1. アプリケーションの保護
  2. データ・セキュリティ
機械翻訳について

データ・セキュリティ

デフォルトで、ユーザーはすべてのデータへのアクセスが拒否されます。

データ・セキュリティによって、次の方法でユーザーによるデータの使用が可能になります。

  • プロビジョンされるロールを介して可能な権限を定義するポリシー

  • アプリケーション・コードで定義されたポリシー

必要なアクセスを付与するロールをプロビジョニングすることによってデータを保護します。

データ・ロールは、HCMセキュリティ・プロファイルに基づいても生成されます。 データ・ロールとHCMセキュリティ・プロファイルを使用すると、データ・セキュリティ・ポリシーで指定されたインスタンス・セットを定義できます。

ジョブ・ロールをユーザーにプロビジョニングすると、ジョブ・ロールは、継承された職務ロールのデータ・セキュリティ・ポリシーに基づいてデータ・アクセスを制限します。 データ・ロールをユーザーにプロビジョニングすると、データ・ロールによって、継承されたジョブ・ロールのデータ・アクセスがデータのディメンションに制限されます。

データ・セキュリティは、ロールに付与され、データへのアクセスのコントロールに使用される権限で構成されます。 権限とは、単一のビジネス・オブジェクトに対する単一の現実世界の処理(アクション)のことである。 データ・セキュリティ・ポリシーとは、指定された条件におけるオブジェクトまたは属性グループに関する主要ユーザーに対する一連の権限の付与のことです。 付与によって、データ・リソースのセットに対するアクションに対するロール(権限受領者)が許可されます。 データ・リソースは、オブジェクト、オブジェクト・インスタンスまたはオブジェクト・インスタンス・セットです。 資格は、データ・リソースのセットに適用される1つ以上の許容可能なアクションです。

次の表では、データを保護する方法について説明します。

データ・セキュリティ機能

目的

データ・セキュリティ・ポリシー

データへのアクセスがロールに付与される条件を定義します。

ロール

ロール・プロビジョニングを介してユーザーに対し条件付きのデータ・セキュリティ・ポリシーを適用。

HCMセキュリティ・プロファイル

SQLコードをユーザーが入力する必要なく、個人レコード、ポジションおよび文書タイプなどのオブジェクト・タイプのインスタンスに関するデータ・セキュリティ条件を定義。

ユーザーがアクセスできるデータのセットは、データ・ロールの作成とプロビジョニングによって定義されます。 Oracleデータ・セキュリティは、Oracle Platform Security Services (OPSS)と統合され、データへのアクセス権を持つユーザーまたはロール(外部に格納されている)に付与されます。 ユーザーには、ユーザーがプロビジョニングされるロールまたはロール階層に割り当てられた権限を介してアクセス権が付与されます。 条件とは、ユーザーが権限を持つビジネス・ユニットなどによって、特定のディメンション内でのアクセスを指定するWHERE句のことです。

データ・セキュリティ・ポリシー

データ・セキュリティ・ポリシーによって、「誰がどのデータ・セットに対して何を実行できるか」というセキュリティ要件が明確化されます。

次の表は、買掛管理マネージャがビジネス・ユニットのAP支出を表示できる例を示しています。

誰が

実行可能なアクション

対象

該当するデータ・セット

買掛管理マネージャ

表示

AP支出

ビジネス・ユニット

データ・セキュリティ・ポリシーとは、通常、ロールによるビジネス・オブジェクトの保護を可能にする権限について定義する、英語などの自然言語で記述された文書のことです。 権限には次の内容が記録されます。

  • 表または表示

  • 資格(権限によって表されるアクション)

  • インスタンス・セット(条件で識別されるデータ)

たとえば、支出は、支払プロセスにおいてあらゆる従業員経費に対する支払機能によって買掛管理マネージャが管理可能なビジネス・オブジェクトです。

ノート:

一部のデータ・セキュリティ・ポリシーは、権限付与として定義されていませんが、アプリケーション・コードで直接定義されます。 Oracle Fusion Applicationsオファリングのセキュリティ・リファレンス・マニュアルでは、権限を定義するデータ・セキュリティ・ポリシーと、Oracle Fusionのアプリケーション・コードで定義されているデータ・セキュリティ・ポリシーは区別されています。

データ・セキュリティ・ポリシーでは、資格(論理ビジネス・オブジェクトまたはダッシュボードに対して実行可能なアクション)、これらのアクションの実行が可能なロール、およびアクセスを制限する条件が特定されます。 条件とは、読取り可能なWHERE句のことです。 WHERE句はインスタンス・セットとしてデータ内で定義され、表名と必要な資格も記録する権限上で参照されます。

HCMセキュリティ・プロファイル

HCMセキュリティ・プロファイルは、個人および部門などのHCMデータの保護に使用します。 マネージャ・ロールなどの一部のロールのデータ承認は、ERPおよびSCMアプリケーションでもHCMで管理されます。 HCMセキュリティ・プロファイルを使用して、マネージャなどのジョブ・ロールの付与を生成できます。 結果のデータ・ロールとそのロール階層、および権限は、他のデータ・ロールと同様に機能します。

たとえば、HCMセキュリティ・プロファイルで、財務ディビジョン内のすべての従業員が識別されます。

HCM外部のアプリケーションでは、「HCMデータ・ロールUI」ページを使用して、HR個人へのアクセス権をロールに付与できます。