HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

内容タイトルおよびコピーライト情報

はじめに

1 クラウドのHCMセキュリティの概要

Oracle HCM Cloudの保護の概要

ロールベースのセキュリティ

事前定義済のHCMロール

ロール・タイプ

ロールの継承

職務ロール・コンポーネント

集計権限

セキュリティの構成に関するガイドライン

1

事前定義済ロールをレビューするためのオプション

Oracle Fusion Applicationsセキュリティ・コンソール

2 実装ユーザーの作成

HCM実装ユーザー

HCM実装ユーザーの作成の概要

ユーザーおよびロール情報の同期

アプリケーション・セキュリティへのユーザーおよびロールのインポート

TechAdmin実装ユーザーの作成

HCMUser実装ユーザーの作成

3 実装ユーザーのHCMデータ・ロールの作成

実装ユーザーのHCMデータ・ロールの概要

HRAnalyst_ViewAllデータ・ロールの作成

HCMApplicationAdministrator_ViewAllデータ・ロールの作成

HRSpecialist_ViewAllデータ・ロールの作成

Workforce Compensation実装ユーザーのHCMデータ・ロールの作成

Global Payroll実装ユーザーのHCMデータ・ロールの作成

4 抽象ロールに対する基本データ・アクセスの有効化

セキュリティ・プロファイルを抽象ロールに割り当てる理由

抽象ロールへのセキュリティ・プロファイルの割当

5 実装ユーザーに対するロールの割当

HCM実装データ・ロールのためのロール・マッピングの作成

抽象およびデータ・ロールのHCMUserへの割当

HCMUserアクセスの検証

クラウド・サービス管理者サインインの詳細のリセット

6 アプリケーションのセキュリティの設定

アプリケーション・セキュリティ設定タスクの概要

ユーザー名書式

パスワード・ポリシー

ロール・プリファレンス

ユーザー・カテゴリ: 説明

ユーザー・カテゴリへのユーザーの追加

ユーザー名とパスワード通知

通知テンプレートの作成

「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」プロセスのスケジュール

2

「ユーザー・ログイン履歴のインポート」プロセスのスケジュール

「待ち状態のLDAP要求の送信」プロセスを実行する理由

「待ち状態のLDAP要求の送信」プロセスのスケジュール

「最新のLDAP変更の取得」の実行

7 Microsoft Active Directoryのブリッジの操作

Microsoft Active Directoryのブリッジの概要

Active Directory同期化

ユーザー・アカウント属性マッピング

Microsoft Active Directoryのブリッジの使用

Microsoft Active Directoryと接続するためのOracle Applications Cloudの準備

Active Directoryのブリッジのダウンロードおよびインストール

同期のための属性とグループのマッピング

初期同期の実行

同期の実行

Active Directoryのブリッジのアンインストール

Microsoft Active Directoryのブリッジの操作に関するFAQ

ブリッジは他のLDAPディレクトリをサポートできますか。

情報を同期化できる頻度はどれくらいですか。

どのようなActive Directoryオブジェクト同期化できますか。

どの属性を同期できますか。

ログ・ファイルを表示するにはどうすればよいですか。

8 事業所ベースのアクセスの管理

事業所ベースのアクセスの概要

事業所ベースのアクセスの仕組み

事業所ベースのアクセスの有効化および無効化

Oracle HCM Cloudでの事業所ベースのアクセスの例

事業所ベースのアクセスの管理に関するFAQ

ホワイトリスト登録とは何ですか。

「管理」ページに「事業所ベースのアクセス」タブが表示されないのはなぜですか。

ロールを公開にするにはどうすればよいですか。

常にセキュリティ・コンソールにアクセスできるようにするにはどうすればよいですか。

アプリケーションにサインインしていないとき、事業所ベースのアクセスを無効にするにはどうすればよいですか。

9 シングル・サインオン

シングル・サインオン・サービス・プロバイダとしてのOracle Applications Cloud

3

シングル・サインオンの構成

シングル・サインオンに関するFAQ

サービス・プロバイダにユーザー・パスワードは保存されますか。

アイデンティティ・プロバイダを有効化せずに設定できますか。

自分のユーザーが自社の資格証明を使用してサインインできるようにするにはどのようにするのですか。

アイデンティティ・プロバイダが提供する証明書の有効期間を延長するにはどうすればよいですか。

アイデンティティ・プロバイダは更新された証明書をサービス・プロバイダからどのように取得しますか。

アプリケーションにサインインしていないときにシングル・サインオンを無効にするにはどうすればよいですか。

シングル・サインオン機能にはどのようなイベントおよび通知が関連付けられていますか。

10 セキュリティ設定データのエクスポートおよびインポート

セキュリティ・コンソール・データのエクスポートおよびインポート

カスタム・ロールのエクスポートおよびインポート

11 アプリケーション・ユーザーに対する準備

HCMアプリケーション・ユーザーの準備の概要

ユーザーおよびロール・プロビジョニングの設定オプション

「ユーザー・アカウント作成」オプション

「ユーザー・アカウント・ロール・プロビジョニング」オプション

「ユーザー・アカウント保守」オプション

「退職済就業者のユーザー・アカウント作成」オプション

ユーザーおよびロール・プロビジョニング・オプション設定

ユーザーへの抽象ロールの自動プロビジョニング

アプリケーション・ユーザーに対する準備のFAQ

クラウドにシングル・サインオンを実装できますか。

12 アプリケーション・ユーザーの作成

HCMアプリケーション・ユーザーを作成するためのオプション

「新規個人」タスクを使用したOracle HCM Cloudユーザーの作成

「ユーザーの作成」タスクを使用したOracle HCM Cloudユーザーの作成

ユーザー管理のための勤務先Eメール検証の有効化

アプリケーション・ユーザーの作成に関するFAQ

新規就業者のユーザー・アカウントを作成するにはどうすればよいですか

既存の就業者のユーザー・アカウントを作成するにはどうすればよいですか

デフォルトのユーザー名はどのように生成されますか

4

13 アプリケーション・ユーザーの管理

ユーザー・アカウントの管理

ユーザー名

LDAPに個人データを送信する理由

ユーザー・アカウントに対する不完全な要求を管理する方法

既存のユーザー・アカウントの個人レコードへのリンク

ユーザー・アカウントを休止する方法

セキュリティ・コンソールでアプリケーション・ユーザーを管理する方法

読取り専用アクセスの提供

アプリケーション・ユーザーの管理に関するFAQ

ユーザーのロールを自動プロビジョニングするとどうなりますか

一部のロールが自動的に表示されるのはなぜですか

ユーザーが自動的にロールを喪失するのはなぜですか

ユーザーにプロビジョニングしようとしているロールが表示されないのはなぜですか

ユーザーからロールをプロビジョニング解除するとどうなりますか

委任ロールとは何ですか

アクティブな雇用関係が複数ある個人のユーザー・アクセスを取り消すとどうなりますか

就業者にユーザー・アカウントがないのはなぜですか

ユーザー・アカウントをリンクするとどうなりますか

ユーザー名を編集するとどうなりますか

個人データをLDAPにコピーするとどうなりますか

ユーザー名とパスワードを送信するとどうなりますか

ユーザーのパスワードをリセットするとどうなりますか

ユーザーにユーザー名とパスワードを通知するにはどうすればよいですか

ユーザーの偽装を有効にすることはできますか

14 アプリケーション・ユーザーに対するロールのプロビジョニング

ロール・マッピング

ロール・マッピングの作成

ロール・マッピングの例

ロールのプロビジョニングとプロビジョニング解除

自動プロビジョニング

ロール・マッピングの編集に関するガイドライン

アプリケーション・ユーザーに対するロールのプロビジョニングに関するFAQ

ロール・マッピング条件とは何ですか。

HRアサイメント・ステータスとアサイメント・ステータスの違いは何ですか。

5

ロール・マッピングでの関連ロールとは何ですか。

プロビジョニング方法とは何ですか。

15 アプリケーション・ユーザーとロールに関するレポート

ユーザー詳細システム抽出レポートの実行

ユーザー詳細システム抽出レポートのパラメータ

ユーザー詳細システム抽出レポート

個人ユーザー情報レポート

ユーザー履歴レポート

セキュリティ・ダッシュボードを使用したロール情報の表示

LDAP要求情報レポート

非アクティブ・ユーザー・レポート

ユーザー・ロール・メンバーシップ・レポート

ユーザーおよびロールのアクセス監査レポート

ユーザー・パスワード変更監査レポート

ロックされたユーザーの表示およびロック解除

アプリケーション・ユーザーとロールに関するレポートのFAQ

すべてのOracle Fusion Applicationsユーザーの詳細を抽出できますか。

ユーザーが持っているロールを見つける方法を教えてください。

16 HCMデータ・ロールとセキュリティ・プロファイル

HCMデータ・ロール

HCMセキュリティ・プロファイル

事前定義済のHCMセキュリティ・プロファイル

HCMデータ・ロールの作成

HCMデータ・ロールとセキュリティ・プロファイルのベスト・プラクティス

ロール委任

ロールの委任を有効にする方法

ジョブ・ロールと抽象ロールへのセキュリティ・プロファイルの割当

HCMデータ・セキュリティをプレビューする方法

監査のHCMデータ・ロールとセキュリティ・プロファイルの構成

HCMデータ・ロール構成診断テスト

HCMセキュリティ・プロファイル構成診断テスト

HCM保護オブジェクト・メタデータ診断テスト

HCMデータ・ロールとセキュリティ・プロファイルに関するFAQ

HCMデータ・ロールを編集するとどうなりますか。

ユーザーにHCMデータ・ロールをプロビジョニングする方法を教えてください。

6

有効なセキュリティ・プロファイルを編集するとどうなりますか。

セキュリティ・プロファイルを無効にするとどうなりますか。

HCMデータ・ロールとセキュリティ・プロファイルに関する問題を診断する方法を教えてください。

17 個人セキュリティ・プロファイル

個人レコードの保護に関するガイドライン

職責範囲別の個人レコードを保護する方法

職責範囲別の個人レコードの保護

HCM除外ルールの作成

マネージャ階層によって個人レコードを保護するためのオプション

個人セキュリティ・プロファイルのマネージャ・タイプ

個人セキュリティ・プロファイルの階層コンテンツ

個人セキュリティ・プロファイルのPersonタイプ

ジョブ・オファーのある候補者へのアクセスを保護する方法

個人セキュリティ・プロファイルでのカスタム基準

カスタム基準の表と表示

個人セキュリティ・プロファイルのFAQ

ユーザーはアクセス可能な個人の連絡先レコードを参照できますか。

個人が複数のアサイメントや個人タイプを持っている場合はどうなりますか。

個人セキュリティ・プロファイルに共有情報を含めるとどうなりますか。

先日付のオブジェクトをセキュリティ・プロファイルに含めるとどうなりますか。

ワークフォース・ストラクチャまたはグローバル名の範囲別に個人レコードへのアクセスを保護できますか。

個人セキュリティ・プロファイルから一部のレコードを除外するにはどうすればよいですか。

18 組織セキュリティ・プロファイルとその他のセキュリティ・プロファイル

組織を保護する方法

組織の保護に関するガイドライン

組織セキュリティ・プロファイルの例

ポジションの保護に関するガイドライン

ポジション・セキュリティ・プロファイルの例

文書タイプ・セキュリティ・プロファイルの例

国別仕様データ・グループ・セキュリティ・プロファイル

トランザクション・セキュリティ・プロファイル

給与セキュリティ・プロファイルの作成: 例

フロー・パターン・セキュリティ・プロファイルの例

7

フロー・セキュリティとフロー所有者

組織セキュリティ・プロファイルとその他のセキュリティ・プロファイルに関するFAQ

一般組織階層と部門階層の違いは何ですか。

一般組織階層の組織セキュリティ・プロファイルを選択するとどうなりますか。

ユーザーのアサイメント先の部門またはポジションを最上位部門または最上位ポジションとして使用するとどうなりますか。

国セキュリティ・プロファイルはどのような場合に必要ですか。

ジョブ求人セキュリティ・プロファイルはどのような場合に必要ですか。

先日付のオブジェクトをセキュリティ・プロファイルに含めるとどうなりますか。

19 セキュリティ・コンソールの使用

グラフィカル形式と表形式でのロールのビジュアライゼーション

ナビゲータ・メニューのシミュレート

ロール割当のレビュー

ロール階層のレビュー

ロールの比較

「分析」タブでのロール情報

データベース・リソースの分析

20 ジョブ・ロール、抽象ロール、職務ロールの作成および編集

HCMロールのコピーに関するガイドライン

セキュリティ・コンソールのロールのコピー・オプション

抽象ロールのコピーに関するガイドライン

ジョブ・ロールおよび抽象ロールのコピー

ジョブ・ロールおよび抽象ロールの編集

ジョブ・ロールおよび抽象ロールの新規作成

職務ロールのコピーおよび編集

21 ロールの再生成

ロールの再生成

「データ・セキュリティ権限付与の再生成」プロセスの実行

22 値セットへのアクセスの保護

値セットのセキュリティの有効化

値セットへのアクセスの保護

23 個人プロファイルのコンテンツ・セクションの保護

個人プロファイルでコンテンツ・セクションを保護する方法

個人プロファイルのコンテンツ・セクションの保護

24 後任プラン、在職者および候補者へのアクセスの保護

8

後任プラン、在職者および候補者へのアクセスを保護する方法の概要

後任プランのスーパーユーザー・ジョブ・ロールの作成

在職者および候補者リストへのアクセスの構成

25 レスポンシブ・ユーザー・エクスペリエンス・ページの値リストへのアクセスの保護

レスポンシブ・ユーザー・エクスペリエンス・ページの値リストを保護する権限およびロール

26 セキュリティおよびレポート

Oracle Fusion Transactional Business Intelligenceのセキュリティ

レポート・データ・セキュリティ

ビジネス・インテリジェンス・ロール

レポートのロールおよび権限の表示

Business Intelligence Publisherの保護リスト・ビュー

Business Intelligence PublisherとPIIデータ

ディメンション・セキュリティ

セキュリティとレポートのFAQ

ライン・マネージャに報酬サブジェクト領域へのアクセス権を付与する方法を教えてください。

ライン・マネージャにタレント管理サブジェクト領域へのアクセス権を付与する方法を教えてください。

27 ワークフロー・アクセスのロール

HCMワークフロー・アクセスのロール

28 Oracle HCM Cloudビジネス・オブジェクトの監査

Oracle HCM Cloudビジネス・オブジェクトを監査する方法

Oracle HCM Cloudビジネス・オブジェクトの監査の有効化

監査可能なOracle HCM Cloudビジネス・オブジェクト

HCM監査データへのアクセスを有効にするためのオプション

29 証明書管理

証明書の概要

証明書のタイプ

X.509証明書への署名

X.509証明書のインポートとエクスポート

PGP証明書のインポートとエクスポート

証明書の削除

30 ロールの最適化

ロール・オプティマイザ

ロールの最適化レポート

9

31 拡張データ・セキュリティ

拡張データ・セキュリティ

用語集

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

10

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

Oracle Human Capital ManagementCloud HCMの保護19C部品番号F21366-01Copyright c 2011, 2019, Oracle and/or its affiliates.All rights reserved.

原本著者: Steve Pratt、Sekhar Pappu

このソフトウェアおよび関連ドキュメントの使用と開示は、ライセンス契約の制約条件に従うものとし、知的財産

11

に関する法律により保護されています。ライセンス契約で明示的に許諾されている場合もしくは法律によって認められている場合を除き、形式、手段に関係なく、いかなる部分も使用、複写、複製、翻訳、放送、修正、ライセンス供与、送信、配布、発表、実行、公開または表示することはできません。このソフトウェアのリバース・エンジニアリング、逆アセンブル、逆コンパイルは互換性のために法律によって規定されている場合を除き、禁止されています。

ここに記載された情報は予告なしに変更される場合があります。また、誤りが無いことの保証はいたしかねます。誤りを見つけた場合は、オラクルまでご連絡ください。

このソフトウェアまたは関連ドキュメントを、米国政府機関もしくは米国政府機関に代わってこのソフトウェアまたは関連ドキュメントをライセンスされた者に提供する場合は、次の通知が適用されます。

U.S. GOVERNMENT END USERS:Oracle programs, including any operating system, integrated software, any programsinstalled on the hardware, and/or documentation, delivered to U.S. Government end users are "commercial computer software"pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations.As such, use,duplication, disclosure, modification, and adaptation of the programs, including any operating system, integrated software, anyprograms installed on the hardware, and/or documentation, shall be subject to license terms and license restrictions applicableto the programs.No other rights are granted to the U.S. Government.

このソフトウェアまたはハードウェアは様々な情報管理アプリケーションでの一般的な使用のために開発されたものです。このソフトウェアまたはハードウェアは、危険が伴うアプリケーション(人的傷害を発生させる可能性があるアプリケーションを含む)への用途を目的として開発されていません。このソフトウェアまたはハードウェアを危険が伴うアプリケーションで使用する際、安全に使用するために、適切な安全装置、バックアップ、冗長性(redundancy)、その他の対策を講じることは使用者の責任となります。このソフトウェアまたはハードウェアを危険が伴うアプリケーションで使用したことに起因して損害が発生しても、Oracle Corporationおよびその関連会社は一切の責任を負いかねます。

OracleおよびJavaはオラクルおよびその関連会社の登録商標です。その他の社名、商品名等は各社の商標または登録商標である場合があります。

Intel、Intel Xeonは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに使用し、SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMDロゴ、AMD Opteronロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXは、The Open Groupの登録商標です。

このソフトウェアまたはハードウェア、そしてドキュメントは、第三者のコンテンツ、製品、サービスへのアクセス、あるいはそれらに関する情報を提供することがあります。適用されるお客様とOracle Corporationとの間の契約に別段の定めがある場合を除いて、Oracle Corporationおよびその関連会社は、第三者のコンテンツ、製品、サービスに関して一切の責任を負わず、いかなる保証もいたしません。適用されるお客様とOracle Corporationとの間の契約に定めがある場合を除いて、Oracle Corporationおよびその関連会社は、第三者のコンテンツ、製品、サービスへのアクセスまたは使用によって損失、費用、あるいは損害が発生しても一切の責任を負いかねます。

このドキュメントで使用されている事業所名は架空のものであり、現在または過去に実在する実際の会社を特定するためのものではありません。

このページは役に立ちましたか?

