セグメント値セキュリティの汎用的なユーザー・ルール割当の例
ポリシーを共有しやすくするために、汎用的なルール割当を定義できます。つまり、次の属性に1つ以上の特定の値を指定せずにルール割当を定義します:
- ユーザー名
- ビジネス機能
- セキュリティ・コンテキストおよびセキュリティ・コンテキスト値
これらの属性に対して様々なバリエーションの設定を選択して、保護された勘定科目値へのアクセス権をユーザーに付与するという望ましい効果を得ることができます。
指定されたユーザー名のないルール割当
この例では、3人のユーザーに同じセグメント値セキュリティ・ロールを割り当てます。
これは、3人すべてのユーザーが、ルール割当の属性であるビジネス機能、データ・セキュリティ・コンテキストおよびアクセス・レベルの同じ適格な条件下で、同じ保護された勘定科目値へのアクセス権が必要な場合があるためです。
ユーザーはCCLARK、LLOPEZおよびPPATELです。Oracle General Ledgerを使用しており、すべて同じVision Corporationデータ・アクセス・セットが割り当てられています。勘定体系の勘定科目セグメントは保護されており、1で始まるすべての勘定科目への読取りおよび書込みアクセスを許可するポリシーを定義します。共有セグメント値セキュリティ・ロールにポリシーを割り当てます。
この表は、「ルール」ワークシートの関連属性値を示しています。
| 属性 | 値 |
|---|---|
| ポリシー名 | 勘定科目は1で始まります |
| ポリシー摘要 | 勘定科目セグメント値は1で始まります |
| ロール名 | 共有セグメント値セキュリティ |
| 演算子 | 次で始まる |
| 値: 自 | 1 |
この表は、「ルール割当」ワークシートの関連属性値を示しています。
| 属性 | 値 |
|---|---|
| ユーザー名 | ポリシーのロールに割り当てられたすべてのユーザー |
| ポリシー名 | 勘定科目は1で始まります |
| ロール名 | 共有セグメント値セキュリティ |
| ビジネス機能 | General Ledger |
| セキュリティ・コンテキスト | データ・アクセス・セット |
| セキュリティ・コンテキスト値 | Vision Corporation |
| アクセス・レベル | 読取りおよび書込み |
| 開始日 | 1-Jan-2024 |
このルール割当のユーザー名は、「ポリシーのロールに割り当てられたすべてのユーザー」です。これは、Vision Corporationデータ・アクセス・セットを読取りおよび書込みベースで使用する場合、ルール割当が一般会計ビジネス機能のユーザーCCLARK、LLOPEZおよびPPATELに適用されることを示します。これは、すべてのユーザーにセグメント値セキュリティ・ロールとして共有セグメント値セキュリティが割り当てられているためです。
各ユーザーに3つの個別のルール割当を定義する必要があるかわりに、ルール割当をこのように構成して、ルール割当を共有し、3人のユーザーすべてに効果的にポリシーを適用できます。これにより、ルールおよびルール割当の保守が合理化されます。
指定されたビジネス機能のないルール割当
ユーザーまたはユーザーのグループにルールを幅広く割り当てることができます。この場合、保護された値への付与は、ユーザーまたはユーザーのグループが操作するすべてのビジネス機能に適用可能です。
この最初の例では、ルール割当は広範囲なものであり、ユーザーCCLARKは、CCLARKが操作しているどのようなビジネス機能に対しても、また、セキュリティ・コンテキストおよびセキュリティ・コンテキスト値すべてに対して、Cost Center 100ポリシーを読取りおよび書込みベースで使用できます。
この表は、「ルール割当」ワークシートの関連属性値を示しています。
| 属性 | 値 |
|---|---|
| ユーザー名 | CCLARK |
| ポリシー名 | Cost Center 100 |
| ロール名 | CCLARK Cost Center 100 |
| ビジネス機能 | すべてのビジネス機能 |
| セキュリティ・コンテキスト | すべてのセキュリティ・コンテキスト |
| セキュリティ・コンテキスト値 | すべてのセキュリティ・コンテキスト値 |
| アクセス・レベル | 読取りおよび書込み |
| 開始日 | 1-Jan-2024 |
この2番目の例では、ルール割当は読取りおよび書込みベースですべてのビジネス機能に適用されますが、ユーザーCCLARKは、セキュリティ・コンテキストがビジネス・ユニットの場合のみに制限されます。
この表は、「ルール割当」ワークシートの関連属性値を示しています。
| 属性 | 値 |
|---|---|
| ユーザー名 | CCLARK |
| ポリシー名 | Cost Center 100 |
| ロール名 | CCLARK Cost Center 100 |
| ビジネス機能 | すべてのビジネス機能 |
| セキュリティ・コンテキスト | ビジネス・ユニット |
| セキュリティ・コンテキスト値 | すべてのセキュリティ・コンテキスト値 |
| アクセス・レベル | 読取りおよび書込み |
| 開始日 | 1-Jan-2024 |
ビジネス・ユニットは、買掛管理と売掛管理のビジネス機能に関連するセキュリティ・コンテキストです。したがって、このルール割当は、ユーザーCCLARKがこれら2つのビジネス機能を使用している場合にのみ効果的に適用され、異なるセキュリティ・コンテキストを使用する資産、一般会計、送り側会社間、受け側会社間などの他のビジネス機能の場合には適用されません。
指定されたセキュリティ・コンテキストのないルール割当
前のトピックでは、ユーザーの使用シナリオのビジネス機能、セキュリティ・コンテキストおよびセキュリティ・コンテキスト値に関係なく、すべての使用コンテキストを幅広くカバーするルール割当の例について説明しました。
次に、指定されたセキュリティ・コンテキストのないルール割当に関する追加の考慮事項をいくつか示します。
この表は、「ルール割当」ワークシートの関連属性値を示しています。
| 属性 | 値 |
|---|---|
| ビジネス機能 | すべてのビジネス機能 |
| セキュリティ・コンテキスト | すべてのセキュリティ・コンテキスト |
| セキュリティ・コンテキスト値 | すべてのセキュリティ・コンテキスト値 |
すべての異なるセキュリティ・コンテキスト・タイプ(資産台帳、ビジネス・ユニット、データ・アクセス・セット、会社間組織)が適用されるビジネス機能は1つも存在しないため、ルール割当のセキュリティ・コンテキスト属性に対する「すべてのセキュリティ・コンテキスト」選択は、ビジネス機能属性の「すべてのビジネス機能」選択でのみ機能します。
また、すべての異なるセキュリティ・コンテキスト・タイプと一致するセキュリティ・コンテキスト値が1つも存在しない可能性があるため、ルール割当のセキュリティ・コンテキスト属性に「すべてのセキュリティ・コンテキスト」を選択すると、自動的に「すべてのセキュリティ・コンテキスト値」も意味する場合があります。