「セグメント値セキュリティ・ルールの管理」スプレッドシートの使用
「セグメント値セキュリティ・ルールの管理」スプレッドシートで新しいルールおよび新しいルール割当レコードを作成する場合は、次のガイドラインに従ってください。
- 常に、最初に「ルール」シートにナビゲートしてセッションを初期化し、次に「ルール割当」シートにナビゲートします。スプレッドシートとのセッションでエラーが発生するため、すぐに「ルール割当」シートに直接ナビゲートしないでください。
- 「セグメント値セキュリティの管理」タブの「アップロード」コマンドをクリックし、これらのレコードをアプリケーションに保存します。
- ルール・ワークシートをアップロードしてから、その後にルール割当ワークシートを完了してアップロードしてください。これは、ルール割当ワークシート内の割当てがルールを参照するためです。ルールをユーザーに割り当てるには、アプリケーションにルールを正常に保存しておく必要があります。
- セッションごとに一度に1つの保護された値セットのみを操作してください。そうしないと、複数の保護された値セットが同時に処理されている場合、アプリケーションでは、どの値セットがフォーカスであるかを正しく識別できません。スプレッドシートは、初期化の一環として、接続および値セットのフォーカスを確立します。
ルールの作成
「セグメント値セキュリティ・ルールの管理」スプレッドシートの「ルール」ワークシートは、セグメント値セキュリティ・ポリシーを定義するためのものです。
ポリシーには1つ以上のセグメント値セキュリティ条件フィルタを含めることができ、セグメント値セキュリティ・ロールに関連付けられます。セグメント値セキュリティ・ロールは、セキュリティ・ポリシーをユーザーに受け渡すためのパイプとして機能します。
ポリシーは、条件フィルタと1対多の関係を持つことができます。スプレッドシートで複数の行にわたって同じポリシー名を使用することでそのようにできます。これらの複数行に定義されている様々な条件フィルタは、その1つのポリシーに関連付けられているグループとして扱われます。このことは、保護された値セットに対して定義するセキュリティ・ポリシーの数を制限し、設定を管理可能にしておくというベスト・プラクティスに従うために役立ちます。
列は、ポリシー・レベルの属性または条件フィルタ・レベルの属性です。ポリシー・レベルの属性は、同じポリシーの一部である条件フィルタのグループの複数の行にわたって同じ値を共有する必要があります。同じポリシーに適用する様々な条件フィルタを表す条件フィルタ・レベルの属性の値は、行ごとに異なります。
ワークシートに列が表示される順序で、ポリシー名から属性値を入力します。
この表は、ルール・ワークシートの属性列とそのプロパティを示しています。
| 属性 | 必須 | 更新可能 | ポリシーまたは条件フィルタ属性 |
|---|---|---|---|
| ポリシー名 | はい | いいえ | ポリシー |
| ポリシー摘要 | いいえ | はい | ポリシー |
| セグメント値セキュリティ・ロール名 | はい | いいえ | ポリシー |
| 演算子 | はい | はい | 条件フィルタ |
| 値: 自(「すべての値」以外のすべての演算子で使用) | はい | はい | 条件フィルタ |
| 値: 至(「次の間にある」演算子のみで使用) | はい | はい | 条件フィルタ |
| ツリー・コード(階層演算子でのみ使用) | はい | はい | 条件フィルタ |
| ツリー・バージョン(階層演算子でのみ使用) | はい | はい | 条件フィルタ |
| ポリシー開始日 | はい | いいえ | ポリシー |
| ポリシー終了日 | いいえ | ポリシーがアクティブな場合(つまり、ポリシー終了日が今日の日付以降である場合)は、はい。 | ポリシー |
| 削除用にマーク | いいえ | はい | 条件フィルタ |
次に、ルール・ワークシートを準備する際に役立つ各属性に関する詳細を示します。
ポリシー名
セグメント値セキュリティ・ロールの関連付けに対する特定の条件を識別します。名前は、個々の保護された値セット内で一意である必要があります。アプリケーションでは、ポリシー名を参照する際の混乱や異常を最小限に抑えるために、大文字のポリシー名が自動的に保存されます。
ポリシー摘要
ポリシーの範囲、目的またはその他の関連情報の要約を提供します。
セグメント値セキュリティ・ロール名