12

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

13

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

はじめにここでは、アプリケーションを使用する際に役立つ情報ソースについて説明します。

Oracle Applicationsの使用アプリケーション・ヘルプの使用ヘルプ・アイコン を使用すると、アプリケーションのヘルプにアクセスできます。ページにヘルプ・アイコンが表示されていない場合は、グローバル・ヘッダーにある自分のユーザー・イメージまたは名前をクリックし

14

て「ヘルプ・アイコンの表示」を選択します。ヘルプ・アイコンがないページもあります。Oracle Applicationsヘルプにアクセスすることもできます。

ビデオを見る: このビデオ・チュートリアルでは、ヘルプの検索方法とヘルプ機能の使用方法について説明しています。

アプリケーション・ヘルプの使用も参照してください。

その他のリソースコミュニティ: Oracle Cloud Customer Connectを使用すると、オラクル社のエキスパート、パートナ・コミュニティおよびその他のユーザーから情報を得ることができます。ガイドおよびビデオ: Oracle Help Centerにアクセスしてガイドおよびビデオを参照できます。トレーニング: Oracle Universityが提供するOracle Cloudのコースをご利用ください。

表記規則このガイドで使用されるテキスト表記規則を次の表に示します。

規則 意味

太字 太字は、ユーザー・インタフェース要素、ナビゲータ・パス、または入力する値や選択する値を示します。

固定幅フォント

固定幅フォントは、ファイル名、フォルダ名、ディレクトリ名、コードの例、コマンドおよびURLを示します。

→ 右矢印記号は、ナビゲータ・パスの要素を区切ります。

ドキュメントのアクセシビリティについてオラクルのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWebサイトを参照してください。

このガイドに含まれるビデオは、このガイドで使用可能なテキストベースのヘルプ・トピックの代替メディアとして提供するものです。

オラクル社へのお問合せOracle Supportへのアクセス

15

サポートをご契約のお客様には、My Oracle Supportを通して電子支援サービスを提供しています。詳細情報はMyOracle Supportか、聴覚に障害のあるお客様はOracle Supportのアクセシビリティを参照してください。

ご意見およびご提案Oracle Applicationsヘルプやガイドに関するフィードバックをお寄せください。oracle_fusion_applications_help_ww_grp@oracle.com宛に電子メールをお送りください。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

16

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

1 クラウドのHCMセキュリティの概要この章の内容は次のとおりです。

Oracle HCM Cloudの保護の概要ロールベースのセキュリティ事前定義済のHCMロールロール・タイプロールの継承職務ロール・コンポーネント

17

集計権限セキュリティの構成に関するガイドライン事前定義済ロールをレビューするためのオプションOracle Fusion Applicationsセキュリティ・コンソール

Oracle HCM Cloudの保護の概要Oracle Human Capital Management Cloudは保護された状態で提供されます。このガイドでは、HCMの機能とデータへのユーザー・アクセスを有効にする方法を説明します。実装中はこのガイドで説明するタスクの多くを実行します。タスクの多くは後から要件が変更したときに実行することもできます。このトピックでは、このガイドのスコープの概要と各章の内容について説明します。

ガイドの構成次の表で、このガイドの各章の内容について説明します。

章 内容

クラウドのHCMセキュリティの概要 ロールベース・セキュリティの概念とOracle Fusion Applicationsセキュリティ・コンソールの概要

実装ユーザーの作成 実装ユーザーのロールと実装ユーザーの作成手順

実装ユーザーのHCMデータ・ロールの作成

実装ユーザーによる機能実装の実行を有効にするデータ・アクセスの提供方法

抽象ロールに対する基本データ・アクセスの有効化

すべての従業員、派遣就業者、およびライン・マネージャに対する基本データ・アクセスの提供方法

実装ユーザーに対するロールの割当 実装ユーザーにデータ・ロールと抽象ロールを割り当てる方法

アプリケーションのセキュリティの設定

セキュリティ・コンソールへの企業オプションの設定と、Oracle FusionApplicationsセキュリティ表の維持

Microsoft Active Directoryのブリッジの操作

Microsoft Active Directoryのブリッジをインストールおよび構成する方法とユーザー・アカウントの同期方法

事業所ベースのアクセスの管理 事業所ベースのアクセスを有効化して、承認済IPアドレスをリストし、選択したロールを公開にする方法

アプリケーション・ユーザーに対する準備

アプリケーション・ユーザーに影響を与える企業全体のオプションと関連する決定

アプリケーション・ユーザーの作成 アプリケーション・ユーザーを作成する方法と、その方法の手順

アプリケーション・ユーザーの管理 ワークフォース・ライフ・サイクル全体でユーザー・アクセスを維持する方法

アプリケーション・ユーザーに対するロールのプロビジョニング

アプリケーション・ユーザーによるロールの取得方法と、標準のロール・マッピングの作成手順

アプリケーション・ユーザーとロール ユーザー・アカウント、非アクティブ・ユーザー、ユーザーにプロビジョニ

18

に関するレポート ングされたロール、およびパスワードの変更に関するレポート

HCMデータ・ロールとセキュリティ・プロファイル

HCMデータ・ロールを作成および管理し、HCMセキュリティ・プロファイルを使用してユーザーがアクセスできるデータを識別する方法

個人セキュリティ・プロファイル 個人レコードへのアクセスを保護する方法

組織セキュリティ・プロファイルとその他のセキュリティ・プロファイル

組織、ポジション、文書タイプ、国別仕様データ・グループ、給与、および給与フローへのアクセスを保護する方法

セキュリティ・コンソールの使用 セキュリティ・コンソールを使用して、ロール階層とロール分析をレビューする方法

ジョブ・ロール、抽象ロール、職務ロールの作成および編集

事前定義済ロールをコピーしてロールを作成する方法、ロールを新規に作成する方法、およびカスタム・ロールを編集する方法

ロールの再生成 ロールの階層が変更されたときに、データ・ロールと抽象ロールのデータ・セキュリティ・ポリシーを再生成する方法

値セットへのアクセスの保護 値セットの保護方法、および保護された値セットへのアクセス権をAPPIDユーザーが取得する方法

個人プロファイルのコンテンツ・セクションの保護

個人プロファイルのコンテンツ・タイプ・データへのユーザー・アクセスを保護する方法

後任プラン、在職者および候補者へのアクセスの保護

すべての後任プランへのアクセスを可能にするスーパーユーザー・ロールを作成する方法、および在職者と候補者のリストへの制限付きアクセスを構成する方法

レスポンシブ・ユーザー・エクスペリエンス・ページの値リストへのアクセスの保護

カスタム・ロールを有効にしてレスポンシブ・ユーザー・エクスペリエンス・ページの値リストにアクセスする方法

セキュリティとレポート ユーザーがOracle Transactional Business IntelligenceとOracle BusinessIntelligence Publisherレポートを実行できるようにする方法

ワークフロー・アクセスのロール ワークフロー機能へのアクセスを可能にする事前定義済ロール

Oracle HCM Cloudビジネス・オブジェクトの監査

HCMビジネス・オブジェクトの監査を構成し、監査レポートにアクセスする方法

証明書管理 データの暗号化と復号化のためにPGPおよびX.509証明書を生成、インポート、エクスポートおよび削除する方法

ロールの最適化 オプションのロールの最適化レポートを使用して、ロール階層の冗長性およびその他の非効率性を分析する方法

拡張データ・セキュリティ 次のオプションのクラウド・サービスの概要:

Database Vault for Oracle Fusion Human Capital Management Security CloudServiceTransparent Data Encryption for Oracle Fusion Human Capital ManagementSecurity Cloud Service

実装中、機能領域タスク・リストまたは実装プロジェクトからセキュリティ関連のタスクを実行します。実装が完了すると、ほとんどのセキュリティ関連タスクをセキュリティ・コンソールで実行できます。関連トピックでは例外も示されます。たとえば、セキュリティ・コンソールではなく、「新規個人」作業領域で就業者を雇用します。

19

ロールベースのセキュリティOracle Fusion Applicationsでは、ユーザーは機能やデータへのアクセスを取得するためのロールを持っています。ユーザーは任意の数のロールを持つことができます。

この図では、ユーザーLynda Jonesは3つのロールを持っています。

LyndaはOracle Human Capital Management Cloud (Oracle HCM Cloud) にサインインするときに、ロールを選択する必要はありません。これらのロールはすべて同時にアクティブになります。

Lyndaがアクセスできる機能とデータは、このロールの組合せで決まります。

従業員として従業員の機能とデータにアクセスできます。ライン・マネージャとしてライン・マネージャの機能とデータにアクセスできます。人事担当者(HR担当者)として、Vision OperationsのHR担当者の機能とデータにアクセスできます。

ロールベースのアクセス・コントロールOracle Fusion Applicationsのロールベース・セキュリティは、誰がどのデータで何を実行できるかを制御します。

次の表に、ロールベースのアクセスの概要を示します。

要素 説明

誰が ユーザーに割り当てられているロール

何を ロールを持つユーザーが実行できる機能

どのデータ 機能を実行するときに、ロールを持つユーザーがアクセスできるデータのセット

次の表に、ロールベースのアクセスの例を示します。

誰が 何を どのデータ

20

ライン・マネージャ パフォーマンス文書の作成が可能 レポート階層内の就業者に関するデータ

従業員 給与明細の表示が可能 従業員のデータ

給与マネージャ 給与バランスのレポートが可能 指定された給与のデータ

HR担当者 就業者の異動が可能 指定された組織の就業者のデータ

事前定義済のHCMロール多くのジョブと抽象ロールがOracle Human Capital Management Cloud (Oracle HCM Cloud)で事前定義されています。事前定義済のHCMジョブ・ロールは、次のとおりです。

福利厚生管理者福利厚生マネージャ福利厚生スペシャリスト資金マネージャ報酬管理者報酬アナリスト報酬マネージャ報酬スペシャリスト法人の社会的責任マネージャ従業員育成マネージャ従業員ウェルネス・マネージャ環境、安全衛生マネージャ人材管理アプリケーション管理者人材管理統合スペシャリスト人事管理アナリスト人事管理ヘルプ・デスク管理者人事管理ヘルプ・デスク・エージェント人事管理ヘルプ・デスク・マネージャ人事管理マネージャ人事担当者IT監査者ナレッジ・オーサリングHCM

ナレッジ検索HCM

学習スペシャリスト給与管理者給与マネージャ採用担当者採用管理者

21

勤怠管理の管理者勤怠管理マネージャ

事前定義済のHCM抽象ロールは、次のとおりです。

派遣就業者従業員エグゼクティブ・マネージャ採用マネージャ採用のジョブ応募アイデンティティライン・マネージャ処理待ち就業者

これらの事前定義済ジョブ・ロールおよび抽象ロールは、Oracle HCM Cloudセキュリティ・リファレンス実装の一部です。セキュリティ・リファレンス実装は、提供された状態のまま使用できる一連の事前定義済セキュリティ定義です。

また、セキュリティ・リファレンス実装には、次のようなすべてのOracle Fusion Applicationsに共通するロールも含まれています。

アプリケーション実装コンサルタントITセキュリティ・マネージャ

事前定義済ロールをHCMデータ・ロールなどに含めることができます。通常、従業員やライン・マネージャなどの抽象ロールをユーザーに直接割り当てます。

ロール・タイプOracle Human Capital Management Cloud (Oracle HCM Cloud)では、次の5つのタイプのロールを定義しています。

データ・ロール抽象ロールジョブ・ロール集計権限職務ロール

このトピックでは、ロール・タイプの概要を説明します。

データ・ロールデータ・ロールには、就業者のジョブと、該当のジョブを持つユーザーがアクセスする必要のあるデータが結合されています。たとえば、HCMデータ・ロールの国人事担当者には、ジョブ(人事担当者)とデータ・スコープ(国)が結合されています。1つ以上のHCMセキュリティ・プロファイルでデータ・ロールのデータ・スコープを定義します。HCMデータ・ロールは、セキュリティ・リファレンス実装の一部ではありません。すべてのHCMデータ・ロールはローカルで定義し、それらをユーザーに直接割り当てます。

22

抽象ロール抽象ロールは、雇用する就業者が行うジョブとは別に、企業における就業者のロールを表します。Oracle HCMCloudで事前定義された3つの主要な抽象ロールは、次のとおりです。

従業員派遣就業者ライン・マネージャ

抽象ロールを作成することもできます。すべての就業者は少なくとも1つの抽象ロールを持つ可能性があります。抽象ロールによって、ユーザーは独自の情報の管理や就業者ディレクトリの検索などの標準機能にアクセスできます。抽象ロールはユーザーに直接割り当てます。

ジョブ・ロールジョブ・ロールは、雇用する就業者が実行するジョブを表します。事前定義済ジョブ・ロールには、「人事管理アナリスト」や「給与マネージャ」などがあります。ジョブ・ロールを作成することもできます。通常は、ジョブ・ロールをデータ・ロールに含め、それらのデータ・ロールをユーザーに割り当てます。「ITセキュリティ・マネージャ」と「アプリケーション実装コンサルタント」の事前定義済ジョブ・ロールはHCMのジョブ・ロールと見なされないため、この一般ルールの例外です。また、HCMセキュリティ・プロファイルはそれらのデータ・スコープを定義しません。

集計権限集計権限には、個々のタスクまたは職務の機能権限と、関連のデータ・セキュリティ・ポリシーが結合されています。集計権限で提供される機能権限によって、タスク・フロー、アプリケーション・ページ、作業領域、レポート、バッチ・プログラムなどへのアクセスを付与できます。集計権限は他のロールを継承しません。すべての集計権限は事前定義されており、編集できません。集計権限は作成できませんが、事前定義済の集計権限をカスタムのジョブ・ロール、抽象ロールおよび職務ロールに含めることはできます。集計権限はユーザーに直接割り当てません。

職務ロール各事前定義済の職務ロールは、コピーおよび編集可能な権限の1つの論理グループを表します。職務ロールは集計権限と次の点で異なります。

職務ロールには、複数の機能セキュリティ権限が含まれます。職務ロールは集計権限や他の職務ロールを継承できます。職務ロールは作成できます。

ジョブ・ロールと抽象ロールは、直接または間接的に職務ロールを継承できます。事前定義済およびカスタムの職務ロールをカスタム・ジョブや抽象ロールに含めることができます。職務ロールはユーザーに直接割り当てません。

23

ロールの継承各ロールは他のロールの1つの階層です。

HCMデータ・ロールは、ジョブ・ロールを継承します。ジョブ・ロールと抽象ロールは、多くの集計権限を継承します。これらのロールは、少数の職務ロールも継承できます。集計権限と職務ロールに加えて、ジョブ・ロールと抽象ロールには多くの機能セキュリティ権限やデータ・セキュリティ・ポリシーが直接付与されます。職務ロールは、他の職務ロールや集計権限を継承できます。

セキュリティ・コンソールでジョブ・ロールや抽象ロールの完全な構造を確認できます。

データ・ロールや抽象ロールをユーザーに割り当てると、ユーザーはそれらのロールに関連付けられたデータと機能セキュリティをすべて継承します。

ロールの継承の例この例では、ロールの継承方法を示します。

図は、いくつかの代表的な集計権限と1つの職務ロールを示しています。実際は、ジョブ・ロールと抽象ロールは、多くの集計権限を継承します。これらのロールが継承する職務ロールは自身で職務ロールや集計権限を継承できます。

24

この例では、ユーザーBob Priceは2つのロールを持っています。

HR担当者Vision Corporation、データ・ロール「従業員」、抽象ロール

この表では、この2つのロールについて説明しています。

ロール 説明

HR担当者VisionCorporation

ジョブ・ロール「人事担当者」を継承します。このロールは、人事担当者が実行するタスクと機能へのアクセスを提供する集計権限と職務ロールを継承します。データ・ロールに割り当てられたセキュリティ・プロファイルは、ロールの保護されたデータに対するアクセスを提供します。

従業員 すべての従業員が実行する、特定のジョブに関連付けられていないすべてのタスクと機能へのアクセスを提供する集計権限と職務ロールを継承します。抽象ロールに割り当てられたセキュリティ・プロファイルは、ロールの保護されたデータに対するアクセスを提供します。

職務ロール・コンポーネントこのトピックでは、一般的な職務ロールのコンポーネントについて説明します。職務ロールを作成する予定がある場合など、職務ロールの作成方法を理解する必要があります。

機能セキュリティ権限とデータ・セキュリティ・ポリシーが職務ロールに付与されます。職務ロールは集計権限や他の職務ロールも継承できます。たとえば、「ワークフォース・ストラクチャ管理職務」ロールは、この図に示す構造を持っています。

その集計権限に加え、「ワークフォース・ストラクチャ管理職務」ロールには多くの機能セキュリティ権限とデータ・セキュリティ・ポリシーが付与されます。

25

データ・セキュリティ・ポリシー「事業所の管理」、「アサイメント等級の管理」、「HRジョブの管理」など多くのデータ・セキュリティ・ポリシーが、「ワークフォース・ストラクチャ管理職務」ロールに直接付与されます。また、集計権限からデータ・セキュリティ・ポリシーを間接的に取得します。

各データ・セキュリティ・ポリシーには次が結合されています。

データ・セキュリティ・ポリシーが付与されるロール。ロールには、「ワークフォース・ストラクチャ管理職務」などの職務ロール、ジョブ・ロール、抽象ロール、または集計権限を使用できます。アクセスされている、アサイメント等級などのビジネス・オブジェクト。データ・セキュリティ・ポリシーは、このリソースをテーブル名で識別します、PER_GRADES_Fはアサイメント等級を表します。ビジネス・オブジェクトの固有のインスタンスへのアクセスを制御する条件(存在する場合)。通常、条件は、HCMセキュリティ・プロファイルを使用して保護するリソースに指定されます。それ以外の場合、ビジネス・オブジェクト・インスタンスはキー値で識別できます。たとえば、「ワークフォース・ストラクチャ管理職務」ロールを持つユーザーは企業内のすべての等級を管理できます。データに対して許可されるアクションを定義するデータ・セキュリティ権限。たとえば、「「アサイメント等級の管理」はデータ・セキュリティ権限です。

機能セキュリティ権限「事業所の管理」、「アサイメント等級の管理」、「HRジョブの管理」など多くの機能セキュリティ権限が、「ワークフォース・ストラクチャ管理職務」ロールに直接付与されます。また、集計権限から機能セキュリティ権限を間接的に取得します。

各機能セキュリティ権限は、「等級の管理」ページや「事業所の管理」ページなど関連のページで構成されるコード・リソースを保護します。一部のユーザー・インタフェースはデータ・セキュリティの対象ではないため、機能セキュリティ権限の中には同等のデータ・セキュリティ・ポリシーを持たないものもあります。

事前定義済の職務ロール事前定義済の職務ロールは、1つのグループとして管理可能な権限の論理グループを表します。これらの職務ロールは、実際のタスク・グループも表します。たとえば、事前定義済「人事担当者」ジョブ・ロールは、「ワークフォース・ストラクチャ管理職務」ロールを継承します。ワークフォース・ストラクチャへのアクセス権がない「人事担当者」ジョブ・ロールを作成するには、次を実行します。

1. 事前定義済ジョブ・ロールをコピーします。2. コピーから「ワークフォース・ストラクチャ管理職務」ロールを削除します。

集計権限集計権限はロールの一種です。各集計権限には、1つの機能セキュリティ権限と関連するデータ・セキュリティ・ポリシーが結合されています。すべての集計権限は事前定義されています。このトピックでは、集計権限の命名と使用方法について説明します。

26

集計権限名集計権限は、含まれている機能セキュリティ権限からその名前を取得します。たとえば、「就業者の昇格・昇進」集計権限には、「就業者の昇格・昇進」機能セキュリティ権限が含まれます。

ロール階層の集計権限ジョブ・ロールと抽象ロールは、集計権限を直接継承します。職務ロールも集計権限を継承する場合があります。ただし、集計権限は他のどのタイプのロールも継承できません。ジョブ・ロールと抽象ロールのほとんどの機能とデータ・セキュリティは集計権限によって提供されるため、ロール階層のレベルは少数です。このフラットな階層は管理が容易です。

カスタム・ロールでの集計権限の使用カスタム・ロールのロール階層に集計権限を含めることができます。集計権限をロールの構成要素として扱います。

集計権限の作成、編集、またはコピー集計権限を作成、編集、またはコピーすることも、集計権限から別のロールに権限を付与することもできません。集計権限の目的は、特定のデータ・セキュリティ・ポリシーと組合された機能セキュリティ権限のみを付与することです。したがって、集計権限を単一のエンティティとして使用する必要があります。

ジョブ・ロールまたは抽象ロールをコピーした場合、コピー元のロールの集計権限はコピーされません。かわりに、コピーされたロールの集計権限にロール・メンバーシップが自動的に追加されます。

セキュリティの構成に関するガイドライン事前定義済セキュリティ・リファレンス実装が企業を完全に表していない場合、変更できます。たとえば、事前定義済「ライン・マネージャ」抽象ロールに、報酬管理権限が含まれるとします。報酬を処理しないライン・マネージャがいる場合、それらの権限のないライン・マネージャ・ロールを作成できます。ロールを作成するには、既存のロールをコピーするか、ロールを新規に作成できます。

実装中、事前定義済ロールを評価し、変更が必要かどうかを判断します。事前定義済ロールをロール・コードで容易に識別できます。すべてのロール・コードにはプリフィクスORA_が付いています。たとえば、「給与マネージャ」ジョブ・ロールのロール・コードはORA_PAY_PAYROLL_MANAGER_JOBです。すべての事前定義済ロールには、多くの機能セキュリティ権限やデータ・セキュリティ・ポリシーが付与されます。また、集計権限や他の職務ロールも継承します。ロールに小さな変更を行う場合、事前定義済ロールをコピーして編集する方法が効率的です。ロールの新規作成が最も効率的なのは、ロールの権限がごく少数で、その特定が簡単な場合です。

欠落している企業ジョブセキュリティ・リファレンス実装内に表されていないジョブが企業内にある場合は、独自のジョブ・ロールを作成

27

できます。必要に応じて、集計権限と職務ロールをカスタム・ジョブ・ロールに追加します。

様々な権限を持つ事前定義済ロール事前定義済ジョブ・ロールの権限が企業内の対応するジョブと一致しない場合、独自のロールを作成できます。事前定義済ロールをコピーすると、コピーを編集できます。必要に応じて、集計権限、職務ロール、機能セキュリティ権限、およびデータ・セキュリティ・ポリシーを追加または削除できます。

権限が欠落している事前定義済ロールジョブの権限がセキュリティ・リファレンス実装で定義されていない場合は、独自の職務ロールを作成できます。ただし、一般的な実装ではカスタムの職務ロールは使用しません。集計権限は作成できません。

事前定義済ロールをレビューするためのオプションこのトピックでは、事前定義済ロールに関する情報にアクセスするための方法をいくつか説明します。この情報は、各ロールを必要としているユーザーと、ロールをプロビジョニングする前に変更を行うかどうかを特定するのに役立ちます。

セキュリティ・コンソールセキュリティ・コンソールでは、次を実行できます。

ジョブ・ロール、抽象ロール、または職務ロールのロール階層を確認する。ロール階層をスプレッドシートに展開する。ロールに付与された機能セキュリティ権限とデータ・セキュリティ・ポリシーを識別する。ロールを比較して違いを特定する。

ヒント: すべての事前定義済ロールのロール・コードにはORA_のプリフィクスが付いています。

レポート「ユーザーおよびロールのアクセス監査レポート」を実行できます。このXML形式のレポートでは、指定されたロール、すべてのロール、指定されたユーザー、またはすべてのユーザーの機能セキュリティ権限とデータ・セキュリティ・ポリシーが識別されます。

セキュリティ・リファレンス・マニュアル次の2つのマニュアルでは、Oracle HCM Cloudユーザー向けのセキュリティ・リファレンス実装について説明しています。

