「セグメント値セキュリティ・ルールの管理」スプレッドシートの使用
「セグメント値セキュリティ・ルールの管理」スプレッドシートで新規ルールおよび新規ルール割当レコードを作成する場合は、次のガイドラインに従ってください。
- 常に「ルール」シートにナビゲートしてセッションを初期化し、次に「ルール割当」シートに移動します。 スプレッドシートとのセッションでエラーが発生するため、「ルール割当」シートに直接ナビゲートしないでください。
- ワークシートのエントリを完了したら、「セグメント値セキュリティの管理」タブで「アップロード」コマンドをクリックして、これらのレコードをアプリケーションに保存します。
- ルール割当ワークシートを完了してアップロードする前に、まずルール・ワークシートをアップロードしてください。後者のワークシートの割当はルールを参照するためです。 ルールをユーザーに割り当てるには、まずルールをアプリケーションに正常に保存する必要があります。
- セッションごとに一度に1つの保護された値セットのみを使用します。 それ以外の場合、複数の保護された値セットが同時に処理されていると、どの値セットがフォーカスであるかはアプリケーションで正しく識別できません。 スプレッドシートは、初期化の一環として、フォーカスした接続と値のセットを確立します。
ルールの作成
「セグメント値セキュリティ・ルールの管理」スプレッドシートの「ルール」ワークシートは、セグメント値セキュリティ・ポリシーを定義するためのものです。
ポリシーには1つ以上のセグメント値セキュリティ条件フィルタを含めることができ、セグメント値セキュリティ・ロールに関連付けられます。 セグメント値セキュリティ・ロールは、セキュリティ・ポリシーをユーザーに渡すためのコンジットとして機能します。
ポリシーは、条件フィルタと1対多の関係を持つことができます。 これは、複数の行にまたがって同じポリシー名を使用することで、スプレッドシートで実行できます。 これらの複数行に定義されている様々な条件フィルタは、その1つのポリシーに関連付けられているグループとして扱われます。 これにより、保護された値セットに対して定義されたセキュリティ・ポリシーの数をチェックし、設定を管理可能な状態に保つというベスト・プラクティスに従うことができます。
列は、ポリシー・レベルの属性または条件フィルタ・レベルの属性のいずれかです。 ポリシー・レベルの属性は、同じポリシーの一部である条件フィルタのグループに対して、複数の行で同じ値を共有する必要があります。 同じポリシーに適用する様々な条件フィルタを表す条件フィルタ・レベルの属性の値は、行ごとに異なります。
列がワークシートに表示される順序で、ポリシー名から属性値を入力します。
この表は、ルール・ワークシートの属性列とそのプロパティを示しています。
| 属性 | 必須 | 更新可能 | ポリシーまたは条件フィルタ属性 |
|---|---|---|---|
| ポリシー名 | はい | いいえ | ポリシー |
| ポリシーの説明 | いいえ | はい | ポリシー |
| セグメント値セキュリティ・ロール名 | はい | いいえ | ポリシー |
| 演算子 | はい | はい | 条件フィルタ |
| 値:自(すべての値以外のすべての演算子で使用) | はい | はい | 条件フィルタ |
| 値:至(Between演算子のみで使用) | はい | はい | 条件フィルタ |
| ツリー・コード(階層演算子でのみ使用) | はい | はい | 条件フィルタ |
| ツリー・バージョン(階層演算子でのみ使用) | はい | はい | 条件フィルタ |
| ポリシー開始日 | はい | いいえ | ポリシー |
| ポリシー終了日 | いいえ | はい。ポリシーがアクティブな場合、つまり、ポリシー終了日は今日の日付以降です。 | ポリシー |
| 削除用にマーク | いいえ | はい | 条件フィルタ |
ルール・ワークシートの準備に役立つ各属性の詳細を次に示します。
ポリシー名
セグメント値セキュリティ・ロール関連に対する特定の条件を識別します。 名前は、個々の保護された値セット内で一意である必要があります。 アプリケーションは、ポリシーの名前を参照する際の混乱や異常を最小限に抑えるために、大文字のポリシー名を自動的に格納します。
ポリシーの説明
ポリシーのスコープ、目的またはその他の関連情報のサマリーを提供します。
セグメント値セキュリティ・ロール名