セグメント値セキュリティ・ポリシーを割り当てる事前定義済ロールを識別します。セルをダブルクリックしてダイアログ・ボックスを開き、そのセルに挿入するロールを選択できます。また、完全なユーザー・ルール割当てを形成するには、ポリシーの割当先とするユーザーに、ポリシーのセグメント値セキュリティ・ロールを割り当てる必要があります。
演算子
保護された値セットのどの勘定科目値を許可するかを決定するために、行に指定された後続の値をどのように評価するかを示します。これは、セグメント値セキュリティ条件フィルタのキー属性です。
スプレッドシートを使用して作成された、同じポリシーに関連する条件行は、同じポリシーの様々な条件フィルタ行を接続してどの勘定科目値が関与するかを決定するときに、常に「いずれかに一致」オプションに設定されるか、「OR」結合を使用するように設定されます。これは、単一の条件フィルタ行のみのポリシーであっても、デフォルトの一致設定になります。
つまり、ポリシーによって付与される勘定科目値は、グループに規定されている条件行のいずれかに一致することのみが必要で、グループ内のすべての条件行に同時に一致する必要はありません。すべてに一致する必要があるとすると、勘定科目値がこれらの条件のすべてを満たす可能性は低いため、そのグループの条件行では、一致しない、または勘定科目値がない可能性が高くなります。
この表では、条件フィルタで使用できる演算子について説明します。
| 演算子 | 説明 |
|---|---|
| すべての値 |
値セット内のすべての勘定科目値へのアクセス権を提供します。 |
| 次と等しい |
特定の勘定科目値へのアクセス権を提供します。指定した値が親勘定科目の場合、アクセス権は、その親を含むすべてのツリーおよびツリー・バージョンのうち、その親値にのみ適用されます。ルールでは、その子孫へのアクセス権は提供されません。 |
| 次と等しくない |
指定した1つの詳細/子または親値を除くすべての値へのアクセスを提供します。親値の場合、除外はその親値自体にのみ適用され、その子孫の親値、詳細値または子値には適用されません。 注意: ここでは、この演算子に関する重要な点をいくつか示します。
|
| 次の間にある |
「値: 自」列と「値: 至」列に指定された値の範囲に含まれる勘定科目値へのアクセス権を提供します。値の範囲に親勘定科目が含まれる場合、アクセス権は、その親を含むすべてのツリーおよびツリー・バージョンのうち、その親値にのみ適用されます。ルールは、指定された範囲の一部でないかぎり、その子孫へのアクセスを提供しません。 |
| 次を含む |
指定した値を含む勘定科目値へのアクセス権を提供します。一致する値が親勘定科目の場合、アクセス権は、その親を含むすべてのツリーおよびツリー・バージョンのうち、その親値にのみ適用されます。これらの子孫も条件に一致する場合を除き、その子孫にはアクセスできません。 |
| 次で終わる |
指定した値で終わる勘定科目値へのアクセス権を提供します。一致する値が親勘定科目の場合、アクセス権は、その親を含むすべてのツリーおよびツリー・バージョンのうち、その親値にのみ適用されます。これらの子孫も条件に一致する場合を除き、その子孫にはアクセスできません。 |
| 次で始まる |
指定した値で始まる勘定科目値へのアクセス権を提供します。一致する値が親勘定科目の場合、アクセス権は、その親を含むすべてのツリーおよびツリー・バージョンのうち、その親値にのみ適用されます。その子孫も条件に一致する場合を除き、その子孫にはアクセスできません。 |
| 次の子孫である |
指定された親勘定科目値およびそのすべての子孫へのアクセス権を提供します。子孫には、ルートからリーフ・ノードまで、その親の階層ブランチすべての中間レベルの親勘定科目と非親勘定科目が含まれます。 |
| 次の末尾の子孫である |
指定した親勘定科目値およびその親のリーフ・ノードの勘定科目値へのアクセス権を提供します。アクセスには、階層ブランチに沿った中間親勘定科目値は含まれません。 |
値: 自
考慮する勘定科目値を決定する際に、指定された条件フィルタ演算子に適用する値を指定します。「次の間にある」、「次を含む」、「次で終わる」および「次で始まる」以外の条件フィルタ演算子を使用する場合は、有効な勘定科目値を指定する必要があります。これにより、まだ作成されていない勘定科目値を柔軟に組み込むことができます。
値: 至
