システム・アクセス・グループの概要
システム・アクセス・グループおよびルールを使用すると、ユーザーに割り当てられているジョブ・ロールおよび抽象ロールに基づいてオブジェクト・データにアクセスできます。
更新22B以降で初めて販売アプリケーションを使用している場合は、システム・アクセス・グループとそれに関連付けられたオブジェクト共有ルールを使用して、データへのユーザーのアクセスがデフォルトで管理されます。 更新22Bより前にOracle SalesまたはFusion Serviceでプロビジョニングされていた場合は、データ・セキュリティ・ポリシーのかわりにシステム・グループおよびルールを使用してデータ・アクセスを管理することをお薦めします。
Oracleには、次の2つのタイプのシステム・アクセス・グループが用意されています:
- 事前定義済ロールのグループ。 アクセス・グループは、環境内の事前定義済の営業およびサービス・ジョブ・ロール、およびリソースと認証済ユーザーの抽象ロールごとに生成されます。
事前定義済オブジェクト共有ルールは、各グループに割り当てられます。 ルールによって、グループ・メンバーは必要なデータにアクセスできます。 これらの事前定義済ルールは、デフォルトでアクティブです。
- カスタム・ロールのグループ。 アクセス・グループは、環境内のカスタム・ジョブ・ロールごとに生成されます。
カスタム・ロール用に生成されたアクセス・グループは、オブジェクト共有ルールに関連付けられていません。 これらのグループに事前定義ルールまたはカスタム・ルールを手動で追加する必要があります。 コピーしたソース・ロールに対して生成されたアクセス・グループなど、別のアクセス・グループからルールをコピーして、グループ・メンバーにデータへのアクセス権を付与することもできます。
UIでは、どのアクセス・グループが事前定義されているかを確認できます: 事前定義済ジョブ・ロール、またはリソースおよび認証済ユーザーの抽象ロールに対して生成されたシステム・アクセス・グループに割り当てられた番号は、ORA_プレフィクスで始まり、「事前定義済」チェック・ボックスが選択されています。
システム・アクセス・グループのメンバー
事前定義済またはカスタムのジョブ・ロールに割り当てたユーザーは、関連付けられたシステム・アクセス・グループのメンバーとして自動的に含められます。 リソースではないユーザーを含むすべての認証済ユーザーも、すべてのユーザー・システム・アクセス・グループに自動的に追加されます。 すべてのユーザー・システム・アクセス・グループを使用して、アプリケーションのすべての認証済ユーザーにオブジェクト・レコードへのアクセス権を付与できます。
「アクセス・コントロール・データのリフレッシュ」プロセスは、1時間ごとに自動的に実行され、環境内のカスタム・ジョブ・ロールおよびユーザー・ジョブ・ロール割当ての変更でシステム・グループを更新します。 ただし、「アクション」メニューから「グループとメンバーの更新」オプションを選択して、アクセス・グループのメイン・ページからいつでもプロセスを実行できます。
システム・アクセス・グループで変更できる内容
事前定義済またはカスタムのオブジェクト共有ルールをシステム・グループに追加できます。
ただし、システム・グループを作成したり、既存のシステム・グループを削除することはできません。 また、手動で、グループ・メンバーシップ・ルールを使用して、またはインポートおよびエクスポート機能を使用して、システム・グループのメンバーを追加または削除することはできません。