セグメント値セキュリティ・ポリシーを割り当てる事前定義済ロールを識別します。 セル内でダブルクリックしてダイアログ・ボックスを開きます。このダイアログ・ボックスでは、セルに挿入するロールを選択できます。 完全なユーザー・ルール割当てを形成するには、ポリシーのセグメント値セキュリティ・ロールを、ポリシーを割り当てるユーザーに割り当てる必要もあります。
演算子
保護された値セットのどの勘定科目値を付与するかを決定するために、行で指定された後続の値を評価する方法を示します。 これはセグメント値セキュリティ条件フィルタのキー属性です。
スプレッドシートを使用して作成された同じポリシーの関連条件行は、常に「いずれかと一致」オプションに設定されるか、または同じポリシーの様々な条件フィルタ行を文字列化して関係する勘定科目値を決定するときにOr結合が使用されます。 これは、単一の条件フィルタ行のみを持つポリシーであっても、デフォルトの一致設定でもあります。
つまり、ポリシーによって付与される勘定科目値は、グループに規定されている条件行のいずれかに一致する必要があり、同時にすべての条件行に一致する必要がありません。勘定科目値がこれらの条件のすべてを満たす可能性が低いため、そのグループ内の条件行では、一致しない、または勘定科目値がない可能性が高くなります。
この表では、条件フィルタで使用できる演算子について説明します。
| 演算子 | 説明 |
|---|---|
| すべての値 |
値セット内のすべての勘定科目値へのアクセス権を提供します。 |
| 次と等しい |
特定の勘定科目値へのアクセス権を提供します。 指定した値が親勘定科目の場合、アクセス権は、その親を含むすべてのツリーおよびツリー・バージョンのうち、その親値にのみ適用されます。 ルールでは、その子孫へのアクセス権は提供されません。 |
| 次と等しくない |
指定した1つの詳細/子または親値を除くすべての値へのアクセスを提供します。 親値の場合、除外は、その親値自体にのみ適用され、その子孫の親値、詳細値または子値は適用されません。 注意: ここでは、この演算子に関する重要な点をいくつか示します。
|
| 次の間 |
「値:自」列と「値:至」列で指定された値の範囲に含まれる勘定科目値へのアクセスを提供します。 値の範囲に親勘定科目が含まれる場合、アクセス権は、その親を含むすべてのツリーおよびツリー・バージョンのうち、その親値にのみ適用されます。 ルールは、指定された範囲の一部でないかぎり、その子孫へのアクセスを提供しません。 |
| 次を含む |
指定した値を含む勘定科目値へのアクセス権を提供します。 一致する値が親勘定科目の場合、アクセス権は、その親を含むすべてのツリーおよびツリー・バージョンのうち、その親値にのみ適用されます。 これらの子孫も条件に一致する場合を除き、その子孫にはアクセスできません。 |
| 次で終わる |
指定した値で終わる勘定科目値へのアクセス権を提供します。 一致する値が親勘定科目の場合、アクセス権は、その親を含むすべてのツリーおよびツリー・バージョンのうち、その親値にのみ適用されます。 これらの子孫も条件に一致する場合を除き、その子孫にはアクセスできません。 |
| 次で始まる |
指定した値で始まる勘定科目値へのアクセス権を提供します。 一致する値が親勘定科目の場合、アクセス権は、その親を含むすべてのツリーおよびツリー・バージョンのうち、その親値にのみ適用されます。 その子孫も条件に一致する場合を除き、その子孫にはアクセスできません。 |
| 次の子孫である |
指定された親勘定科目値およびそのすべての子孫へのアクセスを提供します。 子孫には、ルートからリーフ・ノードまで、その親の階層ブランチ全体の中間レベルの親勘定科目および非親勘定科目が含まれます。 |
| 次の末尾の子孫である |
指定した親勘定科目値およびその親のリーフ・ノードの勘定科目値へのアクセス権を提供します。 アクセスには、階層ブランチに沿って中間親勘定科目値は含まれません。 |
値: 自
考慮する勘定科目値を決定する際に、指定された条件フィルタ演算子に適用する値を指定します。 「間」、「次を含む」、「次で終わる」および「次で始まる」以外の条件フィルタ演算子を使用する場合は、有効な勘定科目値を指定する必要があります。 これにより、まだ作成されていない勘定科目値を柔軟に組み込むことができます。
値: 至
