1. ERPの保護
  2. セグメント値セキュリティ・ロールの作成のベスト・プラクティス
機械翻訳について

セグメント値セキュリティ・ロールの作成のベスト・プラクティス

セグメント値セキュリティのロールを作成および保守するためのベスト・プラクティスを次に示します。

  • ロールは、セグメント値セキュリティ・ポリシーを割り当てる目的でのみ作成します。 これにより、データ・セキュリティの他の要素や、他のロールに存在する可能性のあるその他のアーティファクトとの通信が妨げられます。 これにより、セグメント値セキュリティ・ルールが予期した方法で機能しない場合に診断が難しくなる可能性があります。
    ノート: 「ロール・カテゴリ」をデフォルトに設定します。
  • セグメント値セキュリティ・ロールを使用して階層を形成しないでください。 階層によって、その1つのセグメント値セキュリティ・ロールの割当てに基づいて、ロール階層内の様々なロールからユーザーにデータ・セキュリティ・ポリシーがロールアップされる場合があります。 これにより、ユーザーが終了するデータ・セキュリティを評価し、予期しない結果が発生した場合にユーザーが終了した特定のデータ・セキュリティ・ポリシーの正確な発生元を特定することが困難になります。
  • ジョブ・ロールを共有するユーザーのグループも、保護された勘定体系に対してまったく同じセキュリティ・プロファイルを共有することはほとんどないため、通常は、Oracleによって事前定義されたジョブ・ロールを使用してセグメント値セキュリティ・ポリシーを渡すことはお薦めしません。

    セグメント値セキュリティ・ポリシーをジョブ・ロールに添付すると、そのジョブ・ロールが割り当てられているすべてのユーザーが、それらのデータ・セキュリティ・ポリシーを均一に取得します。 ジョブ・ロールは、主に、機能セキュリティ・アクセスを製品モジュールの機能に渡し、同じジョブ機能を持つが、多くの場合組織の様々な部分で共有することを目的としています。 一般的に、データ・セキュリティ・アクセスをジョブ・ロールに直接組み込むことはお薦めしません。

  • 特定の保護された値セットへのアクセスを必要とする組織内のすべてのユーザーにおける、セグメント値セキュリティ・プロファイルの一意のバリエーションの合計数を評価します。 次に、セグメント値セキュリティ・ポリシーを作成する前に、空のロールを作成して、これらのセキュリティ・プロファイルごとに個別のセグメント値セキュリティ・ロールを定義します。 これらのロールの目的は、特定のユーザー(ユーザー・グループ)を対象とした特定の勘定体系セグメント値セキュリティ・データ・セキュリティ・ポリシーを、このセグメント値セキュリティ・ロールを適切なユーザーに割り当てて渡すメソッドとして機能することです。

    各ポリシー定義で、その値セットの識別された各セキュリティ・プロファイルを包括的に取得することで、特定の保護された値セットに対して保持するポリシー定義の数を最小限に抑えます。 これにより、組織のセグメント値セキュリティ要件を保守するための管理しやすいフレームワークを促進できます。

  • 組織内のすべてのユーザーおよびユーザー・グループ間で、個別のデータ・セキュリティ・プロファイルごとに個別のセグメント値セキュリティ・ロールを維持することは、セグメント値セキュリティ設定の継続的なメンテナンスにも役立ちます。 このようなセグメント値セキュリティ・データ・セキュリティ・プロファイルに必要な変更は、1つのセグメント値セキュリティ・ロールを変更することのみが必要であり、これにより、その1つのセキュリティ・プロファイルに属するすべてのユーザーに自動的にカスケード・ダウンされます。

    1つのセグメント値セキュリティ・ロールに、同じ保護された値セット内から異なるポリシーを割り当てることができます。 異なる保護された値セットのポリシーでも、そのセグメント値を共有するユーザーのグループ全体に適用可能な共通セキュリティ・プロファイルを割り当てることができます。セキュリティ・ロールには、このセグメント値セキュリティ・ロールに関連付けられる1つ以上の保護された値セットについて、これらのセグメント値セキュリティ・ポリシーの各ポリシーとすべてのポリシーが含まれます。

    1つのセグメント値セキュリティ・ロールをロードすると、保守が必要なセグメント値セキュリティ・ロールの数を減らし、各ロールを非常に効率的に使用できます。 ただし、これにより、異なるポリシーのセキュリティ要件と異なる保護された値セットのセキュリティ要件と、このグループに配置された各ユーザーのセキュリティ・セグメント値セキュリティ要件との間に追加の相互依存関係を作成することで、セグメント値セキュリティ設定の編成および保守の複雑さを大幅に増やすこともできます。 そのため、この方法でセグメント値セキュリティ・ロールをロードする際には注意し、組織の最適な適合性を判断するためにこのようなディシジョンを行う際の利点とコストを比較検討する際に、必要な判断を適用してください。

警告: 「セグメント値セキュリティ・ロールの管理」スプレッドシートを使用して作成されたポリシーを介してセグメント値セキュリティ・ポリシーが割り当てられているセグメント値セキュリティ・ロールのコピーを作成するために、セキュリティ・コンソール・ロールのコピー機能を使用しないでください。 ロール・コピー機能では、スプレッドシートを使用して作成されたポリシー定義に対して保守されたすべての属性が考慮されるわけではありません。 このようなコピー・アクションから作成されたロールには、不完全で正しく機能しないデータ・セキュリティ・ポリシー割当てがあります。