1. 拡張コントロールの使用
  2. アクセス条件の連携

アクセス条件の連携

条件フィルタは、互いにOR関係を持ちます。それぞれが独立して動作するため、あるフィルタで除外されたはずの項目が他のフィルタで選択される場合があります。

必須ではありませんが、ロジックが矛盾することを防ぐために、フィルタはすべて含むようにするか、すべて含めないようにすることをお薦めします。したがって、最初の条件フィルタで「次と等しい」「次を含む」または「次のいずれかと一致」条件を使用する場合、後続の各条件フィルタでは、これら3つの条件のいずれかを使用する必要があります。最初の条件フィルタで「次と等しくない」「次を含まない」または「次のいずれにも一致しない」の条件を使用する場合、後続の各条件フィルタでは、これら3つの条件のいずれかを使用する必要があります。

条件フィルタの連携の例を次に示します。

  • アクセス・ポイント・フィルタまたは資格/権利フィルタは、一部のパスに買掛/未払金の管理者ロールが含まれ、その他のパスに買掛/未払金マネージャ・ロールが含まれるレコードを返す場合があります。条件フィルタで、「アクセス・ポイント」が「買掛/未払金管理者」と等しいことを指定します。そのフィルタ自体では、管理者ロールを含むレコードが選択されますが、マネージャ・ロールを含むレコードは除外されます。ただし、2番目のフィルタで「アクセス・ポイント」が「買掛/未払金マネージャ」と等しいと指定します。最初のフィルタで除外されたと思われるマネージャ・レコードが選択されるため、モデルの結果には両方のロールを持つレコードが含まれます。

  • User1およびUser2に、売掛/未収金担当者ロールが割り当てられています。ただし、ユーザーのデータ・アクセスの管理では、User1への割当ては、家庭用電化製品ビジネス・ユニットに該当するデータにのみ適用すると定義されます。User2への割当ては、データベース・サーバー・ビジネス・ユニットへの適用として定義されます。条件フィルタ「ビジネス・ユニット」に「家庭用電化製品」を含むは、単独で、User1に割り当てられている売掛管理担当者に関連するレコードを選択し、User2を除外します。ただし、2番目のフィルタ「ビジネス・ユニット」に「データベース・サーバー」が含まれるでは、User2への割当てが選択されるため、モデルは両方のユーザーを含むレコードを返します。

負の条件(「次と等しくない」「次を含まない」、または「次のいずれにも一致しない」)を使用する場合は、条件フィルタが予期しない結果を返さないように注意してください。

たとえば、家庭用電化製品およびデータベース・サーバー以外のビジネス・ユニットで作業しているユーザーへの、売掛管理担当者ロールの割当てのみを返すモデルが必要な場合があります。したがって、User1およびUser2への割当てを除外する必要があります。そのため、「ビジネス・ユニット」が「家庭用電化製品」を含まないおよび「ビジネス・ユニット」が「データベース・サーバー」を含まないのフィルタを作成します。ただし、これには別の影響があります。各ユーザーへの売掛管理担当者の割当のレコードは、ビジネス・ユニットを明示的に除外しないフィルタでは選択されます。

必要な効果を実現するには、かわりに「ビジネス・ユニット」が「データベース・サーバー」、「家庭用電化製品」のいずれにも一致しないを指定するフィルタを作成する必要があります。

データ・セキュリティ条件を使用するフィルタには、その他の考慮事項が適用されます。

  • 1つのロールを含めるか除外するかは、関連するロールによって継承できます。

    たとえば、「US買掛/未払金マネージャ」ロールは、そのロールに含まれるユーザーと、2番目のロール「買掛/未払金北米」のロール階層に含まれるユーザーの両方に割当可能な場合があります。ユーザーへのデータ・アクセスの管理では、「US買掛/未払金マネージャ」を一部のユーザーに割り当てることで、データベース・サーバー・ビジネス・ユニットに関連付けられたデータにのみアクセス権が付与されるように指定できます。

    フィルタ「ビジネス・ユニット」が「データベース・サーバー」と等しいでは、US買掛/未払金のみでなく買掛/未払金北米に関連するレコードをこれらのユーザーに選択します。

  • ユーザーのデータ・アクセスの管理では、ロールが割り当てられたユーザーが使用できるデータを定義しますが、データ・セキュリティ・ポリシーなどの他のセキュリティ構成では、ユーザーのデータ・アクセスの管理で作成した定義を拡張できます。

    たとえば、User3に売掛管理マネージャ・ロールが割り当てられているとします。ユーザーのデータ・アクセスの管理では、割当はAR Brazilというビジネス・ユニットに関連付けられたデータに制限されます。User3に買掛/未払金マネージャ・ロールも割り当てられているとします。ユーザーのデータ・アクセスの管理では、割当はAP Italyというビジネス・ユニットに関連付けられたデータに制限されます。データ・セキュリティ・ポリシー構成のため、「AR入金」ページでは、User3にAR Brazilのデータのみが表示されますが、「AP請求書」ページでは、User3にAR BrazilとAP Italyの両方のデータが表示されます。