1. ERPの保護
  2. セグメント値セキュリティに関する特別な考慮事項
機械翻訳について

セグメント値セキュリティに関する特別な考慮事項

ビジネス機能によるセグメント値セキュリティには、次の領域に関して特別な考慮事項があります:

  • バックエンド・プロセス
  • 設定タスク
  • Oracle Transactional Business Intelligenceレポート
  • 特定のデータ・セキュリティ・コンテキストがない機能
  • 複数の保護された勘定体系セグメント
  • 元帳またはその法的エンティティへのプライマリ貸借一致セグメント値割当て
  • 保護されているモジュールから保護されていないモジュールへの切替

バックエンド・プロセス

ビジネス機能によるセグメント値セキュリティは、バックエンド・プロセスには適用されません。

バックエンド・プロセスは、ユーザーからのアクティブなエンゲージメントなしでバックグラウンドで実行される発行済プロセスです。 これらのプロセスの中には、会計トランザクションや勘定残高などの勘定体系値によって組み立てられる財務データを生成または更新できるものがあります。

この表は、このようなバックエンド・プロセスの例を示しています。

モジュール バックエンド・プロセス
一般会計 転記、換算、再評価、期間のオープン
補助元帳会計 会計の作成
ノート: 財務データに関するレポートも処理のために発行されますが、バックエンド・プロセスとはみなされません。 それらは財務データを出力形式で表示する要求です。

次の理由により、ビジネス機能によるセグメント値セキュリティは、このようなバックエンド・プロセスには適用されません。

  • 会計の自動化が進むにつれて、これらのプロセスから得られる財務データを操作するエンド・ユーザーにかわって、管理者がバックエンド・プロセスを発行する可能性が高くなります。
  • 場合によっては、アプリケーション自体がバックエンド・プロセスの発行を開始することがあります。
  • バックエンド・プロセスを発行するユーザーは、最終的に結果の財務データを操作するエンド・ユーザーから切り離されている場合があります。
  • バックエンド・プロセスと、これらのプロセスを発行するユーザーのセキュリティ・プロファイルとの間には、直接的な相関関係がない可能性があります。

財務データを保護する鍵は、エンド・ユーザーに作業する権限がある財務データにのみアクセスできるようにすることです。 したがって、ビジネス機能によるセグメント値セキュリティの適用は、そのようなユーザーが財務データを更新したり、財務データをレポートまたは照会する際に厳密に適用されます。

設定タスク

ビジネス機能によるセグメント値セキュリティは、設定タスクには適用されません。

一部の設定タスクは、会計トランザクションと財務データを生成するアプリケーションまたは処理のルールの構成に関連しています。 このような設定タスクでは、多くの場合、勘定体系の要素に関わり、財務データの生成時に使用される勘定体系値を制御する構成およびマッピング・ルールが含まれます。

このような設定タスク(特に参照データの設定)へのアクセスは、通常、管理者ジョブ・ロールにのみ付与され、そのロールを割り当てられたユーザーがアプリケーションの構成を担当します。 これらのユーザーは、財務データ自体を直接操作しません。

これらのタスクには、参照データの設定に加えて、会計または仕訳を直接生成できるトランザクション生成の設定も含まれます。

次に例を示します。

  • 資産管理: 資産台帳定義
  • 一般会計: 配賦算式
  • 一般会計: 勘定体系構成
  • 一般会計: 勘定体系マッピング・ルール
  • 一般会計: 元帳定義
  • 一般会計: 再評価定義
  • 会社間: 貸借一致勘定科目ルール
  • 売掛管理: 自動インボイス・ルール
  • 補助元帳会計: 会計基準の作成
  • 補助元帳会計: トランザクション勘定科目ビルダー・ルール

通常、設定タスクでは、設定レコードでの作業中にデータ・セキュリティ要素を設定するために、データ・アクセス・セット、ビジネス・ユニット、資産台帳または会社間組織などのセキュリティ・コンテキスト値を選択できません。

このようなセキュリティ・コンテキスト・オブジェクトが参照された場合、その目的は、そのセキュリティ・コンテキスト値を使用して財務データを作成することではなく、設定が構成されているオブジェクトのインスタンスを識別することです。

管理者またはそのような設定タスクを操作するための機能アクセスが提供されているユーザーは、アプリケーション内のすべての元帳、ビジネス・ユニット、資産台帳および会社間組織にわたって構成および会計基準を設定できます。 設定管理者ユーザーは、保護された勘定体系値セットに対しても任意の勘定科目値を使用できます。 設定タスクのみへのアクセス権により、ユーザーは、データ・セキュリティ強制をさらに指定せずに、このような設定レコードを操作できます。

Oracle Transactional Business Intelligenceレポート

Oracle Transactional Business Intelligence (OTBI)レポートでのセグメント値セキュリティには、ビジネス機能による適用はサポートされていません。

