1. 企業体系および一般会計の実装
  2. セグメント値セキュリティに関する特別な考慮事項

セグメント値セキュリティに関する特別な考慮事項

ビジネス機能によるセグメント値セキュリティには、次の領域で特別な考慮事項があります:

  • バックエンド・プロセス
  • 設定タスク
  • Oracle Transactional Business Intelligenceレポート
  • 特定のデータ・セキュリティ・コンテキストがない機能
  • 複数の保護された勘定体系セグメント
  • 元帳またはその法的エンティティへのプライマリ貸借一致セグメント値の割当
  • 保護されているモジュールから保護されていないモジュールへの切替え

バックエンド・プロセス

ビジネス機能によるセグメント値セキュリティは、バックエンド・プロセスには適用されません。

バックエンド・プロセスは、ユーザーからの積極的な関与なしでバックグラウンドで実行される発行済プロセスです。これらのプロセスの中には、会計トランザクションや勘定残高などの勘定体系値によって組み立てられる財務データを生成または更新できるものがあります。

この表は、このようなバックエンド・プロセスの例を示しています。

モジュール バックエンド・プロセス
General Ledger 転記、換算、再評価、期間のオープン
補助元帳会計 会計の作成
ノート:財務データに関するレポートも処理のために発行されますが、バックエンド・プロセスとはみなされません。これらは、財務データを出力形式で表示する要求です。

これらの理由で、ビジネス機能によるセグメント値セキュリティは、このようなバックエンド・プロセスには適用されません。

  • 会計の自動化が進むにつれて、管理者は、バックエンド・プロセスから生じる財務データを操作するエンド・ユーザーにかわってバックエンド・プロセスを発行する可能性が高くなります。
  • 場合によっては、アプリケーション自体がバックエンド・プロセスの発行を開始することがあります。
  • バックエンド・プロセスを発行するユーザーは、最終的に結果として生じる財務データを操作するエンド・ユーザーから切り離される場合があります。
  • バックエンド・プロセスと、これらのプロセスを発行するユーザーのセキュリティ・プロファイルには直接的な相関関係がない場合があります。

財務データを保護する鍵は、エンド・ユーザーが操作する権限がある財務データにのみアクセスできるようにすることです。これにより、ビジネス機能によるセグメント値セキュリティの施行は、そのようなユーザーが財務データを更新したり、財務データをレポートまたは照会したときに厳密に適用されます。

設定タスク

ビジネス機能によるセグメント値セキュリティは、設定タスクには適用されません。

一部の設定タスクは、会計トランザクションと財務データを生成するアプリケーション・ルールまたは処理ルールの構成に関連しています。このような設定タスクは、多くの場合、勘定体系の要素に関連し、財務データの生成時に使用される勘定体系値を制御する構成およびマッピング・ルールが含まれます。

このような設定タスク(特に参照データの設定)へのアクセスは、通常、管理者ジョブ・ロールにのみ付与され、このロールを割り当てられたユーザーは、アプリケーションの構成を担当します。これらのユーザーは、財務データ自体を直接操作しません。

これらのタスクには、参照データの設定に加えて、会計または仕訳を直接生成できるトランザクション生成設定も含まれます。

次に例を示します。

  • 資産: 資産台帳定義
  • 一般会計: 配賦算式
  • 一般会計: 勘定体系構成
  • 一般会計: 勘定体系マッピング・ルール
  • 一般会計: 元帳定義
  • 一般会計: 再評価定義
  • 会社間: 貸借一致勘定科目ルール
  • 売掛管理: 自動インボイス・ルール
  • 補助元帳会計: 会計基準の作成
  • 補助元帳会計: トランザクション勘定科目ビルダー・ルール

通常、設定タスクでは、設定レコードでの作業中にデータ・セキュリティ要素を設定するために、データ・アクセス・セット、ビジネス・ユニット、資産台帳または会社間組織などのセキュリティ・コンテキスト値を選択できません。

このようなセキュリティ・コンテキスト・オブジェクトが参照された場合、そのセキュリティ・コンテキスト値を使用して財務データを作成することではなく、設定が構成されているオブジェクトのインスタンスを識別することを目的としています。

管理者またはそのような設定タスクを操作するための機能アクセスを付与されたユーザーは、アプリケーション内のすべての元帳、ビジネス・ユニット、資産台帳および会社間組織にわたって構成および会計基準を設定できます。設定管理者ユーザーは、保護された勘定体系値セットに対しても任意の勘定科目値を使用できます。ユーザーは、設定タスクへのアクセス権のみで、データ・セキュリティをさらに施行することなく、このような設定レコードを使用できます。

Oracle Transactional Business Intelligenceレポート

Oracle Transactional Business Intelligence (OTBI)レポートを使用したセグメント値セキュリティの場合、ビジネス機能による施行はサポートされていません。

