「セグメント値セキュリティ・ルールの管理」スプレッドシートの使用
「セグメント値セキュリティ・ルールの管理」スプレッドシートで新しいルールおよび新しいルール割当レコードを作成する場合は、次のガイドラインに従ってください。
- 常に「ルール」シートにナビゲートしてセッションを初期化し、次に「ルール割当」シートに移動します。スプレッドシートとのセッションでエラーが発生するため、すぐに「ルール割当」シートに直接ナビゲートしないでください。
- ワークシートへの入力が完了したら、「セグメント値セキュリティの管理」タブの「アップロード」コマンドをクリックし、これらのレコードをアプリケーションに保存します。
- 「ルール割当」ワークシートを完了してアップロードする前に、まず「ルール」ワークシートをアップロードします。後者のワークシートの割当はルールを参照するためです。ルールをユーザーに割り当てるには、まずアプリケーションに正常に保存する必要があります。
- セッションごとに一度に1つの保護された値セットのみを使用します。そうしないと、複数の保護された値セットが同時に処理されている場合、どの値セットがフォーカスであるかが正しく識別されません。スプレッドシートでは、初期化の一環として、接続とフォーカスの値セットが確立されます。
ルールの作成
「セグメント値セキュリティ・ルールの管理」スプレッドシートの「ルール」ワークシートは、セグメント値セキュリティ・ポリシーを定義するためのものです。
ポリシーには1つ以上のセグメント値セキュリティ条件フィルタを含めることができ、セグメント値セキュリティ・ロールに関連付けられます。セグメント値セキュリティ・ロールは、セキュリティ・ポリシーをユーザーに受け渡すためのパイプとして機能します。
ポリシーは、条件フィルタと1対多の関係を持つことができます。スプレッドシートで複数の行にわたって同じポリシー名を使用することでそのようにできます。これらの複数行に定義されている様々な条件フィルタは、その1つのポリシーに関連付けられているグループとして扱われます。このことは、保護された値セットに対して定義するセキュリティ・ポリシーの数を制限し、設定を管理可能にしておくというベスト・プラクティスに従うために役立ちます。
列は、ポリシー・レベルの属性または条件フィルタ・レベルの属性です。ポリシー・レベルの属性は、同じポリシーの一部である条件フィルタのグループの複数の行にわたって同じ値を共有する必要があります。同じポリシーに適用する様々な条件フィルタを表す条件フィルタ・レベルの属性の値は、行ごとに異なります。
列がワークシートに表示される順序で、ポリシー名から属性値を入力します。
この表は、「ルール」ワークシートの属性列とそのプロパティを示しています。
| 属性 | 必須 | 更新可能 | ポリシーまたは条件フィルタ属性 |
|---|---|---|---|
| ポリシー名 | はい | いいえ | ポリシー |
| ポリシー摘要 | いいえ | はい | ポリシー |
| セグメント値セキュリティ・ロール名 | はい | いいえ | ポリシー |
| 演算子 | はい | はい | 条件フィルタ |
| 値: 自(「すべての値」以外のすべての演算子で使用) | はい | はい | 条件フィルタ |
| 値: 至(「次の間にある」演算子のみで使用) | はい | はい | 条件フィルタ |
| ツリー・コード(階層演算子でのみ使用) | はい | はい | 条件フィルタ |
| ツリー・バージョン(階層演算子でのみ使用) | はい | はい | 条件フィルタ |
| ポリシー開始日 | はい | いいえ | ポリシー |
| ポリシー終了日 | いいえ | はい。ポリシーがアクティブな場合、つまり、ポリシー終了日が今日の日付以降である場合。 | ポリシー |
| 削除用にマーク | いいえ | はい | 条件フィルタ |
「ルール」ワークシートの準備に役立つ各属性の詳細を次に示します。
ポリシー名
セグメント値セキュリティ・ロールの関連付けに対する特定の条件を識別します。名前は、個々の保護された値セット内で一意である必要があります。アプリケーションでは、ポリシーの名前を参照する際の混乱やエラーを最小限に抑えるために、大文字のポリシー名が自動的に格納されます。
ポリシー摘要
ポリシーのスコープ、目的またはその他の関連情報の要約を提供します。
セグメント値セキュリティ・ロール名
