データ・リソースとデータ・セキュリティ・ポリシーの連携方法
データ・セキュリティ・ポリシーは、ロールのデータ・リソースに条件および許可されるアクションを適用します。 そのロールがユーザーにプロビジョニングされると、ユーザーはポリシーで定義されているデータにアクセスできるようになります。
事前定義済のセキュリティ・リファレンス実装では、このロールは常に職務ロールです。
データ・リソースは、データ・オブジェクトのインスタンスを定義します。 データベース・オブジェクトは表、ビューまたはフレックスフィールドです。
データ・リソース
データ・リソースは、データ・セキュリティ・ポリシーによって保護される表、ビューまたはフレックスフィールドへのアクセスを指定します。
-
データ・リソースを識別する手段を提供する名前
-
データ・リソースが指すデータ・オブジェクト
データ・セキュリティ・ポリシー
データ・セキュリティ・ポリシーは、データ・リソースのすべて、一部または単一行にアクセスするためのアクションと条件で構成されます。
-
データ・オブジェクト内の値のインスタンス・セットを識別する条件
-
使用可能な値に対して許可されるアクセスのタイプを指定するアクション
データ・オブジェクトの使用可能なデータ・リソースよりもデータ・セキュリティ・ポリシーの制限を少なくする必要がある場合は、新しいデータ・セキュリティ・ポリシーを定義します。
処理
アクションは、表示、編集または削除といった種類のオブジェクトへのアクセス権限に対応します。 データ・セキュリティ・ポリシーで許可されるアクションには、データ・リソースに対して存在するアクションのすべてまたはサブセットが含まれます。
条件
条件は、SQL述語またはXMLフィルタのいずれかです。 条件は、検索演算子またはツリー階層内の関係によってデータ・オブジェクト内の値を表します。 SQL述語は、XMLフィルタとは異なり、データ・セキュリティ・ユーザー・インタフェース・ページのテキスト・フィールド内に入力され、副問合せや条件のネストなど、XMLフィルタよりも複雑なフィルタリングをサポートします。 XMLフィルタは、SQL述語とは異なり、UIページでAND文として選択肢から組み立てられます。
XMLフィルタは、ビジネス・インテリジェンス・メトリックなどのダウンストリーム・プロセスに効果的です。 SQL述語はダウンストリーム・メトリックでは使用できません。