考慮する勘定科目値を決定する際に、「次の間にある」条件フィルタ演算子に適用する値を指定します。これは範囲の終了値であり、まだ作成されていない勘定科目値を柔軟に組み込むことができます。
ツリー・コード
条件の親勘定科目値を選択するときに参照するツリーを識別します。「次の子孫である」および「次の末尾の子孫である」演算子を使用している場合、これは必須属性となります。これらの演算子は、行のツリー・コードを指定するときに選択できる唯一の有効な演算子でもあります。セルをダブルクリックしてダイアログ・ボックスを開き、操作している保護された値セットの有効なツリー・コードを選択できます。
勘定体系内の各セグメントには、勘定体系構造設定の「デフォルト階層」値に指定されたとおりに個別のツリー・コードが関連付けられますが、保護された値セットに定義されている任意のツリーを参照できます。
ツリー・バージョン
条件の親勘定科目値を選択するときに参照する、選択したツリー・コードのツリー・バージョンを識別します。「次の子孫である」および「次の末尾の子孫である」演算子を使用している場合、これは必須属性となります。これらの演算子は、行のツリー・バージョンを指定するときに選択できる唯一の有効な演算子でもあります。
ポリシー開始日
ポリシーがいつ開始されるかを指定します。作成日より早い日付ではポリシーを有効にできないため、ポリシー作成時のシステム日付以降の開始日を指定する必要があります。将来の日付を指定することもできます。
この属性は、同じポリシーに関連付けられている複数の条件フィルタの関連する行の間で同じ値を共有する必要があります。
ポリシー終了日
ポリシーがいつ終了となるかを指定します。ポリシー開始日以降の終了日を指定する必要があります。終了日を指定しないと、ポリシーは無期限に有効になります。
既存のポリシーの終了日は、指定されている終了日が今日または将来の日付である場合は更新できます。つまり、ルールがアクティブである場合です。新しい終了日は、少なくとも本日の日付または将来の日付にする必要があります。新しい終了日は現在の終了日より後の日付である必要はありません。
たとえば、今日の日付が1月27日で、ルールの終了日が1月31日に設定されているとします。翌日の1月28日に、終了日を1月28日以降に更新できます。当初の終了日である1月31日より後に設定する必要はありません。ただし、2月1日になると、終了日は1月31日から更新できません。
この属性は、同じポリシーに関連付けられている複数の条件フィルタの関連する行の間で同じ値を共有する必要があります。
監査目的のために、セグメント値セキュリティ・ポリシーは削除されません。かわりに、ポリシーが適用されなくなったことを示すために「ポリシー終了日」属性が使用されます。
削除用にマーク
選択した条件フィルタ行を削除してポリシーから削除するかどうかを示します。この削除インジケータにより、特定の行に対してこの処理を明示的に指定することがユーザーに求められ、これによってユーザーがポリシーの条件フィルタ行をアプリケーションから誤って削除することが防止されます。これは条件レベルの属性であり、ポリシーに関連付けられている個々の条件フィルタ行は、削除対象として明示的にマークできます。
ルール割当ての作成
「セグメント値セキュリティ・ルールの管理」スプレッドシートの「ルール割当」ワークシートは、ユーザーにポリシーを割り当て、そのユーザーにポリシー割当が適用されるビジネス機能とセキュリティ・コンテキストを特定し、読取り専用または読取り/書込みアクセス・レベルのいずれかを付与するためのものです。
ワークシートに列が表示される順序で属性値を入力します。
この表は、ルール割当ワークシートの属性列とそのプロパティを示しています。
| 属性 | 必須 | 更新可能 |
|---|---|---|
| ユーザー名 | はい | いいえ |
| ポリシー名 | はい | はい |
| ロール名(表示のみ) | 該当なし | 該当なし |
| ビジネス機能 | はい | はい |
| セキュリティ・コンテキスト | はい | はい |
| セキュリティ・コンテキスト値 | はい | はい |
| アクセス・レベル | はい | はい |
| 開始日 | はい | いいえ |
| 終了日 | いいえ | はい |
次に、ルール割当ワークシートを準備する際に役立つ各属性に関する詳細を示します。
ユーザー名
ルール割当の対象のユーザーを識別します。次のいずれかのオプションを選択します。
