1. 企業体系および一般会計の実装
  2. セグメント値セキュリティ・ロールの作成のベスト・プラクティス

セグメント値セキュリティ・ロールの作成のベスト・プラクティス

次に、セグメント値セキュリティのロールを作成および保守するためのベスト・プラクティスを示します。

  • セグメント値セキュリティ・ポリシーを割り当てる目的でのみロールを作成します。これにより、データ・セキュリティの他の要素や、他のロールに存在する可能性のあるその他のアーティファクトと混同する可能性を防ぎます。これにより、セグメント値セキュリティ・ルールが予期した方法で機能しない場合に診断が難しくなる可能性があります。
    ノート: 「ロール・カテゴリ」を「デフォルト」に設定します。
  • セグメント値セキュリティ・ロールを使用して階層を形成しないでください。階層によって、その1つのセグメント値セキュリティ・ロールの割当に基づいて、ロール階層内の様々なロールからユーザーにデータ・セキュリティ・ポリシーがロールアップされる場合があります。これにより、ユーザーが最終的に取得したデータ・セキュリティを評価し、予期しない結果が発生した場合にユーザーが最終的に取得した特定のデータ・セキュリティ・ポリシーの正確な取得元を特定することが困難になります。
  • 通常、ジョブ・ロールを共有するユーザーのグループが、保護された勘定体系に対してもまったく同じセキュリティ・プロファイルを共有することはほとんどないため、Oracleによって、または別の方法で事前定義されたジョブ・ロールを使用して、セグメント値セキュリティ・ポリシーを渡すことはお薦めしません。

    セグメント値セキュリティ・ポリシーをジョブ・ロールに添付することで、そのジョブ・ロールが割り当てられているすべてのユーザーは、それらのデータ・セキュリティ・ポリシーを一律に取得します。ジョブ・ロールは、主に機能セキュリティ・アクセス権を製品モジュール内の機能に渡すことを目的としており、同じジョブ機能を持つユーザー間で共有されますが、ほとんどの場合、組織の様々な部分を対象としています。一般的に、データ・セキュリティ・アクセス権をジョブ・ロールに直接組み込むことはお薦めしません。

  • 特定の保護された値セットへのアクセス権を必要とする組織内のすべてのユーザーにわたって、セグメント値セキュリティ・プロファイルの一意のバリエーションの合計数を評価します。次に、セグメント値セキュリティ・ポリシーを作成する前に、空のロールを作成して、これらのセキュリティ・プロファイルごとに個別のセグメント値セキュリティ・ロールを定義します。これらのロールの目的は、このセグメント値セキュリティ・ロールを適切なユーザーに割り当てることで、特定のユーザー(ユーザー・グループ)を対象とした特定の勘定体系セグメント値セキュリティ・データ・セキュリティ・ポリシーを渡す方法として機能することです。

    各ポリシー定義で、その値セットに対して識別された各セキュリティ・プロファイルを包括的に取得することにより、特定の保護された値セットに対して保守するポリシー定義の数を最小限に抑えます。これにより、組織のセグメント値セキュリティ要件を保守するための管理しやすいフレームワークを促進できます。

  • 組織内のすべてのユーザーおよびユーザー・グループ間で、個別のデータ・セキュリティ・プロファイルごとに個別のセグメント値セキュリティ・ロールを保守することは、セグメント値セキュリティ設定の継続的な保守にも役立ちます。このようなセグメント値セキュリティ・データ・セキュリティ・プロファイルに必要な変更では、1つのセグメント値セキュリティ・ロールのみを変更する必要があり、これにより、その1つのセキュリティ・プロファイルに属するすべてのユーザーに自動的にカスケード・ダウンされます。

    1つのセグメント値セキュリティ・ロールに、同じ保護された値セット内から異なるポリシーを割り当てることができます。そのセグメント値セキュリティ・ロールを共有するユーザーのグループ全体に適用可能な共通セキュリティ・プロファイルに、このセグメント値セキュリティ・ロールに関連付けられている1つ以上の保護された値セットに対するこれらのセグメント値セキュリティ・ポリシーのそれぞれが含まれているかぎり、異なる保護された値セットのポリシーでも割り当てることができます。

    1つのセグメント値セキュリティ・ロールをロードすることで、保守する必要があるセグメント値セキュリティ・ロールの数を削減でき、各ロールを非常に効率的に使用できます。ただし、これにより、異なるポリシーおよび異なる保護された値セットのセキュリティ要件と、このグループに配置された各ユーザーのセキュリティ・セグメント値セキュリティ要件の間に追加の相互依存関係が生じることで、セグメント値セキュリティ設定の編成および保守を大幅に複雑化する可能性もあります。そのため、この方法でセグメント値セキュリティ・ロールをロードする際には注意し、組織に最適な適合性を判断するためにそのような決定を行う際の利点とコストを比較検討する際に、必要な判断を適用してください。

注意: セキュリティ・コンソールのロール・コピー機能を使用して、セグメント値セキュリティ・ロールの管理スプレッドシートを使用して作成されたポリシーによってセグメント値セキュリティ・ポリシーが割り当てられているセグメント値セキュリティ・ロールのコピーを作成しないでください。ロール・コピー機能では、スプレッドシートを使用して作成されたポリシー定義に対して保守されるすべての属性を考慮するわけではありません。このようなコピー処理から作成されたロールには、不完全で正しく機能しないデータ・セキュリティ・ポリシー割当があります。