勘定体系値セットが保護されると、個々のビジネス機能が施行に対して使用可能かどうかに関係なく、すべてのビジネス機能にわたってセキュリティが施行されます。値セットがセキュリティ対応であるかぎり、一般会計、買掛管理、売掛管理、資産、会社間および補助元帳会計のすべてのビジネス機能にセキュリティ施行が適用されます。

OTBIレポートを使用すると、複数の製品(ビジネス機能)にまたがるレポートをまとめることができます。さらに、ユーザーは、現在操作するデータ・アクセス・セキュリティ・コンテキスト(データ・アクセス・セット、ビジネス・ユニット、資産台帳など)を直接選択しません。かわりに、一般的に、ユーザーの累積データ・アクセス・セキュリティ割当が常に同時に取得されます。これらの両方の要因が、ビジネス機能によるセグメント値セキュリティを正確かつ完全に適用する機能に影響します。

特に一般会計サブジェクト領域でOTBIレポートを実行する場合、ユーザーの現在のデータ・アクセス・セットの選択によって、適用可能なデータ・セキュリティが決まります。これは、アプリケーションで現在選択されているユーザーのデータ・アクセス・セットがプロファイル・オプションに格納されているためです。アプリケーションではこれが利用され、保護された勘定体系を持つ元帳についてレポートするときに、どのセグメント値セキュリティ・ユーザー・ルール割当をユーザーに適用するかを評価する際に、単独で適用されます。保護された勘定体系を持たない元帳についてレポートするときは、ユーザーの累積割当済データ・アクセス・セットが同時に適用されます。

データ・セキュリティ・コンテキストのない機能

ユーザーのデータ・セキュリティ・コンテキストを確立できない財務トランザクションおよび残高を直接操作する製品機能があります。

次に例を示します。

  • データ・アクセス・セットなど、ユーザーに割り当てられている特定のセキュリティ・コンテキスト値に対して常に直接または一意の一致がない1つ以上の元帳の財務データを関連付けることができる、標準補助元帳会計Oracle Analytics Publisherレポート。
  • そのユーザーに適用可能なビジネス機能付与による特定のセグメント値セキュリティを導出するための特定のデータ・セキュリティ・コンテキストの選択をユーザーが設定できない、一般会計以外のOracle Transactional Business Intelligenceレポート。

これらの機能には、変更された形式のビジネス機能によるセグメント値セキュリティの施行が適用されます。特定のユーザー・ルール割当属性がパーセント値に置き換えられ、セキュリティ付与に対して特定の値を照合する必要がないことが示されます。この広範なユーザー・ルール割当照合基準により、財務データを操作するときにアクセス権が付与される保護された勘定科目へのユーザーのアクセスが制限されますが、その基準は非特定です。

このような機能での動作を次に示します。

アクセス可能な保護された勘定科目の範囲を制限できるユーザーに一致するルール割当があるかどうかを判断する場合、「セキュリティ・コンテキスト」および「セキュリティ・コンテキスト値」属性設定は無視され、照合しきい値が低くなります。そのルール割当の「ビジネス機能」および「アクセス・レベル」属性は、引き続き考慮されます。

これは、現在の使用シナリオでユーザー・ルール割当が正確に一致しない場合に、「すべての値」の付与を自動的に適用するかわりに行われます。このアプローチは、実質的に勘定体系のセキュリティが施行されないことを意味します。かわりに、この代替アプローチでは、そのような付与が存在する場合、少なくとも、ユーザーは、勘定体系の保護された各値セットに対する累積付与によってアクセス権が付与される財務データのみを操作するように制限されます。

別の例として、補助元帳会計アプリケーションの機能を使用する場合、ユーザーはセキュリティ・コンテキスト選択(データ・アクセス・セット、ビジネス・ユニットなど)を明示的に指定しません。一般会計では、同じユーザーが、ユーザーの累積データ・アクセス・セット割当全体で元帳の財務データを同時に操作できます。

つまり、データ・アクセス・セットなどの特定のセキュリティ・コンテキスト値でタグ付けできるユーザーのセキュリティ付与では、補助元帳会計の使用シナリオでユーザーのより正確に定義されたルール割当を完全に一致させることはできません。このような権限が「すべてのセキュリティ・コンテキスト」セキュリティ・コンテキストでタグ付けされている場合、または「データ・アクセス・セット」セキュリティ・コンテキストが「すべてのセキュリティ・コンテキスト値」セキュリティ・コンテキスト値とペアになっている場合、ユーザーに対するそのような付与も一致として含まれます。

