1. 拡張コントロールの使用
  2. アクセス条件フィルタの作成

アクセス条件フィルタの作成

条件フィルタは、アクセス・ポイント・フィルタおよび資格/権利フィルタによって返されるロール割当のレコードから選択します。したがって、選択しないレコードは除外されます。2つのタイプがあります。

  • 基本条件フィルタは属性の値を指定するため、他の値を含むレコードを除外しながら、その値を含むレコードを選択します。たとえば、「ビジネス・ユニット」が「家庭用電化製品」と等しい場合、「家庭用電化製品」というビジネス・ユニットに関係するレコードが選択され、他のビジネス・ユニットに関係するレコードは除外されます。

    反対に、フィルタに「ビジネス・ユニット」が「家庭用電化製品」と等しくないと指定される場合もあります。この場合は他のビジネス・ユニットに関係するレコードが選択され、「家庭用電化製品」ユニットは分析から除外されます。

  • 「同一内」属性は、ビジネス・ユニットなどのエンティティ内のみ、または複数のエンティティ間でのみレコードを選択します。たとえば、「同一ビジネス・ユニット内」が「はい」と等しい場合、個々のビジネス・ユニット内でのみ割当のレコードが選択されます。ユニット間で許可されるアクセスのレコードは除外されます。たとえば、1つの競合アクセス・ポイントが「データベース・サーバー」という名前のビジネス・ユニットで許可され、2つ目が「家庭用電化製品」ユニットで許可される場合などです。

    逆に、フィルタに、「同一ビジネス・ユニット内」が「いいえ」と等しいという条件を含めるとします。この場合、異なるビジネス・ユニット間で許可されるアクセスのレコードは選択されますが、個々のユニット内でのみ許可されるアクセスのレコードは選択されません。

ノート:

「同一内」の条件は、人材管理以外のアプリケーションでアクセス・リスクを評価するモデルで使用します。人材管理アクセス・モデルのフィルタでは、「同一内」の条件を使用しないでください。

どのアクセス・モデルにも1つ以上のアクセス・ポイント・フィルタまたは資格/権利フィルタを含める必要がありますが、条件フィルタはオプションです。

アクセス条件を定義するフィルタを作成するには、次の手順を実行します。

  1. 「モデル・ロジック」パネルで、「フィルタの追加」をクリックします。ダイアログ・ボックスが表示されます。「名前」フィールドに、フィルタの名前を入力します。

  2. 「オブジェクト」フィールドで、1つ以上のアクセス・ポイントまたは資格/権利フィルタを作成したデータ・ソースの条件オブジェクトを選択します。

  3. 「属性」フィールドで、条件のベースにする属性を選択します。レコードを選択してそれ以外のレコードを暗黙的に除外するフィルタを作成するには、含めるエンティティまたは除外するエンティティのタイプを指定する属性を選択します。エンティティ内または異なるエンティティ間を参照するようにモデルに指示するフィルタを作成するには、「同一内」属性を選択します。

  4. 「条件」フィールドで、事前定義済条件のセットから1つを選択します。これらについては、以降で説明します。

  5. 「タイプ」フィールドで、デフォルトで選択されている「値」を受け入れます。「値」フィールドで、選択した条件を完成させる値を選択または入力します。

「同一内」属性に使用できる条件は、「次と等しい」のみであり、これに対して選択できる値は「はい」「いいえ」のみです。これ以外の属性には、次の条件を選択できます。

  • 「次と等しい」または「次と等しくない」: 属性値が「値」フィールドで選択した値と一致するレコード、または一致しないレコードのみを考慮します。

    フィルタで「アクセス・ポイント」属性と「等しい」条件または「次と等しくない」条件を使用する場合、指定されたアクセス・ポイントがパス内のどこかに存在するレコードが返されるか除外されます。たとえば、「総支給項目の計算」権限が、「給与マネージャ」→「総支給項目の計算」と「給与インタフェース・コーディネータ」→「総支給項目の計算」の2つのロール階層に存在するとします。フィルタ「アクセス・ポイント」が「総支給項目の計算」と等しくないでは、これら両方のロール階層がモデル分析から除外されます。(パス条件を使用して、さらに詳細な除外を作成できます。)

  • 「次を含む」または「次を含まない」: 「値」フィールドに入力したテキスト文字列が属性値に含まれるレコード、または含まれないレコードのみを考慮します。たとえば、「ユーザー名」に「Super」を含むでは、「Payables Super User」という一般ユーザー、ユーザー名Juanita_Superaを使用する個人、および名前に文字列「Super」が含まれる他のユーザーが選択されます。この例の条件では、名前に「Super」が含まれていないユーザーが除外されます。

    これら2つの条件のいずれかを使用するモデルでは、評価する条件の属性値がないすべてのレコードが除外されます。したがって、「次を含まない」条件では、想定外のレコードが除外されます。たとえば、資産台帳にABCが含まれていないという条件を作成するとします。レコードの「資産台帳」属性に値がない場合は、「資産台帳」値に文字列「ABC」が含まれていないため、この条件によりそのレコードが選択されると想定する可能性があります。しかし、そのレコード(および「資産台帳」値がない他のすべてのレコード)が除外されます。

    「次を含む」条件の場合、同じルールが適用されますが、効果は同じではありません。たとえば、資産台帳にXYZが含まれるという条件では、資産台帳名にXYZが含まれるレコードが選択されて、その他すべてのレコードが除外されますが、「資産台帳」の値がないレコードも除外の対象になります。

  • 「次のいずれかと一致」または「次のいずれにも一致しない」: 属性値が、「値」フィールドで選択した値の数と完全に一致するレコード、またはいずれにも一致しないレコードのみを考慮します。たとえば、「ユーザー名」が「BSMITH」または「TJONES」のいずれとも一致しないという条件では、他のすべてのユーザーを選択することにより、これらのユーザーが分析から除外されます。