セグメント値セキュリティ・ポリシーを割り当てる事前定義済ロールを識別します。セルをダブルクリックしてダイアログ・ボックスを開き、そのセルに挿入するロールを選択できます。完全なユーザー・ルール割当を形成するには、ポリシーの割当先とするユーザーに、ポリシーのセグメント値セキュリティ・ロールを割り当てる必要もあります。
演算子
保護された値セットのどの勘定科目値を許可するかを決定するために、行に指定された後続の値をどのように評価するかを示します。これは、セグメント値セキュリティ条件フィルタのキー属性です。
スプレッドシートを使用して作成された、同じポリシーに関連する条件行は、同じポリシーの様々な条件フィルタ行を接続してどの勘定科目値が関与するかを決定するときに、常に「いずれかに一致」オプションに設定されるか、または「OR」結合を使用するように設定されます。これは、単一の条件フィルタ行のみを含むポリシーであっても、デフォルトの一致設定です。
つまり、ポリシーによって許可される勘定科目値は、グループに規定されている条件行のいずれかに一致することのみが必要で、同時にすべての条件行に一致する必要はありません(もしそのことが必要であるとすると、1つの勘定科目値がこれらの条件のすべてを満たす可能性は低いため、そのグループの条件行では、一致しない、または勘定科目値がない可能性が高くなります)。
この表は、条件フィルタで使用できる演算子について説明しています。
| 演算子 | 説明 |
|---|---|
| すべての値 |
値セット内のすべての勘定科目値へのアクセス権を提供します。 |
| 次と等しい |
特定の勘定科目値へのアクセス権を提供します。指定した値が親勘定科目の場合、アクセス権は、その親を含むすべてのツリーおよびツリー・バージョンのうち、その親値にのみ適用されます。ルールでは、その子孫へのアクセス権は提供されません。 |
| 次と等しくない |
指定した1つの詳細/子または親値を除き、すべての値へのアクセスを提供します。親値の場合、除外は、その親値自体にのみ適用され、その子孫の親値、詳細値または子値には適用されません。 注意: ここでは、この演算子に関する重要な点をいくつか示します。
|
| 次の間にある |
「値: 自」列と「値: 至」列に指定された値の範囲に含まれる勘定科目値へのアクセス権を提供します。値の範囲に親勘定科目が含まれる場合、アクセス権は、その親を含むすべてのツリーおよびツリー・バージョンのうち、その親値にのみ適用されます。ルールは、指定された範囲の一部でないかぎり、その子孫へのアクセスを提供しません。 |
| 次を含む |
指定した値を含む勘定科目値へのアクセス権を提供します。一致する値が親勘定科目の場合、アクセス権は、その親を含むすべてのツリーおよびツリー・バージョンのうち、その親値にのみ適用されます。これらの子孫も条件に一致する場合を除き、その子孫にはアクセスできません。 |
| 次で終わる |
指定した値で終わる勘定科目値へのアクセス権を提供します。一致する値が親勘定科目の場合、アクセス権は、その親を含むすべてのツリーおよびツリー・バージョンのうち、その親値にのみ適用されます。これらの子孫も条件に一致する場合を除き、その子孫にはアクセスできません。 |
| 次で始まる |
指定した値で始まる勘定科目値へのアクセス権を提供します。一致する値が親勘定科目の場合、アクセス権は、その親を含むすべてのツリーおよびツリー・バージョンのうち、その親値にのみ適用されます。その子孫も条件に一致する場合を除き、その子孫にはアクセスできません。 |
| 次の子孫である |
指定された親勘定科目値およびそのすべての子孫へのアクセス権を提供します。子孫には、ルートからリーフ・ノードまで、その親の階層ブランチすべてにおける中間レベルの親勘定科目と非親勘定科目が含まれます。 |
| 次の末尾の子孫である |
指定した親勘定科目値およびその親のリーフ・ノードの勘定科目値へのアクセス権を提供します。アクセス権には、階層ブランチに沿った中間の親勘定科目値は含まれません。 |
値: 自
考慮する勘定科目値を決定する際に、指定した条件フィルタ演算子に適用する値を指定します。「次の間にある」、「次を含む」、「次で終わる」および「次で始まる」以外の条件フィルタ演算子を使用する場合は、有効な勘定科目値を指定する必要があります。これにより、まだ作成されていない勘定科目値を柔軟に組み込むことができます。
値: 至
考慮する勘定科目値を決定する際に、「次の間にある」条件フィルタ演算子に適用する値を指定します。これは範囲の終了値であり、まだ作成されていない勘定科目値を柔軟に組み込むことができます。
