゼンテーション・カタログ・アクセスを制御するためのオブジェクト・セキュリティ・ロール。 | 共通 |
共通 - セキュリティ割当 共通 - セキュリティ監査履歴 |
ライセンス付与ロール
リリース・プラットフォーム23.R4以降で使用可能な既存のライセンス・グループに対応するライセンス・アプリケーション・ロールは次のとおりです。
ライセンスされたアプリケーション・ロールは、デフォルトで、「システム・ロール」で説明されている該当するシステム・ロールに関連付けられます。
ライセンス・ロール | 関連付けられたシステム・ロール | ライセンス・グループにマップ済 |
---|---|---|
FAWサービス管理者ロール | サービス管理者 | FAWサービス管理者 |
FAW機能管理者ロール | 機能管理者 | FAW機能管理者 |
FAWセキュリティ管理者ロール | セキュリティ管理者 | FAWセキュリティ管理者 |
FAWモデラー管理者ロール | モデル管理者 | FAWモデラー管理者 |
FAWモデラー・ロール | モデラー | FAWモデラー |
FAWライセンス済CX作成者ロール | 作成者 |
FAWライセンスCX作成者 FAWでライセンスされたERP作成者 FAWでライセンスされたHCM作成者 |
FAWでライセンスされたERP作成者ロール | 作成者 |
FAWでライセンスされたERP作成者 FAWでライセンスされたHCM作成者 |
FAWでライセンスされたHCM作成者ロール | 作成者 | FAWでライセンスされたHCM作成者 |
FAWライセンスSCM作成者ロール | 作成者 |
FAWでライセンスされたERP作成者 FAWでライセンスされたSCM作成者 |
FAWライセンスCXコンシューマ・ロール | コンシューマ |
FAWライセンスCXコンシューマ FAWでライセンスされたERP作成者 FAWでライセンスされたHCM作成者 |
FAWライセンスERP消費者ロール | コンシューマ |
FAWでライセンスされたERP作成者 FAWでライセンスされたERPコンシューマ |
FAWライセンスHCM消費者ロール | コンシューマ | FAWでライセンスされたHCMコンシューマ |
FAWライセンスSCMコンシューマ・ロール | コンシューマ |
FAWでライセンスされたERP作成者 FAWでライセンスされたSCMコンシューマ |
システム・ロール
Oracle Fusion Data Intelligenceのプロビジョニングを通じてOracle Identity Cloud Serviceで使用可能なOracle Fusion Data Intelligenceのシステム・ロールは次のとおりです:
ロール名 | ロールの説明 | 使途 | 権限 |
---|---|---|---|
管理者 | サービス・インスタンスのテナント管理者 | Oracle Fusion Data Intelligenceインスタンスを作成および管理し、Oracle Identity Cloud Serviceユーザーおよびロールを管理します。 |
|
サービス管理者 | Oracle Fusion Data Intelligenceサービス管理者 | 顧客対応(スナップショット、接続、システム設定)管理者によるOracle Fusion Data Intelligenceへのアクセス。 |
|
機能管理者 | Oracle Fusion Data Intelligence機能管理者 | Oracle Fusion Data Intelligenceで機能構成(パイプライン、レポート)を実行します。 |
|
セキュリティ管理者 | Oracle Fusion Data Intelligenceセキュリティ管理者 | システム・ロールおよびデータ・セキュリティを管理します。 |
|
モデラー管理者 | Oracle Fusion Data Intelligenceデータ・モデル管理者 | データ・モデル(RPD)のカスタマイズをOracle Analytics Cloudインスタンスに昇格します。 |
|
モデラー | Oracle Fusion Data Intelligenceモデラー | セマンティック・モデルを変更して、カスタム・ディメンションおよび属性を取り込みます。 |
|
