アクセス権限の設計に関する考慮事項

安全なアクセスと効率的な管理を確保するには、アクセス権限を効果的に設定することが重要です。

次の設計のベスト・プラクティスに従ってください。

アクセス権限の設定

アクセス権限によって、製品が起動した後のユーザーの権限が決まります。ほとんどの場合、ユーザーを編成できるようにグループが設定されます。定義によれば、ユーザー・グループは、同様のアクセス権限を持つユーザーのセットです。

次のアプリケーション要素に対して、グループおよび個々のユーザーのアクセス権限を割り当てることができます:

  • シナリオ

  • バージョン

  • 勘定科目

  • エンティティ

  • カスタム・ディメンション・メンバー

  • フォーム

  • ビジネス・ルール

ユーザーは、次のグループに所属できます。

  • サービス管理者

  • パワー・ユーザー

  • ユーザー

  • 参照者

ベスト・プラクティス:

  • デフォルトで保護されているディメンションについては、必要に応じてアクセス権限を変更します。

  • ディメンション・メンバー、フォーム、ルールなどのアプリケーション要素に対するアクセス権限を割り当てます。ユーザーは、アクセス権を持つアプリケーション要素のみを表示または使用できます。

ユーザーおよびグループの設定

アプリケーション内のいずれかの要素に対するアクセス権限を取得するには、会社のユーザーがOracle Identity Management Systemに追加されている必要があります。アクセス権限によって、製品が起動した後のユーザーの権限が決まります。

定義によれば、ユーザー・グループは、同様のアクセス権限を持つユーザーのセットです。ユーザーを編成し、アクセス権限を割り当てる方法としてグループを使用することをお薦めします。

ユーザーの追加

ユーザーを環境に追加し、権限を割り当てて、アプリケーションに対するアクセス権を付与する必要があります。

ユーザーの役割は、次のいずれかのタイプとして定義されます。

  • サービス管理者: ディメンション、フォーム、計算などを含め、アプリケーションを作成および管理します。サービス管理者はアクセス権限を管理し、予算プロセスを開始します

  • パワー・ユーザー: フォーム、Oracle Smart View for OfficeワークシートおよびFinancial Reportingレポートを作成および維持します。ユーザーのすべてのタスクを実行できます。

  • ユーザー: プランの入力および承認のための送信、ビジネス・ルールの実行、他のユーザーが作成したレポートの使用、およびタスク・リストの表示と使用を行います。Smart Viewを利用してデータを入力し、アド・ホック分析を実行します。

  • 参照者: データ・フォームとライセンスを所有するデータ・アクセス・ツールを使用して、データを表示および分析します。参照者は、アプリケーション内のいずれのデータも変更できません。典型的な表示ユーザーは予算プロセスの期間中および最後にビジネス・プランを参照する必要のある経営者です。

ユーザー、パワー・ユーザーおよび参照者は、サービス管理者によって割り当てられた権限に基づいて、フォーム、タスク・リストおよびビジネス・ルールにアクセスできます。

グループの作成

ユーザーにアクセス権限を割り当てる際にはグループを利用することを強くお薦めします。同様のユーザーのグループを作成すると、継続的なセキュリティの保守が容易になります。ユーザーがグループに追加されると、そのグループのアクセス権限を継承します。ディメンション・メンバー、フォーム、タスク・リストなどの要素に対するグループ・アクセス権限を割り当てることは、それらのアクセス権限を各ユーザーに個々に割り当てる必要がないことを意味します。

ベスト・プラクティス:

  • 個々のユーザーがグループに割り当てられ、個々のユーザーのアクセス権限がそのグループのものと矛盾する場合、個々のユーザーのアクセス権限が優先されます。

  • 同様のアクセス権限を持つユーザーのセットに対するグループの使用は、ユーザー・アクセス権を実装する前に明確に定義しておく必要があります。

  • 個人の権限はグループの権限より優先されます。

  • 個人が複数のグループに割り当てられている場合、最も高いアクセス権限を持つグループが優先されます。

ユーザーに直接割り当てられたアクセス権限は、ユーザーが所属するグループから継承されたアクセス権限より優先されます。たとえば、プランに対する読取りアクセス権をグループから継承しても、プランに対する書込みアクセス権を直接割り当てられている場合は、プランに対する書込みアクセス権を取得します。

グループへのユーザーの割当て

ベスト・プラクティスとして、保守を軽減し、同様のアクセス権をユーザーに割り当てる方法としてグループを利用します。適切なグループのアクセス権をユーザーに付与します。

ディメンションに対するアクセス権の割当て

ユーザーがデータを読み書きできるようにするには、次のディメンションに対するアクセス権限を割り当てる必要があります。

  • 勘定科目

  • エンティティ

  • シナリオ

  • バージョン

カスタム・ディメンションでセキュリティが有効になっている場合は、それらのディメンションに対するセキュリティもユーザーに割り当てる必要があります。デフォルトで保護されているディメンションについては、必要に応じてセキュリティ・アクセス権を変更します。