『Oracle Applications Cloudのセキュリティ・リファレンス』には、Oracle Fusion Applicationsに共通するすべ

28

ての事前定義済セキュリティ・データの説明が記載されています。『Oracle HCM Cloudのセキュリティ・リファレンス』には、Oracle HCM Cloudに共通するすべての事前定義済セキュリティ・データの説明が記載されています。

どちらのマニュアルにも、各事前定義済ジョブと抽象ロールに関するセクションがあります。ロールごとに、次をレビューできます。

職務ロールと集計権限ロール階層機能セキュリティ権限データ・セキュリティ・ポリシー

docs.oracle.comでセキュリティ・リファレンス・マニュアルにアクセスできます。

Oracle Fusion Applicationsセキュリティ・コンソールOracle Fusion Applicationsセキュリティ・コンソールは、ほとんどのセキュリティ管理タスクを実行する使いやすい管理作業領域です。このトピックでは、セキュリティ・コンソールの概要とアクセス方法について説明します。

セキュリティ・コンソールの機能セキュリティ・コンソールを使用して次を実行します。

ロール階層とロール分析のレビュー。

注意: セキュリティ・コンソールでHCMデータ・ロールをレビューできます。ただし、それらは「データ・ロールおよびセキュリティ・プロファイルの管理」ページで管理する必要があります。カスタム・ジョブ、抽象ロールおよび職務ロールの作成および管理。ユーザーに割り当てられているロールのレビュー。実装ユーザーとそのロールの作成および管理。ロールの比較。ユーザーまたはロールのナビゲータのシミュレーション。ユーザー・カテゴリの作成および管理。各ユーザー・カテゴリのユーザー名とパスワード・ポリシーのデフォルト形式の管理。パスワードの失効など、各ユーザー・カテゴリのユーザーライフ・サイクル・イベントの通知の管理。データの暗号化と復号化のためのPGPおよびX.509証明書の管理。必要に応じたフェデレーションの設定、およびOracle Fusion Applications SecurityとMicrosoft ActiveDirectory間でのユーザーとロール情報の同期。

セキュリティ・コンソールへのアクセスセキュリティ・コンソールにアクセスするには「ITセキュリティ・マネージャ」ジョブ・ロールが必要です。「セキュリティ・コンソール」作業領域を選択してセキュリティ・コンソールを開きます。「設定および保守」作業領

29

域で次のタスクを実行してもセキュリティ・コンソールが開きます。

実装ユーザーの作成アプリケーション・セキュリティ・プリファレンスの管理職務の管理ジョブ・ロールの管理実装ユーザーからのデータ・ロールの取消し

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

30

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

2 実装ユーザーの作成この章の内容は次のとおりです。

HCM実装ユーザーHCM実装ユーザーの作成の概要ユーザーおよびロール情報の同期アプリケーション・セキュリティへのユーザーおよびロールのインポートTechAdmin実装ユーザーの作成HCMUser実装ユーザーの作成

31

HCM実装ユーザー実装ユーザー:

Oracle Human Capital Management Cloud (Oracle HCM Cloud)の実装を管理します。実装中および実装後にアプリケーション・ユーザーとセキュリティを管理します。基本的な企業構造を設定します。

実装ユーザーには、Oracle HCM Cloudサービスの初回実装および定期メンテナンスに必要なアクセス権が付与されます。実装ユーザーは少なくとも1名作成することをお薦めします。

実装ユーザーとアプリケーション・ユーザーの違い実装ユーザーには「アプリケーション実装コンサルタント」などのジョブ・ロールがあるため、大量のデータへ無制限にアクセスできます。ただし、こうしたレベルのアクセスが必要になるのは一時のみです。実装後は、アプリケーション・ユーザーと管理者が、権限の弱いロールを使用して自身のタスクを実行できるようになります。実装ユーザーには、ユーザー・アカウントのみが作成されます。Oracle HCM Cloud内で個人レコードは作成されません。

実装ユーザーを作成できるユーザー初期実装ユーザーは、Oracle HCM Cloudサービス管理者が作成します。

推奨される実装ユーザー重要な職務を区別するため、次の表に示されている実装ユーザーを作成することをお薦めします。

実装ユーザー 説明

TechAdmin セキュリティの設定など、技術の設定を担当します。このユーザーは、技術的なスーパーユーザーのためのものです。

HCMUser 機能の設定を担当します。このユーザーは、Oracle HCM Cloudの実装ステップを実施するユーザーのためのものです。

企業の規模や実装チームの構造によっては、実装ユーザーを追加したほうが有用な場合があります。次に例を示します。

アプリケーション実装マネージャは、別の実装ユーザーに実装タスクを割り当てることができます。この実装ユーザーには、「アプリケーション実装マネージャ」ジョブ・ロールが設定されています。製品ファミリ・アプリケーション管理者は、特定の製品の実装タスクを実行できます。このアプローチは、複数のOracle Fusion製品の実装を行うときに、製品ごとに実装担当者を分ける必要がある場合に役立ちます。

ヒント: 「人材管理アプリケーション管理者」ジョブ・ロールがアクセスできるのは、HCMの設定タスクのみです。「アプリケーション実装コンサルタント」ジョブ・ロールは、すべてのOracle FusionApplications設定タスクにアクセスできます。

32

HCM実装ユーザーの作成の概要Oracle HCM Cloudサービスのサービス管理者の環境がプロビジョニングされると、管理者にサインインの詳細が送られます。このトピックでは、サービスへの初回アクセス方法と、実装を担当する実装ユーザーの設定方法について説明します。これらのステップは、実装チームへ環境をリリースする前に完了する必要があります。

まず、テスト環境で実装ユーザーを作成することをお薦めします。本番環境への実装の移行は、実装を検証してから行うようにしてください。こうすることで、実装チームが、本番環境でアプリケーション・ユーザーを設定する前にセキュリティの実装方法を身につけることができます。

Oracle HCM Cloudサービスへのアクセステスト環境または本番環境のサービスURL、ユーザー名、仮パスワードは、オラクル社から送られるようこそEメールまたはサービスアクティブ化Eメールに記載されています。設定する環境については、このEメールを参照してください。アイデンティティ・ドメインの値が環境名となります。たとえば、HCMAであれば本番環境、HCMA-TESTであればテスト環境となります。

ようこそEメールまたはサービスアクティブ化Eメールのサービス・ホームURLで、テスト用または本番用のOracleHCM Cloudサービスにサインインします。このURLの末尾は、AtkHomePageWelcomeまたはHcmFusionHomeです。

初めてサインインするときは、ようこそEメールまたはサービスアクティブ化Eメールに記載されているパスワードを使用します。パスワードを変更するように求められます。新しいパスワードを記録します。このパスワードが、今後サービスへアクセスするためのサービス管理者パスワードになります。サインインの詳細は他のユーザーと共有しないでください。

実装ユーザーの作成次の表に、実装ユーザーの作成およびロール割当のプロセスの概要を示します。

ステップ

タスクまたはアクティビティ 説明

1 「ユーザーおよびロール同期化プロセスの実行」

「最新のLDAP変更の取得」プロセスを実行して、LDAPディレクトリ・サーバーのデータをOracle HCM Cloudにコピーします。

2 アプリケーション・セキュリティへのユーザーおよびロールのインポート

このタスクを実行して、Oracle Fusion Applicationsセキュリティ表を初期化します。

3 実装ユーザーの作成

TechAdminおよびHCMUserの各実装ユーザーが環境に存在しない場合は、これらのユーザーを作成して必要なジョブ・ロールを割り当てます。まだOracle HCM Cloudサービスの就業者のオンボーディングに関する設定を行っていないため、これらのユーザーには名前付きの就業者を関連付けないでください。実装の進行に応じて、これらのユーザーを置き換えるか、ユーザーの定義を変更することができます。

33

ただし、最初のうちは、これら2つのユーザーは必須です。

4 実装ユーザーのデータ・ロールの作成

実装ユーザーがHCMデータへアクセスできるように、次のデータ・ロールを作成します。HRAnalyst_ViewAll

HCMApplicationAdministrator_ViewAll

HR_Specialist_ViewAll

Oracle Fusion Workforce Compensation Cloud ServiceまたはOracle Fusion Global Payroll CloudServiceのライセンスを所有している場合は、他のデータ・ロールも作成します。

5 抽象ロールへのセキュリティ・プロファイルの割当

「従業員」、「派遣就業者」、「ライン・マネージャ」の各事前定義済抽象ロールで、基本データ・アクセス権を有効にします。このタスクは、抽象ロールを持つ実装ユーザーに必要なデータ・アクセス権が設定されるように、実装のこの段階で行います。ただし、このステップは、抽象ロールを持つアプリケーション・ユーザー全員にも影響します。

6 HCM実装データ・ロールの汎用ロール・マッピングの作成

ステップ4で作成したHCMデータ・ロールを実装ユーザーへプロビジョニングできるようにします。

7 HCMUser実装ユーザーへの抽象ロールおよびデータ・ロールの割当

HCMUser実装ユーザーに、機能実装を実行できるようにするロールを割り当てます。

8 HCMUserアクセスの検証

割り当てたロールによって有効になった機能にHCMUser実装ユーザーがアクセスできることを確認します。

これらのステップが完了したら、サービス管理者パスワードをリセットします。

ユーザーおよびロール情報の同期実装では、「最新のLDAP変更の取得」プロセスを1回実行します。このプロセスでは、LDAPディレクトリのデータがOracle Fusion Applicationsセキュリティ表にコピーされます。以降、データは自動的に同期されます。このプロセスを実行するには、このトピックの説明に従って「ユーザーおよびロール同期化プロセスの実行」タスクを実行します。

「最新のLDAP変更の取得」プロセスの実行次のステップを実行します。

1. Oracle Applications Cloudサービス環境にサービス管理者としてサインインします。2. 「設定および保守」作業領域で、オファリングの次の場所に移動します。

機能領域: 初期ユーザータスク: ユーザーおよびロール同期化プロセスの実行

3. 「最新のLDAP変更の取得」プロセスのプロセス送信ページで、次の手順を実行します。a. 「送信」をクリックします。b. 「OK」をクリックして確認メッセージを閉じます。

34

アプリケーション・セキュリティへのユーザーおよびロールのインポートセキュリティを実装するには、セキュリティ・コンソールを使用する必要があります。セキュリティ・コンソールを使用するには、既存のユーザーおよびロールの情報でOracle Fusion Applicationsセキュリティ表を初期化する必要があります。これらのテーブルを初期化するには、「ユーザーおよびロールのアプリケーション・セキュリティへのインポート」タスクを実行します。このトピックでは、このタスクを実行する方法について説明します。

「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」プロセスの実行Oracle HCM Cloudサービス管理者としてサインインし、次のステップを実行します。

1. 「設定および保守」作業領域で、オファリングの次の場所に移動します。機能領域: 初期ユーザータスク: ユーザーおよびロールのアプリケーション・セキュリティへのインポート

2. 「ユーザーおよびロールのアプリケーション・セキュリティへのインポート」ページで、「送信」をクリックします。

「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」プロセスが開始します。プロセスが完了すると、セキュリティ・コンソールを使用できるようになります。

注意: 実装ユーザーの作成後は、このプロセスを毎日実行するようスケジュールすることをお薦めします。

関連トピック

「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」プロセスのスケジュール

TechAdmin実装ユーザーの作成このトピックでは、TechAdmin実装ユーザーの作成方法とこのユーザーへのロールの割当方法について説明します。

TechAdmin実装ユーザーの作成Oracle HCM Cloudサービス管理者としてサインインし、次のステップを実行します。

1. 「設定および保守」作業領域で、次の項目に移動します。

35

機能領域: 初期ユーザータスク: 実装ユーザーの作成

2. セキュリティ・コンソールの「ユーザー・アカウント」ページで、「ユーザー・アカウントの追加」をクリックします。

3. 次の表に示すように、「ユーザー・アカウントの追加」ページのフィールドに入力します。

フィールド 値

関連するPersonタイプ なし

ユーザー・カテゴリ DEFAULT

姓 TechAdmin

Eメール ユーザーの有効なEメール

ユーザー名 TechAdmin

パスワード パスワード・ポリシーに準拠した値

パスワード・ポリシーを確認するには、「パスワード」フィールドの隣にある「ヘルプ」アイコンをクリックします。

注意: パスワードを記録してください。最初にTechAdminとしてサインインしたユーザーが、このパスワードを変更する必要があります。

4. 「アクティブ」オプションを選択したままにします。

TechAdminへのロールの割当TechAdmin実装ユーザーへジョブ・ロールを割り当てるには、次のステップを実行します。

1. 「ユーザー・アカウントの追加」ページの「ロール」セクションで、「ロールの追加」をクリックします。

2. 「ロール・メンバーシップの追加」ダイアログ・ボックスで、「ITセキュリティ・マネージャ」ジョブ・ロールを検索します。

3. 検索結果でそのロールを選択し、「ロール・メンバーシップの追加」をクリックします。4. 「OK」をクリックして「確認」ダイアログ・ボックスを閉じます。5. ステップ2を繰り返して、TechAdminユーザーに次の各ジョブ・ロールを割り当てます。

アプリケーション実装コンサルタントアプリケーション診断管理者アプリケーション診断上級ユーザー

これで、4つのロールが、「ユーザー・アカウントの追加」ページの「ロール」セクションに表示されます。

6. 「保存してクローズ」をクリックします。

注意: 「アプリケーション実装コンサルタント」は、大量のデータへ無制限にアクセスできる高権限のロールです。実装の完了後は、「実装ユーザーからデータ・ロールを取消」タスクを使用してこのロールをすべてのユーザーから解除することをお薦めします。Oracle HCM Cloud設定データの定期メンテナンスには、権限の弱いロールを使用してください。たとえば、「人材管理アプリケーション管理者」ロールに基づくHCMデータ・

36

ロールを使用します。

HCMUser実装ユーザーの作成このトピックでは、HCMUser実装ユーザーの作成方法とこのユーザーへのロールの割当方法について説明します。

HCMUser実装ユーザーの作成Oracle HCM Cloudサービス管理者としてサインインし、次のステップを実行します。

1. 「設定および保守」作業領域で、次の項目に移動します。機能領域: 初期ユーザータスク: 実装ユーザーの作成

2. セキュリティ・コンソールの「ユーザー・アカウント」ページで、「ユーザー・アカウントの追加」をクリックします。

3. 次の表に示すように、「ユーザー・アカウントの追加」ページのフィールドに入力します。

フィールド 値

関連するPersonタイプ なし

ユーザー・カテゴリ DEFAULT

姓 HCMUser

Eメール ユーザーの有効なEメール

ユーザー名 HCMUser

パスワード パスワード・ポリシーに準拠した値

パスワード・ポリシーを確認するには、「パスワード」フィールドの隣にある「ヘルプ」アイコンをクリックします。

注意: パスワードを記録してください。最初にHCMUserとしてサインインしたユーザーが、このパスワードを変更する必要があります。

4. 「アクティブ」オプションを選択したままにします。

HCMUserへのロールの割当HCMUser実装ユーザーへジョブ・ロールを割り当てるには、次のステップを実行します。

1. 「ユーザー・アカウントの追加」ページの「ロール」セクションで、「ロールの追加」をクリックします。

2. 「ロール・メンバーシップの追加」ダイアログ・ボックスで、「アプリケーション管理者」ジョブ・ロールを検索します。

37

3. 検索結果でそのロールを選択し、「ロール・メンバーシップの追加」をクリックします。4. 「OK」をクリックして「確認」ダイアログ・ボックスを閉じます。5. ステップ2を繰り返して、HCMUserユーザーに次の各ジョブ・ロールを割り当てます。

アプリケーション実装コンサルタントアプリケーション診断一般ユーザーアプリケーション診断ビューア

これで、4つのロールが、「ユーザー・アカウントの追加」ページの「ロール」セクションに表示されます。

6. 「保存してクローズ」をクリックします。

注意: 「アプリケーション実装コンサルタント」は、大量のデータへ無制限にアクセスできる高権限のロールです。実装の完了後は、「実装ユーザーからデータ・ロールを取消」タスクを使用してこのロールをすべてのユーザーから解除することをお薦めします。Oracle HCM Cloud設定データの定期メンテナンスには、権限の弱いロールを使用してください。たとえば、「人材管理アプリケーション管理者」ロールに基づくHCMデータ・ロールを使用します。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

38

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

3 実装ユーザーのHCMデータ・ロールの作成この章の内容は次のとおりです。

実装ユーザーのHCMデータ・ロールの概要HRAnalyst_ViewAllデータ・ロールの作成HCMApplicationAdministrator_ViewAllデータ・ロールの作成HRSpecialist_ViewAllデータ・ロールの作成Workforce Compensation実装ユーザーのHCMデータ・ロールの作成Global Payroll実装ユーザーのHCMデータ・ロールの作成

39

実装ユーザーのHCMデータ・ロールの概要HCMデータ・ロールを作成して、HCMUser実装ユーザーがHCMデータにアクセスして機能実装を完了できるようにします。このトピックでは、作成する必要があるHCMデータ・ロールについて説明します。

次のHCMデータ・ロールを作成します。

HRAnalyst_ViewAll

HCMApplicationAdministrator_ViewAll

HRSpecialist_ViewAll

Oracle Fusion Workforce Compensation Cloud Serviceのライセンスを所有している場合は、次のHCMデータ・ロールも作成する必要があります。

CompensationAdmin_ViewAll

CompensationMgr_ViewAll

Oracle Fusion Global Payroll Cloud Serviceのライセンスを所有している場合は、次のHCMデータ・ロールも作成する必要があります。

PayrollAdmin_ViewAll

PayrollMgr_ViewAll

HRAnalyst_ViewAllデータ・ロールの作成このトピックでは、HRAnalyst_ViewAllデータ・ロールの作成方法について説明します。このロールは、HCMUser実装ユーザーが機能実装を完了するために必要なロールの1つです。

データ・ロールの作成TechAdminユーザーとしてサインインします。このユーザー名を初めて使用する場合は、パスワードを変更するように求められます。今後このユーザーとしてサインインする際には常にその新しいパスワードを使用します。

次のステップを実行します。

1. 「設定および保守」作業領域で、次の項目に移動します。機能領域: ユーザーおよびセキュリティタスク: ロールへのセキュリティ・プロファイルの割当

2. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページの「検索結果」セクションで、「作成」をクリックします。

3. 「データ・ロールの作成: ロールの選択」ページのフィールドに次のように入力します。

フィールド 値

40

データ・ロール名 HRAnalyst_ViewAll

ジョブ・ロール 人事管理アナリスト

4. 「次」をクリックします。5. 「データ・ロールの作成: セキュリティ基準」ページの各セクションで、次の表に示す事前定義済セキュリティ・プロファイルを選択します。

セクション セキュリティ・プロファイル

組織 すべての組織の表示

ポジション すべてのポジションの表示

国別仕様データ・グループ すべての国別仕様データ・グループを表示

個人 すべての個人の表示

公開個人 すべての個人の表示

文書タイプ すべてのドキュメント・タイプを表示

給与フロー すべてのフローの表示

6. 「レビュー」をクリックします。7. 「データ・ロールの作成: レビュー」ページで、「送信」をクリックします。8. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページでHRAnalyst_ViewAllデータ・ロールを検索して、存在することを確認します。

HCMApplicationAdministrator_ViewAllデータ・ロールの作成このトピックでは、HCMApplicationAdministrator_ViewAllデータ・ロールの作成方法について説明します。このロールは、HCMUser実装ユーザーが機能実装を完了するために必要なロールの1つです。

データ・ロールの作成すでに「データ・ロールおよびセキュリティ・プロファイルの管理」ページが表示されている場合は、ステップ2に進みます。それ以外の場合は、TechAdminユーザーとしてサインインして次のステップを実行します。

1. 「設定および保守」作業領域で、次の項目に移動します。機能領域: ユーザーおよびセキュリティタスク: ロールへのセキュリティ・プロファイルの割当

2. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページの「検索結果」セクションで、「作成」をクリックします。

3. 「データ・ロールの作成: ロールの選択」ページのフィールドに次のように入力します。

41

フィールド 値

データ・ロール名 HCMApplicationAdministrator_ViewAll

ジョブ・ロール 人材管理アプリケーション管理者

4. 「次」をクリックします。5. 「データ・ロールの作成: セキュリティ基準」ページの各セクションで、次の表に示す事前定義済セキュリティ・プロファイルを選択します。

セクション セキュリティ・プロファイル

組織 すべての組織の表示

ポジション すべてのポジションの表示

国別仕様データ・グループ すべての国別仕様データ・グループを表示

個人 すべての個人の表示

公開個人 すべての個人の表示

文書タイプ すべてのドキュメント・タイプを表示

給与 すべての給与の表示

給与フロー すべてのフローの表示

6. 「レビュー」をクリックします。7. 「データ・ロールの作成: レビュー」ページで、「送信」をクリックします。8. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページでHCMApplicationAdministrator_ViewAllデータ・ロールを検索して、存在することを確認します。

HRSpecialist_ViewAllデータ・ロールの作成このトピックでは、HRSpecialist_ViewAllデータ・ロールの作成方法について説明します。このロールは、HCMUser実装ユーザーが機能実装を完了するために必要なロールの1つです。

データ・ロールの作成すでに「データ・ロールおよびセキュリティ・プロファイルの管理」ページが表示されている場合は、ステップ2に進みます。それ以外の場合は、TechAdminユーザーとしてサインインして次のステップを実行します。