ツリー・コード
条件の親勘定科目値を選択するときに参照するツリーを識別します。「次の子孫である」および「次の末尾の子孫である」演算子を使用している場合、これは必須属性となります。これらの演算子は、行のツリー・コードを指定するときに選択できる唯一の有効な演算子でもあります。セル内でダブルクリックしてダイアログ・ボックスを開き、作業中の保護された値セットの有効なツリー・コードを選択できます。
勘定体系内の各セグメントには勘定体系構造設定の「デフォルト階層」値で指定されたとおりに個別のツリー・コードが関連付けられますが、保護された値セットに定義されている任意のツリーを参照できます。
ツリー・バージョン
条件の親勘定科目値を選択するときに参照する、選択したツリー・コードのツリー・バージョンを識別します。「次の子孫である」および「次の末尾の子孫である」演算子を使用している場合、これは必須属性となります。これらの演算子は、行のツリー・バージョンを指定するときに選択できる唯一の有効な演算子でもあります。
ポリシー開始日
ポリシーの開始日を指定します。ポリシーは、作成日より前の日付では有効にならないため、ポリシーの作成時には、現在のシステム日付以降の開始日を指定する必要があります。将来の日付を指定することもできます。
この属性は、同じポリシーに関連付けられている複数の条件フィルタの関連行間で同じ値を共有する必要があります。
ポリシー終了日
ポリシーの終了日を指定します。終了日には、ポリシー開始日より後の日付を指定する必要があります。終了日を指定しない場合、ポリシーは無期限に有効になります。
指定した終了日が今日または将来の日付であるかぎり、既存のポリシーの終了日を更新できます。つまり、ルールがまだアクティブであるということです。新しい終了日は、少なくとも今日の日付または将来の日付である必要があります。新しい終了日が現在の終了日より後である必要はありません。
たとえば、今日の日付が1月27日で、ルールの終了日が1月31日に設定されているとします。1日後の1月28日には、終了日を1月28日以降に更新できます。元の終了日である1月31日より後に設定する必要はありません。ただし、2月1日になると、終了日を1月31日から更新することはできません。
この属性は、同じポリシーに関連付けられている複数の条件フィルタの関連行間で同じ値を共有する必要があります。
監査目的のために、セグメント値セキュリティ・ポリシーは削除されません。かわりに、ポリシーが適用されなくなったことを示すために「ポリシー終了日」属性が使用されます。
削除用にマーク
選択した条件フィルタ行を削除してポリシーから削除するかどうかを示します。この削除インジケータにより、特定の行に対してこの処理を明示的に指定することがユーザーに求められ、これによってユーザーがポリシーの条件フィルタ行をアプリケーションから誤って削除することが防止されます。これは条件レベルの属性であり、ポリシーに関連付けられている個々の条件フィルタ行は、削除対象として明示的にマークできます。
ルール割当の作成
「セグメント値セキュリティ・ルールの管理」スプレッドシートの「ルール割当」ワークシートは、ユーザーにポリシーを割り当て、そのユーザーにポリシー割当が適用されるビジネス機能とセキュリティ・コンテキストを特定し、読取り専用または読取り/書込みアクセス・レベルのいずれかを付与するためのものです。
ワークシートに列が表示される順序で属性値を入力します。
この表は、「ルール割当」ワークシートの属性列とそのプロパティを示しています。
| 属性 | 必須 | 更新可能 |
|---|---|---|
| ユーザー名 | はい | いいえ |
| ポリシー名 | はい | はい |
| ロール名(表示専用) | 該当なし | 該当なし |
| ビジネス機能 | はい | はい |
| セキュリティ・コンテキスト | はい | はい |
| セキュリティ・コンテキスト値 | はい | はい |
| アクセス・レベル | はい | はい |
| 開始日 | はい | いいえ |
| 終了日 | いいえ | はい |
「ルール割当」ワークシートの準備に役立つ各属性の詳細を次に示します。
ユーザー名
ルール割当の対象のユーザーを識別します。次のいずれかのオプションを選択します。
- 特定を選択: 特定の保護された値セットのルールまたはポリシーを割り当てるユーザーのサインイン名を指定します。
