データ・レベルのセキュリティ

セキュリティの3番目のレベルはデータ・レベルで、このレベルではデータ・アクセス権限をユーザーに付与できます。データ・レベル・セキュリティは、次の方法で設定できます。

  • 概略的なアプローチを採用し、ディメンションごとにアクセスを付与します。このためには、ディメンションに対するデフォルト・アクセスをデフォルトの「なし」から「読取り」に変更するか、特定のディメンションへのアクセスをユーザー、グループまたはユーザーおよびグループに付与します。

  • 詳細レベルでは、モデル内のデータの一部へのアクセスを付与するデータ権限を作成できます。この権限は、ディメンションごとに作成することも、ディメンションの組合せ/交差に作成することもできます。


データ権限アイコンを示し、データの部分を指定できるようにするデータ権限を定義する図

ディメンションごとのアクセス

ディメンションごとに、ユーザーにアクセスを付与できます。ディメンションの作成時に、デフォルト・アクセスの「なし」を「読取り」に変更すると、すべてのユーザーがそのディメンションを表示できるようにすることができます。

ディメンションごとのデータ・アクセスに伴う課題として、多くの場合、より詳細なレベルでのアクセス制限が必要になることがあげられます。たとえば、社内で人事予算を担当しているユーザーは、給与、給付金、事務用品、出張接待など、会社全体のすべての費用勘定科目にアクセスできる必要があります。この同じHR担当者が、すべてのコスト・センターにおける給付金勘定科目も管理します。ディメンションごとのアクセスでは、担当者にすべてのコスト・センターへのアクセスを付与する必要があります。これは理想的な方法ではありません。ユーザーには、すべてのコスト・センターではなく、自分が担当するコスト・センターのみへのアクセスと、給付金などの必要な勘定科目へのアクセスを付与することが理想的です。データ権限では、ディメンション交差でアクセスを付与することで、この課題に対応しています。

データ権限の作成

データ権限を使用すると、モデル内のデータのどの部分に、ユーザー、グループまたはユーザーおよびグループがアクセスできるかを指定できます。データ権限アイコンが表示されている場合、データ権限を作成および管理できます。データ権限を作成するには、モデルを選択し、ディメンションごとに、特定のメンバーに対してユーザーおよびグループに付与されるアクセスを指定します。各行をレイヤー化して、行1に追加するものが基本レイヤーになり、それ以降の各行では付与するアクセスが詳細化されるようにします。


データ権限レイヤーの概念を表す図

データ権限内の行によって、セキュリティの結果(有効な権限)が決定されます。先頭の行(基本レイヤー)が最初に評価されます。ベスト・プラクティスのいくつかを次に示します。

  • ケースの大部分に概要ルールを適用し、次に例外を作成します。基本レイヤーに最大限のアクセスを付与するか、限定的な基本レイヤーから始めて、後でより広いアクセス権を付与できます。

  • 保守を簡単にするために、最小限のステップでデータ権限のセキュリティを作成するようにします。

データ権限を作成する場合、有効な権限、および行間で競合するルールの作成防止に、行の順序がどのように影響するかを理解することが重要です。競合がある場合、最も限定的でないアクセス・ルールが優先されます。Oracle Narrative Reporting Cloud Serviceでのデータ権限の作成に適用されるルールおよびロジックの詳細は、データ権限の設定を参照してください。この章には、データ権限作成の理解を深めるためのサンプル・データ権限が含まれています。