1. 「設定および保守」作業領域で、次の項目に移動します。機能領域: ユーザーおよびセキュリティタスク: ロールへのセキュリティ・プロファイルの割当

2. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページの「検索結果」セクションで、「作成」をクリックします。

42

3. 「データ・ロールの作成: ロールの選択」ページのフィールドに次のように入力します。

フィールド 値

データ・ロール名 HRSpecialist_ViewAll

ジョブ・ロール 人事担当者

4. 「次」をクリックします。5. 「データ・ロールの作成: セキュリティ基準」ページの各セクションで、次の表に示す事前定義済セキュリティ・プロファイルを選択します。

セクション セキュリティ・プロファイル

組織 すべての組織の表示

ポジション すべてのポジションの表示

国 すべての国の表示

国別仕様データ・グループ すべての国別仕様データ・グループを表示

個人 すべての個人の表示

公開個人 すべての個人の表示

文書タイプ すべてのドキュメント・タイプを表示

給与 すべての給与の表示

給与フロー すべてのフローの表示

6. 「レビュー」をクリックします。7. 「データ・ロールの作成: レビュー」ページで、「送信」をクリックします。8. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページでHRSpecialist_ViewAllデータ・ロールを検索して、存在することを確認します。

Workforce Compensation実装ユーザーのHCMデータ・ロールの作成Oracle Fusion Workforce Compensation Cloud Serviceのライセンスを所有している場合は、次のHCMデータ・ロールを作成します。

CompensationAdmin_ViewAll

CompensationMgr_ViewAll

このトピックでは、「ロールへのセキュリティ・プロファイルの割当」タスクを実行してこれらのロールを作成する方法について説明します。

43

CompensationAdmin_ViewAllデータ・ロールの作成すでに「データ・ロールおよびセキュリティ・プロファイルの管理」ページが表示されている場合は、ステップ2に進みます。それ以外の場合は、TechAdminユーザーとしてサインインして次のステップを実行します。

1. 「設定および保守」作業領域で、次の項目に移動します。機能領域: ユーザーおよびセキュリティタスク: ロールへのセキュリティ・プロファイルの割当

2. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページの「検索結果」セクションで、「作成」をクリックします。

3. 「データ・ロールの作成: ロールの選択」ページのフィールドに次のように入力します。

フィールド 値

データ・ロール名 CompensationAdmin_ViewAll

ジョブ・ロール 報酬管理者

4. 「次」をクリックします。5. 「データ・ロールの作成: セキュリティ基準」ページの各セクションで、次の表に示す事前定義済セキュリティ・プロファイルを選択します。

セクション セキュリティ・プロファイル

組織 すべての組織の表示

ポジション すべてのポジションの表示

国別仕様データ・グループ すべての国別仕様データ・グループを表示

個人 すべての個人の表示

給与 すべての給与の表示

給与フロー すべてのフローの表示

6. 「レビュー」をクリックします。7. 「データ・ロールの作成: レビュー」ページで、「送信」をクリックします。8. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページでCompensationAdmin_ViewAllデータ・ロールを検索して、存在することを確認します。

CompensationMgr_ViewAllデータ・ロールの作成次のステップを実行します。

1. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページの「検索結果」セクションで、「作成」をクリックします。

2. 「データ・ロールの作成: ロールの選択」ページのフィールドに次のように入力します。

フィールド 値

データ・ロール名 CompensationMgr_ViewAll

44

ジョブ・ロール 報酬マネージャ

3. 「次」をクリックします。4. 「データ・ロールの作成: セキュリティ基準」ページの各セクションで、次の表に示す事前定義済セキュリティ・プロファイルを選択します。

セクション セキュリティ・プロファイル

組織 すべての組織の表示

ポジション すべてのポジションの表示

国 すべての国の表示

国別仕様データ・グループ すべての国別仕様データ・グループを表示

個人 すべての個人の表示

公開個人 すべての個人の表示

文書タイプ すべてのドキュメント・タイプを表示

給与フロー すべてのフローの表示

5. 「レビュー」をクリックします。6. 「データ・ロールの作成: レビュー」ページで、「送信」をクリックします。7. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページでCompensationMgr_ViewAllデータ・ロールを検索して、存在することを確認します。

Global Payroll実装ユーザーのHCMデータ・ロールの作成Oracle Fusion Global Payroll Cloud Serviceのライセンスを所有している場合は、次のHCMデータ・ロールを作成します。

PayrollAdmin_ViewAll

PayrollMgr_ViewAll

このトピックでは、「ロールへのセキュリティ・プロファイルの割当」タスクを使用してこれらのロールを作成する方法について説明します。

PayrollAdmin_ViewAllデータ・ロールの作成すでに「データ・ロールおよびセキュリティ・プロファイルの管理」ページが表示されている場合は、ステップ2に進みます。それ以外の場合は、TechAdminユーザーとしてサインインして次のステップを実行します。

1. 「設定および保守」作業領域で、次の項目に移動します。

45

機能領域: ユーザーおよびセキュリティタスク: ロールへのセキュリティ・プロファイルの割当

2. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページの「検索結果」セクションで、「作成」をクリックします。

3. 「データ・ロールの作成: ロールの選択」ページのフィールドに次のように入力します。

フィールド 値

データ・ロール名 PayrollAdmin_ViewAll

ジョブ・ロール 給与管理者

4. 「次」をクリックします。5. 「データ・ロールの作成: セキュリティ基準」ページの各セクションで、次の表に示す事前定義済セキュリティ・プロファイルを選択します。

セクション セキュリティ・プロファイル

組織 すべての組織の表示

ポジション すべてのポジションの表示

国別仕様データ・グループ すべての国別仕様データ・グループを表示

個人 すべての個人の表示

文書タイプ すべてのドキュメント・タイプを表示

給与 すべての給与の表示

給与フロー すべてのフローの表示

6. 「レビュー」をクリックします。7. 「データ・ロールの作成: レビュー」ページで、「送信」をクリックします。8. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページでPayrollAdmin_ViewAllデータ・ロールを検索して、存在することを確認します。

PayrollMgr_ViewAllデータ・ロールの作成次のステップを実行します。

1. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページの「検索結果」セクションで、「作成」をクリックします。

2. 「データ・ロールの作成: ロールの選択」ページのフィールドに次のように入力します。

フィールド 値

データ・ロール名 PayrollMgr_ViewAll

ジョブ・ロール 給与マネージャ

3. 「次」をクリックします。

46

4. 「データ・ロールの作成: セキュリティ基準」ページの各セクションで、次の表に示す事前定義済セキュリティ・プロファイルを選択します。

セクション セキュリティ・プロファイル

組織 すべての組織の表示

ポジション すべてのポジションの表示

国別仕様データ・グループ すべての国別仕様データ・グループを表示

個人 すべての個人の表示

文書タイプ すべてのドキュメント・タイプを表示

給与 すべての給与の表示

給与フロー すべてのフローの表示

5. 「レビュー」をクリックします。6. 「データ・ロールの作成: レビュー」ページで、「送信」をクリックします。7. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページでPayrollMgr_ViewAllデータ・ロールを検索して、存在することを確認します。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

47

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

4 抽象ロールに対する基本データ・アクセスの有効化この章の内容は次のとおりです。

セキュリティ・プロファイルを抽象ロールに割り当てる理由抽象ロールへのセキュリティ・プロファイルの割当

セキュリティ・プロファイルを抽象ロールに割り当48

てる理由これらの抽象ロールはOracle HCM Cloudで事前定義されます。

従業員派遣就業者ライン・マネージャ

これらのロールを持つユーザーは、サインインしてアプリケーションのページを開くことができます。ただし、自動的にデータにアクセスすることはできません。たとえば、従業員はディレクトリを開くことはできますが、検索しても結果は返されません。ライン・マネージャは、自分のチームの機能にアクセスできますが、組織のデータを見ることはできません。抽象ロールを持つユーザーの基本的なHCMデータへのアクセスを有効にするには、セキュリティ・プロファイルをこれらのロールに直接割り当てます。

抽象ロールに割り当てる事前定義済のセキュリティ・プロファイル次の表に、従業員、ライン・マネージャおよび派遣就業者抽象ロールに直接割り当てることができる事前定義済のセキュリティ・プロファイルを示します。

セキュリティ・プロファイル・タイプ 従業員 派遣就業者 ライン・マネージャ

個人 自身のレコードの表示 自身のレコードの表示 マネージャ階層の表示

公開個人 すべての就業者の表示 すべての就業者の表示 すべての就業者の表示

組織 すべての組織の表示 すべての組織の表示 すべての組織の表示

ポジション すべてのポジションの表示 すべてのポジションの表示 すべてのポジションの表示

国別仕様データ・グループ

すべての国別仕様データ・グループを表示

すべての国別仕様データ・グループを表示

すべての国別仕様データ・グループを表示

国 すべての国の表示 すべての国の表示 すべての国の表示

文書タイプ すべてのドキュメント・タイプを表示

すべてのドキュメント・タイプを表示

すべてのドキュメント・タイプを表示

給与 適用不可 適用不可 すべての給与の表示

給与フロー 適用不可 適用不可 すべてのフローの表示

実装後にこのデータ・アクセスを変更できます。たとえば、独自のセキュリティ・プロファイルを作成し、抽象ロールに直接割り当てることができます。

注意: これらの変更は、抽象ロールを持つすべてのユーザーに適用されます。

HCMデータ・ロール

49

抽象ロールを持つユーザーは、ジョブ・ロールとして定義されたHCMデータ・ロールから追加のデータ・アクセスを取得できます。たとえば、福利厚生担当が雇用主の個人レコードにアクセスするためのHCMデータ・ロールを作成できます。このデータ・アクセスは、抽象ロールが提供するアクセスに追加されます。

抽象ロールへのセキュリティ・プロファイルの割当この例では、実装時に事前定義済セキュリティ・プロファイルを抽象ロールに割り当てる方法を学習します。このタスクを実行して、事前定義済の「従業員」ロール、「派遣就業者」ロールおよび「ライン・マネージャ」ロールの基本データ・アクセスを有効にします。

「従業員」抽象ロールの検索1. TechAdminユーザー、または「ITセキュリティ・マネージャ」ジョブ・ロールまたは特権をもつ他のユーザーとしてサインインします。

2. 「設定および保守」作業領域で、オファリングの次の場所に移動します。機能領域: ユーザーおよびセキュリティタスク: ロールへのセキュリティ・プロファイルの割当

3. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページで、「ロール」フィールドに「従業員」と入力します。「検索」をクリックします。

4. 「検索結果」セクションで、事前定義済の「従業員」ロールを選択し、「編集」をクリックします。

「従業員」抽象ロールへのセキュリティ・プロファイルの割当1. 「データ・ロールの編集: ロール詳細」ページで、「次」をクリックします。2. 「データ・ロールの編集: セキュリティ基準」ページで、次の表に示すセキュリティ・プロファイルを選択します。実装するクラウド・サービスの組み合わせによっては、これらのセキュリティ・プロファイルのサブセットが表示されることがあります。

フィールド 値

「組織」セキュリティ・プロファイル すべての組織の表示

「ポジション」セキュリティ・プロファイル すべてのポジションの表示

「国」セキュリティ・プロファイル すべての国の表示

「LDG」セキュリティ・プロファイル すべての国別仕様データ・グループを表示

「個人セキュリティ・プロファイル」(「個人」セクション) 自身のレコードの表示

「個人セキュリティ・プロファイル」(「公開個人」セクション) すべての就業者の表示

「文書タイプ」セキュリティ・プロファイル すべてのドキュメント・タイプを表示

3. 「レビュー」をクリックします。4. 「データ・ロールの編集: レビュー」ページで、「送信」をクリックします。

50

5. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページで、再度事前定義済「従業員」ロールを検索します。

6. 「検索結果」リージョンで、「割当済」アイコンが、「従業員」ロールの「セキュリティ・プロファイル」列に表示されることを確認します。「割当済」アイコン、チェック・マークで、そのロールにセキュリティ・プロファイルが割り当てられていることが確認できます。『「従業員」抽象ロールの検索』および『「従業員」抽象ロールへのセキュリティ・プロファイルの割当』のステップを、事前定義済「派遣就業者」ロールについて繰り返します。

「ライン・マネージャ」抽象ロールの検索1. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページで、「ロール」フィールドに「ライン・マネージャ」と入力します。「検索」をクリックします。

2. 「検索結果」セクションで、事前定義済の「ライン・マネージャ」ロールを選択し、「編集」をクリックします。

「ライン・マネージャ」抽象ロールへのセキュリティ・プロファイルの割当

1. 「データ・ロールの編集: ロール詳細」ページで、「次」をクリックします。2. 「データ・ロールの編集: セキュリティ基準」ページで、次の表に示すセキュリティ・プロファイルを選択します。実装するクラウド・サービスの組み合わせによっては、これらのセキュリティ・プロファイルのサブセットが表示されることがあります。

フィールド 値

「組織」セキュリティ・プロファイル すべての組織の表示

「ポジション」セキュリティ・プロファイル すべてのポジションの表示

「国」セキュリティ・プロファイル すべての国の表示

「LDG」セキュリティ・プロファイル すべての国別仕様データ・グループを表示

「個人セキュリティ・プロファイル」(「個人」セクション) マネージャ階層の表示

「個人セキュリティ・プロファイル」(「公開個人」セクション) すべての就業者の表示

「文書タイプ」セキュリティ・プロファイル すべてのドキュメント・タイプを表示

給与 すべての給与の表示

給与フロー すべてのフローの表示

3. 「レビュー」をクリックします。4. 「データ・ロールの編集: レビュー」ページで、「送信」をクリックします5. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページで、再度事前定義済「ライン・マネージャ」ロールを検索します。

6. 検索結果で、「割当済」アイコンが、「ライン・マネージャ」ロールの「セキュリティ・プロファイ

51

ル」列に表示されることを確認します。「割当済」アイコンで、そのロールにセキュリティ・プロファイルが割り当てられていることが確認できます。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

52

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

5 実装ユーザーに対するロールの割当この章の内容は次のとおりです。

HCM実装データ・ロールのためのロール・マッピングの作成抽象およびデータ・ロールのHCMUserへの割当HCMUserアクセスの検証クラウド・サービス管理者サインインの詳細のリセット

53

HCM実装データ・ロールのためのロール・マッピングの作成ロール・マッピングを作成して、HCMUserのような実装ユーザーに実装データ・ロールをプロビジョニングできるようにします。このトピックでは、ロール・マッピングの作成方法について説明します。

ロール・マッピングの作成TechAdminユーザーとしてサインインします。

1. 「設定および保守」作業領域で、次の項目に移動します。機能領域: ユーザーおよびセキュリティタスク: ロール・プロビジョニング・ルールの管理

2. 「ロール・マッピングの管理」ページの「検索結果」セクションで、「作成」をクリックします。「ロール・マッピングの作成」ページが開きます。

3. 「マッピング名」フィールドに「要求可能ロール」と入力します。4. 「条件」セクションで、HRアサイメント・ステータスを「アクティブ」に設定します。5. 「関連ロール」セクションで、行を追加します。6. 「ロール名」フィールドで、HRAnalyst_ViewAll HCMデータ・ロールを検索して選択します。7. 「要求可能」オプションを選択します。「自己要求可能」オプションと「自動プロビジョニング」オプションが選択されていないことを確認してください。

注意: 「自動プロビジョニング」が自動的に選択されている場合は、選択を解除してください。

8. これらのロールに対してステップ6およびステップ7を繰り返します。HCMApplicationAdministrator_ViewAll

HRSpecialist_ViewAll

9. 次のいずれかのロールを作成していた場合は、それぞれに対してステップ6およびステップ7を繰り返します。

CompensationAdmin_ViewAll

CompensationMgr_ViewAll

PayrollAdmin_ViewAll

PayrollMgr_ViewAll

10. 「保存してクローズ」をクリックします。「ロール・マッピングの管理」ページで、「完了」をクリックします。

注意: 実装が完了したら、アプリケーションのユーザーがこれらのロールをプロビジョニングしないよう、このロール・マッピングを削除することをお薦めします。

抽象およびデータ・ロールのHCMUserへの割当54

実装ユーザーHCMUserには、ユーザーが作成されたときに割り当てられたいくつかのジョブ・ロールがあります。このトピックでは、抽象ロールおよびHCMデータ・ロールを割り当てて、HCMUserが機能実装を完了できるようにする方法を説明します。

HCMUserの編集次のステップを実行します。

1. TechAdminユーザーとしてサインインします。2. 「設定および保守」作業領域で、次の項目に移動します。

機能領域: 初期ユーザータスク: 実装ユーザーの作成

3. セキュリティ・コンソールの「ユーザー・アカウント」ページで、HCMUser実装ユーザーを検索します。4. 検索結果で、ユーザー名をクリックし、「ユーザー・アカウント詳細」ページを開きます。これらのロールが、HCMUserにすでに割り当てられているロールのリストに表示されます。

すべてのユーザーアプリケーション管理者アプリケーション実装コンサルタントアプリケーション診断一般ユーザーアプリケーション診断ビューア

5. 「編集」をクリックします。

HCMUserへのロールの割当次のステップを実行します。

1. 「ユーザー・アカウント詳細」ページの「ロール」セクションで、「ロールの追加」をクリックします。2. 「ロール・メンバーシップの追加」ダイアログ・ボックスで、事前定義された「従業員」抽象ロールを検索して選択します。

3. 検索結果でそのロールを選択し、「ロール・メンバーシップの追加」をクリックします。4. 「OK」をクリックして「確認」ダイアログ・ボックスを閉じます。5. ステップ2から繰り返して、これらの抽象ロールおよびHCMデータ・ロールをHCMUserに追加します。

派遣就業者ライン・マネージャHRSpecialist_ViewAll

HRAnalyst_ViewAll

HCMApplicationAdministrator_ViewAll

関連するクラウド・サービスのライセンスを所有しており、これらのHCMデータ・ロールを作成している場合は、それらをHCMUserに追加します。

CompensationAdmin_ViewAll

CompensationMgr_ViewAll

PayrollAdmin_ViewAll

55

PayrollMgr_ViewAll

HCMUserには11～15のロールがあることになります(ライセンスを所有しているクラウド・サービスによる)。

ヒント: 誤ってロールを追加した場合、そのロールを選択して「削除」をクリックします。

6. 「保存してクローズ」をクリックします。

HCMUserアクセスの検証このトピックでは、HCMUser実装ユーザーが割り当てられたロールによって有効となった機能にアクセスできることを検証する方法を説明します。

1. HCMUserユーザー名とパスワードを使用してサインインします。このユーザー名を初めて使用するため、パスワードを変更するように求められます。HCMUserは、その後新しいパスワードを使用してサインインします。

2. 「ナビゲータ」を開きます。「ナビゲータ」で、次を検証します。「タレント管理」を使用する場合、「キャリア開発」、「目標」、および「パフォーマンス」などのエントリが、「自分のクライアント・グループ」に表示されます。「報酬管理」を使用する場合、「自分のクライアント・グループ」の下に「報酬」のエントリが表示されます。「グローバル給与」を使用する場合、「給与」の下に「給与」のエントリが表示されます。

3. サインアウトします。

ヒント: セキュリティ・コンソールを使用してユーザーのアクセスを検証することもできます。「ロール」タブでHCMUserを検索します。検索結果でユーザーを選択し、右クリックして、「ナビゲータのシミュレート」を選択します。シミュレーションされたナビゲータで、鍵アイコンのついていないエントリはユーザーが使用できます。

これでHCMUserはOracle HCM Cloudの機能実装を完了できます。

クラウド・サービス管理者サインインの詳細のリセット実装ユーザーを設定したら、Oracle Applications Cloudサービスのサービス管理者サインインの詳細をリセットできます。これらの詳細をリセットして、後に従業員としてサービスにロードされるときに問題を回避します。このトピックでは、サービス管理者サインインの詳細をリセットする方法を説明します。

TechAdminユーザー名とパスワードを使用してOracle Applications Cloudサービスにサインインし、次のステップを実行します。

1. 「設定および保守」作業領域で、次の項目に移動します。

56

機能領域: 初期ユーザータスク: 実装ユーザーの作成

2. セキュリティ・コンソールの「ユーザー・アカウント」ページで、サービス管理者ユーザー名を検索します。通常はEメールです。サービスのアクティブ化メールにこの値が含まれています。

3. 検索結果で、サービス管理者ユーザー名をクリックし、「ユーザー・アカウント詳細」ページを開きます。

4. 「編集」をクリックします。5. 「ユーザー名」の値を「ServiceAdmin」に変更します。6. 「名」フィールドの値を削除します。7. 「姓」フィールドの値を「ServiceAdmin」に変更します。8. 「Eメール」フィールドの値を削除します。9. 「保存してクローズ」をクリックします。

10. Oracle Applications Cloudサービスからサインアウトします。

これらの変更の後、サービス管理者としてサインインするときはユーザー名「ServiceAdmin」を使用します。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

