1. ERPの保護
  2. セグメント値セキュリティに関する特別な考慮事項
機械翻訳について

セグメント値セキュリティに関する特別な考慮事項

ビジネス機能別のセグメント値セキュリティには、次の領域で特別な考慮事項があります:

  • バックエンド・プロセス
  • 設定タスク
  • Oracle Transactional Business Intelligenceレポート
  • 特定のデータ・セキュリティ・コンテキストがない機能
  • 複数の保護された勘定体系セグメント
  • 元帳またはその法的エンティティへのプライマリ貸借一致セグメント値の割当
  • 保護されているモジュールから保護されていないモジュールへの切り替え

バックエンド・プロセス

ビジネス機能別のセグメント値セキュリティは、バックエンド・プロセスには適用されません。

バックエンド・プロセスは、ユーザーからのアクティブなエンゲージメントなしでバックグラウンドで実行される発行済プロセスです。 これらのプロセスの中には、会計トランザクションや勘定残高などの勘定体系値によって組み立てられる財務データを生成または更新できるものがあります。

この表は、このようなバックエンド・プロセスの例を示しています。

モジュール バックエンド・プロセス
一般会計 転記、換算、再評価、オープン期間
補助元帳会計 会計の作成
ノート: 財務データに関するレポートも処理のために発行されますが、バックエンド・プロセスとはみなされません。 財務データを出力形式で表示するようにリクエストされます。

このような理由で、ビジネス機能別のセグメント値セキュリティは、このようなバックエンド・プロセスには適用されません。

  • 会計の自動化が進むにつれて、管理者はエンド・ユーザーにかわってバックエンド・プロセスを発行する可能性が高くなります。エンド・ユーザーは、これらのプロセスから生じる財務データを操作します。
  • 場合によっては、アプリケーション自体がバックエンド・プロセスの発行を開始することがあります。
  • バックエンド・プロセスを送信するユーザーは、最終的に結果の財務データを操作するエンド・ユーザーから切り離される場合があります。
  • バックエンド・プロセスと、これらのプロセスを発行するユーザーのセキュリティ・プロファイルには直接的な相関関係がない場合があります。

財務データを保護する鍵は、エンド・ユーザーが作業する権限がある財務データにのみアクセスできるようにすることです。 そのため、ビジネス機能別のセグメント値セキュリティの適用は、そのようなユーザーが財務データを更新したり、財務データをレポートまたは照会したときに厳密に適用されます。

設定タスク

ビジネス機能別のセグメント値セキュリティは、設定タスクに対して強制されません。

設定タスクの中には、会計トランザクションと財務データを生成するアプリケーション・ルールまたは処理ルールの構成に関連するものがあります。 このような設定タスクでは、多くの場合、勘定体系の要素に触れ、財務データの生成時に使用される勘定体系値を制御する構成およびマッピング・ルールが含まれます。

このような設定タスク(特に参照データの設定)へのアクセスは、通常、管理者ジョブ・ロールにのみ付与されます。このロールを割り当てられたユーザーは、アプリケーションの構成を担当します。 これらのユーザーは、財務データ自体を直接操作しません。

これらのタスクには、参照データ設定に加えて、会計または仕訳を直接生成できるトランザクション生成設定も含まれます。

次に例を示します。

  • 資産: 資産台帳定義
  • 総勘定元帳: 配賦算式
  • 総勘定元帳: 勘定体系構成
  • 総勘定元帳: 勘定体系マッピング・ルール
  • 総勘定元帳: 元帳定義
  • 総勘定元帳: 再評価の定義
  • 会社間: 貸借一致勘定ルール
  • 売掛金: AutoInvoicingルール
  • 補助元帳会計: 会計基準の作成
  • 補助元帳会計: トランザクション勘定科目ビルダー・ルール

設定タスクには、通常、設定レコードでの作業中にデータ・セキュリティ要素を設定するために、データ・アクセス・セット、ビジネス・ユニット、資産台帳または会社間組織などのセキュリティ・コンテキスト値に対する選択はありません。

このようなセキュリティ・コンテキスト・オブジェクトが参照された場合、そのセキュリティ・コンテキスト値を使用して財務データを作成するのではなく、設定が構成されているそのオブジェクトのインスタンスを識別することを目的としています。

管理者またはユーザーがそのような設定タスクを操作するための機能アクセス権は、アプリケーション内のすべての元帳、ビジネス・ユニット、資産台帳および会社間組織にわたって構成および会計基準を設定できます。 設定管理者ユーザーは、保護された勘定体系値セットに対しても任意の勘定科目値を使用できます。 設定タスクのみにアクセスできるため、ユーザーは、データ・セキュリティをさらに強化することなく、このような設定レコードを使用できます。

