1. 企業契約の実装
  2. アクセス・グループを使用した契約へのアクセスの制御
機械翻訳について

アクセス・グループを使用した契約へのアクセスの管理

アクセス・グループを使用して契約レコードへのアクセスを制御できるようになりました。 アクセス・グループは、ユーザーにデータ権限を付与する代替の方法です。 アクセス・グループを作成してユーザーを割り当てると、すべてのグループ・メンバーは、グループに対して定義されたオブジェクト共有ルールに基づいて契約データへのアクセス権を受け取ります。 これらのルールは、ユーザーが表示できる契約と、各ユーザーが読取りアクセスやフル・アクセスなどのアクセス権のタイプを決定します。

ノート:アクセス・グループの使用は、Redwoodの契約UIを介して契約にアクセスするために必要であり、契約クラシックUIでも使用できます。 推奨されるアプローチは、アクセス・グループに完全に移行して、よりシンプルで合理的な管理を行うことです。 アクセス・グループとデータ・セキュリティ・ポリシーは、必要に応じて一緒に使用できます。

アクセス・グループは、既存のデータ・セキュリティ・ポリシーを補足できます。 アクセス・グループとデータ・セキュリティ・ポリシーの両方が構成されている場合、ユーザーは両方のメカニズムによって付与された統合表示を受け取ります。 アクセス・グループによって提供されるアクセスのみを有効にする場合は、契約所有権に基づくポリシー、ビジネス・ユニット・ベースのセキュリティまたはチーム・メンバーシップに基づくポリシーなど、既存のデータ・セキュリティ・ポリシーによって付与される表示を削除する必要があります。

アクセス グループは、機能セキュリティと共に使用します。 ユーザーはどの契約レコードにアクセスできるかを識別し、ジョブ・ロールはそれらのレコードに対してユーザーが実行できる処理を引き続き管理します。

契約のシステム・アクセス・グループ

事前定義済の契約関連ロールに対して、次のシステム・アクセス・グループが作成されます。 ユーザーは、ジョブ・ロール割当に基づいて、これらのグループに対して自動的に追加または削除されます。

  • 顧客契約管理者グループ
  • 顧客契約マネージャ・グループ
  • 顧客契約チーム・メンバー・グループ
  • エンタープライズ契約管理者グループ
  • エンタープライズ契約マネージャ・グループ
  • エンタープライズ契約チーム・メンバー・グループ
  • サプライヤ契約管理者グループ
  • サプライヤ契約マネージャ・グループ
  • サプライヤ契約チーム・メンバー・グループ

これらのグループは、「タイプ」が「システム・グループ」の「アクセス・グループ」セクションにリストされており、変更できません。

事前定義済システム・グループが強調表示されたスクリーンショット

契約の事前定義済オブジェクト共有ルール

契約オブジェクトには、次の事前定義済ルールを使用できます。 これらのルールは、適切なシステム・アクセス・グループに自動的に関連付けられ、変更できません。
契約領域ベースのルール 事前定義済ルール
一般アクセス・ルール すべての契約
契約所有者ベースのルール
  • 契約所有者読取りアクセス
  • 契約所有者フル・アクセス
販売契約ルール

ビジネス・ユニットベース

  • ビジネス・ユニット別販売契約

リソース・ベース

  • リソース別販売契約読取りアクセス
  • リソース別販売契約フル・アクセス

リソース祖先ベース

  • リソース祖先別販売契約読取りアクセス
  • リソース祖先別販売契約フル・アクセス

リソース組織マネージャ/メンバー/祖先/子孫ベース

  • リソース組織マネージャ別営業契約読取りアクセス
  • 祖先リソース組織マネージャによる販売契約読取りアクセス
  • リソース組織メンバー別販売契約読取りアクセス
  • 子孫リソース組織別販売契約読取りアクセス
  • リソース組織マネージャ別販売契約フル・アクセス
  • 祖先リソース組織マネージャによる販売契約フル・アクセス
  • リソース組織メンバー別販売契約フル・アクセス
  • 子孫リソース組織別販売契約フル・アクセス
調達契約ルール