57

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

6 アプリケーションのセキュリティの設定この章の内容は次のとおりです。

アプリケーション・セキュリティ設定タスクの概要ユーザー名書式パスワード・ポリシーロール・プリファレンスユーザー・カテゴリ: 説明ユーザー・カテゴリへのユーザーの追加

58

ユーザー名とパスワード通知通知テンプレートの作成「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」プロセスのスケジュール「ユーザー・ログイン履歴のインポート」プロセスのスケジュール「待ち状態のLDAP要求の送信」プロセスを実行する理由「待ち状態のLDAP要求の送信」プロセスのスケジュール「最新のLDAP変更の取得」の実行

アプリケーション・セキュリティ設定タスクの概要「ITセキュリティ・マネージャ」ジョブ・ロールを持つTechAdminユーザーの実装中に、「初期ユーザー」機能領域でタスクを実行します。このトピックでは、これらのタスクのいくつかについて概要を説明します。この章ではそれらのタスクの詳しく説明していきます。

アプリケーション・セキュリティ・プリファレンスの管理このタスクでは、セキュリティ・コンソールの「管理」タブが開きます。

セキュリティ・コンソールの「管理」タブの「一般」サブタブで、次を実行します。

証明書のデフォルトの有効期間を指定する。証明書は、Oracle HCM Cloudが他のアプリケーションと交換するデータの暗号化および復号化に使用するキーを確立します。セキュリティ・コンソール・ユーザーに最新のユーザーおよびロール情報をインポートするよう知らせる警告を表示する頻度を指定します。

セキュリティ・コンソールの「管理」タブの「ロール」サブタブで、次を実行します。

コピーしたロールのデフォルトのプレフィクスとサフィクスを指定する。セキュリティ・コンソールの「ロール」タブにロールをグラフィカルに表示できるノード数に対する制限を指定する。「ロール」タブの階層が、デフォルトではグラフィカル形式または表形式のどちらで表示されるか指定する。

セキュリティ・コンソールの「管理」タブの「Active Directory用ブリッジ」サブタブで、Microsoft ActiveDirectory用ブリッジを構成します。

セキュリティ・コンソールの「ユーザー・カテゴリ」タブで、次を実行します。

ユーザー・カテゴリを作成する。ユーザー・カテゴリにユーザーを追加する。ユーザー・カテゴリのユーザー名のデフォルト書式を指定する。ユーザー・カテゴリのパスワード・ポリシーを管理する。選択したユーザー・カテゴリのユーザーに対するユーザーおよびパスワード・イベントの通知を管理する。

59

選択したユーザー・カテゴリの通知テンプレートを作成する。

アプリケーション・セキュリティへのユーザーおよびロールのインポートこのタスクでは、Oracle Fusion Applicationsセキュリティ表を初期化および維持するプロセスを実行します。このプロセスは毎日実行するようスケジュールすることをお薦めします。すべてのリリース更新の後にも、このプロセスを実行する必要があります。

ユーザー・ログイン履歴のインポートこのタスクは、ユーザー・アクセスの履歴をOracle Fusion Applicationsにインポートするプロセスを実行します。この情報は、「非アクティブ・ユーザー・レポート」に必要です。

ユーザー名書式実装時に、デフォルト・ユーザー・カテゴリのユーザー名のデフォルト書式を指定します。このトピックでは、使用可能な形式を説明します。形式を選択するには、「アプリケーション・セキュリティ・プリファレンスの管理」タスクを実行します。このときに、セキュリティ・コンソールの「管理」ページが開きます。「ユーザー・カテゴリ」タブをクリックし、デフォルト・ユーザー・カテゴリの名前をクリックして開きます。「詳細」サブタブの「編集」をクリックして、ユーザー名書式を編集します。任意のユーザー・カテゴリ書式をいつでも変更できます。

使用可能なユーザー名書式次の表で、使用可能なユーザー名形式を説明します。

ユーザー名書式 説明

Eメール 勤務先Eメール(またはパーティ電子メール、パーティ・ユーザー)はユーザー名です。たとえば、john.smith@example.comのユーザー名はjohn.smith@example.comになります。重複名を一意にするために、数値が追加されます。たとえば、john.smith@example.comおよびjohn.smith1@example.comがすでに存在している場合、john.smith2@example.comを使用できます。

「Eメール」はデフォルト書式です。

FirstName.LastName 就業者の名と姓を1つのピリオドで区切った名前がユーザー名になります。たとえば、John FrankSmithのユーザー名はjohn.smithになります。重複名を一意にするために、ユーザーのミドル・ネームまたはランダムな文字が使用されます。たとえば、John Smithのユーザー名はjohn.frank.smithまたはjohn.x.smithになります。

FLastName 就業者の姓の前に名のイニシャルを加えた名前がユーザー名になります。たとえば、JohnSmithのユーザー名はjsmithになります。

個人またはパーティ番号

パーティ番号または個人番号がユーザー名になります。企業で個人番号の手動採番を使用している場合は、雇用プロセス中に入力した任意の番号がユーザー名になります。それ以外の場合は、番号が自動的に生成され、編集することはできません。自動的に生成された番号がユーザー名になります。たとえば、John Smithの個人番号が987654の場合、ユーザー名は987654になります。

60

別のユーザー名ルールを選択した場合は、「保存」をクリックします。変更はすぐに有効になります。

システム・ユーザー名選択したユーザー名ルールが失敗する場合があります。たとえば、ユーザー・アカウントが要求されたときに個人のパーティ番号、個人番号、Eメールが使用できないことがあります。この場合、一意のユーザー名が定義されるまで次に示すオプションを記載されている順序で適用してシステム・ユーザー名が生成されます。

1. Eメール2. FirstName.LastName

3. 姓のみ使用できる場合は、ランダムな文字が姓の先頭に付きます。

セキュリティ・コンソール・オプションの「生成ルールが失敗した場合にシステム・ユーザー名を生成」によって、システム・ユーザー名を生成するかどうかを制御します。このオプションは無効にすることができます。この場合、ユーザー名が選択した形式で生成できないと、エラーが発生します。

ヒント: システム・ユーザー名が生成された場合は、後から編集して希望の値を指定できます。

ユーザー名の編集人事(HR)担当者とライン・マネージャは、ユーザー名を任意の形式で入力し、就業者を雇用するときのデフォルトのユーザー名を上書きできます。HR担当者は、「ユーザーの編集」および「ユーザー・アカウントの管理」ページでも個々のユーザーのユーザー名を編集できます。ユーザー名の最大長は80文字です。

勤務先Eメールライン・マネージャまたはHR担当者は、就業者を雇用するときに勤務先Eメールを省略する場合があります。その場合、就業者の詳細を編集してEメールを後から追加することできません。ただし、セキュリティ・コンソールでユーザーを編集し、そこでEメールを入力できます。異なるユーザー名が生成された後にユーザー名として勤務先Eメールを使用するには、既存のユーザー名を編集します。

パスワード・ポリシー実装時に、デフォルト・ユーザー・カテゴリのパスワード・ポリシーを設定します。このトピックでは、使用可能なオプションについて説明します。パスワード・ポリシーを設定するには、「アプリケーション・セキュリティ・プリファレンスの管理」タスクを実行します。このタスクでは、セキュリティ・コンソールの「管理」ページが開きます。「ユーザー・カテゴリ」タブをクリックし、デフォルト・カテゴリの名前をクリックして開きます。「パスワード・ポリシー」サブタブで「編集」をクリックして、ポリシーを編集します。任意のユーザー・カテゴリのパスワード・ポリシーをいつでも変更できます。

パスワード・ポリシーのオプション

61

次の表で、パスワード・ポリシーの設定で指定できるオプションについて説明します。

パスワード・ポリシーのオプション 説明 デフォルト値

パスワード失効までの日数

パスワードの有効期間を日数で指定します。この期間後、ユーザーはパスワードをリセットする必要があります。デフォルトでは、パスワードが失効したユーザーは「パスワードを忘れた場合」プロセスに従う必要があります。

90

パスワード失効警告までの日数

パスワードの失効についてユーザーに通知するタイミングを指定します。デフォルトでは、ユーザーはサインインしてパスワードを変更するよう要求されます。この値は、「パスワード失効までの日数」オプションの値以下に設定する必要があります。

80

注意: この値は、更新18Bからの新規インストールの場合は10になります。

パスワード・リセット・トークン失効までの時間数

ユーザーは、パスワードのリセットを要求するときに、パスワード・リセット・リンクを送信します。このオプションでは、パスワード・リセット・リンクがアクティブな期間を指定します。パスワードがリセットされる前にリンクが失効した場合、リセットを再度要求する必要があります。1から9999の値を入力できます。

4

パスワードの複雑性

パスワードを単純にするか、複雑にするか、または非常に複雑するかを指定します。パスワード検証ルールで、選択した複雑性テストに失敗したパスワードを識別します。

単純

前回のパスワードの禁止

新しいパスワードを前回のパスワードと異なるものにする場合に選択します。ユーザーが「設定およびアクション」→「プリファレンスの設定」→「パスワード」を選択してパスワード・リセットを要求すると、このオプションによって前回のパスワードを再利用できるかどうかが決定します。ただし、ユーザーのパスワードが期限切れになると、ユーザーは前回のパスワードを再利用できます。このオプションは、失効後のパスワードの再利用には影響しません。

いいえ

管理者によるパスワードの手動リセットを許可

パスワードは自動的に生成するか、ITセキュリティ・マネージャまたはIT監査者によって手動でリセットできます。ユーザーのパスワードを手動でリセットできるようにする場合はこのオプションを選択します。手動でリセットされたか、自動的に生成されたかに関係なく、すべてのパスワードは現在の複雑性ルールを満たす必要があります。

はい

注意: ユーザー・カテゴリに対して適切な通知テンプレートが有効になっている場合にのみ、ユーザーにパスワード・イベントが通知されます。これらのイベントの事前定義済通知テンプレートは、「パスワード失効警告テンプレート」、「パスワード失効テンプレート」、「パスワード・リセット・テンプレート」です。

パスワード失効レポート「パスワード失効レポート」では、パスワード失効警告およびパスワード失効通知が送信されます。「パスワード失効レポート」は毎日実行されるようスケジュールする必要があります。レポートをスケジュールするには、次の

62

手順を実行します。

1. 「スケジュール済プロセス」作業領域で、「新規プロセスのスケジュール」をクリックします。2. 「プロセスのスケジュール」ダイアログ・ボックスで、「パスワード失効レポート」プロセスを検索して選択します。

3. 「OK」をクリックします。4. 「プロセス詳細」ダイアログ・ボックスで、「拡張」をクリックします。5. 「スケジュール」タブで、「実行」を「スケジュールの使用」に設定します。6. 「周期」値を選択します。たとえば、「日次」を選択します。7. 開始日時を選択します。8. 「送信」をクリックします。

ロール・プリファレンス実装中、企業のデフォルトのロール・プリファレンスを設定します。このトピックでは、ロール・プリファレンスとその影響について説明します。ロール・プリファレンスを設定するには、「アプリケーション・セキュリティ・プリファレンスの管理」タスクを実行し、セキュリティ・コンソールの「管理」ページの「一般」サブタブを開きます。「管理」ページの「ロール」サブタブをクリックします。また、セキュリティ・コンソールでいつでもロール・プリファレンスを設定できます。

コピーしたロール名ロールを作成するには、事前定義済ロールをコピーし、コピーしたロールを編集することをお薦めします。事前定義済ロールをコピーすると、次のようになります。

事前定義済ロールを識別するORA_プリフィクスが、コピーしたロールのロール・コードから自動的に削除されます。企業のプリフィクスとサフィクスの値は、コピーしたロールのロール名とコードに自動的に追加されます。

セキュリティ・コンソールの「管理」タブの「ロール」サブタブで企業のプリフィクスおよびサフィクス値を指定します。デフォルトでは、次のようになります。

プリフィクス値は空です。ロール名のサフィクスはCustomです。ロール・コードのサフィクスは_CUSTOMです。

たとえば、「Benefits Administrator」ジョブ・ロール(ORA_BEN_BENEFITS_ADMINISTRATOR_JOB)をコピーすると、コピーしたロールのデフォルト名とコードは次のようになります。

福利厚生管理者カスタムBEN_BENEFITS_ADMINISTRATOR_JOB_CUSTOM

必要に応じて、プリフィクス値を指定し、サフィクス値を変更できます。これらの値を変更する場合は、「保存」をクリックします。変更はすぐに有効になります。

63

グラフ・ノードとデフォルト・ビューセキュリティ・コンソールの「ロール」タブで、ロール階層を表示できます。デフォルトでは、これらの階層は表形式で表示されます。デフォルトでグラフィカル形式を使用するには、セキュリティ・コンソールの「管理」タブの「ロール」サブタブで「デフォルトの表形式表示可能」オプションの選択を解除します。

ロール階層が「ロール」タブに表示されると、ロール数が非常に多い場合があります。グラフィカル・ビューでノード数を制限するには、セキュリティ・コンソールの「管理」タブの「ロール」サブタブで「グラフ・ノード制限」オプションをオンに設定します。指定した制限を超えるノードを含むロール階層を表示する場合は、表形式に切り替えることをお薦めします。

関連トピック

HCMロールのコピーに関するガイドライングラフィカル形式と表形式でのロールのビジュアライゼーション

ユーザー・カテゴリ: 説明様々な機能要件および操作要件に基づいて、ユーザーを分類および分離できます。ユーザー・カテゴリには、指定された設定がそのグループの全員に適用されるように、一連のユーザーをグループ化するオプションが用意されています。ユーザーをグループ化する一般的なシナリオは次のとおりです。

ユーザーは企業内の様々な組織に属し、各組織は異なるユーザー管理ポリシーに従います。パスワードのリセットに関連する慣例が、ユーザー間で均一ではありません。アプリケーションで実行する様々なタスクについての自動通知の受信に関するプリファレンスが、ユーザーごとに異なります。

「セキュリティ・コンソール」ページで、「ユーザー・カテゴリ」タブをクリックします。次のタスクを実行できます。

ユーザーのカテゴリへの分離次のURLの指定通知の有効化

ユーザーのカテゴリへの分離ユーザー・カテゴリを作成し、既存のユーザーを追加します。特に指定されていないかぎり、既存のすべてのユーザーは自動的にデフォルト・ユーザー・カテゴリに割り当てられます。要件に応じてカテゴリをさらに作成し、それらのカテゴリにユーザーを割り当てることができます。

注意: ユーザーを割り当てることができるカテゴリは1つのみです。

次のURLの指定

64

パスワードをリセットするたびに、ユーザーを「サインイン」ページに戻すのではなく、WebサイトまたはアプリケーションにリダイレクトするURLを指定します。たとえば、ユーザーはパスワード・リセット要求を発行すると、パスワードをリセットするための電子メールを受信します。新しいパスワードが認証されると、ユーザーはWebサイトまたはアプリケーションに移動できます。何も指定されていない場合、ユーザーはOracle ApplicationsCloudの「サインイン」ページに移動します。ユーザー・カテゴリごとに指定できるURLは1つのみです。

通知の有効化デフォルトで通知は有効になっていますが、プリファレンスに基づいてユーザーへの通知の送信を有効化または無効化できます。そのために、ユーザー・カテゴリごとに個別に通知を有効化または無効化できます。特定のカテゴリに属するユーザーが通知を受信しないようにする場合は、すべてのライフ・サイクル・イベントの通知を無効にできます。また、一部のイベントの通知のみをユーザーが受信するようにする場合は、それらのイベントの機能を選択的に有効にできます。

通知は一連の事前定義済イベントに対して送信されます。通知をトリガーするには、通知テンプレートを作成し、必要なイベントにマップする必要があります。要件に応じて、特定のイベントにマップされるテンプレートを追加または削除できます。

注意: プリフィクスORAで始まる事前定義済の通知テンプレートは編集または削除できません。有効化または無効化することのみができます。ただし、ユーザー定義テンプレートを更新または削除することはできます。

ユーザー・カテゴリ機能では、一括更新を実行するためのSCIMプロトコルとHCMデータ・ローダーの両方をサポートしています。

関連トピック

ユーザーをユーザー・カテゴリに追加するためのREST APIの使用

ユーザー・カテゴリへのユーザーの追加セキュリティ・コンソールを使用して、既存のユーザーを既存のユーザー・カテゴリに追加するか、新規カテゴリを作成して追加できます。新規ユーザーを作成すると、自動的にデフォルト・カテゴリに割り当てられます。後でユーザー・アカウントを編集し、ユーザー・カテゴリを更新できます。ユーザーを割り当てることができるのは、1つのカテゴリのみです。

注意: セキュリティ・コンソールを使用して新規ユーザーを作成する場合、作成時にユーザー・カテゴリを割り当てることもできます。

次の3つの異なる方法で、ユーザーをユーザー・カテゴリに追加できます。

ユーザー・カテゴリを作成して、ユーザーを追加します既存のユーザー・カテゴリにユーザーを追加します既存のユーザーのユーザー・カテゴリを指定します

注意: ユーザー・カテゴリは、セキュリティ・コンソールを使用してのみ作成および削除できます。アプリケーションで必要なユーザー・カテゴリを使用できる場合は、SCIM REST APIおよびデータ・ローダーで使用でき

65

ます。ユーザー・カテゴリの名前は変更できません。

新規ユーザー・カテゴリへのユーザーの追加ユーザー・カテゴリを作成してユーザーを追加するには、次の手順を実行します。

1. セキュリティ・コンソールで、「ユーザー・カテゴリ」→「作成」をクリックします。2. 「編集」をクリックし、ユーザー・カテゴリ詳細を指定して、「保存してクローズ」をクリックします。3. 「ユーザー」タブをクリックし、「編集」をクリックします。4. 「ユーザー・カテゴリ: ユーザー」ページで、「追加」をクリックします。5. 「ユーザーの追加」ダイアログ・ボックスで、ユーザーを検索して選択し、「追加」をクリックします。6. 必要なユーザーを追加するまでユーザーの追加を繰り返し、「完了」をクリックします。7. 「ユーザー・カテゴリ」ページに戻るまで、各ページで「完了」をクリックします。

既存のユーザー・カテゴリへのユーザーの追加ユーザーを既存のユーザー・カテゴリに追加するには、次の手順を実行します。

1. セキュリティ・コンソールで、「ユーザー・カテゴリ」をクリックし、既存のユーザー・カテゴリをクリックして開きます。

2. 「ユーザー」タブをクリックし、「編集」をクリックします。3. 「ユーザー・カテゴリ: ユーザー」ページで、「追加」をクリックします。4. 「ユーザーの追加」ダイアログ・ボックスで、ユーザーを検索して選択し、「追加」をクリックします。5. 必要なユーザーを追加するまでユーザーの追加を繰り返し、「完了」をクリックします。6. 「ユーザー・カテゴリ」ページに戻るまで、各ページで「完了」をクリックします。

既存ユーザーのユーザー・カテゴリの指定ユーザー・カテゴリに既存のユーザーを追加するには、次の手順を実行します。

1. セキュリティ・コンソールで、「ユーザー」をクリックします。2. ユーザー・カテゴリを指定するユーザーを検索して選択します。3. 「ユーザー・アカウント詳細」ページで、「編集」をクリックします。4. 「ユーザー情報」セクションで、「ユーザー・カテゴリ」を選択します。デフォルト・ユーザー・カテゴリは、変更するまでユーザーに設定されたままです。

5. 「保存してクローズ」をクリックします。6. 「ユーザー・アカウントの詳細」ページで、「完了」をクリックします。

ユーザー・カテゴリが不要な場合は削除できます。ただし、そのユーザー・カテゴリにユーザーが関連付けられていないことを確認する必要があります。関連付けられている場合は、削除タスクを続行できません。「ユーザー・カテゴリ」ページで、行の「X」アイコンをクリックしてユーザー・カテゴリを削除します。

66

ユーザー名とパスワード通知デフォルトでは、すべてのユーザー・カテゴリのユーザーに、ユーザー・アカウントおよびパスワードの変更が自動的に通知されます。これらの通知は、通知テンプレートに基づきます。多くのテンプレートが事前定義済ですが、ユーザー・カテゴリのテンプレートは作成できます。実装中に、各ユーザー・カテゴリに使用する予定の通知を識別し、不要な通知をすべて無効にします。このトピックでは、事前定義済通知テンプレートの概要を説明し、通知を有効化および無効化する方法を説明します。

事前定義済通知テンプレート次の表で、事前定義済通知テンプレートについて説明します。各テンプレートは事前定義済イベントと関連付けられます。たとえば、「パスワード・リセット・テンプレート」はパスワード・リセット・イベントと関連付けられます。これらの通知テンプレートおよび関連するイベントは、ユーザー・カテゴリのセキュリティ・コンソールの「ユーザー・カテゴリ: 通知」ページで確認できます。