Oracle Transactional Business Intelligenceレポート

Oracle Transactional Business Intelligence (OTBI)レポートを使用したセグメント値セキュリティの場合、ビジネス機能別の強制はサポートされていません。

勘定体系値セットが保護されると、各個別のビジネス機能が強制に対して使用可能かどうかに関係なく、すべてのビジネス機能にわたってセキュリティが強制されます。 値セットがセキュリティ対応であるかぎり、一般会計、買掛管理、売掛管理、資産、会社間および補助元帳会計のすべてのビジネス機能にセキュリティ強制が適用されます。

OTBIレポートでは、複数の製品(ビジネス機能)にまたがるレポートをまとめることができます。 さらに、ユーザーは、現在操作するデータ・アクセス・セキュリティ・コンテキスト(データ・アクセス・セット、ビジネス・ユニット、資産台帳など)を直接選択しません。 かわりに、通常、ユーザーの累積データ・アクセス・セキュリティ割当は、常に同時にまとめられます。 どちらのファクタも、ビジネス機能ごとにセグメント値セキュリティを正確かつ完全に適用する機能に影響します。

一般会計サブジェクト領域で特にOTBIレポートを実行する場合、ユーザーの現在のデータ・アクセス・セットの選択によって、適用可能なデータ・セキュリティが決まります。 これは、アプリケーションで現在選択されているユーザーのデータ・アクセス・セットがプロファイル・オプションに格納されるためです。 保護された勘定体系を持つ元帳についてレポートする際に、どのセグメント値セキュリティ・ユーザー・ルール割当をユーザーに適用するかを評価する際に、このルールがアプリケーションで利用され、単独で適用されます。 保護された勘定体系がない元帳についてレポートする場合、ユーザーの累積割当済データ・アクセス・セットが同時に適用されます。

データ・セキュリティ・コンテキストのない機能

ユーザーのデータ・セキュリティ・コンテキストを確立できない財務トランザクションおよび残高を直接操作する製品機能があります。

次に例を示します。

  • データ・アクセス・セットなど、ユーザーに割り当てられている特定のセキュリティ・コンテキスト値に対して常に直接または一意の一致があるわけではない1つ以上の元帳の財務データを関連付けることができる、標準補助元帳会計Oracle Analytics Publisherレポート。
  • 一般会計以外のOracle Transactional Business Intelligenceレポートでは、特定のデータ・セキュリティ・コンテキスト選択をユーザーが特定のセグメント値セキュリティを、そのユーザーに適用可能なビジネス機能付与別に導出できるように設定できません。

これらの機能には、ビジネス機能強制によって変更された形式のセグメント値セキュリティが適用されます。 パーセンテージ値は、特定のユーザー・ルール割当属性に置換され、セキュリティ付与に対して特定の値を照合する必要がないことを示します。 この広範なユーザー・ルール割当照合基準により、財務データを操作するときにアクセス権が付与される保護されたアカウントへのユーザーのアクセスは制限されますが、非特定ベースです。

このような機能に対する動作を次に示します。

アクセス可能な保護されたアカウントの範囲を制限できるユーザーの一致ルール割当があるかどうかを判断する場合、「セキュリティ・コンテキスト」および「セキュリティ・コンテキスト値」属性設定は無視され、照合しきい値が低くなります。 そのルール割当のビジネス機能およびアクセス・レベル属性は、引き続き考慮できます。

これは、現在の使用シナリオで正確なユーザー・ルール割当が一致しない場合に、「すべての値」権限を自動的に適用するのではなくなります。 このアプローチは、事実上、勘定体系のセキュリティが強制されないことを意味します。 かわりに、この代替アプローチでは、少なくとも、そのような付与が存在する場合、勘定体系の保護された各値セットに対する累積付与によってアクセス権が付与される財務データのみを使用するようユーザーに制限されます。

別の例として、補助元帳会計アプリケーションの機能を使用する場合、ユーザーはセキュリティ・コンテキスト選択(データ・アクセス・セット、ビジネス・ユニットなど)を明示的に指定しません。 一般会計では、同じユーザーが、ユーザーの累積データ・アクセス・セット割当全体で元帳の財務データを同時に処理できます。

つまり、特定のセキュリティ・コンテキスト値(データ・アクセス・セットなど)でタグ付けできるユーザーに対するセキュリティ付与では、補助元帳会計の使用シナリオに対するユーザーのより正確に定義されたルール割当を完全に一致させることはできません。 このような権限が「すべてのセキュリティ・コンテキスト」セキュリティ・コンテキストでタグ付けされている場合、または「データ・アクセス・セット」セキュリティ・コンテキストが「すべてのセキュリティ・コンテキスト値」セキュリティ・コンテキスト値とペアになっている場合、ユーザーに対する権限も一致として含まれます。

