職務ロール
独自の職務ロールを作成して、事前定義済セキュリティ・モデルを構成できます。 この場合、職務ロールの構成方法を理解することが重要です。
一般的な職務ロールは2つのコンポーネントで構成されます: データ・セキュリティ・ポリシーと機能セキュリティ権限。 職務ロールは、他の職務ロールを継承することもできます。
機能セキュリティ・ポリシー
機能セキュリティ・ポリシーを使用すると、職務ロールを割り当てられたユーザーは、様々なUI要素、webサービス、タスク・フローおよびその他の機能にアクセスできます。 たとえば、「商談の削除」機能セキュリティ・ポリシーを持つ営業マネージャは、「削除」ボタンを表示してクリックできます。 このポリシーを削除すると、「削除」ボタンが表示から消えます。 ファンクション・セキュリティ・ポリシーは、次のもので構成されます:
- 職務ロール名。 ポリシーが適用される職務の名前(商談営業マネージャなど)。
- 保護されるアプリケーション機能を指定する機能権限(商談の削除など)。
一部のUIはデータ・セキュリティの対象ではないため、一部の機能セキュリティ権限には同等のデータ・セキュリティ・ポリシーがありません。
機能権限のリストは、セキュリティ・リファレンス・マニュアルの権限に関するセクションに記載されています。
データ・セキュリティ・ポリシー
データ・セキュリティ・ポリシーでは、オブジェクトに対して指定のアクションを実行できるロールと、アクションを実行できる条件を指定します。 データ・セキュリティ・ポリシーは次のもので構成されます。
- ロール名。 データ・セキュリティ・ポリシーが付与されるロールの名前。 ロールは、職務ロール、ジョブ・ロールまたは抽象ロールです。 たとえば、商談営業マネージャ職務ロールです。
- アクセス中のビジネス・オブジェクト(商談など)。 データ・セキュリティ・ポリシーでは、オブジェクトを表名で識別します(たとえば、商談の場合は
MOO_OPTY)。 - データに対して許可されるアクションを定義するデータ権限。 たとえば、商談の表示
- ビジネス・オブジェクトへのアクセスを許可するために満たす必要がある条件。 たとえば、営業マネージャは、管理チェーンにいるか、商談の営業チームのメンバーであるかぎり、商談を表示できます。
すべて表示条件が指定されている場合、ロールは関連するタイプのすべてのデータへのアクセスを提供します。
データ権限のリストは、セキュリティ・リファレンス・マニュアルのデータ・セキュリティ・ポリシーに関するセクションに記載されています。
ポリシー・ストア
ポリシー・ストアは、Oracle Cloudアプリケーションのすべてのロールのリポジトリです。 ポリシー・ストアは、各ロールに定義されたセキュリティ・ポリシーが格納される場所でもあります。 セキュリティ・コンソールは、Oracle Cloudアプリケーションのポリシー・ストアを管理するためのツールです。
詳細は、「職務ロール・コンポーネント」を参照してください。