- 特定を選択: 特定の保護された値セットのルールまたはポリシーを割り当てるユーザーのサインイン名を指定する場合に選択します。
- ポリシー・ロールに割り当てられたすべてを選択: 指定したポリシーに対してロールが割り当てられたすべてのユーザーとルール割当てを共有する場合に選択します。
ポリシー名
ユーザーに割り当てるポリシーを識別します。セルをダブルクリックしてダイアログ・ボックスを開き、特定の保護された値セットに対して有効なポリシーを選択できます。
ロール名
ルール割当ての対象として選択したポリシーに関連付けられているロールを識別します。これは表示専用フィールドで、アプリケーションからルール割当てを検索して取得する際に追加情報として表示されます。
ビジネス機能
ユーザーのルール割当が適用されるビジネス機能を識別します。このリストは、ビジネス機能によるセグメント値セキュリティをサポートする製品モジュールに対応しています。
この表は、ビジネス機能およびそれに対応する製品モジュールを示しています。
| ビジネス機能 | 製品モジュール |
|---|---|
| 資産 | Oracle Assets |
| 一般会計 | Oracle General Ledger |
| 買掛/未払金 | Oracle Payables |
| 送り側会社間 | Oracle Intercompany |
| 売掛/未収金 | Oracle Receivables |
| 受け側会社間 | Oracle Intercompany |
これらのビジネス機能のいずれかを選択すると、Oracle Subledger Accounting (一般会計と補助元帳の間で統合する製品モジュール)が自動的に含められます。
ユーザーへのポリシーの付与が特定のビジネス機能のみに制限されていない場合は、「すべてのビジネス機能」を選択することもできます。また、これは、会社間モジュールにおいて、会社間ユーザーへのルール割当が、指定された会社間組織が送り側と受け側のキャパシティのどちらで取引するかに関係なく適用される場合にも使用できます。
セキュリティ・コンテキストは、選択したビジネス機能に対応しているため、この属性の選択により、次のセキュリティ・コンテキスト属性に対して有効な選択肢も決まります。
セキュリティ・コンテキスト
どのタイプのセキュリティ・コンテキストで、ユーザーに対してポリシーまたはルール割当を有効とするかを識別します。選択したビジネス機能に関連するセキュリティ・コンテキストを選択する必要があります。たとえば、一般会計ビジネス機能の場合、適用可能なセキュリティ・コンテキストはデータ・アクセス・セットとなります。
選択肢は次のとおりです:
- ビジネス・ユニット: 買掛/未払金と売掛/未収金のビジネス機能に適用されます。
- 資産台帳: 資産ビジネス機能に適用されます。
- データ・アクセス・セット: 一般会計ビジネス機能に適用されます。
- 会社間組織: 会社間ビジネス機能に適用されます。
- すべてのセキュリティ・コンテキスト: いずれのビジネス機能にも適用されます。
コンテキスト値は、選択したセキュリティ・コンテキストに対応しているため、この属性の選択により、次のセキュリティ・コンテキスト値属性に対して適用可能な選択肢も決まります。
特定のセキュリティ・コンテキストおよびセキュリティ・コンテキスト値に適用可能なユーザーのポリシーを制限する必要がない場合は、「すべてのセキュリティ・コンテキスト」を選択できます。この選択は、先行する列の「すべてのビジネス機能」または特定のビジネス機能の選択と組み合せることができます。「すべてのビジネス機能」の場合、これは、ユーザーが使用しているビジネス機能、セキュリティ・コンテキストおよびセキュリティ・コンテキスト値に関係なく、ユーザーに対するルール割当てまたはポリシー付与が適用されることを意味します。これは、実質的にこのポリシーがユーザーに対して常に適用されることを意味します。特定のビジネス機能を選択した場合、ルール割当ては、ユーザーが操作しているセキュリティ・コンテキスト値に関係なく、選択したビジネス機能についてのみユーザーに適用されます。
「すべてのセキュリティ・コンテキスト」を選択した場合、セキュリティ・コンテキスト値属性に有効な選択肢は「すべてのセキュリティ・コンテキスト値」のみです。
セキュリティ・コンテキスト値