通知テンプレート 説明

パスワード失効警告テンプレート

パスワードが間もなく失効することをユーザーに警告し、パスワードをリセットする手順を示します

パスワード失効テンプレート パスワードが失効していることをユーザーに通知し、パスワードをリセットする手順を示します

ユーザー名を忘れた場合のテンプレート

リマインダを要求したユーザーにユーザー名を送信します

パスワード生成済テンプレート パスワードが自動的に生成されていることをユーザーに通知し、パスワードをリセットする手順を示します

パスワード・リセット・テンプレート

「自分のアカウント」で「パスワードのリセット」アクションを実行したユーザーにパスワード・リセット・リンクを送信します

パスワード・リセットの確認テンプレート

パスワードがリセットされたときにユーザーに通知します

パスワード・リセット・マネージャ・テンプレート

「自分のアカウント」ページで「パスワードのリセット」処理を実行したユーザーのマネージャにリセット・パスワード・リンクを送信します

パスワード・リセット・マネージャの確認テンプレート

ユーザーのパスワードがリセットされたときにユーザーのマネージャに通知します

新規アカウント・テンプレート ユーザー・アカウントが作成されたときにユーザーに通知し、パスワード・リセット・リンクを提供します

新規アカウント・マネージャ・テンプレート

ユーザー・アカウントが作成されたときにユーザーのマネージャに通知します

作成したユーザー・カテゴリは、自動的に事前定義済の通知テンプレートに関連付けられ、これらのテンプレートはすべて有効になります。

事前定義済テンプレートは編集できません。ただし、テンプレートを作成して、事前定義済バージョンを無効にできます。各事前定義済イベントは、一度に1つの有効化された通知テンプレートとのみ関連付けることができます。

67

通知の有効化と無効化ユーザー・カテゴリのユーザーに通知を送信するには、一般的に、ユーザー・カテゴリに対して通知を有効にする必要があります。「ユーザー・カテゴリ: 通知」ページで「通知使用可能」オプションが選択されていることを確認します。通知が有効な場合は、特定のテンプレートを無効にできます。たとえば、「新規アカウント・テンプレート」を無効にすると、関連するユーザー・カテゴリのユーザーにはアカウントが作成されたときに通知されません。他の通知は引き続き送信されます。

テンプレートを無効にするには、次の手順を実行します。

1. 「ユーザー・カテゴリ: 通知」ページで、「編集」をクリックします。2. 編集モードで、テンプレート名をクリックします。3. テンプレート・ダイアログ・ボックスで、「使用可能」オプションの選択を解除します。4. 「保存してクローズ」をクリックします。

通知テンプレートの作成事前定義済通知テンプレートは、ユーザー・アカウントの作成やパスワードのリセットなどユーザー・アカウント・ライフサイクルに関連するイベントに対して存在します。テンプレートが有効な場合、ユーザーには、ユーザーに影響を与えるイベントが自動的に通知されます。独自の通知を指定するには、通知テンプレートを作成します。このトピックでは、ユーザー・カテゴリの通知テンプレートの作成方法について説明します。

次のステップを実行します。

1. セキュリティ・コンソールを開いて、「ユーザー・カテゴリ」タブをクリックします。2. 「ユーザー・カテゴリ」ページで、該当するユーザー・カテゴリの名前をクリックします。3. 「ユーザー・カテゴリ: 詳細」ページで、「通知」サブタブをクリックします。4. 「ユーザー・カテゴリ: 通知」ページで、「編集」をクリックします。5. 「テンプレートの追加」をクリックします。6. 「通知テンプレートの追加」ダイアログ・ボックスで、次の手順を実行します。

a. テンプレート名を入力します。b. 「イベント」フィールドで、値を選択します。選択したイベントの事前定義済コンテンツは、「メッセージの件名」および「メッセージ・テキスト」フィールドに自動的に表示されます。メッセージ・テキストのトークンは、生成された通知でユーザー固有の値に自動的に置き換えられます。

c. 必要に応じて、「メッセージの件名」フィールドを更新します。ここに入力したテキストは、通知Eメールの件名に表示されます。

d. 必要に応じて、メッセージ・テキストを更新します。次の表に、メッセージ・テキストでサポートされるトークンを示します。

トークン 意味 イベント

userLoginId ユーザー名 ユーザー名を忘れた場合パスワードの期限切れパスワード・リセットの確認

firstName ユーザーの名 すべてのイベント

68

lastName ユーザーの姓 すべてのイベント

managerFirstName マネージャの名 新規アカウントの作成 - マネージャパスワード・リセットの確認 - マネージャパスワード・リセット - マネージャ

managerLastName マネージャの姓 新規アカウントの作成 - マネージャパスワード・リセットの確認 - マネージャパスワード・リセット - マネージャ

loginURL ユーザーがサインインできるURL 外部IDP署名証明書の失効パスワードの期限切れパスワード失効警告

resetURL ユーザーが自分のパスワードをリセットできるURL

新規アカウントの作成 - マネージャ新規ユーザーの作成パスワードの生成パスワード・リセットパスワード・リセット - マネージャ

CRLFX 改行 すべてのイベント

SP4 スペース4つ すべてのイベント

adminActivityUrl 管理者が管理アクティビティを開始するURL

管理アクティビティのリクエスト

providerName 外部アイデンティティ・プロバイダ

外部IDP署名証明書の失効

signingCertDN 署名証明書 外部IDP署名証明書の失効

signingCertExpiration 署名証明書失効日 外部IDP署名証明書の失効サービス・プロバイダ署名証明書の失効

encryptionCertExpiration 暗号証明書失効日 サービス・プロバイダ暗号化証明書の失効

adminFirstName 管理者の名 管理アクティビティ事業所ベースのアクセスの無効化の確認管理アクティビティのシングル・サインオン無効化の確認

adminLastName 管理者の姓 管理アクティビティ事業所ベースのアクセスの無効化の確認管理アクティビティのシングル・サインオン無効化の確認

e. テンプレートを使用可能にするには、「使用可能」オプションを選択します。f. 「保存してクローズ」をクリックします。

7. 「ユーザー・カテゴリ: 通知」ページで「保存」をクリックします。

注意: 事前定義済イベントの追加済テンプレートを有効にすると、同じイベントの事前定義済テンプレートが自動的に無効になります。

69

「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」プロセスのスケジュール「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」プロセスを実行して、セキュリティ・コンソールを設定および保守する必要があります。実装時に、「ユーザーおよびロールのアプリケーション・セキュリティへのインポート」タスクを実行してこのプロセスを実行します。ユーザー、ロール、権限、およびデータ・セキュリティ・ポリシーをLDAPディレクトリ、ポリシー・ストアおよびアプリケーション・コア・グラント・スキーマからOracle Fusion Applicationsセキュリティ表にコピーします。Oracle Fusion Applicationsのセキュリティ表にこの情報を含めることにより、セキュリティ・コンソールの補助検索機能を迅速かつ確実に行うことができるようになります。プロセスを初めて完了まで実行した後、「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」を毎日実行するようにスケジュールすることをお薦めします。このトピックでは、プロセスのスケジュール方法を説明します。

注意: プロセスを実行するたびに、最後に実行された以降の変更のみコピーされます。

プロセスのスケジュール次のステップを実行して、「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」プロセスをスケジュールします。

1. 「スケジュール済プロセス」作業領域を開きます。2. 「概要」ページの「検索結果」セクションで、「新規プロセスのスケジュール」をクリックします。3. 「新規プロセスのスケジュール」ダイアログ・ボックスで、「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」プロセスを検索して選択します。

4. 「OK」をクリックします。5. 「プロセス詳細」ダイアログ・ボックスで、「拡張」をクリックします。6. 「スケジュール」タブで、「実行」を「スケジュールの使用」に設定します。7. 「周期」を「日次」に設定し、「間隔」を1に設定します。8. 開始および終了日時を入力します。開始時間は、「待ち状態のLDAP要求の送信」プロセスの日次実行後になります。

9. 「送信」をクリックします。10. 「OK」をクリックして確認メッセージを閉じます。

同期プロセス・プリファレンスのレビューセキュリティ・コンソールの「管理」タブの「一般」サブタブで、「同期プロセス・プリファレンス」オプションを設定できます。このオプションでは、「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」プロセスの実行を知らせる頻度を制御します。デフォルトでは、プロセスが過去6時間に正常に実行されている場合にのみ警告が表示されます。プロセスを毎日実行するようにスケジュールした場合は、このオプ

70

ションを24よりも大きな値に設定できます。

「ユーザー・ログイン履歴のインポート」プロセスのスケジュール実装時に、「設定および保守」作業領域で「ユーザー・ログイン履歴のインポート」タスクを実行します。このタスクでは、Oracle Fusion Applicationsへのユーザー・アクセスに関する情報がOracle Fusion Applicationsセキュリティ表にインポートするプロセスを実行します。この情報は「非アクティブ・ユーザー・レポート」に必要です。このレポートは、指定された期間、非アクティブになっているユーザーに関してレポートします。初めて「ユーザー・ログイン履歴のインポート」を実行した後、それを毎日実行するようにスケジュールすることをお薦めします。このようにすると、「非アクティブ・ユーザー・レポート」が最新の状態になります。

プロセスのスケジュール次のステップを実行します。

1. 「スケジュール済プロセス」作業領域を開きます。2. 「概要」ページの「検索結果」セクションで、「新規プロセスのスケジュール」をクリックします。3. 「新規プロセスのスケジュール」ダイアログ・ボックスで、「ユーザー・ログイン履歴のインポート」プロセスを検索して選択します。

4. 「OK」をクリックします。5. 「プロセス詳細」ダイアログ・ボックスで、「拡張」をクリックします。6. 「スケジュール」タブで、「実行」を「スケジュールの使用」に設定します。7. 「周期」を「日次」に設定し、「間隔」を1に設定します。8. 開始および終了日時を入力します。9. 「送信」をクリックします。

10. 「OK」をクリックして「確認」メッセージを閉じます。

関連トピック

非アクティブ・ユーザー・レポート

「待ち状態のLDAP要求の送信」プロセスを実行する理由「待ち状態のLDAP要求の送信」プロセスを毎日実行して、将来の日付の要求および一括要求をLDAPディレクトリ・サーバーに送信することをお薦めします。「スケジュール済プロセス」作業領域でプロセスをスケジュールします。このトピックでは、「待ち状態のLDAP要求の送信」の目的について説明します。

71

「待ち状態のLDAP要求の送信」では、次の項目がLDAPディレクトリに送信されます。

ユーザー・アカウントを作成、一時停止、および再アクティブ化する要求。就業者用に個人レコードを作成すると、ユーザー・アカウント要求は自動的に作成されます。個人にロールや現在の雇用関係がない場合、ユーザー・アカウントを一時停止する要求が自動的に生成されます。一時停止したユーザー・アカウントを再アクティブ化する要求は、退職済就業者を再雇用した場合に自動的に生成されます。

このプロセスでは、企業でユーザー・アカウントの自動作成と管理が無効になっていないかぎり、これらの要求がLDAPディレクトリに送信されます。勤務先Eメール。個人レコードを作成するときに勤務先Eメールを含めると、プロセスによってそれらのEメールがLDAPディレクトリに送信されます。ロール・プロビジョニングおよびプロビジョニング解除要求。このプロセスでは、企業でロールの自動プロビジョニングが無効になっていないかぎり、これらの要求がLDAPディレクトリに送信されます。個人ユーザーに対する個人属性の変更。このプロセスでは、企業でユーザー・アカウントの自動管理が無効になっていないかぎり、この情報がLDAPディレクトリに送信されます。Oracle HCM Cloudで発信されたHCMデータ・ロールに関する情報。

注意: これらすべての項目は、将来の日付であるか一括データ・アップロードで生成されていないかぎり、LDAPディレクトリに自動的に送信されます。「待ち状態のLDAP要求の送信」プロセスを実行して、将来の日付および一括要求をLDAPディレクトリ・サーバーに送信します。

一度に実行できるのは、「待ち状態のLDAP要求の送信」の1つのインスタンスのみです。

「待ち状態のLDAP要求の送信」プロセスのスケジュール「待ち状態のLDAP要求の送信」プロセスでは、LDAPディレクトリに一括要求と将来の日付の要求が送信されます。「待ち状態のLDAP要求の送信」プロセスは毎日実行されるようスケジュールすることをお薦めします。この手順では、プロセスのスケジュール方法を説明します。

注意: 実装が完了したときにのみプロセスをスケジュールしてください。プロセスをスケジュールすると、実装中に必要になっても、プロセスを必要に応じて実行できません。

プロセスのスケジュール次のステップを実行します。

1. 「スケジュール済プロセス」作業領域を開きます。

72

2. 「概要」ページの「検索結果」セクションで、「新規プロセスのスケジュール」をクリックします。3. 「新規プロセスのスケジュール」ダイアログ・ボックスで、「待ち状態のLDAP要求の送信」プロセスを検索して選択します。

4. 「プロセス詳細」ダイアログ・ボックスで、「ユーザー・タイプ」を設定し、処理するユーザーのタイプを特定します。値は、「個人」、「パーティ」および「すべて」です。「ユーザー・タイプ」を「すべて」に設定したままにすることをお薦めします。

5. 「バッチ・サイズ」フィールドでは、単一のバッチの要求数を指定します。たとえば、400個の要求が存在し、「バッチ・サイズ」を25に設定すると、このプロセスでは並列処理する要求の16個のバッチが作成されます。バッチ・サイズを自動的に計算することを示す値、Aをお薦めします。

6. 「拡張」をクリックします。7. 「スケジュール」タブで、「実行」を「スケジュールの使用」に設定します。8. 「周期」フィールドで、「日次」を選択します。9. 開始および終了日時を入力します。

10. 「送信」をクリックします。

「最新のLDAP変更の取得」の実行LDAPディレクトリ内のユーザーとロールに関する情報はOracle Cloud Applicationsで自動的に使用できます。ただし、特定の状況では、「最新のLDAP変更の取得」プロセスを実行することをお薦めします。このトピックでは、「最新のLDAP変更の取得」を実行するタイミングと方法について説明します。

Oracle Cloud ApplicationsとLDAPサーバーの間でデータ整合性や同期化の問題が発生している可能性がある場合は、「最新のLDAP変更の取得」を実行します。たとえば、セキュリティ・コンソールのロールと「ロール・マッピングの作成」ページのロールの違いに気づくことがあります。すべてのリリース更新の後にも、このプロセスを実行することをお薦めします。

プロセスの実行「ITセキュリティ・マネージャ」ジョブ・ロールでサインインし、次のステップを実行します。

1. 「スケジュール済プロセス」作業領域を開きます。2. 「概要」ページの「検索結果」セクションで、「新規プロセスのスケジュール」をクリックします。「新規プロセスのスケジュール」ダイアログ・ボックスが開きます。

3. 「名前」フィールドで、「最新のLDAP変更の取得」プロセスを検索して選択します。4. 「OK」をクリックして、「新規プロセスのスケジュール」ダイアログ・ボックスを閉じます。5. 「プロセス詳細」ダイアログ・ボックスで「送信」をクリックします。6. 「OK」をクリックし、「クローズ」をクリックします。7. 「スケジュール済プロセス」ページで、「リフレッシュ」アイコンをクリックします。プロセスが完了するまで、このステップを定期的に繰り返します。

注意: 一度に実行できるのは「最新のLDAP変更の取得」の1つのインスタンスのみです。

73

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

74

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

7 Microsoft Active Directoryのブリッジの操作この章の内容は次のとおりです。

Microsoft Active Directoryのブリッジの概要Active Directory同期化ユーザー・アカウント属性マッピングMicrosoft Active Directoryのブリッジの使用Microsoft Active Directoryのブリッジの操作に関するFAQ

75

Microsoft Active Directoryのブリッジの概要Microsoft Active Directoryのブリッジは、Oracle Applications CloudとMicrosoft Active Directoryとの間でユーザー・アカウント情報を同期化します。ブリッジを使用して、Oracle Applications Cloud (ソースとして)からActive Directory(ターゲットとして)へ、またはその逆方向にユーザーまたはロールの詳細をコピーできます。データ同期化を計画している方向に応じて、それらの一方をソース、もう一方をターゲットとして指定できます。

ブリッジの現在の構成では、単一ドメイン・コントローラ・トポロジを使用する単一のActive Directoryフォレストがサポートされています。ブリッジは、HTTPS経由でREST API (Representational State Transfer)を使用してOracleApplications Cloudと通信し、LDAP (Lightweight Directory Access Protocol)を使用してActive Directoryサーバーと通信します。Microsoft Active Directoryサーバーに企業ファイアウォールの外部から到達できない場合でも、ブリッジをホストするコンピュータからはアクセスできるようにしておく必要があります。

前提条件Active DirectoryとOracle Applications Cloud間にブリッジを設定する前に、次を実行する必要があります。

Java Runtime environment (JRE)をインストールする。ブリッジはJREバージョン6、7、および8と互換します。Active Directoryサーバーに接続できるコンピュータにブリッジをインストールする。Oracle Applications CloudとActive Directoryインスタンス間でシングル・サインオン(SSO)を有効にする。

ブリッジのシステム要件:

Windows Serverバージョン: 2008および2012

RAMおよびCPU: OS要件に従うディスク領域: 最小10 GBの空き領域

Microsoft Active Directoryのブリッジの設定Active Directoryのブリッジを使用してOracle Applications CloudとActive Directoryとの間で情報を同期化するには、次のステップを実行します。

1. セキュリティ・コンソールの「管理」タブで関連するオプションを設定して、構成を完了します。2. Active Directoryのブリッジをダウンロードして、インストールします。3. 同期用にソース・アプリケーションとターゲット・アプリケーション間で属性をマッピングします。4. ユーザーの初期同期を実行します。5. ソース・アプリケーションとターゲット・アプリケーションでデータの整合性を維持するために手動または自動同期を定期的に実行します。

関連トピック

Oracle Applications Cloudがソースとして使用されているActive Directoryのブリッジの実行Active Directoryがソースとして使用されているActive Directoryのブリッジの実行

76

Active Directory同期化Active Directoryのブリッジは、Oracle Applications CloudとMicrosoft Active Directoryとの間でユーザー・アカウント情報を同期化します。

ブリッジ構成の詳細を指定した後、Active Directoryに対してブリッジをインストールして実行します。ActiveDirectoryおよびOracle Fusionアプリケーションにアクセスするための資格証明を保存し、セキュリティ・コンソールのADブリッジ設定に戻ってユーザー・アカウント・マッピング構成を完了します。マッピングが完了したら、ブリッジ・アプリケーションに戻り、ソース・アプリケーションとターゲット・アプリケーションの間でユーザーの初期同期を開始します。

同期中に、ブリッジはソース・アプリケーションとターゲット・アプリケーションからデータを抽出し、データを比較して、一貫性を保つためにターゲット・アプリケーションで実行する必要があるタスクを識別します。

同期が完了すると、ブリッジはターゲット・アプリケーションで必要なタスクを実行します。同期中に発生したエラーは、レビューおよび修正のためにログ・ファイルに記録されます。

初期同期が完了すると、ソースとターゲットの間の変更を定期的またはオンデマンドで同期するようにブリッジを構成できます。

Active Directoryのブリッジでは、次のことを実行できます。

完全同期増分同期

完全同期次のいずれかの条件が満たされた場合に、ブリッジは完全同期または完全消込を開始します。

ソース・アプリケーションとターゲット・アプリケーションが初めて同期される。Active Directoryのブリッジ構成が変更されている。「完全同期の実行」ボタンがクリックされた。

完全同期を手動で実行するには、次の手順を実行します。

1. セキュリティ・コンソールの「管理」ページの「Active Directory用ブリッジ」タブをクリックします。2. 「ユーザー属性マッピング」をクリックします。3. 「オンデマンド同期」セクションを展開し、「完全同期の実行」をクリックします。

注意: 強制的な完全同期を無効にするには、「完全同期の取消」をクリックします。

増分同期次のいずれかの条件が満たされた場合に、ブリッジは増分同期を開始します。

ソースとターゲットが以前同期されていた。Active Directoryのブリッジ構成が変更されていない。

77

「完全同期化の実行」ボタンがクリックされていない。

増分同期は、オンデマンド(手動)または定期的(自動)のいずれかになります。

ユーザー・アカウント属性マッピングブリッジをインストールして構成した後、Oracle Applications CloudとMicrosoft Active Directory間のユーザー・アカウント属性をマップします。マッピングが完了した場合にのみ、ソース・アプリケーションとターゲット・アプリケーション間のユーザーの初期同期を開始できます。

注意: SSOチューザを有効にした状態でActive Directory Bridgeを使用しないでください。同期で問題が発生します。Oracle Applications Cloudにローカルでサインインし、新規ユーザーを作成した場合、同期後それらのユーザーはActive Directoryに反映されません。

次のユーザー属性をマップします。

ユーザー・アカウント属性上級ユーザー・アカウント属性グループ属性

ユーザー属性のマッピングOracle Fusion Applicationsユーザー・アカウントの次の属性は、Active Directoryユーザー・アカウントの対応する属性にマップされます。

displayName: ユーザー・アカウントの表示名emails.value: ユーザー・アカウントに関連付けられたプライマリEメールname.familyName: ユーザーの姓name.givenName: ユーザーの名userName: ユーザー・アカウントに関連付けられたユーザー名

同期中に、ソースの属性値はマップされたターゲット属性にコピーされます。一部のActive Directory属性にはサイズ制限があります。たとえば、sAMAccountName属性の長さは、ユーザー属性として使用される場合は20文字、グループ名の指定に使用される場合は64文字に制限されます。ユーザー名の値が構成されているActive Directory属性より大きい場合、同期は失敗します。