- ポリシー・ロールに割り当てられたすべてを選択: 指定したポリシーに対してロールが割り当てられたすべてのユーザーとルール割当を共有する場合に選択します。
ポリシー名
ユーザーに割り当てるポリシーを識別します。セル内でダブルクリックしてダイアログ・ボックスを開き、特定の保護された値セットに対して有効なポリシーを選択できます。
ロール名
ルール割当の対象として選択したポリシーに関連付けられているロールを識別します。これは表示専用フィールドで、アプリケーションからルール割当を検索および取得する際に追加情報として表示されます。
ビジネス機能
ユーザーのルール割当が適用されるビジネス機能を識別します。このリストは、ビジネス機能によるセグメント値セキュリティをサポートする製品モジュールに対応しています。
この表は、ビジネス機能および対応する製品モジュールを示しています。
| ビジネス機能 | 製品モジュール |
|---|---|
| 資産 | Oracle Assets |
| General Ledger | Oracle General Ledger |
| 買掛管理 | Oracle Payables |
| 送り側会社間 | Oracle Intercompany |
| 売掛管理 | Oracle Receivables |
| 受け側会社間 | Oracle Intercompany |
これらのビジネス機能のいずれかを選択すると、Oracle Subledger Accounting (一般会計と補助元帳の間で統合する製品モジュール)が自動的に含められます。
ユーザーへのポリシーの付与が特定のビジネス機能のみに制限されていない場合は、「すべてのビジネス機能」を選択することもできます。また、これは、会社間モジュールにおいて、会社間ユーザーへのルール割当が、指定された会社間組織が送り側と受け側のキャパシティのどちらで取引するかに関係なく適用される場合にも使用できます。
この属性の選択により、次の「セキュリティ・コンテキスト」属性に対して有効な選択肢も決まります。これは、セキュリティ・コンテキストが選択されるビジネス機能に対応するためです。
セキュリティ・コンテキスト
どのタイプのセキュリティ・コンテキストで、ユーザーに対してポリシーまたはルール割当を有効とするかを識別します。選択したビジネス機能に関連するセキュリティ・コンテキストを選択する必要があります。たとえば、一般会計ビジネス機能の場合、適用可能なセキュリティ・コンテキストはデータ・アクセス・セットとなります。
選択肢は次のとおりです:
- ビジネス・ユニット: 買掛/未払金と売掛/未収金のビジネス機能に適用されます。
- 資産台帳: 資産ビジネス機能に適用されます。
- データ・アクセス・セット: 一般会計ビジネス機能に適用されます。
- 会社間組織: 会社間ビジネス機能に適用されます。
- すべてのセキュリティ・コンテキスト: いずれのビジネス機能にも適用されます。
この属性の選択により、次の「セキュリティ・コンテキスト値」属性に対して適用される選択肢も決まります。これは、コンテキスト値が選択されるセキュリティ・コンテキストに対応するためです。
特定のセキュリティ・コンテキストおよびセキュリティ・コンテキスト値に適用するようにユーザーのポリシーを制限する必要がない場合は、「すべてのセキュリティ・コンテキスト」を選択できます。この選択は、前の列の「すべてのビジネス機能」または特定のビジネス機能の選択と組み合せることができます。前者の場合、これは、ユーザーが作業しているビジネス機能、セキュリティ・コンテキストおよびセキュリティ・コンテキスト値に関係なく、ユーザーに対するルール割当またはポリシー付与が適用されることを意味します。これは、実質的に、このポリシーが常にユーザーに適用可能であることを意味します。特定のビジネス機能を選択した場合、ルール割当は、選択したビジネス機能に対してのみユーザーに適用されますが、ユーザーが作業しているセキュリティ・コンテキスト値は関係ありません。
「すべてのセキュリティ・コンテキスト」を選択した場合、「セキュリティ・コンテキスト値」属性に有効な選択肢は「すべてのセキュリティ・コンテキスト値」のみです。
セキュリティ・コンテキスト値