考慮する勘定科目値を決定する「間」条件フィルタ演算子に適用する値を指定します。 これは範囲の終了値であり、まだ作成されていない勘定科目値を柔軟に組み込むことができます。
ツリー・コード
条件の親勘定科目値を選択したときに参照するツリーを識別します。 「次の子孫」および「次の最後の子孫」演算子を使用している場合、これは必須属性です。 これらの演算子は、行のツリー・コードを指定する場合にのみ有効な演算子の選択肢です。 セル内でダブルクリックしてダイアログ・ボックスを開きます。このダイアログ・ボックスでは、作業中の保護された値セットに対して有効なツリー・コードを選択できます。
勘定体系構造設定のデフォルト階層値で指定されたように、勘定体系内の各セグメントに個別のツリー・コードが関連付けられますが、保護された値セットに定義されているツリーを参照できます。
ツリー・バージョン
条件の親勘定科目値を選択したときに参照する、選択したツリー・コードのツリー・バージョンを識別します。 「次の子孫」および「次の最後の子孫」演算子を使用している場合、これは必須属性です。 これらの演算子は、行のツリー・バージョンを指定する場合の唯一の有効な演算子の選択肢でもあります。
ポリシー開始日
ポリシーの開始時間を指定します。 ポリシーを作成する際には、現在のシステム日付より前の開始日を指定する必要があります。ポリシーが存在する日付より前には有効にできないためです。 将来の日付を指定することもできます。
この属性は、同じポリシーに関連付けられている複数の条件フィルタの関連行間で同じ値を共有する必要があります。
ポリシー終了日
ポリシーが終了するタイミングを指定します。 終了日には、ポリシー開始日より前の日付を指定する必要があります。 終了日を指定しない場合、ポリシーは無期限に有効になります。
指定した終了日が今日または将来の日付であるかぎり、既存のポリシーの終了日を更新できます。 つまり、ルールはまだアクティブです。 新しい終了日は、少なくとも今日の日付または将来の日付にする必要があります。 新規終了日を現在の終了日より後の日付にする必要はありません。
たとえば、今日の日付が1月27日で、ルールの終了日が1月31日に設定されているとします。 1日後の1月28日には、終了日を1月28日以降に更新できます。 1月31日(元の終了日)を超えて設定する必要はありません。 ただし、2月1日以降に終了日を更新することはできません。
この属性は、同じポリシーに関連付けられている複数の条件フィルタの関連行間で同じ値を共有する必要があります。
監査のために、セグメント値セキュリティ・ポリシーは削除されません。 かわりに「ポリシー終了日」属性を使用して、ポリシーが適用されなくなったことを示します。
削除用にマーク
選択した条件フィルタ行を削除してポリシーから削除するかどうかを示します。 この削除インジケータは、ユーザーが特定の行に対してこのアクションを明示的に指定するようにユーザーに要求することで、ポリシーの条件フィルタ行をアプリケーションから誤って削除することを防ぎます。 これは条件レベルの属性であり、ポリシーに関連付けられている個々の条件フィルタ行は、削除対象として明示的にマークできます。
ルール割当の作成
「セグメント値セキュリティ・ルールの管理」スプレッドシートの「ルール割当」ワークシートは、ユーザーにポリシーを割り当て、そのユーザーにポリシー割当を適用できるビジネス機能とセキュリティ・コンテキストを限定し、読取り専用または読取り/書込みアクセス・レベルのいずれかを付与するためのものです。
列がワークシートに表示される順序で属性値を入力します。
この表は、「ルール割当」ワークシートの属性列とそのプロパティを示しています。
| 属性 | 必須 | 更新可能 |
|---|---|---|
| ユーザー名 | はい | いいえ |
| ポリシー名 | はい | はい |
| ロール名(表示のみ) | 該当なし | 該当なし |
| ビジネス機能 | はい | はい |
| セキュリティ・コンテキスト | はい | はい |
| セキュリティ・コンテキスト値 | はい | はい |
| アクセス・レベル | はい | はい |
| 開始日 | はい | いいえ |
| 終了日 | いいえ | はい |
次に、ルール割当ワークシートの準備に役立つ各属性の詳細を示します。
ユーザー名
ルール割当のユーザーを識別します。 次のいずれかのオプションを選択します。
- 特定を選択: 特定の保護された値セットのルールまたはポリシーを割り当てるユーザーのサインイン名を指定する場合に選択します。