勘定体系値セットが保護されると、セキュリティは、個々のビジネス機能への適用が有効になっているかどうかに関係なく、すべてのビジネス機能にわたって適用されます。 値セットのセキュリティが有効になっているかぎり、一般会計、買掛管理、売掛管理、資産管理、会社間および補助元帳会計のすべてのビジネス機能にセキュリティ強制が適用されます。

OTBIレポートを使用すると、複数の製品(ビジネス機能)にまたがるレポートをまとめることができます。 さらに、ユーザーは、現在どのデータ・アクセス・セキュリティ・コンテキスト(データ・アクセス・セット、ビジネス・ユニット、資産台帳など)を操作するかを直接選択しません。 かわりに、一般的には、ユーザーの累積的なデータ・アクセス・セキュリティ割当てが常に同時に取得されます。 どちらの要因も、ビジネス機能によるセグメント値セキュリティを正確かつ完全に適用する機能に影響します。

特に一般会計サブジェクト領域でOTBIレポートを実行する場合は、ユーザーの現在のデータ・アクセス・セットの選択によって、適用可能なデータ・セキュリティが決まります。 これは、アプリケーションで現在選択されているユーザーのデータ・アクセス・セットがプロファイル・オプションに保存されるためです。 保護された勘定体系の元帳についてレポートする場合に、どのセグメント値セキュリティ・ユーザー・ルール割当てをユーザーに適用するかを評価する際、アプリケーションによってこのデータ・アクセス・セットが活用され、単独で適用されます。 保護された勘定体系がない元帳についてレポートする場合は、ユーザーの累積的に割り当てられたデータ・アクセス・セットが同時に適用されます。

データ・セキュリティ・コンテキストのない機能

財務トランザクションや残高を直接操作し、ユーザーのデータ・セキュリティ・コンテキストを確立できない製品機能があります。

次に例を示します。

  • 標準の補助元帳会計Oracle Analytics Publisherレポートには、データ・アクセス・セットなど、ユーザーに割り当てられている特定のセキュリティ・コンテキスト値と常に直接的または一意に一致するわけではない1つ以上の元帳の財務データが含まれる場合があります。
  • 一般会計以外のOracle Transactional Business Intelligenceレポートでは、ユーザーが、そのユーザーに適用可能な特定のビジネス機能によるセグメント値セキュリティ付与を導出するための特定のデータ・セキュリティ・コンテキスト選択を確立できません。

これらの機能には、変更された形式のビジネス機能によるセグメント値セキュリティ強制が適用されます。 特定のユーザー・ルール割当属性にかわるパーセント値によって、セキュリティ付与に対して特定の値を照合する必要がないことが示されます。 この広範なユーザー・ルール割当照合基準により、財務データを操作するときにアクセス権が付与されている保護された勘定科目へのユーザーのアクセスは引き続き制限されますが、非特定ベースとなります。

このような機能での動作を次に示します。

アクセス可能な保護された勘定科目の範囲を制限できるユーザーに対する照合ルール割当てがあるかどうかを判断する場合、照合しきい値を低くするために、セキュリティ・コンテキストおよびセキュリティ・コンテキスト値の属性設定は無視されます。 そのルール割当てのビジネス機能およびアクセス・レベルの属性は、引き続き考慮されます。

これは、現在の使用シナリオで一致する正確なユーザー・ルール割当てがない場合に、「すべての値」付与の自動適用にかわるものです。 このアプローチは、事実上、勘定体系のセキュリティが強制されないことを意味します。 かわりに、この代替アプローチでは、勘定体系の保護された各値セットに対する累積付与によってアクセス権が提供される場合、ユーザーは少なくともそのような付与の存在によってアクセス権が提供される財務データのみを操作するように制限されます。

別の例として、補助元帳会計アプリケーションの機能を使用する場合、ユーザーはセキュリティ・コンテキスト選択(データ・アクセス・セット、ビジネス・ユニットなど)を明示的に指定しません。 一般会計では、同じユーザーが、ユーザーの累積的なデータ・アクセス・セット割当全体で元帳の財務データを同時に操作できます。

つまり、データ・アクセス・セットなどの特定のセキュリティ・コンテキスト値でタグ付けできるユーザーのセキュリティ付与では、補助元帳会計の使用シナリオに対して、ユーザーのより正確に定義されたルール割当てを完全に一致させることはできません。 このような付与が「すべてのセキュリティ・コンテキスト」セキュリティ・コンテキストでタグ付けされている場合、または「データ・アクセス・セット」セキュリティ・コンテキストが「すべてのセキュリティ・コンテキスト値」セキュリティ・コンテキスト値とペアになっている場合は、ユーザーに対するこのような付与も一致として含まれます。