一般会計ユーザーの場合、ユーザーが作業している元帳の勘定体系に関係する保護された値セットに対するユーザーの一般会計ビジネス機能ルール割当もすべて適用されます。これは、これらのルール割当に関連付けられているデータ・アクセス・セット・セキュリティ・コンテキストおよびセキュリティ・コンテキスト値とは関係ありません。つまり、保護された値セットに対するユーザーの一般会計ビジネス機能ルール割当がすべて累積的に適用されます。このような緩やかな照合条件下でも、ユーザーに一致する権限がない場合にのみ、関連する保護された値セットに対するデフォルトの「すべての値」付与が適用されます。

複数の保護された勘定体系セグメント

勘定体系でビジネス機能によるセグメント値セキュリティに対して複数のセグメントが有効になっている勘定科目組合せを使用する場合は、次の点を考慮してください。

  • 特定の使用シナリオでは、保護された各勘定体系セグメントの勘定科目値へのユーザーのアクセス権は、最初に個別に、他とは独立して考慮されます。次に、ユーザーが勘定科目組合せの勘定科目値に対して様々なアクセス・レベルを持っている場合、これらの勘定科目値の中で最も低いレベルのアクセスが勘定科目組合せ全体に適用されます。
  • ユーザーが少なくとも1つのセグメントの勘定科目値にアクセスできない勘定科目組合せの場合、その勘定科目組合せは、ユーザーがアクセス権を持たない勘定科目組合せです。これは、勘定科目組合せへのアクセスには、その保護された各セグメント値へのアクセスが必要なためです。
  • ユーザーが少なくとも1つのセグメントの勘定科目値への読取り専用アクセス権を持つ勘定科目組合せの場合、その勘定科目組合せはユーザーの読取り専用勘定科目組合せです。これは、勘定科目組合せへの読取りおよび書込みアクセスには、各勘定科目組合せの保護されたセグメント値への読取りおよび書込みアクセスが必要なためです。

たとえば、勘定科目組合せ01-101-1000の1番目と2番目のセグメントは保護されています。ユーザーには、最初のセグメント値01への読取り専用アクセス権があり、2番目のセグメント値101に対するアクセス権はありません。ユーザーはその勘定科目組合せにはアクセスできません。ユーザーが最初のセグメント値01に対する読取りおよび書込みアクセス権を持っていても、ユーザーは勘定科目組合せ01-101-1000にアクセスできません。

この例では、別のユーザーは最初のセグメント値01への読取り専用アクセス権と、2番目のセグメント値101への読取りおよび書込みアクセス権を持っています。勘定科目組合せ01-101-1000に対して適用されるそのユーザーのアクセス・レベルは読取り専用です。

勘定科目組合せ01-101-1000に対する読取りおよび書込みアクセス権をユーザーに付与するには、最初のセグメント値01と2番目のセグメント値101の両方に対する読取りおよび書込みアクセス権を付与する必要があります。

ユーザーが勘定科目組合せのすべての保護されたセグメントの勘定科目に対して少なくとも読取り専用アクセス権を持っていない場合、そのユーザーは、その勘定科目組合せに読取り専用でアクセスすることさえできません。

元帳およびその法的エンティティへのプライマリ貸借一致セグメント値の割当

プライマリ貸借一致セグメント値を元帳またはその法的エンティティに割り当てることは、勘定体系データ・セキュリティには関連していません。

これは、元帳の会計構成に対する検証であり、特定の元帳でユーザーが操作できるプライマリ貸借一致セグメント値に影響します。

元帳にプライマリ貸借一致セグメント値割当があり、特定のプライマリ貸借一致セグメント値がその元帳またはその法的エンティティに割り当てられていない場合、ユーザーはその元帳の操作時にそのプライマリ貸借一致セグメント値を使用できません。これは、次のいずれかの方法を使用して、ユーザーにアクセス権が付与されているかどうかには関係ありません:
  • ユーザーは、保護されたプライマリ貸借一致セグメントがある勘定体系の特定のプライマリ貸借一致セグメント値に対するセグメント値セキュリティ権限が付与されます。
  • 一般会計モジュールの場合、ユーザーは、全元帳データ・アクセス・セットまたはプライマリ貸借一致セグメント値ベースのデータ・アクセス・セットを介して、そのプライマリ貸借一致セグメント値へのアクセス権を付与されます。

保護されているモジュールから保護されていないモジュールへの切替え

ユーザーがビジネス機能によるセグメント値セキュリティをサポートするモジュールの1つからサポートしないモジュールに切り替えると、保護されていないモジュールで勘定科目アクセスが引き続き制限される可能性があります。

これを解決するには、ユーザーはモジュールを切り替えるときに、アプリケーションからサインアウトし、サインインしなおす必要がある場合があります。このアクションによってキャッシュがリセットされ、ユーザーはセキュリティ施行が想定されていないモジュール内のすべての勘定科目にアクセスできるようになります。