ポリシーまたはルール割当てがユーザーに対して有効になる、先行する2つの列で選択したセキュリティ・コンテキスト・タイプおよびビジネス機能に対するセキュリティ・コンテキスト値を指定します。選択肢には、ルール割当に対して選択したセキュリティ・コンテキストに応じて、システム内の有効な資産台帳、ビジネス・ユニット、データ・アクセス・セットまたは会社間組織が含められます。
ポリシーまたはルール割当てが、割当先のユーザーにとっての関連性と効果を備えたものにするには、そのルール割当てに対して選択された資産台帳、ビジネス・ユニット、データ・アクセス・セットまたは会社間組織が、「ユーザーのデータ・アクセスの管理」ページでユーザーに割り当てられ、それに対するデータ・アクセス権がユーザーに付与されていることを確認します。
「すべてのセキュリティ・コンテキスト値」という選択肢もあります。これは、先行するセキュリティ・コンテキスト列で「すべてのセキュリティ・コンテキスト」が選択されている場合にのみ有効な選択肢です。これにより、ユーザーがどのデータ・アクセス・コンテキストで作業するかに関係なく、このポリシーが常にユーザーに適用されます。
アクセス・レベル
指定されたビジネス機能、セキュリティ・コンテキストおよびコンテキスト値のユーザー・ルールまたはポリシー割当てを、読取り専用ベースまたは読取りおよび書込みベースのどちらで付与するかを示します。
読取り専用に設定されているルール割当ての場合、許可される勘定科目値は、照会ページやレポートなどの読取り専用機能にのみ適用可能です。製品機能に会計データの更新機能が含まれる場合、ユーザーは読取り専用アクセス権を持つこれらの勘定科目値を使用できなくなります。
読取りおよび書込みに設定されたルール割当ての場合、許可される勘定科目値は読取り専用機能および会計データの更新機能を含む機能に適用可能です。
開始日
ユーザー・ルール割当てがいつ開始されるかを指定します。新しいユーザー・ルール割当てを作成する場合は、日付を現在のシステム日付より前にできません。これは、ルール割当てをその作成日より早く有効にできないためです。将来の日付を開始日としてユーザー・ルール割当てを作成することもできます。
終了日
ユーザー・ルール割当てがいつ終了となるかを指定します。この日付は、ユーザー・ルール割当ての開始日より前、およびルール割当てで参照されるポリシーの終了日より後の日付にはできません。
既存のユーザー・ルール割当ての終了日は、現在の終了日が今日または将来の日付である場合は更新できます。つまり、ルール割当てがアクティブである場合です。新しい終了日は、少なくとも今日または将来の日付で、ルール割当てで参照されるポリシーの終了日までの範囲内の日付にする必要があります。ユーザー・ルール割当ての新しい終了日は、現在の終了日より後の日付である必要はありません。
たとえば、今日の日付が1月27日で、ルール割当ての終了日が1月31日に設定されているとします。翌日の1月28日に、ルールで参照されるポリシーの終了日を超えないかぎり、新しい終了日を1月28日以降に設定できます。当初の終了日である1月31日より後に設定する必要はありません。ただし、2月1日になると、ルール割当ての終了日は1月31日から更新できません。
監査のため、ユーザーに対するセグメント値セキュリティ・ポリシー割当てのレコードは削除されません。かわりに、ポリシー割当てが適用されなくなったことを示すために、ルール割当ての終了日属性が使用されます。
ルールおよびルール割当ての編集
既存のルールおよびルール割当てを編集するには、最初にアプリケーションからレコードをダウンロードすることが非常に重要であり、常に必要になります。
これにより、アプリケーションに格納されている最新バージョンのルールまたはルール割当てで作業していることが保証されます。「セグメント値セキュリティの管理」タブのいずれかのワークシートで「検索」コマンドを使用して、レビューまたは編集する保護された値セットの既存のルールおよびルール割当レコードをダウンロードできます。
更新するレコードをダウンロードしたら、編集し、変更内容をアップロードしてアプリケーションに保存します。編集している同じスプレッドシートで、ルールおよびユーザー・ルール割当てを作成することもできます。
「ルール」ワークシートでは、ポリシー名またはセグメント値セキュリティ・ロール、あるいはその両方のフィールドに関連する検索文字列を指定することで、ポリシーの検索をフィルタできます。
「ルール割当」ワークシートでは、ユーザー名またはポリシー名、あるいはその両方のフィールドに関連する検索文字列を指定することで、ユーザー・ルール割当ての検索をフィルタできます。