セキュリティ割当てによるデータ・アクセスの管理

セキュリティ管理者は、データ・レベル・アクセスを有効にするために、ユーザーにデータ・セキュリティ割当てをマップする必要があります。

現在設定されているデータ・セキュリティ割当てを検索するには、「セキュリティ」ページの「セキュリティ割当」タブを使用します。 すべてのレコードを検索することも、特定のセキュリティ・コンテキスト、セキュリティ値またはユーザーに検索を絞り込むこともできます。 設定したセキュリティ割当てを削除したり、ユーザーに新しいセキュリティ割当てを追加できます。

元帳およびビジネス・ユニットのデータ・セキュリティ割当てを提供する自動Fusionセキュリティ割当て機能の実装の一環として、ジョブ・ロール・コードのマッピングを「Oracle Fusionデータ・インテリジェンス」データ・セキュリティ・ロールに手動でアップロードする必要があります。 Oracle Fusion Cloud Applicationsのジョブ・ロールのセキュリティ割当ては、Oracle Fusion Data Intelligenceデータ・セキュリティ・ロールにマップされます。 この依存関係(アップロード・センターを介してジョブ・ロールをOracle Fusion Data Intelligenceデータ・ロールにマップする必要がある)は、リリース24.R4で削除されました。 今後は、Oracle Fusion Data Intelligenceで、Oracle Fusion Data Intelligenceのセキュリティ・ページを使用して指定したマッピングからセキュリティ・コンテキストが導出されるため、スプレッドシートのアップロードを介して再度実行する必要はありません。 これにより、定義されたセキュリティ・コンテキストにユーザーをマップする必要がなくなるわけではありません。 そのマッピングが完了していないと、カスタム・ロールに割り当てられている新しいグループのユーザーは、Oracle Fusion Data Intelligenceデータ・セキュリティ・ロールには同じレベルのアクセス権がありますが、Oracle Fusion Cloud Applicationsのカスタム・ジョブ・ロールおよびOracle Fusion Data Intelligenceの対応するグループにはアクセスできません。

トピック:

• セキュリティ割当の作成
• セキュリティ割当ての削除
• セキュリティ割当てからのユーザーの削除
• セキュリティ割当てのユーザーの管理
• セキュリティ割当の除外ルールの設定
• セキュリティ割当の自動更新

セキュリティ割当の作成

次の手順を使用して、特定のセキュリティ・コンテキストでセキュリティ割当てを作成します。

セキュリティ・コンテキストは、ユーザーを保護できる値を含むカテゴリです。 たとえば、どのユーザーがどの元帳または部門にアクセスできるかを定義できます。 この例では、「元帳」と「部門」はセキュリティ・コンテキストです。 「元帳」内では、元帳A、元帳Bまたは元帳Cを値として持つことができます。 最初に「元帳」を選択し、「元帳A」などの値を選択してから、「元帳A」用に保護するユーザーを選択します。 選択したユーザーは「元帳A」にアクセスできます。

1. サービスにサインインします。
2. Oracle Fusion Data Intelligence コンソールで、「サービス管理」の下の「セキュリティ」をクリックします。
   「セキュリティ」ページが表示されます。
3. 「セキュリティ」ページで、「セキュリティ割当」タブをクリックします。
   特定のセキュリティ・コンテキストでセキュリティ割当てを付与されているすべてのユーザーが表示されます。
4. 「新規割当」をクリックします。
5. 「新規セキュリティ割当」の「セキュリティ割当」で、セキュリティ・コンテキストを選択し、セキュリティ値を検索するか、表示されたリストから選択します。選択したセキュリティ割当てを右側の列に移動します。
6. 「ユーザーの選択」で、ユーザーを検索し、そのユーザーを選択して、そのユーザーを右側の列に移動します。
   ユーザーは、そのコンテキストに関連付けられているロールに基づいてフィルタされます。
7. 「カートに追加」をクリックし、「カートを表示」をクリックします。
8. 「セキュリティ割当て」で、「割当の適用」をクリックします。
   必要に応じて、このセキュリティ割当てを他のユーザーに付与できます。 バルク割当の処理には時間がかかる場合があります。 詳細は、「セキュリティ・アクティビティ」タブを参照してください。

セキュリティ割当ての削除

次の手順を使用して、セキュリティ割当てを削除します。 セキュリティ割当てを削除すると、Oracle Fusion Data Intelligenceによって、そのセキュリティ割当てに関連付けられているすべてのユーザーが削除されます。

1. サービスにサインインします。
2. Oracle Fusion Data Intelligence コンソールで、「サービス管理」の下の「セキュリティ」をクリックします。
   「セキュリティ」ページが表示されます。
3. 「セキュリティ」ページで、「セキュリティ割当」タブをクリックします。
4. 表示された割当リストからセキュリティ割当を選択するか、セキュリティ割当を検索して選択します。
5. 「割当の削除」をクリックします。

セキュリティ割当てからのユーザーの削除

1人以上のユーザーに付与されているセキュリティ割当てを取り消すことができます。

1. サービスにサインインします。
2. Oracle Fusion Data Intelligence コンソールで、「サービス管理」の下の「セキュリティ」をクリックします。
   「セキュリティ」ページが表示されます。
3. 「セキュリティ」ページで、「セキュリティ割当」タブをクリックします。
4. 表示された割当リストからセキュリティ割当を選択するか、セキュリティ割当を検索して選択します。
5. セキュリティ割当詳細リージョンで、表示されるユーザー・リストからユーザーを選択するか、ユーザーを検索して選択します。
6. 「ユーザーの削除」をクリックします。
7. 「ユーザー割当ての取消し」で、「割当の取消」をクリックします。