ビジネス・ユニットベース

  • ビジネス・ユニット別調達契約

リソース・ベース

  • リソース別調達契約読取りアクセス
  • リソース別調達契約フル・アクセス

リソース祖先ベース

  • リソース祖先別調達契約読取りアクセス
  • リソース祖先による調達契約フル・アクセス

リソース組織マネージャ/メンバー/祖先/子孫ベース

  • リソース組織マネージャ別調達契約読取りアクセス
  • 祖先リソース組織マネージャによる調達契約読取りアクセス
  • リソース組織メンバー別調達契約読取りアクセス
  • 子孫リソース組織別調達契約読取りアクセス
  • リソース組織マネージャ別調達契約フル・アクセス
  • 祖先リソース組織マネージャによる調達契約フル・アクセス
  • リソース組織メンバー別調達契約フル・アクセス
  • 子孫リソース組織別調達契約フル・アクセス

カスタム契約アクセス・ルールの定義

幅広い契約属性を使用して、カスタム契約アクセス・ルールを構成できます。 これらの属性を使用すると、ビジネス基準に基づいて、アクセス・グループが表示または処理できる契約レコードを詳細に制御できます。

ルール定義に使用できる共通属性には、次のものがあります。

  • ビジネス・ユニット
  • 契約ステータス
  • 目的
  • 契約タイプ
  • 契約区分
  • 法的エンティティ
  • バージョン・タイプ
  • テンプレート・フラグ
  • 契約番号
  • 契約ID
  • 作成日
  • Amount
  • 保留事由
  • すべての拡張可能属性
  • すべての付加フレックスフィールド

カスタム・ルールを定義すると、適切な読取りレベルまたはフル・レベルのアクセスを使用して、1つ以上のアクセス・グループを割り当てることができます。 カスタム契約アクセス・ルールの作成時に、事前定義済のシステム・ルールを事前定義済の条件として参照することもできます。

契約のアクセス・グループまたはオブジェクト共有ルールを変更した後、「モニター」セクションの次の4つのタブから必要なスケジューラ・ジョブを実行して、変更が適用されるようにする必要があります。 これらのスケジューラ・ジョブには、次のプロセスが含まれます。

  1. グループおよびメンバーの更新
    • ユーザーまたはロールの割当てが変更されたときに実行します。
  2. ルールの公開
    • オブジェクト共有ルールまたはルール割当が変更されたときに実行されます。
  3. カスタム・オブジェクトおよびフィールドの同期
    • カスタム・オブジェクト、属性の更新時に実行します。
  4. オブジェクト共有ルール割当の実行 (契約オブジェクト)
    • オブジェクト共有割当の移入を実行

適用可能なすべてのジョブを実行すると、アプリケーション全体でアクセス・グループ・メンバーシップ、ルール条件および契約表示が完全に同期されます。 特に、「オブジェクト共有ルール割当の実行」ジョブは、契約アクセス割当を最新の状態に保つために、頻繁に(通常は15分から30分ごとに)実行するようにスケジュールする必要があります。

Sales and Service Access Managementの詳細は、アクセス・グループのOracleドキュメントアクセス・グループの概要を参照してください。

オブジェクト共有ルールの例

次のステップを使用して、付加フレックスフィールド(DFF)属性を使用して機密契約へのアクセスを制限するルールを作成できます。 付加フレックスフィールドは、標準データ・モデルで提供されていない取得済ビジネス固有データに契約オブジェクトに追加できる構成可能なフィールドです。

このルールにより、ユーザーは自分のビジネス ユニットに属するすべての契約にアクセスできます(ただし、機密とマークされた契約は除きます)。 契約のConfidential DFF属性が「はい」に設定されている場合、ユーザーが通常そのビジネス・ユニット内の他のすべての契約を表示できる場合でも、契約はユーザーに対して非表示になります。