- ポリシー・ロールに割り当てられているすべてを選択: ルール割当てを、指定したポリシーに対してロールが割り当てられているすべてのユーザーと共有する場合に選択します。
ポリシー名
ユーザーに割り当てるポリシーを識別します。 セル内でダブルクリックしてダイアログ・ボックスを開きます。このダイアログ・ボックスでは、特定の保護された値セットに対して有効なポリシーを選択できます。
ロール名
ルール割当に選択したポリシーに関連付けられたロールを識別します。 これは表示専用フィールドで、アプリケーションからルール割当を検索および取得する際に追加情報として表示されます。
ビジネス機能
ユーザーのルール割当が適用されるビジネス機能を識別します。 リストは、ビジネス機能別のセグメント値セキュリティをサポートする製品モジュールに対応しています。
この表は、ビジネス機能および対応する製品モジュールを示しています。
| ビジネス機能 | 製品モジュール |
|---|---|
| 資産 | Oracle Assetsは、次を実行します |
| 一般会計 | Oracle General Ledger |
| 買掛管理 | Oracle Payables |
| 送り側会社間 | Oracle Intercompany |
| 売掛管理 | Oracle Receivables |
| 受け側会社間 | Oracle Intercompany |
これらのビジネス機能のいずれかを選択すると、Oracle Subledger Accounting(一般会計と補助元帳間で統合される製品モジュール)が自動的に含まれます。
ユーザーへのポリシーの付与が特定のビジネス機能のみに制限されていない場合は、「すべてのビジネス機能」を選択することもできます。 また、指定された会社間組織が送り側または受け側のキャパシティで取引しているときに関係なく、会社間ユーザーへのルール割当が適用される会社間モジュールの場合にも使用できます。
セキュリティ・コンテキストは選択したビジネス機能に対応するため、この属性の選択によって、次の「セキュリティ・コンテキスト」属性に対して有効な選択肢も決まります。
セキュリティ・コンテキスト
ポリシーまたはルール割当がユーザーに対して有効である必要があるセキュリティ・コンテキストのタイプを識別します。 選択したビジネス機能に関連するセキュリティ・コンテキストを選択する必要があります。 たとえば、一般会計ビジネス機能の場合、適用可能なセキュリティ・コンテキストはデータ・アクセス・セットです。
次の選択肢があります:
- ビジネス・ユニット: 買掛管理と売掛管理のビジネス機能に適用されます。
- 資産台帳: 資産ビジネス機能に適用されます。
- データ・アクセス・セット: 一般会計ビジネス機能に適用されます。
- 会社間組織: 会社間ビジネス機能に適用されます。
- すべてのセキュリティ・コンテキスト: 任意のビジネス機能に適用されます。
また、コンテキスト値は選択したセキュリティ・コンテキストに対応するため、この属性の選択によって、次の「セキュリティ・コンテキスト値」属性に適用可能な選択肢が決まります。
特定のセキュリティ・コンテキストおよびセキュリティ・コンテキスト値に適用するユーザーのポリシーを制限する必要がない場合は、「すべてのセキュリティ・コンテキスト」を選択できます。 この選択は、前の列の「すべてのビジネス機能」または特定のビジネス機能の選択と組み合せることができます。 前者の場合、これは、ユーザーが操作しているビジネス機能、セキュリティ・コンテキストおよびセキュリティ・コンテキスト値に関係なく、ユーザーに対するルール割当てまたはポリシー付与が適用されることを意味します。 これは、このポリシーが常にユーザーに適用可能であることを意味します。 特定のビジネス機能が選択されている場合、ルール割当は、ユーザーが操作しているセキュリティ・コンテキスト値に関係なく、選択したビジネス機能に対してのみユーザーに適用されます。
「すべてのセキュリティ・コンテキスト」を選択した場合、「セキュリティ・コンテキスト値」属性に有効な選択肢は「すべてのセキュリティ・コンテキスト値」のみです。
セキュリティ・コンテキスト値