次の表に、Oracle Fusion Applicationがソースである場合の属性の一般的なマッピングを示します。

ソースとしてのOracle Cloudアプリケーション ターゲットとしてのMicrosoft Active Directory

emails.value Mail

Username cn

displayName displayName

name.familyName sn

78

name.givenName givenName

UserName userPrincipalName

UserName sAMAccountName

次の表に、Microsoft Active Directoryがソースである場合の属性の一般的なマッピングを示します。

ソースとしてのMicrosoft Active Directory ターゲットとしてのOracle CloudアプリケーションMail emails.value

sAMAccountName UserName

displayName displayName

givenName name.givenName

sn name.familyName

セキュリティ・コンソールで、「管理」→「Active Directory用ブリッジ」タブ→「ユーザー属性マッピング」をクリックします。ソース・アプリケーションとターゲット・アプリケーションの属性間のマッピングを追加または更新するには、「追加」をクリックします。

拡張属性のマッピングこのオプションは、Active Directoryがソースの場合に使用します。ユーザー・ステータスの同期を選択して、「使用不可」などのアカウント・ステータスを有効にし、Oracle Applications Cloudに伝播します。

Microsoft Active Directoryのブリッジの使用Microsoft Active Directoryと接続するためのOracle ApplicationsCloudの準備次の手順に従って、Microsoft Active Directoryのブリッジを構成します。「ITセキュリティ・マネージャ」(ORA_FND_IT_SECURITY_MANAGER_JOB)ロールを持つ管理者として、Oracle Applications Cloud環境にサインインします。

1. 「ナビゲータ」→「セキュリティ・コンソール」をクリックします。2. 「管理」ページで、「Active Directory用ブリッジ」タブをクリックします。3. 「構成」をクリックします。4. 「基本構成」セクションを展開し、次の詳細を指定します。

フィールド 説明

79

真のソース

Oracle Fusion ApplicationsやActive Directoryなど、ソースを選択します。

同期間隔(時間)

ブリッジが同期を自動的に開始するために使用する時間間隔(時間単位)を入力します。デフォルト値は1時間です。

同期ページング・サイズ

1回の操作で同期されるアカウントの数を入力します。デフォルト値は100レコードです。

同期化エラーしきい値

同期中に発生可能なエラーの最大数を入力します。制限に達すると、同期は失敗し、停止します。デフォルトでは、50個のエラーが発生すると同期が停止します。

スケジューラ

同期を自動的にスケジュールするかどうかを指定します。有効にすると、同期は指定されたスケジュールおよび間隔に従って自動的に実行されます。

ロール統合

ロール統合を使用するかどうかを指定します。これは、Active Directoryがソースの場合に適用されます。有効にすると同期化プロセスにより、Active Directoryでユーザーが直接または間接的に割り当てられているグループが読み取られます。グループ・マッピングのグループに対してユーザーの割当てまたは削除を行うと、Oracle Applications Cloudの対応するユーザーが、Oracle ApplicationsCloudの対応するマップ済ロールに追加または削除されます。

APPIDパスワードのリセット

新しいパスワードを入力します。同期中、ブリッジはこのパスワードを使用してOracle ApplicationsCloudに接続します。

5. 「ロギング構成」セクションを展開し、次の詳細を指定します。

フィールド 説明

ファイル名

ログ・ファイルの名前を入力します。このファイルは、Active DirectoryブリッジがインストールされているコンピュータのActive Directoryフォルダに作成されます。デフォルト値はad_fa_synch.logです。

ログ・レベル

同期中にメッセージをロギングする必要があるレベルを指定します。デフォルト・レベルは「情報」に設定されています。

最大ログ・サイズ

ログ・ファイルの最大サイズを指定します。デフォルト値は4 GBです。最大サイズに達すると、新しいログ・ファイルが作成されます。

6. 「Active Directory構成」セクションを展開し、次の詳細を指定します。ブリッジはこの情報を使用してActive Directoryサーバーに接続します。

フィールド 説明

ホスト Active Directoryサーバーのホスト・アドレスを入力します。

ポート Active Directoryサーバーのポートを入力します。デフォルトの非SSLポートは389です。

SSL使用可能

Active Directoryサーバーとのセキュアな通信には、このオプションを選択します。このオプションを選択すると、デフォルト・ポートが636に変更されます。

80

同期化方針

同期に使用する必要があるアルゴリズムを選択します。「ディレクトリ同期」または「連番の更新」を選択できます。デフォルト値は、「ディレクトリ同期」です。

注意: 初期構成の後に連番を変更すると、同期プロセスはリセットされます。

ユーザー・ベースDN

ユーザー・アカウントがブリッジによって作成または取得されるActive Directory内の場所の識別名を入力します。

検索ベース

ユーザー・ベースDNと同じ値を入力します。

ユーザー検索フィルタ

ブリッジがActive Directoryからユーザー・アカウント・オブジェクトを取得するために使用するLDAP問合せを入力します。たとえば、(&(objectClass=user)(!(objectClass=computer)))です。

グループ・ベースDN

ブリッジがグループを取得するActive Directory内の場所の識別名を入力します。

注意: このフィールドは、Active Directoryがソースの場合にのみ適用されます。

グループ検索フィルタ

Active Directoryサーバーからロールを取得するために使用するLDAP問合せを入力します。たとえば、(objectClass=group)です。

注意: このフィールドは、Active Directoryがソースの場合にのみ適用されます。

7. 「ネットワーク・プロキシ構成」セクションを展開し、詳細を指定します。

注意: これらの詳細は、Active Directoryがソースであり、ブリッジがプロキシを使用してActiveDirectoryサーバーに接続する場合にのみ指定します。

フィールド 説明

プロキシ設定使用可能

Oracle Applications CloudとActive Directoryブリッジ間でプロキシを介した通信を有効にするには、このオプションを選択します。分離されたネットワーク・ホストから接続する必要がある場合は、このオプションを使用します。

ホスト プロキシのホスト名およびアドレスを入力します。

ポート プロキシのポートを入力します。

SSL使用可能

プロキシとのセキュアな通信には、このオプションを選択します。

8. 「ハートビート」セクションを展開し、次の詳細を更新します。

フィールド 説明

ハートビート間隔

ブリッジがアクティブであることを通知するためにブリッジからOracle Applications Cloudにハートビート通知が送信される時間間隔を秒単位で入力します。デフォルトでは60秒に設定されています。

9. 「保存」をクリックして、「OK」をクリックします。

81

のブリッジのダウンロードおよびインストールブリッジの構成の詳細を設定したら、ネットワークに接続されているコンピュータにActive Directoryのブリッジをダウンロードします。このコンピュータは、Oracle Applications CloudとMicrosoft Active Directoryサーバー・インスタンスの両方に接続する必要があります。ブリッジを構成してインストールする前に、ITセキュリティ・マネージャ・ロールの(ORA_FND_IT_SECURITY_MANAGER_JOB)アクセス権を持っていることを確認します。

1. 「ナビゲータ」→「ツール」→「セキュリティ・コンソール」をクリックします。2. 「管理」ページで、「Active Directory用ブリッジ」タブをクリックします。3. 「起動」をクリックします。4. 表示されるメッセージを確認して、「OK」をクリックします。5. 通知を受け入れて、ブリッジ・ファイル(adbridge.jnlp)をダウンロードします。6. Webブラウザからブリッジ・ファイル(adbridge.jnlp)を開きます。7. 「ユーザー名」と「パスワード」を入力してサインインします。Oracle Applications Cloudの資格証明を使用してサインインできます。

8. 「OK」をクリックします。Active Directoryのブリッジがインストールされます。ブリッジをインストールすると、そのブリッジを開くことができます。

9. 「実行」をクリックしてブリッジを開始します。10. ユーザー名とパスワードを入力します。Oracle Applications Cloudの資格証明を使用してサインインできます。

11. 「OK」をクリックします。12. Active Directoryのブリッジを開きます。ブリッジには、セキュリティ・コンソールで構成された必要な情報が自動的に表示されます。

13. 「構成」タブをクリックします14. 「Active Directory」セクションで、Active Directoryサーバーのユーザー名とパスワードを入力します。15. 「Oracle Applications Cloud」セクションで、Oracle Applications Cloudホストのパスワードを入力します。ブリッジの構成中に指定した「APPIDパスワードのリセット」を使用します。

16. Oracle Applications Cloudのネットワーク設定は変更できます。「ネットワーク設定」をクリックして詳細を更新します。

17. 「保存」をクリックして、「クローズ」をクリックします。ブリッジにより、設定情報がActive Directory (属性、グループ)からOracle Applications Cloudに更新されます。この設定情報を使用して、セキュリティ・コンソールでマッピングを実行します。

同期のための属性とグループのマッピングセキュリティ・コンソールからブリッジの構成詳細を設定したら、ネットワークに接続されているコンピュータにブリッジをダウンロードします。このコンピュータは、Oracle Applications CloudとMicrosoft Active Directoryサーバー・インスタンスの両方に接続する必要があります。

1. 「ナビゲータ」→「セキュリティ・コンソール」をクリックします。2. 「管理」ページで、「Active Directory用ブリッジ」タブをクリックします。3. 「ユーザー属性マッピング」をクリックします。4. 2つの属性がデフォルトで表示されます。リストからソースおよびターゲットの使用属性を選択しま

Active Directory

82

す。「追加」をクリックし、ソースとターゲットの間でさらに多くの属性をマップします。5. 「ソース・ユーザー属性」リストからソース属性を選択します。6. 「ターゲット・ユーザー属性」リストからターゲット属性を選択します。7. 「OK」をクリックします。8. ステップ4から7を繰り返して、さらに属性をマップします。9. 「保存」をクリックします。

10. 「拡張属性マッピング」セクションを展開します。11. 「ユーザー・アカウント・ステータスの同期」を有効または無効に設定して、アカウントを同期するかどうかを決定します。

12. 「保存」をクリックします。13. 「グループ・マッピング」をクリックして、Active DirectoryグループをOracle Cloudアプリケーションロールにマップします。

14. 「追加」をクリックして、新しいグループをロール・マッピングに追加するか、既存のマッピングを選択して「処理」ドロップダウン・リストをクリックします。

15. 「ロール・マッピングの追加」ダイアログ・ボックスで、「グループ」および「ロール」を選択します。Active Directoryのグループにユーザー・アカウントを追加または削除すると、対応するOracle Cloudアプリケーションのユーザー・アカウントがOracle Cloudアプリケーションのマップ済ロールに追加または削除されます。

16. 「OK」をクリックします。17. 「保存」をクリックします。

初期同期の実行ユーザーの初期同期を実行するには、次のステップを実行します。

1. Active Directoryのブリッジを起動します。2. Oracle Fusion Applicationsのログイン資格証明を使用してブリッジにサインインします。3. 「同期」タブをクリックします。4. 「即時実行」をクリックします。5. 「ログ・ファイルの表示」をクリックして、エラーがないかどうかログ・ファイルを確認します。6. 「クローズ」をクリックします。

同期の実行初期同期では、データはソース・アプリケーションからターゲット・アプリケーションにコピーされます。初期同期が完了したら、オンデマンド(手動)または定期的(自動)のいずれかで、ソース・アプリケーションとターゲット・アプリケーション間の変更を同期するようブリッジを構成できます。

手動同期

初期同期後にソース・アプリケーションとターゲット・アプリケーションを同期する場合は、手動で同期を実行します。データを手動で同期するには、ブリッジで次のステップを実行します。

1. セキュリティ・コンソールに移動し、「Active Directory」タブをクリックします。

83

2. 「同期」タブをクリックして、「即時実行」をクリックします。

自動同期

Microsoft Windowsサービスとして定期的に同期を実行するようにブリッジを構成できます。次のステップを実行して自動同期を構成します。

注意: Windowsサービスの設定では、Active Directory Bridgeのインストールに使用したものと同じドメインおよびユーザー資格証明を使用します。

1. ブリッジを起動します。2. 「サービスのインストール」をクリックします。3. サービスの実行に使用されるアカウントのユーザー名およびパスワードを入力します。アカウントには、管理権限とサービスとしてログオン権限が必要です。

4. 「Windowsサービスのインストール」をクリックします。

インストールが正常に完了すると、ブリッジはActive Directoryのブリッジという名前のサービスとして登録されます。

同期間隔の指定

ブリッジをWindowsサービスとして実行するように設定すると、ブリッジにより同期が定期的に実行されます。同期間隔はセキュリティ・コンソールで指定し、ブリッジをダウンロードする前に指定する必要があります。

1. 「ナビゲータ」→「セキュリティ・コンソール」を選択します。2. 「管理」タブをクリックします。3. 「Active Directory用ブリッジ」をクリックします。4. 「構成」タブに移動して、「同期間隔(時間)」を指定します。

Active Directoryのブリッジのアンインストール不要になった場合は、Active Directoryのブリッジをアンインストールできます。Active Directory Bridgeに関連付けられたWindowsサービスがインストールされている場合は、Active Directoryのブリッジをアンインストールする前にそのサービスをアンインストールする必要があります。

Windowsサービスのアンインストール

1. ブリッジ・アプリケーションを開き、サービスのアンインストール・タブのWindowsサービスのアンインストールをクリックします。

2. 表示される確認メッセージを確認して、「OK」をクリックします。3. ブリッジ・アプリケーションを閉じます。

Active Directoryのブリッジのアンインストール

1. 「コントロール パネル」→「プログラムと機能」に移動します。2. Active Directory用ブリッジを選択し、「アンインストール」をクリックします。3. 表示されるメッセージを確認して、「OK」をクリックします。

84

4. ユーザー名とパスワードを入力します。Oracle Applications Cloudへのサインインに使用した資格証明と同じ資格証明を使用します。

5. 「OK」をクリックしてアンインストール・プロセスを終了します。6. フォルダAPPDATA\Oracle\AD Bridgeを削除して、Active Directory Bridgeのすべてのトレースを削除します。

Microsoft Active Directoryのブリッジの操作に関するFAQ

ブリッジは他のLDAPディレクトリをサポートできますか。いいえ、ブリッジはOracle CloudアプリケーションとMicrosoft Active Directoryとの同期にのみ使用できます。

情報を同期化できる頻度はどれくらいですか。Microsoft Windowsサービスを使用すると、定期的に同期を実行するようにブリッジを構成できます。2つの同期間の最小間隔は、1時間にする必要があります。

どのようなActive Directoryオブジェクト同期化できますか。Active Directoryのユーザーおよびグループを同期できます。

次の同期オプションを使用します。

ユーザーをOracle Applications Cloudのユーザー・アカウントと同期します。グループをOracle Applications Cloudロールと同期します。

ソースがOracle Applications CloudまたはActive Directoryのいずれかの場合に、ユーザーを同期できます。ただし、ソースがActive Directoryのみの場合はグループを同期できます。

どの属性を同期できますか。次のOracle Applications Cloudの事前定義済属性とActive Directory属性を同期できます。

属性 説明displayName ユーザー・アカウントの表示名。

emails.value ユーザー・アカウントに関連付けられたプライマリEメール・アドレス。

name.familyName ユーザーの姓。

name.givenName ユーザーの名。

85

ユーザーに関連付けられたユーザー名 サインインの名前 。

同期中に属性を変更または書式設定することはできません。

注意: ユーザー定義済属性ではなく、事前定義済属性のみを同期できます。

ログ・ファイルを表示するにはどうすればよいですか。ログ・ファイルを表示するには、ブリッジ・アプリケーションの「同期」タブをクリックし、「ログ・ファイルの表示」リンクをクリックします。

それぞれの同期に関する情報はログ・ファイルに記録されます。Windowsオペレーティング・システム上のログ・ファイルへのパスは、%APPDATA%\Oracle\AD Bridge\logです。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

Username ( )

86

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

8 事業所ベースのアクセスの管理この章の内容は次のとおりです。

事業所ベースのアクセスの概要事業所ベースのアクセスの仕組み事業所ベースのアクセスの有効化および無効化Oracle HCM Cloudでの事業所ベースのアクセスの例事業所ベースのアクセスの管理に関するFAQ

87

事業所ベースのアクセスの概要事業所ベースのアクセスを使用して、ロールとコンピュータのIPアドレスに基づいて、タスクおよびデータに対するユーザー・アクセスを管理できます。

事業所ベースのアクセスがどのように役立つかを理解するための例を示します。ユーザーがオフィス・ネットワークからアプリケーションにサインインしている場合に、そのユーザーにタスクまたは機能への完全なアクセス権を付与することにします。ただし、ユーザーがホーム・コンピュータまたはインターネット・キオスクからサインインしている場合は、アクセスを制限する必要があります。このようなユーザー・アクセス制御を行うには、セキュリティ・コンソールで事業所ベースのアクセスを有効にし、オフィス・コンピュータのIPアドレスを登録します。ユーザーは、オフィス・コンピュータからサインインした場合にタスクまたは機能への完全なアクセス権を付与されます。未登録のコンピュータからアプリケーションにサインインする場合、特定のロールに関連付けられていない汎用タスクのみを表示およびアクセスできます。未登録のコンピュータからはロールベースのタスクにアクセスできず、オフィスからであればこれらのタスクにアクセスできます。

事業所ベースのアクセスを有効化できるユーザー事業所ベースのアクセスを有効にしてロールを公開にするには、「ITセキュリティ・マネージャ」ロールが必要です。ロールを公開にできるのは、事業所ベースのアクセスが有効になっている場合のみです。事業所ベースのアクセスを有効にするには、ユーザーが通常アプリケーションにサインインするコンピュータのIPアドレスを登録する必要があります。

事業所ベースのアクセスを有効にした場合事業所ベースのアクセスを有効にした場合、登録済IPアドレスからアプリケーションにサインインするユーザーは、すべてのタスクへの完全なアクセス権を持ちます。一方、未登録IPアドレスからサインインするユーザーは、ロールベースのタスクおよびデータにアクセスできません。ただし、必要であれば、これらのユーザーにも完全なアクセス権を付与できます。また、公開アクセス(すべてのIPアドレスからのアクセス)を特定のロールに付与することもできます。これらのロールに関連付けられたユーザーは、サインイン元のIPアドレスに関係なく、すべてのタスクにアクセスできます。

事業所ベースのアクセスの仕組み事業所ベースのアクセスでは、コンピュータの登録済IPアドレスと公開ロールを組み合せて、アプリケーションへのアクセスを管理します。

シナリオ事業所ベースのアクセスの仕組みを理解するために、次のシナリオとユーザー・アクセスに与える影響を考慮してください。

アクセス関連の問題を回避するために、事業所ベースのアクセスを有効にする前に、特定のシナリオを慎重に検証して適切に計画してください。

88

シナリオ ユーザー・アクセスに与える影響

事業所ベースのアクセスを無効にします。

各コンピュータからアプリケーションにサインインするすべてのユーザーは、引き続き以前と同じレベルのアクセス権を保持します。

事業所ベースのアクセスを有効にし、いくつかのIPアドレスを登録しますが、いずれのロールにも公開アクセスを付与しません。

登録済IPアドレスからアプリケーションにサインインするユーザーは、通常どおりにタスクにアクセスできます。未登録のIPアドレスからサインインしたユーザーは、特定のロールに関連付けられていない一般的なタスクにのみアクセスできます。

事業所ベースのアクセスを有効にし、いくつかのIPアドレスを登録して、一部のロールに公開アクセスを付与します。

登録済IPアドレスからサインインするユーザーは、完全なアクセス権を持ちます。未登録のIPアドレスからサインインしたユーザーは、公開アクセス権が付与されているロールを除き、ロールベースのタスクにアクセスできません。ロールを公開に設定した場合、そのロールに関連付けられているすべてのタスクにユーザーがアクセスできるようになります。

事業所ベースのアクセスを有効にし、有効なIPアドレスを登録せず、いずれのロールにも公開アクセスを付与しません。

すべてのユーザーがロック・アウトされます。誰もサインインできません。

注意: このシナリオを試行して回避してください。事業所ベースのアクセスを有効にする場合は、少なくとも1つの有効なIPアドレスを登録し、公開アクセス(すべてのIPアドレスからのアクセス)をITセキュリティ・マネージャ・ロールに付与してください。

事業所ベースのアクセスの有効化および無効化ロールと登録済IPアドレスに基づいて、ユーザーのタスクおよびデータへのアクセスを許可できるように、事業所ベースのアクセスを有効にできます。デフォルトでは、事業所ベースのアクセスは無効になっています。

開始する前にテスト環境で事業所ベースのアクセスを構成し、本番環境で構成する前に試行します。事業所ベースのアクセスを有効にするには、「ITセキュリティ・マネージャ」ロールが必要です。さらに、次のステップを実行する必要があります。

有効なEメール・アドレスを設定します。必要に応じて、事業所ベースのアクセス制御のリセットまたはリカバリの通知がそのEメール・アドレスに送信されます。通知テンプレート「ORA管理アクティビティ要求済テンプレート」が有効化されているユーザー・カテゴリに自分自身を追加します。有効なIPアドレスのリストを準備しておきます。

事業所ベースのアクセスの有効化1. 「ナビゲータ」→「セキュリティ・コンソール」をクリックします。2. 「管理」ページで、「事業所ベースのアクセス」タブをクリックします。3. 「事業所ベースのアクセス使用可能」を選択します。4. 「IPアドレス・ホワイトリスト」テキスト・ボックスで、1つ以上のIPアドレスをカンマで区切って入力し