選択したセキュリティ・コンテキスト・タイプのセキュリティ・コンテキスト値、およびユーザーに対してポリシーまたはルール割当が有効になる、前の2つの列のビジネス機能のセキュリティ・コンテキストを指定します。選択肢には、ルール割当に対して選択したセキュリティ・コンテキストに応じて、システム内の有効な資産台帳、ビジネス・ユニット、データ・アクセス・セットまたは会社間組織が含められます。
ポリシーまたはルール割当が、割当先のユーザーにとっての関連性と効果を備えたものにするには、そのルール割当に対して選択された資産台帳、ビジネス・ユニット、データ・アクセス・セットまたは会社間組織が、「ユーザーのデータ・アクセスの管理」ページでユーザーに割り当てられ、かつそれに対するデータ・アクセス権がユーザーに付与されていることを確認します。
「すべてのセキュリティ・コンテキスト値」の選択肢もあります。これは、前の「セキュリティ・コンテキスト」列で「すべてのセキュリティ・コンテキスト」が選択されている場合に有効になる唯一の選択肢です。これにより、ユーザーがどのデータ・アクセス・コンテキストで作業するかに関係なく、このポリシーが常にユーザーに適用されます。
アクセス・レベル
指定されたビジネス機能、セキュリティ・コンテキストおよびコンテキスト値のユーザー・ルールまたはポリシー割当を、「読取り専用」または「読取りおよび書込み」のどちらで付与するかを示します。
「読取り専用」に設定されているルール割当の場合、許可される勘定科目値は、照会ページやレポートなどの読取り専用機能にのみ適用可能です。製品機能に会計データの更新機能が含まれる場合、ユーザーは読取り専用アクセス権を持つこれらの勘定科目値を使用できなくなります。
「読取りおよび書込み」に設定されたルール割当の場合、許可される勘定科目値は読取り専用機能および会計データの更新機能を含む機能に適用可能です。
開始日
ユーザー・ルール割当の開始日を指定します。新しいユーザー・ルール割当を作成する場合、日付を現在のシステム日付より前にすることはできません。これは、ルール割当は作成された日付より前には有効にできないためです。開始日として将来の日付を指定してユーザー・ルール割当を作成することもできます。
終了日
ユーザー・ルール割当の終了日を指定します。この日付は、ユーザー・ルール割当の開始日より前の日付、およびルール割当で参照されるポリシーの終了日より後の日付にはできません。
既存のユーザー・ルール割当の終了日は、現在の終了日が今日または将来の日付であるかぎり更新できます。つまり、ルール割当がまだアクティブであるということです。新しい終了日は、少なくとも今日の日付または将来の日付である必要がありますが、ルール割当で参照されるポリシーの終了日以内である必要があります。ユーザー・ルール割当の新しい終了日を現在の終了日より後の日付にする必要はありません。
たとえば、今日の日付が1月27日で、ルール割当の終了日が1月31日に設定されているとします。1日後の1月28日には、ルールで参照されるポリシーの終了日を超えないかぎり、新しい終了日を1月28日以降に設定できます。元の終了日である1月31日より後に設定する必要はありません。ただし、2月1日になると、ルール割当の終了日を1月31日から更新できません。
監査目的のために、ユーザーへのセグメント値セキュリティ・ポリシー割当のレコードは削除されません。かわりに、ポリシー割当が適用されなくなったことを示すためにルール割当「終了日」属性が使用されます。
ルールおよびルール割当の編集
既存のルールおよびルール割当を編集するには、まずアプリケーションからレコードをダウンロードすることが非常に重要であり、常に必要になります。
これにより、アプリケーションに格納されているルールまたはルール割当の現在のバージョンで作業していることが保証されます。「セグメント値セキュリティの管理」タブのワークシートの「検索」コマンドを使用して、レビューまたは編集する保護された値セットの既存のルールおよびルール割当レコードをダウンロードできます。
更新するレコードをダウンロードしたら、編集を行い、変更をアップロードしてアプリケーションに保存します。編集している同じスプレッドシートで、ルールおよびユーザー・ルール割当を作成することもできます。
「ルール」ワークシートでは、これらのフィールドに関連する検索文字列を指定することで、ポリシー名、セグメント値セキュリティ・ロールまたはその両方でポリシーの検索をフィルタできます。
「ルール割当」ワークシートでは、これらのフィールドに関連する検索文字列を指定することで、ユーザー名、ポリシー名またはその両方でユーザー・ルール割当の検索をフィルタできます。