一般会計ユーザーの場合、ユーザーが操作している元帳の勘定体系に関係する保護された値セットに対するユーザーの一般会計ビジネス機能ルール割当てもすべて適用されます。 これは、これらのルール割当てに関連付けられているデータ・アクセス・セット・セキュリティ・コンテキストおよびセキュリティ・コンテキスト値とは関係ありません。 つまり、保護された値セットに対するユーザーのすべての一般会計ビジネス機能ルール割当てが累積的に適用されます。 このような緩やかな照合条件下でも、ユーザーに一致する付与がない場合は、その場合にのみ、関連する保護された値セットに対するデフォルトの「すべての値」付与が適用されます。

複数の保護された勘定体系セグメント

勘定体系で複数のセグメントがビジネス機能によるセグメント値セキュリティに対して有効になっている勘定科目組合せを使用する場合は、次の点を考慮してください。

  • 特定の使用シナリオでは、保護された各勘定体系セグメントの勘定科目値へのユーザーのアクセス権は、最初に個別に、他とは独立して考慮されます。 次に、勘定科目組合せの勘定科目値に対して、ユーザーに異なるアクセス・レベルがある場合、これらの勘定科目値の中で最も低いアクセス・レベルが勘定科目組合せ全体に適用されます。
  • 勘定科目組合せでユーザーが少なくとも1つのセグメントの勘定科目値にアクセスできない場合、その勘定科目組合せは、ユーザーにアクセス権がない勘定科目組合せです。 これは、勘定科目組合せにアクセスするには、その保護された各セグメント値へのアクセス権が必要となるためです。
  • 少なくとも1つのセグメントの勘定科目値に対してユーザーに読取り専用アクセス権がある勘定科目組合せの場合、その勘定科目組合せはユーザーにとって読取り専用の勘定科目組合せになります。 これは、勘定科目組合せに対する読取りおよび書込みアクセスには、勘定科目組合せの保護された各セグメント値への読取りおよび書込みアクセスが必要となるためです。

たとえば、勘定科目組合せ01-101-1000の最初のセグメントと2番目のセグメントが保護されているとします。 ユーザーには、最初のセグメント値01への読取り専用アクセス権があり、2番目のセグメント値101に対するアクセス権はありません。 ユーザーはその勘定科目組合せにはアクセスできません。 ユーザーが最初のセグメント値01に対して読取りおよび書込みアクセス権を持っているとしても、ユーザーは勘定科目組合せ01-101-1000にはアクセスできません。

さらにこの例で、別のユーザーが最初のセグメント値01への読取り専用アクセス権と、2番目のセグメント値101への読取りおよび書込みアクセス権を持っています。 勘定科目組合せ01-101-1000に対してそのユーザーに適用されるアクセス・レベルは読取り専用です。

勘定科目組合せ01-101-1000に対する読取りおよび書込みアクセス権を確保するためには、ユーザーには、最初のセグメント値01と2番目のセグメント値101の両方に対して読取りおよび書込みアクセス権が必要です。

勘定科目組合せのすべての保護されたセグメントの勘定科目に対して少なくとも読取り専用アクセス権がユーザーにない場合、そのユーザーにはその勘定科目組合せに対する読取り専用アクセス権もありません。

元帳およびその法的エンティティへのプライマリ貸借一致セグメント値の割当

プライマリ貸借一致セグメント値を元帳またはその法的エンティティに割り当てることは、勘定体系データ・セキュリティとは関係ありません。

これは、元帳の会計構成に対する検証であり、特定の元帳でユーザーが操作できるプライマリ貸借一致セグメント値に影響します。

元帳にプライマリ貸借一致セグメント値割当てがあり、特定のプライマリ貸借一致セグメント値がその元帳またはその法的エンティティに割り当てられていない場合は、その元帳を操作する際、ユーザーはそのプライマリ貸借一致セグメント値を使用できません。 これは、次のいずれかの方法を使用して、ユーザーにアクセス権が付与されているかどうかには関係ありません:
  • ユーザーには、保護されたプライマリ貸借一致セグメントがある勘定体系の特定のプライマリ貸借一致セグメント値に対して、セグメント値セキュリティ付与が提供されます。
  • 一般会計モジュールの場合、ユーザーには、元帳全体のデータ・アクセス・セットまたはプライマリ貸借一致セグメント値ベースのデータ・アクセス・セットを介して、そのプライマリ貸借一致セグメント値へのアクセス権が付与されます。

保護されているモジュールから保護されていないモジュールへの切り替え

ユーザーが、ビジネス機能によるセグメント値セキュリティをサポートするモジュールの1つから、サポートしないモジュールに切り替えると、保護されていないモジュールで勘定科目アクセスが制限され続ける可能性があります。

これを解決するには、モジュールを切り替えるときに、ユーザーがアプリケーションからサインアウトして再度サインインする必要がある場合があります。 この処理によってキャッシュがリセットされ、ユーザーは、セキュリティ強制が想定されていないモジュール内のすべての勘定科目にアクセスできるようになります。