一般会計ユーザーの場合、ユーザーが作業している元帳の勘定体系に関係する保護された値セットに対するユーザーの総勘定元帳ビジネス機能ルール割当もすべて適用されます。 これは、これらのルール割当に関連付けられているデータ・アクセス・セット・セキュリティ・コンテキストおよびセキュリティ・コンテキスト値とは関係ありません。 つまり、保護された値セットに対するすべてのユーザーの一般会計ビジネス機能ルール割当が累積的に適用されます。 このような緩やかな照合条件下でも、ユーザーの一致する付与がない場合、関連する保護された値セットに対するデフォルトの「すべての値」付与が適用されます。

複数の保護された勘定体系セグメント

勘定体系で複数のセグメントがビジネス機能別のセグメント値セキュリティに対して有効になっている勘定科目組合せを使用する場合は、次の点を考慮してください。

  • 特定の使用シナリオでは、保護された各勘定体系セグメントの勘定科目値へのユーザーのアクセスは、最初に個別に、他とは独立して考慮されます。 次に、ユーザーが勘定科目組合せの勘定科目値にアクセス・レベルを混在させると、これらの勘定科目値間の最下位レベルのアクセスが勘定科目組合せ全体に適用されます。
  • ユーザーが少なくとも1つのセグメントの勘定科目値にアクセスできない勘定科目組合せの場合、その勘定科目組合せは、ユーザーがアクセス権を持たない勘定科目組合せです。 これは、勘定科目組合せへのアクセスには、それぞれの保護されたセグメント値へのアクセスが必要なためです。
  • ユーザーが少なくとも1つのセグメントの勘定科目値への読取り専用アクセス権を持つ勘定科目組合せの場合、その勘定科目組合せはユーザーの読取り専用勘定科目組合せです。 これは、勘定科目組合せへの読取りおよび書込みアクセスには、各勘定科目組合せの保護されたセグメント値への読取りおよび書込みアクセスが必要であるためです。

たとえば、勘定科目組合せ01-101-1000の1番目と2番目のセグメントは保護されます。 ユーザーには、最初のセグメント値01に対する読取り専用アクセス権があり、2番目のセグメント値101に対するアクセス権はありません。 ユーザーは、その勘定科目組合せにアクセスできません。 ユーザーが最初のセグメント値01に対する読取りおよび書込みアクセス権を持っていても、ユーザーは勘定科目組合せ01-101-1000にアクセスできません。

この例では、別のユーザーが最初のセグメント値01への読取り専用アクセス権と、2番目のセグメント値101への読取りおよび書込みアクセス権を持ちます。 勘定科目組合せ01-101-1000に対するそのユーザーの適用可能なアクセス・レベルは読取り専用です。

勘定科目組合せ01-101-1000に対する読取りおよび書込みアクセス権をユーザーに付与するには、最初のセグメント値01と2番目のセグメントvalue101の両方に対する読取りおよび書込みアクセス権が必要です。

勘定科目組合せのすべての保護されたセグメントの勘定科目への読取り専用アクセス権が少なくともユーザーにない場合、そのユーザーはその勘定科目組合せへの読取り専用アクセス権さえ持たなくなります。

元帳およびその法的エンティティへのプライマリ貸借一致セグメント値の割当

プライマリ貸借一致セグメント値を元帳またはその法的エンティティに割り当てることは、勘定体系データ・セキュリティ関連ではありません。

これは、元帳の会計構成に対する検証であり、特定の元帳に対してユーザーが操作できるプライマリ貸借一致セグメント値に影響します。

元帳にプライマリ貸借一致セグメント値割当があり、特定のプライマリ貸借一致セグメント値がその元帳またはその法的エンティティに割り当てられていない場合、その元帳の操作時にそのプライマリ貸借一致セグメント値をユーザーが使用できなくなります。 これは、次のいずれかのメソッドを使用して、ユーザーにアクセス権が付与されているかどうかには関係ありません:
  • ユーザーは、保護されたプライマリ貸借一致セグメントがある勘定体系の特定のプライマリ貸借一致セグメント値に対して、セグメント値セキュリティ権限が付与されます。
  • 一般会計モジュールの場合、ユーザーは、元帳データ・アクセス・セット全体またはプライマリ貸借一致セグメント値ベースのデータ・アクセス・セットを介して、そのプライマリ貸借一致セグメント値へのアクセス権が付与されます。

保護されているモジュールから保護されていないモジュールへの切り替え

ビジネス機能別のセグメント値セキュリティをサポートするモジュールの1つから、そうでないモジュールにユーザーが切り替えると、保護されていないモジュールでアカウント・アクセスが制限され続ける可能性があります。

これを解決するために、ユーザーはアプリケーションからサインアウトし、モジュールを切り替えるときに再度サインインする必要がある場合があります。 このアクションによってキャッシュがリセットされ、セキュリティ強制が想定されていないモジュール内のすべてのアカウントにユーザーがアクセスできます。