1. 実装スタート・ガイド
  2. セグメント値セキュリティ・ロールの作成のベスト・プラクティス

セグメント値セキュリティ・ロールの作成のベスト・プラクティス

ここでは、セグメント値セキュリティのロールを作成および保守するためのベスト・プラクティスをいくつか示します。

  • セグメント値セキュリティ・ポリシーを割り当てる目的でのみロールを作成します。これによって、データ・セキュリティの他の要素との混在や他のロールに存在する可能性のあるその他のアーティファクトとの混在が防止されます。混在すると、セグメント値セキュリティ・ルールが期待どおりに機能しない場合の診断が難しくなる可能性があります。
    ノート: ロール・カテゴリをデフォルトに設定してください。
  • セグメント値セキュリティ・ロールでは階層を形成しないでください。階層によって、その1つのセグメント値セキュリティ・ロールの割当てに基づいて、ロール階層内の様々なロールからユーザーにデータ・セキュリティ・ポリシーが積み上げられる可能性があります。これにより、ユーザーが最終的に取得したデータ・セキュリティの評価や、予期しない結果が発生した場合にユーザーが最終的に取得した特定のデータ・セキュリティ・ポリシーの正確な取得元の特定が困難になります。
  • 一般的に、セグメント値セキュリティ・ポリシーを渡す際にOracleまたはその他で事前定義されたジョブ・ロールを使用することはお薦めしません。これは、ジョブ・ロールを共有するユーザーのグループが、保護された勘定体系に対してまったく同じセキュリティ・プロファイルを共有することがほとんどないためです。

    セグメント値セキュリティ・ポリシーをジョブ・ロールに関連付けると、そのジョブ・ロールが割り当てられているすべてのユーザーが、それらのデータ・セキュリティ・ポリシーを同じように取得します。ジョブ・ロールは主に、機能セキュリティ・アクセスを製品モジュールの機能に渡すことを目的とし、同じジョブ機能を持つが、組織内の様々な場所にいるユーザー間で共有されます。一般的に、データ・セキュリティ・アクセスをジョブ・ロールに直接組み込むことはお薦めしません。

  • 特定の保護された値セットへのアクセスを必要とする組織内のすべてのユーザーにわたって、セグメント値セキュリティ・プロファイルの一意のバリエーションの合計数を評価します。次に、セグメント値セキュリティ・ポリシーを作成する前に、空のロールを作成して、これらのセキュリティ・プロファイルごとに個別のセグメント値セキュリティ・ロールを定義します。これらのロールの目的は、このセグメント値セキュリティ・ロールを適切なユーザーに割り当てることで、特定のユーザー(またはユーザー・グループ)を対象とした特定の勘定体系セグメント値セキュリティのデータ・セキュリティ・ポリシーを渡す方法として機能することです。

    各ポリシー定義で、その値セットに対して識別された各セキュリティ・プロファイルを包括的に取得することで、特定の保護された値セットに対して保持するポリシー定義の数を最小限に抑えます。これにより、組織のセグメント値セキュリティ要件を保守するための管理しやすいフレームワークが促進されます。

  • 組織内のすべてのユーザーおよびユーザー・グループ間で、個別のデータ・セキュリティ・プロファイルごとに個々のセグメント値セキュリティ・ロールを維持することは、セグメント値セキュリティ設定の継続的な保守にも役立ちます。このようなセグメント値セキュリティのデータ・セキュリティ・プロファイルに必要な変更は、1つのセグメント値セキュリティ・ロールの変更のみで、これにより、その1つのセキュリティ・プロファイルに属するすべてのユーザーに自動的にカスケード・ダウンされます。

    1つのセグメント値セキュリティ・ロールには、同じ保護された値セット内から異なるポリシーを割当てできます。異なる保護された値セットからでも、セグメント値セキュリティ・ロールを共有するユーザーのグループ全体に適用される共通セキュリティ・プロファイルに、このセグメント値セキュリティ・ロールと関連付けることになる1つ以上の保護された値セットに対するセグメント値セキュリティ・ポリシーのそれぞれが含まれている場合は、それらのポリシーを割り当てることができます。

    1つのセグメント値セキュリティ・ロールをロードすることは、保守する必要があるセグメント値セキュリティ・ロールの数の削減に役立ち、各ロールを非常に効率的に使用できます。ただし、これにより、異なるポリシーおよび異なる保護された値セットのセキュリティ要件と、このグループに配置された各ユーザーのセキュリティ・セグメント値のセキュリティ要件との間に追加の相互依存関係が作成され、セグメント値セキュリティ設定の編成および保守の複雑さが大幅に増加する可能性があります。そのため、この方法でセグメント値セキュリティ・ロールをロードする場合は注意が必要であり、組織にとって最適なもの判断するには、そのような決定の利点とコストを比較検討して必要な判断を下してください。

注意: セグメント値セキュリティ・ロールの管理スプレッドシートを使用して作成されたポリシーによってセグメント値セキュリティ・ポリシーが割り当てられたセグメント値セキュリティ・ロールのコピーの作成には、セキュリティ・コンソールのロール・コピー機能を使用しないでください。ロール・コピー機能では、スプレッドシートを使用して作成されたポリシー定義で維持されるすべての属性が考慮されません。このようなコピー処理から作成されたロールでは、データ・セキュリティ・ポリシー割当てが不完全になり、正しく機能しません。