次にステップを示します。

  1. 新規ユーザーの作成

    1. 「ツール」に移動し、「セキュリティ・コンソール」を開き、「ユーザー」を選択します。

    2. 「ユーザーの作成」で、必須フィールド(「ユーザー名」、「電子メール」、「リソース」など)を入力します。

    3. ユーザーを保存します。

  2. 標準顧客契約管理者ロールのディープ・コピー

    1. 「ツール」に移動し、「セキュリティ・コンソール」を開き、「ロール」を選択します。

    2. 事前定義済の顧客契約管理者ロールを検索します。

    3. 「コピー」を使用して、新しいカスタム・ロール(顧客契約管理者カスタム・ロールなど)を作成します。

      1. 「ロールのコピー」を選択します。

        顧客契約管理者カスタム・ロールをコピーして、新しいカスタム・ロールを作成します。

      2. 「最上位ロールおよび継承されたロールのコピー」を選択し、「オプションのコピー」ダイアログから「ロールのコピー」を選択します。

      3. 要件に基づいてロール名およびロール・コードを変更し、「次へ」を選択します。

      4. 「機能セキュリティ・ポリシー」および「権限グループ」をそのままにして、「次へ」を選択します。

  3. コピーしたロールからデータ・セキュリティ・ポリシーを削除します。

    1. 契約の可視性を直接提供するデータ・セキュリティ・ポリシー(DSP)権限を削除します(アクセス・グループを介して可視性を提供します)。 契約を表示または編集するために必要な機能権限を保持します。

    2. 「データ・セキュリティ・ポリシー」セクションで、ポリシー名の「契約の付与」を検索します。

      1. 「データ・セキュリティ・ポリシーの削除」を選択して、「アクション」メニューからすべての「契約に対する付与」ポリシーを削除します。

      2. この例では、ポリシー名Grant on ContractのDSPが2つあるため、それらを削除して「次」を選択します。

  4. ロール階層からのロールの追加および削除

    1. 「ロール階層」から、ZCA_ACCESS_GROUPS_ENABLEMENT_DUTY_CUSTOMロール・コードを検索して削除します。

      1. “”

      2. 次に、「ロールの追加」を選択し、ORA_ZCA_ACCESS_GROUPS_ENABLEMENT_DUTYロールを検索して追加し、「次へ」を選択します。

  5. 「発行してクローズ」を選択します。

  6. 新規に作成したユーザー(リソースおよび従業員として定義されるユーザー)をカスタム・ロールに追加します。 また、他の必須ユーザーがリソースおよび従業員として定義されている場合は追加できます。

    カスタム・ロールへの新規ユーザーおよび既存ユーザーの追加を示すスクリーンショット

  7. カスタム・ロールの作成後、これらの各カスタム・ロールから「契約に付与」ポリシーを削除し、顧客契約管理者カスタム・ロールに間接的に付与されないようにします。

    1. この例では、次のカスタム・ロールから「契約に対する付与」ポリシーを削除します。

      1. OKC_CONTRACT_AUTHORING_DUTY_CUSTOM

      2. OKC_CONTRACT_SEARCH_VIEW_DUTY_CUSTOM

      3. OKC_CONTRACT_AMENDMENT_DUTY_CUSTOM

    2. 「ロール」からこれらの各ロールを検索し、「アクション」「ロールの編集」の順に選択します。 この例では、OKC_CONTRACT_AMENDMENT_DUTY_CUSTOMを検索します。

      1. 「データ・セキュリティ・ポリシー」に移動し、「契約に付与」ポリシー名を検索して、「契約に付与」という名前のすべてのポリシーを削除します。

      2. これをOKC_CONTRACT_SEARCH_VIEW_DUTY_CUSTOMおよびOKC_CONTRACT_AMENDMENT_DUTY_CUSTOMに対して繰り返します。

    3. 同様に、他の契約関連の事前定義済ロールをディープ・コピーする場合、結果のカスタム職務ロールには、元の契約への付与データ・セキュリティ・ポリシーが引き続き含まれます。 アクセス・グループが契約表示を完全に制御できるようにするには、対応するカスタム職務ロールから契約に対する付与ポリシーを削除する必要があります

  8. 次のスケジュール済プロセスを実行します:

    1. ユーザーおよびロールのアプリケーション・セキュリティ・データのインポート

    2. 最新のLDAP変更の取得
      ノート:これらのジョブが完了したら、「Sale and Services Access Management」「Monitor」タブから「Update Groups and Members」ジョブを実行します。

