1. 拡張コントロールの使用
  2. 誤検出の排除

誤検出の排除

アクセス・モデル結果をレビューすると、一部のレコードが誤検出であるとわかる場合があります。これらはモデルのリスク定義を満たしていますが、実際の職務分離リスクを示すものではありません。たとえば、次のいずれかの場合は、これが当てはまることがあります。

  • モデルでは、2つのアクセス・ポイント間のコンフリクトを定義していますが、いずれかのユーザアクセス権が読み取り専用の場合です。読み取り専用アクセスを与える集計権限を含むパスを持つ権限をコンフリクトが含んでいる場合です。

    集計権限は、1つの機能セキュリティ権限と関連するデータ・セキュリティ・ポリシーが組み合された事前定義済ロールです。場合によっては、ポリシーでデータへの読取り専用アクセス権を規定します。たとえば、ユーザーは、「勤務条件およびアサイメントの管理」権限にアクセスできます。そのアクセスは、勤務条件およびアサイメントの表示という集計権限を介して付与された場合は読取り専用になりますが、「勤務条件およびアサイメントの管理」という職務ロールを介して付与された場合は書込み可能になります。

  • モデルでは、2つのアクセス・ポイント間のコンフリクトを定義し、そのうちの1つがストライプがあるロールの階層内に存在する場合です。ストライプされたロールを変更すると、アクセス・ポイントが階層内に存在する可能性がありますが、実際にはアクセス権は付与されません。

    ロール・ストライプは、Oracle Fusion Cloudの特定のモジュールに適用されるロールのバージョンです。たとえば、事前定義済の「買掛/未払金請求書作成」職務ロール(ORA_AP_PAYABLES_INVOICE_CREATION_DUTY)があります。このロールのストライプ(ORA_AP_PAYABLES_INVOICE_CREATION_DUTY_OBIおよびORA_AP_PAYABLES_INVOICE_CREATION_DUTY_CRM)もあります。これらはそれぞれOracle Business Intelligenceおよび顧客リソース管理で使用されます。

    ロール・ストライプは変更できないため、これらの誤検出は、R12以前から継承された変更済ストライプにのみ関係します。

誤検出の結果を排除するには、これらを除外する条件を作成します。たとえば、パス条件は、ユーザーが読取り専用集計権限を介して権限にアクセスするときに生成される誤検出を適切に処理します。このプロセスには、次のステップが含まれます。

  1. アクセス・モデルを実行し、その結果をレビューして、誤検出レコードを識別します。たとえば、読取り専用であることがわかっている集計権限を含むパスを探します。または、ストライプのあるロールを含むパスを探します。

  2. 特定のレコードが誤検出であることを確認します。次に、それを除外する条件を作成します。たとえば、次のようにします。

    • 読取り専用集計権限に関係する誤検出の正確なパスを指定するユーザー定義アクセス・ポイントを作成します。次に、そのユーザー定義アクセス・ポイントを除外するパス条件を作成します。

    • 「アクセス・ポイント」属性、「次と等しくない」条件および読取り専用アクセス権を付与することがわかっているロールの名前を使用する従来の条件を作成します。たとえば、そのロールは勤務条件およびアサイメントの表示集計権限です。これにより、パス内のどこかでロールが発生するレコードが除外されます。

  3. 関連する条件フィルタをグローバル条件の要素として含めることを検討します。たとえば、グローバル条件に、読取り専用集計権限に関係する誤検出を識別するすべてのパス条件フィルタを含めることができます。このようにすると、除外する誤検出をモデルが返すたびに、各条件フィルタが適用されます。

  4. モデルを再実行します。返されるレコード数が少なくなり、すべてが本当のコンフリクトに関連していることがわかります。

読取り専用集計権限およびロール・ストライプは、誤検出の結果が発生する可能性がある原因の2つの例にすぎません。回答によって、他の誤検出の結果を排除できる条件フィルタを提案する設定について質問します。次にサンプルを示します。

次のいずれかにはいと答えた場合は、条件「同一内が「はい」と等しい」を追加できます。

  • 誰かがAP請求書の作成と支払の両方を行うことができるが、同じビジネス・ユニット内のみである場合、それをリスクとみなしますか。

  • 誰かが仕訳を作成して転記できるが、1つのデータ・アクセス・セットのみである場合、それをリスクとみなしますか。

次のいずれかにはいと答えた場合は、ユーザー定義アクセス・ポイントを作成し、それを除外するパス条件を作成します。

  • 特定のロールに対するクイック支払の機能を無効にしましたか。

  • サプライヤ・サイトで銀行口座タブを非表示にしましたか。

  • ロールに関連付けられたデータ・セキュリティ・ポリシーを変更し、ロールが特定のアクセス権を持たないようにしましたか。カスタムSQLを使用する場合でもですか。

次のいずれかにはいと答えた場合は、ロールを除外する条件を作成できます。

  • 開発インスタンスで、スーパーユーザー・ロールを持つユーザーを除外しますか。

  • 独自のサプライヤおよび請求書を作成することが予想される外部ユーザーのみを返すため、サプライヤ・ポータルのロールを除外しますか。

関連トピック