組織の保護に関するガイドライン
組織の定義を保守するユーザーもいれば、 アサイメントの作成などのタスクを実行しながら、組織のリストにアクセスするユーザーもいます。 これらのユーザーのアクセス要件は異なります。 ただし、どちらのタイプのユーザーについても、組織セキュリティ・プロファイルで関連する組織を指定します。
このトピックでは、組織セキュリティ・プロファイルを作成する際に選択するオプションの影響について説明します。 組織セキュリティ・プロファイルを作成するには、「組織セキュリティ・プロファイルの管理」タスクを使用します。
分類が複数ある組織
組織には、複数の分類がある場合があります。 たとえば、ある部門に雇用主分類も設定されていることがあります。 組織は、組織セキュリティ・プロファイルの分類基準のいずれかを満たしている場合、そのセキュリティ・プロファイルのデータ・インスタンス・セットに属します。 たとえば、部門階層別にのみ保護する場合、雇用主でもある部門は、部門であるため対象となります。
組織分類別の保護
単一の分類のすべての組織へのアクセスを保護するには、「組織別保護」セクションで分類を選択します。 たとえば、企業内のすべての雇用主へのアクセスを保護するには、分類別保護セクションの「分類名」を「雇用主」に設定します。 選択した雇用主をこのアクセスから除外するには、「組織」セクションでその雇用主をリストして、「組織の追加または除外」列で「除外」を選択します。
組織階層の最上位組織の選択
名前付き組織を組織階層の最上位組織として選択する場合は、その組織が有効な状態に維持されるようにする必要があります。 組織階層の変更は組織セキュリティ・プロファイルとは別に行われるため、組織の自動検証は行われません。
アサイメントが複数あるユーザー
ユーザーのアサイメント先の部門を組織階層の最上位組織として選択できます。 ユーザーにアサイメントが複数ある場合、最上位組織が複数存在することもあります。 この場合、組織階層の関連する下位階層に含まれるすべての部門が組織セキュリティ・プロファイルのデータ・インスタンス・セットに属します。
次の図は、ユーザーにアサイメントが複数ある場合のこのオプションの影響を示しています。 このユーザーにはアサイメントが2つあります。1つは部門Bで、もう1つは部門Dです。これらは同じ組織階層に属しています。 したがって、最上位組織は部門Bと部門Dとなり、このユーザーの組織データ・インスタンス・セットには部門B、E、D、F、Gが含まれます。