  9. 前述のカスタム・ロールは、アクセス・グループの下にシステム・グループとして作成されます。 アクセス・グループは、次のようにして確認できます。

    1. 「ツール」に移動し、「Sales and Service Access Management」を開き、「グループの構成」を選択して、「アクセス・グループ」ページに移動します。

    2. 顧客契約管理者カスタム・ロール・グループがシステム・グループとして作成されていることがわかります

    3. 必要に応じてグループ・メンバーを追加でき、ディープ・コピー・ロールの作成中に含まれるユーザーがすでにグループに存在していることもわかります。

  10. 契約オブジェクトのオブジェクト共有ルールの作成

    1. 「オブジェクト・ルール」に移動し、オブジェクトを「契約」として選択してから、「ルールの追加」をクリックして事前定義済ルールまたはカスタム・ルールを追加するか、「ルールの作成」を使用して独自のカスタム・ルールを作成できます。

      • オブジェクト共有ルールの作成

        オブジェクト・ルール作成ページ

    2. このユース・ケースでは、「ルールの作成」をクリックしてカスタム・ルールを作成します。

      • ルールの名前を入力し、オブジェクトとして「契約」を選択します。

      • DFF属性を「機密契約」として選択します

      • 値を"Yes"にします。

      • これは、契約に値が「はい」のDFF属性(たとえば、「機密契約」)が含まれている場合に、カスタム・オブジェクト共有ルールでこの属性を使用してアクセス権を付与できることを示します。 対応するアクセス・グループのメンバーであるユーザーは、これらの制限付き契約を表示できます。

      • 必要に応じて、事前定義された条件を追加することもできます。 ドロップダウンを展開すると、事前定義済ルールのリストが表示されます。

      • 事前定義済条件を利用したBU関連の事前定義済ルールの追加

        事前定義済条件を利用したBU関連の事前定義済ルールの追加

      • 機密契約DFFのカスタム・ルール

        機密契約DFFのカスタム・ルール

  11. ルールの公開

    1. ルールがアクティブであることを確認し、「アクション」メニューから「公開」をクリックします。 または、「モニター」タブから次の「ルールの公開」ESSジョブを実行して、ルールを公開することもできます。

    2. 作成したルールの保存と公開

      作成したルールの保存と公開

  12. 前述のカスタム・ルールを処理して適用するには:

    1. 「モニター」タブに移動します。

    2. 必要に応じて、4つのサブタブすべてから必要なESSジョブを実行します:

      1. グループおよびメンバーの更新

      2. ルールの公開

      3. カスタム・オブジェクトおよびフィールドの同期

      4. オブジェクト共有ルール割当の実行(契約オブジェクト)

    3. ほぼリアルタイム・アクセス更新をサポートするために、これらのプロセスを定期的に実行するようにスケジュールします 特に、「オブジェクト共有ルール割当の実行」ジョブは、契約アクセス割当を最新の状態に保つために、頻繁に(通常は15分から30分ごとに)実行するようにスケジュールする必要があります。

  13. ユーザー・アクセスのテスト

    1. テスト・ユーザーとしてログインします。

    2. 「契約リスト」ページから「契約」にナビゲートします。

    3. テスト・ユーザーとして、同じビジネス・ユニットに2つのサンプル契約を作成または識別します。

      1. 契約A(機密): 「Confidential Contract(機密契約)」を「Yes(はい)」に設定します

      2. 契約B(非機密): 「機密」「契約」= 「いいえ」を設定します

    4. BU + "Confidential Contract = No"ルールが実装されているユーザーがアクセス・グループに属していることを確認します

    5. 必要なESSジョブの実行(オブジェクト共有ルール割当、公開ルールなどを実行)して、ルールを適用します。

    6. 予想されるアクセス動作を確認します。

      1. テスト・ユーザーはContract B (Restricted Contract = No)が表示されます。

      2. テスト・ユーザーには、両方の契約が自分のBUに属していても、契約A (制限契約= Yes)が表示されません

      3. これにより、アクセス・グループ・ルールがユーザーの表示から機密契約を除外していることが確認されます。