1. ERPの保護
  2. 非任意アクセスに対する高度な暗黙的データ・セキュリティの構成
機械翻訳について

非任意アクセスに対する高度な暗黙的データ・セキュリティの構成

Oracle Fusion Cloud ERPでは、ユーザーのデータ・アクセスの管理ページを使用して、特定のデータを表示できるユーザーを制御できます。 これは、明示的なデータ割当てによって行います。 ただし、多くの事前定義済セルフサービス・ロールには、任意でないアクセスに対する暗黙的なデータ・セキュリティ割当てが含まれています。 調達依頼者などの一部のジョブ・ロールには、業務の一部のデータへの組込みアクセスが付属しています。 この暗黙的なデータ管理には多くの利点があります。 暗黙的なデータ管理が組織にとって役立つ理由を見てみましょう。

場合によっては、特に調達依頼者などのセルフサービス・ロールについて、多くの人に特定のデータへの同じアクセス権を与える必要があります。 このロールにより、個人はデフォルトで作業するビジネス・ユニットのデータにアクセスできます。 たとえば、USビジネス・ユニットで働くユーザーは、「調達依頼者」ロールが付与されると、そのユニットで購買依頼を管理できます。 ただし、他のビジネス・ユニットのデータへのアクセスが必要な場合は、「ユーザーのデータ・アクセスの管理」ページでアクセス権を付与する必要があります。 同じビジネス・ユニットの多くのユーザーが別のビジネス・ユニットへの同じアクセスを必要とする場合、すべてのユーザーが個別にアクセスできるようにするのではなく、新しいデータ・セキュリティ・ポリシーを設定する方が簡単である可能性があります。 たとえば、米国のビジネス・ユニットのすべてのユーザーがカナダ・ビジネス・ユニットにアクセスする必要がある場合、すべてのユーザーに個別にアクセスを付与するのではなく、新しいポリシーを設定する方が効率的です。

非任意アクセスの高度な暗黙的データ・セキュリティは、暗黙的なデータ・セキュリティの構成に役立ちます。 Vision Corporationの暗黙的なデータ・セキュリティの設定例を見てみましょう。 Vision Corporationはドイツに本社があり、スペインとイタリアで事業を行っています。 各国の業務は、それぞれのビジネス・ユニットとして設定されます - Vision Germany、Vision ItalyおよびVision Spain。

この例では、ドイツの従業員は3つのビジネス・ユニットの購買依頼を管理できますが、イタリアとスペインの従業員は自分のビジネス・ユニットの購買依頼のみを管理できます。

プライマリ就業者アサイメントのビジネス・ユニットが次の場合: ユーザーは、次の場所で購買依頼を管理できます:
Vision Germany

Vision Germany

Vision Italy

Vision Spain
Vision Italy Vision Italy
Vision Spain Vision Spain

Georgeが、事前定義された調達依頼者ロールを持つドイツのオフィスの従業員で、Vision Germanyの購買依頼を管理するためのアクセス権が付与されているとします。 同様に、Braunはスペイン事務所の従業員であるため、事前定義済の調達依頼者ロールによって、Vision Spainの購買依頼を管理するためのアクセス権が付与されます。 ここで、Vision Germanyのユーザーに対して任意でないアクセスを許可するように追加のデータ・セキュリティ・ポリシーを構成するには、新しいデータベース・リソース条件を構成してから、新しいデータ・セキュリティ・ポリシーを構成する必要があります。

新規データベース・リソース条件の構成

他のビジネス・ユニットがデータにアクセスできるようにする新しいデータ・セキュリティ・ポリシーを設定するには、インスタンス・セットとも呼ばれるデータベース・リソース条件を作成する必要があります。 これにより、必要なアクセスが許可されます。

条件を作成するには、述語と呼ばれる特定の種類の文を使用します。
BU_ID IN (
SELECT TARGET_BU.ORGANIZATION_ID
FROM HR_ALL_ORGANIZATION_UNITS_F_VL TARGET_BU
WHERE TARGET_BU.NAME IN
( &GRANT_ALIAS.PARAMETER2, &GRANT_ALIAS.PARAMETER3, &GRANT_ALIAS.PARAMETER4
, &GRANT_ALIAS.PARAMETER5, &GRANT_ALIAS.PARAMETER6, &GRANT_ALIAS.PARAMETER7
, &GRANT_ALIAS.PARAMETER8, &GRANT_ALIAS.PARAMETER9, &GRANT_ALIAS.PARAMETER10 )
AND EXISTS (
SELECT 1 FROM HR_ALL_ORGANIZATION_UNITS_F_VL ASSIGNMENT_BU
WHERE ASSIGNMENT_BU.NAME = &GRANT_ALIAS.PARAMETER1
AND ASSIGNMENT_BU.ORGANIZATION_ID = PER_GET_WORKER_BU.GET_WORKER_BU(HRC_SESSION_UTIL.GET_USER_PERSONID , NULL)
)
)