勘定科目ディメンションに対するアクセス権の割当て

表示を許可されている勘定科目に対する読取りまたは書込みアクセス権のみをユーザーに付与します。アクセス権限は、「読取り」、「書込み」、「なし」または「表示」として割り当てることができます。

ベスト・プラクティス:

  • 継続的なセキュリティの保守を軽減するために、可能なかぎり、関係関数も利用する必要があります。関係関数は、「メンバー」、「子」、「子(含む)」、「子孫」および「子孫(含む)」です。たとえば、純利益の子孫に対する書込みアクセス権をグループに割り当てると、そのグループのすべてのユーザーは、純利益の子孫であるすべての勘定科目に対する書込みアクセス権を持つことができます。このようにすると、各勘定科目に対するアクセス権を個々に割り当てる必要がありません。

  • 優先および継承のルールを十分に活用するには、例外ベースの手法を使用してセキュリティを管理します。セキュリティの基本的な割当てには、グループと関係を使用する必要があります。親レベルのメンバーに対するグループの権限を割り当て、関係を使用してその割当てを子または子孫にプッシュします。子に対する個々のユーザーの権限を例外に基づいて割り当てます。

エンティティ・ディメンションに対するアクセス権の割当て

表示を許可されているエンティティに対する読取りまたは書込みアクセス権のみをユーザーに付与します。アクセス権限は、「読取り」、「書込み」、「なし」または「表示」として割り当てることができます。

シナリオ・ディメンションに対するアクセス権の割当て

シナリオに対するアクセス権は通常、「読取り」または「書込み」に設定します。たとえば、実績および差異シナリオに対するアクセス権を「読取り」として、プランおよび予測シナリオに対するアクセス権を「書込み」として割り当てることができます。

バージョン・ディメンションに対するアクセス権の割当て

バージョンに対するアクセス権は通常、「読取り」または「書込み」に設定します。たとえば、最終バージョンに対するアクセス権を「読取り」として、作業中バージョンに対するアクセス権を「書込み」として割り当てることができます。

カスタム・ディメンションに対するアクセス権の割当て

カスタム・ディメンションでセキュリティが有効になっている場合、ユーザーがアクセスできるようにするには、そのディメンションに対するセキュリティを割り当てる必要があります。

フォームに対するアクセス権の割当て

ユーザーがフォームを開くことができるようにするには、アクセス権限を割り当てる必要があります。

フォーム・フォルダに対するアクセス権を割り当てられているユーザーは、より詳細なアクセス権を割り当てられていないかぎり、そのフォルダ内のフォームにアクセスできます。

ユーザーおよびパワー・ユーザーは、アクセス権を持つフォームのみに対して表示またはデータの入力を行うことが可能です。アクセス権を持つメンバーのみを操作できます。

ヒント:

  • フォームに対するアクセス権を簡単に割り当てるには、フォームをフォルダに編成し、個々のフォーム・レベルではなく、フォルダ・レベルでアクセス権を割り当てます。アクセス権限は、「読取り」、「書込み」または「なし」に設定できます。

  • フォルダに対してアクセス権を割り当てる場合、そのフォルダ内にあるすべてのフォルダはそのアクセス権を継承します。

  • フォーム・フォルダに対する特定のアクセス権(「なし」や「書込み」など)を割り当てた場合、そのアクセス権限はその親フォルダのアクセス権限より優先されます。たとえば、ユーザーが「なし」権限を持っているFolder2を含むFolder1に対する「書込み」権限を持っている場合、そのユーザーはFolder1を開くことはできますが、Folder2を表示することはできません。

  • ユーザーが、「書込み」アクセス権を割り当てられているForm1というフォームを含むFolder1というフォーム・フォルダに対し、「なし」アクセス権が割り当てられている場合、ユーザーはFolder1とForm1の両方を見ることができます。

ビジネス・ルールに対するアクセス権の割当て

ユーザーがビジネス・ルールを起動できるようにするには、ルールに対するアクセス権限を付与する必要があります。

ベスト・プラクティスとして、同様のユーザー・アクセス権を持つビジネス・ルールをフォルダに編成し、フォルダにセキュリティを適用してください。個々のビジネス・ルールに対するアクセス権限を付与することもできますが、この方が少し時間がかかります。

ユーザーは、より詳細なアクセス権を割り当てられていないかぎり、アクセス権を割り当てられているフォルダ内のCalculation Managerビジネス・ルールに対する「起動」アクセス権を持ちます

タスク・リストに対するアクセス権の割当て

アプリケーションをナビゲートするには、個々のタスク・リストに対するアクセス権をユーザーに割り当てる必要があります。

ベスト・プラクティスとして、グループを使用してアクセス権を割り当ててください。これは、個々のタスク・リストにアクセス権を適用するよりも効率的です。

レポートに対するアクセス権の割当て

ユーザーがレポートを使用できるようにするには、それに対するアクセス権を割り当てる必要があります。

他のアーティファクトと同様に、レポートをフォルダに編成し、フォルダ・レベルでアクセス権を割り当てることをお薦めします。これにより、セキュリティに必要な保守が軽減します。レポートがフォルダに追加されると、そのフォルダからアクセス権が継承されます。