セキュリティ割当てのユーザーの管理

セキュリティ管理者は、既存のデータ・セキュリティ割当てのユーザーを管理できます。 「ユーザーの管理」ダイアログで、既存の割当てのユーザーを取り消すか、その割当ての新規ユーザーを追加できます。

1. サービスにサインインします。
2. Oracle Fusion Data Intelligence コンソールで、「サービス管理」の下の「セキュリティ」をクリックします。
   「セキュリティ」ページが表示されます。
3. 「セキュリティ」ページで、「セキュリティ割当」タブをクリックします。
4. 表示された割当リストからセキュリティ割当を選択するか、セキュリティ割当を検索して選択します。
5. 「セキュリティ割当ての詳細」リージョンで、「ユーザーの管理」をクリックします。
6. 「ユーザーの管理」で、次の手順を実行します:
   1. 「ユーザーの追加」で、ユーザーを検索し、ユーザーを選択します。
   2. 「ユーザー」で、「削除」アイコンをクリックして、割当てからユーザーを取り消します。
7. 「保存」をクリックします。

セキュリティ割当の除外ルールの設定

特定のセキュリティ割当のセキュリティ・コンテキスト内の特定のユーザーに対するアクセスを除外するようにデータ・セキュリティを設定できます。

たとえば、ビジネス・ユニットABC以外のすべてのセキュリティ割当へのアクセス権を付与できます。 これにより、セキュリティ・コンテキスト内の1人のユーザーに対して1つのルールを設定できます。 特定のユーザーの間接的に導出されたセキュリティ割当てを削除することもできます。 割当を除外するユーザーが、セキュリティ・コンテキストに関連するグループのメンバーであることを確認します。 DataSecurityExclusionAssignments_csv.zipをダウンロードし、変更してからアップロードすることで、セキュリティ除外ルールの適用を自動化できます。「データ・セキュリティ除外ルールのダウンロードおよびアップロード」を参照してください。

1. サービスにサインインします。
2. Oracle Fusion Data Intelligence コンソールで、「サービス管理」の下の「セキュリティ」をクリックします。
3. 「セキュリティ」ページで、「セキュリティ割当」をクリックし、「除外ルール」をクリックします。
4. 「セキュリティ割当」の除外ルールの設定ページで、「セキュリティ・コンテキスト」の元帳などのセキュリティ・コンテキストを選択し、「ユーザー」でセキュリティ割当てを除外するユーザーを選択し、「セキュリティ値」で、選択したセキュリティ・コンテキスト内で選択したユーザーから除外する割当てを選択します。
   
   

   

   
   
5. 「保存」をクリックします。

セキュリティ割当の自動更新

セキュリティ管理者は、セキュリティ割当ての更新を自動化して、組織内の通常のセキュリティ割当ての変更を効果的に管理します。

USERNAME、SEC_OBJ_CODE、SEC_OBJ_MEMBER_VAL、Operation (マッピングの追加または削除)の形式でデータの挿入および削除を自動化する場合は、セキュリティ割当ての変更を自動的に定期的に更新するように構成します。

セキュリティ割当ての変更が自動的に更新されるようにするには、Oracle Fusion Data Intelligenceインスタンスに関連付けられたOracle Autonomous Data WarehouseにOAX_USERスキーマの表を作成する必要があります。 表の名前が"CUSTOMER_FAW_CONTENT_AUTOSYNC_ASSIGNMENT"であることを確認します。 表の「CREATION_DATE」列に、協定世界時(UTC)形式のタイムスタンプを使用して、データをこの表に定期的にシードする必要があります。 CREATION_DATE列により、同じレコードが繰り返し処理されず、レコードが失われないことが保証されます。 Oracle Fusion Data Intelligenceは、シノニムを定期的にスキャンし(2時間1回)、値を取得し、CREATION_DATE基準に基づいて、Oracle Autonomous Data WarehouseのOAX$INFRAスキーマのFAW_CONTENT_AUTOSYNC_ASSIGNMENT表に移入します。 その後、Oracle Fusion Data Intelligenceはデータを処理し、FAW_CONTENT_AUTOSYNC_ASSIGNMENT表に従ってセキュリティ割当てをアップロードします。

1. Oracle Fusion Data Intelligenceインスタンスに関連付けられたOracle Autonomous Data Warehouseで、次のスクリプトを使用してOAX_USERスキーマにCUSTOMER_FAW_CONTENT_AUTOSYNC_ASSIGNMENT表を作成します:

   CREATE TABLE CUSTOMER_FAW_CONTENT_AUTOSYNC_ASSIGNMENT (
       "USERNAME"           VARCHAR2(256 CHAR),
       "SEC_OBJ_CODE"       VARCHAR2(256 CHAR),
       "SEC_OBJ_MEMBER_VAL" VARCHAR2(4000 CHAR),
       "OPERATION_TYPE"     VARCHAR2(65 CHAR),
       "CREATION_DATE"      TIMESTAMP(6)
   );
   
   -- Grant access from the schema OAX_USER
   
   GRANT SELECT ON CUSTOMER_FAW_CONTENT_AUTOSYNC_ASSIGNMENT TO OAX$INFRA;
   COMMIT;

2. CUSTOMER_FAW_CONTENT_AUTOSYNC_ASSIGNMENT表で、USERNAME、SEC_OBJ_CODE、SEC_OBJ_MEMBER_VAL、OPERATION_TYPEおよびCREATION_DATEの実際の値を指定します。 "OPERATION_TYPE"に"ADD"と入力し、"2024-02-21 12:34:56.789形式"でタイムスタンプを"CREATION_DATE"に入力します。