この述語は、プライマリ・ビジネス・ユニットと目的のターゲット・ビジネス・ユニットに異なる値を使用する方法です。 プライマリ・ビジネス・ユニットの値はPARAMETER1で、目的のターゲット・ビジネス・ユニットの値はPARAMETER2からPARAMETER10です。 セキュリティ・コンソールを使用して、データベースの条件を設定します。 Navigator(ナビゲータ)メニューに表示されるセキュリティ・コンソールを使用できるのは、ITセキュリティ・マネージャのみです。

新しいデータベース・リソース条件を構成するには:

  1. セキュリティ・コンソールにナビゲートします。
  2. 管理タブで、「データベース・リソースの管理」をクリックします。
  3. データベース・リソースを検索します。 この例では、「ビジネス・ユニット」と入力し、「編集」を選択します。
  4. 条件タブで、「追加」をクリックします。
  5. 名前フィールドに、事前定義済の名前と区別できるわかりやすい名前を入力します。
  6. 表示「名前」フィールドに表示名を入力します。
  7. 摘要フィールドに、条件の説明を入力します。
  8. 図に示すように、「条件タイプ」フィールドで「SQL述語」を選択し、SQL述語フィールドに述語を入力します。
    データベース・リソース条件の作成
  9. 「保存」をクリックします。
  10. 「送信」をクリックして変更を保存します。 新しい条件を使用する準備ができました。
異なるシナリオの条件を再利用する必要がない場合は、次に示すように、値をハードコードしてより単純な条件を作成できます:
BU_ID IN (
SELECT TARGET_BU.ORGANIZATION_ID
FROM HR_ALL_ORGANIZATION_UNITS_F_VL TARGET_BU
WHERE TARGET_BU.NAME IN ( ‘Vision Italy’ , ‘Vision Spain’ )
AND EXISTS (
SELECT 1 FROM HR_ALL_ORGANIZATION_UNITS_F_VL ASSIGNMENT_BU
WHERE ASSIGNMENT_BU.NAME = ‘Vision Germany’
AND ASSIGNMENT_BU.ORGANIZATION_ID = PER_GET_WORKER_BU.GET_WORKER_BU(HRC_SESSION_UTIL.GET_USER_PERSONID , NULL)
)
)
ビジネス・ユニットの内部ID番号がわかっている場合は、述語をさらに簡単かつ高速にできます。 これにより、ランタイム・コードで毎回参照する必要はありません。 
BU_ID IN ( 1016 /* Vision Spain */ , 1017 /* Vision Italy */ )
AND PER_GET_WORKER_BU.GET_WORKER_BU(HRC_SESSION_UTIL.GET_USER_PERSONID , NULL) = 911 /* Vision Germany */

新規データ・セキュリティ・ポリシーの構成

事前定義済のロールと自分で作成したロールの両方に対して、新しいデータ・セキュリティ・ルールを設定できます。 この例では、「調達依頼者」の事前定義済ロールのルールを作成します。

新しいデータ・セキュリティ・ポリシーを構成するには:

  1. セキュリティ・コンソールのロール・タブで、構成するロールを検索します。
  2. 検索結果で、選択したロールの下矢印をクリックし、「ロールの編集」 を選択します。
  3. 「データ・セキュリティ・ポリシー」に移動します。
  4. 「データ・セキュリティの作成」をクリックします。 この例では、作成した条件を使用して、「ビジネス・ユニット」リソースおよび「購買依頼の管理」アクションの新しいデータ・セキュリティ・ポリシーを作成する必要があります。
  5. 「データベース・リソース」フィールドで、「ビジネス・ユニット」を選択します。
  6. 「データ・セット」フィールドで、「インスタンス・セットによる選択」を選択します。
  7. Select data by conditionフィールドで、作成した条件を選択します。
  8. PARAMETER1フィールドに、データ割当を駆動するプライマリ就業者アサイメント・ビジネス・ユニットを入力します。

  9. PARAMETER2からPARAMETER10で、ユーザーのプライマリ・ワーカー・アサイメント・ビジネス・ユニットがPARAMETER1の値と一致したときに割り当てられるターゲット・ビジネス・ユニットを入力します。 9つのパラメータをすべて入力する必要はありません。 この例では、PARAMETER1にVision Germanyと入力し、PARAMETER2およびPARAMETER3にVision ItalyおよびVision Spainと入力する必要があります。

    ノート: データベース・リソース条件の設定時に、ハードコードされた値を持つ単純な述語を使用する場合は、ここにパラメータ値を入力する必要はありません。 パラメータ値は非表示になります。

  10. アクション・ドロップ・ダウン・リストから、「購買依頼の管理」を選択します。
  11. 「OK」をクリックします。
  12. サマリーおよび影響レポート・ステップに移動して変更を確認します。
  13. 「保存してクローズ」をクリックします。

新規データ・セキュリティ・ポリシーの確認

構成した新しいデータ・セキュリティ・ポリシーを確認できます。 Vision Germanyのユーザーは、Vision ItalyおよびVision Spainで購買依頼を管理できるようになりました。
データ・セキュリティ・ポリシーの確認