作成者 | Oracle Fusion Data Intelligence作成者 | 主要なメトリック、ビジュアライゼーション、ワークブック、ビジュアライゼーション・プロジェクト、レポートおよびダッシュボードを作成および編集します。 |
|
コンシューマ | Oracle Fusion Data Intelligenceコンシューマ | Oracle Analytics Cloudコンテンツに対する読取りアクセス権と、ビジュアライゼーションおよびワークブックを作成できます。 |
|
「Fusion Data Intelligenceの権限へのシステム・ロールのマッピング」の権限の完全なリストを参照してください。 このドキュメントは、通常、Oracle Fusion Data Intelligenceのリリースごとに更新されます。 このドキュメントを表示する前に、Cloud Customer Connectにサインインしていることを確認してください。
セキュリティ割当てによるデータ・アクセスについて
データ・セキュリティ割当ては、ユーザー・レベルで付与します。
データ・セキュリティの割当てでは、データ・フィルタが適用されて、ユーザーに割り当てられたセキュリティ割当て値に対応するデータのみが表示されます。 たとえば、John SmithとMarie Pierceはどちらも組織の買掛管理マネージャですが、John SmithはUSビジネス・ユニット固有のデータのみを表示する必要があり、MarieはUKビジネス・ユニット固有のデータのみを表示する必要があります。 両方が同じ機能ロールを持っている場合でも、データ・セキュリティの割当ては異なります。 JohnにはすべてのUSビジネス・ユニットが割り当てられ、MarieにはすべてのUKビジネス・ユニットのみが割り当てられます。
ユーザーに割り当てられたデータ・ロールとセキュリティ・コンテキスト、セキュリティ割当を組み合せて、データ・レベルのセキュリティを確保します。 Oracle Fusion Data Intelligenceは、セキュリティ・コンテキスト1:1をデータ・ロールにマップします。 データ・セキュリティの割当ては、セキュリティ・コンテキスト内で付与します。 ユーザーは、セキュリティ・コンテキストおよびピック元の対応する値リストにアクセスできるように、割り当てられたグループを介してデータ・ロールを持っている必要があります。 ユーザーに1つ以上のジョブ固有のグループを割り当てます。 グループにはデータ・ロールがマップされ、データの問合せ時には、セマンティック・レイヤーがデータ・フィルタを適用します。
エンタープライズ・リソース・プランニングの場合、元帳、買掛管理ビジネス・ユニットおよび売掛管理ビジネス・ユニットの値は、レポート・パラメータの設定時に選択した元帳によって制限されます。 セキュリティ権限を確立するには、ユーザーをセキュリティ割当てにマップする必要があります。 ユーザーにセキュリティ割当値がマップされていない場合、ユーザーに割り当てられたジョブ・ロール(および暗黙的にデータ・ロール)に対応するデータセットは表示されません。 ユーザーにデータ・セキュリティ割当を追加する場合は、元帳、買掛管理ビジネス・ユニット、売掛管理ビジネス・ユニットなどのセキュリティ・コンテキスト内の特定のデータにユーザーがアクセスできることを確認します。
人材管理の場合、データ・セキュリティは、ライン・マネージャ・ロールを持つユーザーのOracle Fusion Cloud Applicationsで定義されたライン・マネージャ階層に基づきます。 人材管理の場合、データ・セキュリティは、ジョブ応募ロールまたはジョブ購買依頼ロールを持つユーザーに対してOracle Fusion Cloud Applicationsで定義されたタレント獲得階層に基づきます。 すべてのユーザーは、HCM表示コンテキストを使用して自分のレコードを表示できます。 HRアナリスト・ロールを持つユーザーには、すべての人材管理データへのアクセス権があり、人材管理データ・セットにセキュリティ制限は適用されません。 採用マネージャ・ロールを持つユーザーは無制限のジョブ応募にアクセスできますが、採用担当者および採用マネージャ・ロールを持つユーザーはすべてのジョブ応募を表示できます。 ビジネス・ユニット、雇用主、部門、国セキュリティ・コンテキストおよび関連データ・ロールは、コンテキストおよび割り当てられた述語の値によって制限されます。 セキュリティ権限を設定するには、ユーザーにセキュリティ割当てをマップする必要があります