ポリシーまたはルール割当てがユーザーに対して有効になる、前の2列の選択したセキュリティ・コンテキスト・タイプおよびビジネス機能のセキュリティ・コンテキスト値を指定します。 選択可能な選択肢には、ルール割当に選択したセキュリティ・コンテキストに応じて、システム内の有効な資産台帳、ビジネス・ユニット、データ・アクセス・セットまたは会社間組織が含まれます。
ポリシーまたはルール割当が、割り当てられたユーザーに関連性のある有効なものになるようにするには、選択した資産台帳、ビジネス・ユニット、データ・アクセス・セットを確認してください。または、そのルール割当の会社間組織は、「ユーザーのデータ・アクセスの管理」ページでユーザーに割り当てられ、ユーザーにデータ・アクセス権が付与されている組織です。
「すべてのセキュリティ・コンテキスト値」の選択肢もあります。これは、前述の「セキュリティ・コンテキスト」列に対して「すべてのセキュリティ・コンテキスト」が選択されている場合にのみ有効です。 これにより、ユーザーが操作しているデータ・アクセス・コンテキストに関係なく、このポリシーが常にユーザーに適用されます。
アクセス・レベル
指定されたビジネス機能、セキュリティ・コンテキストおよびコンテキスト値に対するユーザー・ルールまたはポリシー割当てを、「読み取り専用」ベースまたは「読取りおよび書込み」ベースで付与するかどうかを示します。
「読み取り専用」に設定されたルール割当の場合、許可される勘定科目値は、照会ページやレポートなどの読取り専用機能でのみ適用できます。 製品機能に会計データの更新機能が含まれる場合、読取り専用アクセス権を持つこれらの勘定科目値はユーザーに使用できません。
「読取りおよび書込み」に設定されたルール割当の場合、許可される勘定科目値は読取り専用機能および会計データの更新機能を含む機能に適用されます。
開始日
ユーザー・ルール割当が開始されるタイミングを指定します。 新規ユーザー・ルール割当を作成する場合、日付を現在のシステム日付より前にすることはできません。 これは、ルール割当が作成された日付より前の日付は有効にできないためです。 開始日として将来の日付を持つユーザー・ルール割当を作成することもできます。
終了日
ユーザー・ルール割当が終了するタイミングを指定します。 この日付は、ユーザー・ルール割当の開始日より前で、ルール割当で参照されているポリシーの終了日より後にはできません。
既存のユーザー・ルール割当の終了日は、現在の終了日が今日または将来の日付であるかぎり更新できます。 つまり、ルール割当はまだアクティブです。 新規終了日は、少なくとも本日の日付または先日付である必要がありますが、ルール割当で参照されるポリシーの終了日内です。 ユーザー・ルール割当の新規終了日を現在の終了日より後の日付にする必要はありません。
たとえば、今日の日付が1月27日で、ルール割り当ての終了日が1月31日に設定されているとします。 1月28日の1日後には、ルールで参照されるポリシーの終了日を超えないかぎり、新しい終了日を1月28日以降に設定できます。 1月31日(元の終了日)を超えて設定する必要はありません。 ただし、ルール割当の終了日は、2月1日になると1月31日から更新できません。
監査のために、ユーザーへのセグメント値セキュリティ・ポリシー割当のレコードは削除されません。 かわりに、ルール割当終了日属性を使用して、ポリシー割当が適用されなくなったことを示します。
ルールおよびルール割当の編集
既存のルールおよびルール割当を編集するには、まずアプリケーションからレコードをダウンロードすることが非常に重要であり、常に必要になります。
これにより、アプリケーションに格納されているルールまたはルール割当の現在のバージョンで作業していることが保証されます。 確認または編集する保護された値セットの既存のルールおよびルール割当レコードをダウンロードするには、「セグメント値セキュリティの管理」タブのワークシートの「検索」コマンドを使用します。
更新するレコードをダウンロードしたら、編集を行い、変更をアップロードしてアプリケーションに保存します。 編集しているスプレッドシートと同じスプレッドシートにルールおよびユーザー・ルール割当を作成することもできます。
「ルール」ワークシートでは、これらのフィールドに関連する検索文字列を指定することで、ポリシー名、セグメント値セキュリティ・ロールまたはその両方でポリシーの検索をフィルタできます。
「ルール割当」ワークシートで、ユーザー名またはポリシー名、あるいはその両方でユーザー・ルール割当の検索をフィルタするには、これらのフィールドに関連する検索文字列を指定します。