89

ます。たとえば、192.168.10.12, 192.168.10.0などとします。IPアドレスの範囲を指定する場合は、192.168.10.0/24などのクラスレス・ドメイン間ルーティング(CIDR)表記を使用できます。

注意: IPアドレス・ホワイトリスト・テキスト・ボックスには、バージョンIPv4のIPアドレスを最大32個まで入力できます。

ヒント: 自身のコンピュータのIPアドレスは、「事業所ベースのアクセス使用可能」チェック・ボックスのすぐ上に表示されます。このコンピュータからサインインするときにアプリケーションへのアクセスが影響を受けないように、そのIPアドレスをリストに追加します。

5. 「保存」をクリックします。6. 確認メッセージを確認し、「OK」をクリックします。

事業所ベースのアクセスを有効にしたら、未登録IPアドレスからサインインしてもセキュリティ・コンソールにアクセスできるように、ITセキュリティ・マネージャのロールを公開にします。

事業所ベースのアクセスの無効化事業所ベースのアクセスを無効にするには、「事業所ベースのアクセス使用可能」チェック・ボックスの選択を解除します。既存のIPアドレスは読取り専用状態のままになり、機能を再び有効にすると同じ情報を再利用できます。この時点で、必要に応じてIPアドレスを追加または削除できます。

Oracle HCM Cloudでの事業所ベースのアクセスの例このトピックでは、Oracle HCM Cloudユーザーの公開ロールを作成する一般的なユースケースについて説明します。これらのロールを使用すると、ユーザーは未登録IPアドレスから制限付きのタスク・セットを実行できます。

処理待ち就業者のための公開アクセスプレボーディング中に、処理待ちの就業者がOracle HCM Cloudでいくつかのタスクを完了するよう求められる場合があります。通常、処理待ち就業者はオフィス・ネットワークにアクセスしたり、登録済のIPアドレスを使用したりすることはできません。そのため、処理待ち就業者ロールを公開にして、個人情報の表示や文書レコードのアップロードなどのタスクを実行できるようにします。または、処理待ち就業者ロールで実行できることを制限するために、権限を制限したカスタム・ロールを作成し、公開にすることもできます。これにより、処理待ち就業者が任意のIPアドレスからサインインしてプレボーディング・タスクを完了できるようになります。

外部学習者のための公開アクセスたとえば、パートナ、再販者、契約者、フランチャイズなどの外部学習者に研修を提供する必要があるとします。通常、学習にアクセスできるのは従業員のみであり、オフィスのネットワークにいるか登録済IPアドレスを使用する必要があります。外部学習者が特定の学習タスクを使用できるようにするため、外部学習者ロールを作成して公開します。このロールでは外部学習者が必要とするタスクのみをサポートします。これにより外部学習者ロールを持つユーザーが任意のIPアドレスから学習にアクセスできるようになります。

90

Oracle Recruiting Cloudユーザーのための公開アクセスすべての外部候補者がパブリック・ドメインからOracle Recruiting Cloudキャリア・サイトにアクセスする必要があるとします。このアクセス権を付与するために、事前定義済の匿名ユーザー抽象ロール(ORA_FND_ANONYMOUS_USER_ABSTRACT)を公開できます。

承認されているサード・パーティ・ベンダーとの統合では、REST APIを使用してデータをOracle Recruiting Cloudに戻せます。このような統合をサポートするには、統合権限を持つカスタム統合ロールを作成します。有効にする統合サービス(ジョブ配信、バックグラウンド・チェック、アセスメントなど)によっては、これらのロールが複数必要になる場合があります。すべてのカスタム・ロールを公開して、イントラネット外部のパートナ・アプリケーションがREST APIをコールできるようにする必要があります。また、アプリケーションから統合リクエストを開始するOracle Recruiting Cloudユーザーに統合ロールを付与する必要もあります。Oracle Recruiting Cloudは事前定義済の統合ロールを提供していません。

関連トピック

サード・パーティ統合の概要パートナ統合プロビジョニングの設定

事業所ベースのアクセスの管理に関するFAQ

ホワイトリスト登録とは何ですか。ホワイトリスト登録は、信頼できるエンティティにデータまたはアプリケーションへのアクセスを許可するプロセスです。事業所ベースのアクセスを有効にし、コンピュータのIPアドレスを登録するときに、それらのIPアドレスを信頼できるアクセス・ポイントとして格納します。つまり、それらのIPアドレスをホワイトリスト登録します。それらのコンピュータからサインインするユーザーは、信頼できるユーザーとみなされ、アプリケーションへのアクセスが制限されません。

「管理」ページに「事業所ベースのアクセス」タブが表示されないのはなぜですか。不適切な構成を防止するために、「事業所ベースのアクセス」タブに関連付けられているプロファイル・オプション「事業所ベースのアクセス・コントロールへのアクセス使用可能」が無効になる可能性があります。その結果、タブは表示されません。「管理」ページに「事業所ベースのアクセス」タブが表示されるように、アプリケーション実装コンサルタントまたは管理者に連絡してプロファイル・オプションを有効にしてください。

ロールを公開にするにはどうすればよいですか。セキュリティ・コンソールで、公開にするロールを指定します。職務ロールを除く、すべてのロールを公開にできます。「ロールの編集」ページで、オプション「ロールはすべてのIPアドレスからアクセス可能」を選択し、変更を保存します。そのロールに関連付けられているすべてのユーザーは、アプリケーションにサインインするために使用するコンピュータに関係なく、ロールベースのタスクにアクセスできます。

91

注意: ロールを公開にできるのは、事業所ベースのアクセスが有効になっている場合のみです。

常にセキュリティ・コンソールにアクセスできるようにするにはどうすればよいですか。事業所ベースのアクセスが有効な場合は、コンピュータのIPアドレスをホワイトリストに追加する必要があります。また、「ITセキュリティ・マネージャ」ロールに公開アクセス権が付与されるようにします。未登録のコンピュータからサインインする必要がある場合でも、セキュリティ・コンソールと、「ITセキュリティ・マネージャ」ロールに関連付けられている他のタスクにアクセスできます。

アプリケーションにサインインしていないとき、事業所ベースのアクセスを無効にするにはどうすればよいですか。事業所ベースのアクセスを無効にする必要があるが、アプリケーションからロックアウトされているためにセキュリティ・コンソールにサインインできません。管理者に提供されたURLを使用して、「管理アクティビティ」ページへのアクセスをリクエストする必要があります。

次の権限があることを確認します。

ASE_ADMINISTER_SSO_PRIV

ASE_ADMINSTER_SECURITY_PRIV

「管理アクティビティ」ページへのアクセス権をリクエストすると、次のようなURLを含む電子メールが登録済の電子メールIDに届きます。

https://<podname>.fa.<datacentername>.oraclecloud.com/fscmUI/faces/FuseWelcome

URLをクリックすると、セキュアな「管理アクティビティ」ページに移動します。「事業所ベースのアクセス使用不可」オプションを選択して、「送信」をクリックします。事業所ベースのアクセスが無効になっていることを示す確認メッセージが表示されます。その後Oracle Applications Cloudのログイン・ページにリダイレクトされるので、登録済のユーザー名およびパスワードを使用してサインインすると以前のようにタスクおよびデータにアクセスできます。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-Z

92

Terms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

93

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

9 シングル・サインオンこの章の内容は次のとおりです。

シングル・サインオン・サービス・プロバイダとしてのOracle Applications Cloud

シングル・サインオンの構成シングル・サインオンに関するFAQ

シングル・サインオン・サービス・プロバイダとし

94

てのタスクを実行するために、ユーザーは様々な内部アプリケーションや外部アプリケーションにアクセスする可能性があります。また、パートナ、ベンダーおよびサプライヤがホストする様々なアプリケーションへのアクセスが必要になる場合もあります。異なるアプリケーションにアクセスするたびに認証を受けることをユーザーは望んでいません。この問題を解決できるのがITマネージャです。Oracle Applications Cloudをシングル・サインオン・サービス・プロバイダとして設定すると、ユーザーにシームレスなシングル・サインオン体験を提供できます。

ユーザーはアイデンティティと資格証明を格納および管理するアイデンティティ・プロバイダに登録されます。セキュリティ・コンソールでアイデンティティ・プロバイダを追加すると、ユーザーの情報を格納しなくてもユーザーの身元を確認できます。

最初のログイン通常の勤務日に初めてサインインするときに、ユーザーはアプリケーションまたはWebページへのアクセスをリクエストします。サービス・プロバイダとして設定されているOracle Applications Cloudは、ユーザーのアイデンティティ・プロバイダ(セキュリティ・コンソールにすでに追加されているもの)に検証リクエストを送信します。このアイデンティティ・プロバイダはユーザー資格証明を検証し、認可および認証レスポンスをサービス・プロバイダに返信します。認証が成功すると、ユーザーは必要なアプリケーションまたはWebページへのアクセスを許可されます。認証はエンタープライズ・ネットワーク全域で有効であるため、同じネットワーク上で使用可能な別のアプリケーションにアクセスするときにユーザーが再度サインインする必要はありません。サービス・プロバイダと各種のアイデンティティ・プロバイダ間のこの信頼チェーン全体は、Security Assertion Markup Language (SAML)2.0規格を使用して確立されます。

最終サインアウトシングル・サインオンはエンタープライズ・ネットワークからのサインアウトにも適用されます。ユーザーが1つのアプリケーションからサインアウトすると、ネットワーク上のすべてのアプリケーションから自動的にサインアウトされます。これは無許可アクセスを防止し、データが常に保護されるようにするためです。

シングル・サインオンの構成Oracle Applications Cloudをサービス・プロバイダとして構成するには、次の手順を実行する必要があります。

アイデンティティ・プロバイダの追加サービス・プロバイダの詳細の確認アイデンティティ・プロバイダのテストアイデンティティ・プロバイダの有効化

セキュリティ・コンソールで、「シングル・サインオン」タブに移動して、「アイデンティティ・プロバイダの作成」をクリックします。

アイデンティティ・プロバイダの追加

Oracle Applications Cloud

95

必要な数のアイデンティティ・プロバイダを追加して、すべてのユーザーのシングル・サインオンを促進できます。ただし、いずれか1つをデフォルトのアイデンティティ・プロバイダに設定してください。

開始する前に:

アイデンティティ・プロバイダの追加の重要な手順の1つは、アイデンティティ・プロバイダのメタデータ・コンテンツのインポートです。メタデータ・ファイルには、認証情報、およびアイデンティティ・プロバイダの署名付き証明書と暗号化証明書が含まれています。メタデータXMLファイルまたはURLがすぐに使用可能であることを確認します。ファイルがないと、設定は完了しません。

注意: メタデータ・ファイルに暗号化証明書を含めることはオプションです。

1. セキュリティ・コンソールで、「シングル・サインオン」→「アイデンティティ・プロバイダの作成」をクリックします。

2. 「アイデンティティ・プロバイダ詳細」ページで、「編集」をクリックしてアイデンティティ・プロバイダの詳細を入力します。

アイデンティティ・プロバイダの「名前」および「摘要」を指定します。関連する名前ID書式を選択します。アイデンティティ・プロバイダの名前として電子メールを使用する場合は、「Eメール」を選択します。それ以外の場合は、「未指定」のままにします。「サイン・アウトURL」を入力します。これは、アプリケーションからサインアウトした後にユーザーがリダイレクトされるURLです。リレー状態URLを入力します。アクセスするアプリケーションに関係なく、ユーザーはこのURLに誘導されて署名および認証されます。このアイデンティティ・プロバイダをデフォルトのアイデンティティ・プロバイダにする場合は、「デフォルト・アイデンティティ・プロバイダ」チェック・ボックスを選択します。サービス・プロバイダのシングル・サインオン・ページを会社のサインイン・ページとともに表示するには、「チューザ・ログイン・ページ使用可能」チェック・ボックスを選択します。

3. アイデンティティ・プロバイダ・メタデータをインポートします。XMLファイルの場合は、「参照」をクリックしてファイルを選択します。Webページ上にある場合は、「外部URL」チェック・ボックスを選択し、URLを入力します。

注意: メタデータXMLファイルはBase64でエンコードされている必要があります。4. 「保存してクローズ」をクリックします。

サービス・プロバイダの詳細の確認「サービス・プロバイダ詳細」タブと「診断およびアクティブ化」タブは、アイデンティティ・プロバイダの詳細を入力した場合にのみ有効になります。「サービス・プロバイダ詳細」タブをクリックして、このページで次の情報を確認します。

サービス・プロバイダのID。この場合、Oracle Applications CloudのIDです。サービス・プロバイダ・メタデータ。ダウンロードおよび表示可能なXMLファイルへのURL参照。サービス・プロバイダ署名証明書。サービス・プロバイダ暗号化証明書。

これらの詳細をアイデンティティ・プロバイダと共有し、アイデンティティ・プロバイダがこの情報を基にアプリ

96

ケーションを関連サービス・プロバイダとして構成できるようにしてください。

アイデンティティ・プロバイダのテスト「診断およびアクティブ化」タブをクリックして、追加したアイデンティティ・プロバイダが想定どおりに動作することを検証します。

1. 「テスト」ボタンをクリックすると、診断が実行されます。フェデレーションSSOの開始ページが表示されます。

2. SSOの開始ボタンをクリックします。アイデンティティ・プロバイダに登録されているユーザーのユーザー資格証明を入力するよう求められます。テストでは、フェデレーション・シングル・サインオンが成功するかどうかが検証されます。結果サマリーには次の詳細が含まれます。

認証のステータス: 成功または失敗アサーションで渡される属性XML内のアサーション・メッセージ

「連邦ログ」セクションに表示されるログ・メッセージを確認して、アイデンティティ・プロバイダの構成に問題があるかどうかを確認できます。

注意: アイデンティティ・プロバイダ構成を変更した場合は、必ずテストを実行してください。

アイデンティティ・プロバイダの有効化すべてが正常であれば、続行してアイデンティティ・プロバイダを有効化します。「診断およびアクティブ化」ページを表示している場合は、「編集」をクリックし、「アイデンティティ・プロバイダ使用可能」チェック・ボックスを選択します。アイデンティティ・プロバイダがアクティブになります。

シングル・サインオンに関するFAQ

サービス・プロバイダにユーザー・パスワードは保存されますか。パスワードはアイデンティティ・プロバイダに保存されます。ユーザーがサインインすると、アイデンティティ・プロバイダがパスワードを認証し、アプリケーションへのアクセス・リクエストを認可して、その確認をサービス・プロバイダに送信します。するとサービス・プロバイダがアプリケーションまたはWebページへのアクセスをユーザーに許可します。

アイデンティティ・プロバイダを有効化せずに設定できますか。はい。アイデンティティ・プロバイダを設定し、徹底的にテストしてから有効化できます。デフォルトでは、アイデンティティ・プロバイダは無効のままです。アイデンティティ・プロバイダはいつでも無効化できます。

97

自分のユーザーが自社の資格証明を使用してサインインできるようにするにはどのようにするのですか。セキュリティ・コンソールで、「シングル・サインオン」→「アイデンティティ・プロバイダ詳細」ページに移動して、「チューザ・ログイン・ページ使用可能」チェック・ボックスが選択されていることを確認します。

ユーザーがメイン・ポータル・ページにアクセスする際、次のいずれかのオプションを使用してサインインできます。

アイデンティティ・プロバイダに登録されたシングル・サインオン資格証明会社に登録されているシングル・サインオン資格証明

アイデンティティ・プロバイダが提供する証明書の有効期間を延長するにはどうすればよいですか。証明書失効に関する通知が届いたら必ず目をとおしてください。アイデンティティ・プロバイダに依頼して、更新後の証明書有効性詳細が含まれた更新済メタデータ・ファイルを入手します。メタデータ・ファイルをアップロードすると、証明書の有効性が自動的に更新されます。証明書が常に有効であることを保証するために、この情報を一定間隔で監視する必要があります。

アイデンティティ・プロバイダは更新された証明書をサービス・プロバイダからどのように取得しますか。アイデンティティ・プロバイダはサービス・プロバイダにサービス・リクエストを送信し、更新された署名証明書および暗号化証明書を要求します。

アプリケーションにサインインしていないときにシングル・サインオンを無効にするにはどうすればよいですか。管理者に提供されたURLを使用して、「管理アクティビティ」ページへのアクセスをリクエストする必要があります。次の権限があることを確認します。

ASE_ADMINISTER_SSO_PRIV

ASE_ADMINSTER_SECURITY_PRIV

「管理アクティビティ」ページへのアクセス権をリクエストすると、次のようなURLを含む電子メールが登録済の電子メールIDに届きます。

https://<podname>.fa.<datacentername>.oraclecloud.com/fscmUI/faces/FuseWelcome

URLをクリックすると、セキュアな「管理アクティビティ」ページに移動します。「シングル・サインオン使用不可」オプションを選択して、「送信」をクリックします。シングル・サインオンが無効になっていることを示す確認メッセージが表示されます。その後Oracle Applications Cloudのログイン・ページにリダイレクトされるので、登録済のユーザー名およびパスワードを使用してサインインできます。

98

シングル・サインオン機能にはどのようなイベントおよび通知が関連付けられていますか。シングル・サインオンに関連付けられている次のイベントについて、自動通知が送信されます。

管理者がシングル・サインオンを無効化するために「管理アクティビティ」ページへのアクセスをリクエストした場合シングル・サインオン機能が使用不可にされた場合外部アイデンティティ・プロバイダの署名証明書の有効期限が近づいているときサービス・プロバイダの署名証明書の有効期限が近づいているときサービス・プロバイダの暗号化証明書の有効期限が近づいているとき

注意:通知は、次のスケジュールに従ってSSOの管理権限が割り当てられているユーザーに送信されます。最初の通知 - 失効日の60日前2回目の通知 - 失効日の30日前最後の通知 - 失効日の10日前

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

99

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

10 セキュリティ設定データのエクスポートおよびインポートこの章の内容は次のとおりです。

セキュリティ・コンソール・データのエクスポートおよびインポートカスタム・ロールのエクスポートおよびインポート

セキュリティ・コンソール・データのエクスポート100

およびインポートCSVエクスポートおよびインポート機能を使用して、セキュリティ・コンソール設定データをある環境から別の環境に移動できます。

プライマリ環境のセキュリティ・コンソールの構成と設定に多くの時間と労力を費やしたと仮定します。設定をテストし、すべてが意図したとおりに動作していることを確認しました。そのため、同じ設定を別の環境にレプリケートすることにしました。できるだけ少ない労力と時間で完了することが目標です。これはシンプルで時間のかからない方法で実現できます。

「設定および保守」作業領域で、初期ユーザー機能領域にある「アプリケーション・セキュリティ・プリファレンスの管理」タスクを使用します。

開始する前にビジネス・オブジェクト・データをCSVファイルにエクスポートし、CSVファイルからビジネス・データをインポートする方法を学習します。詳細な手順は、Functional Setup Managerの使用ガイドのCSVファイル・パッケージを使用した設定の管理の章を参照してください。

エクスポート対象とインポート対象セキュリティ・コンソールの設定データとは、セキュリティ・コンソールの「管理」タブと「ユーザー・カテゴリ」タブに表示される情報です。次のビジネス・オブジェクトを使用するとこれらの詳細をCSVファイルにパッケージ化できるため、データを簡単にエクスポートおよびインポートできます。

セキュリティ・コンソール管理設定セキュリティ・コンソール・ユーザー・カテゴリセキュリティ・コンソール・ユーザー・カテゴリ通知

注意: ユーザーのリストや特定のユーザーに関する情報はこのエクスポートおよびインポート・プロセスには含まれません。

この表には、各ビジネス・オブジェクトのコンテンツに関する情報が記載されています。

ビジネス・オブジェクト エクスポートおよびインポートに含まれる情報

セキュリティ・コンソール管理設定

一般管理詳細ロール・プリファレンス事業所ベースのアクセス設定

注意: 事業所ベースのアクセスが有効になっていない場合(セキュリティ・コンソールにタブが表示されない場合)、エクスポートまたはインポートには何も含まれません。

セキュリティ・コンソール・ユーザー・カテゴリ

ユーザー・カテゴリの詳細パスワード・ポリシー情報

セキュリティ・コンソール・ユーザー・カテゴリ通知

通知プリファレンス

注意: 通知の場合、カスタム・テンプレート情報のみがデフォルトのユーザー・カテゴ

101

リからエクスポートされます。ターゲット環境で使用できるため、事前定義済の通知は除外されます。

エクスポート・プロセスが正常に完了すると、次のCSVファイルが生成されます。

管理設定CSV

ユーザー・カテゴリCSV

ユーザー・カテゴリ通知CSV

注意: アプリケーションに言語パックがインストールされている場合は、翻訳済データを含む追加のCSVファイルが生成される場合があります。

データを別の環境にインポートするには、これらのファイルを.zipファイルにバンドルしてCSVファイル・パッケージを作成し、設定データをインポートするプロセスに従います。

関連トピック

CSVファイル・パッケージのエクスポートおよびインポート: 手順設定データのエクスポートおよびインポート・プロセスに関する主な情報

カスタム・ロールのエクスポートおよびインポートカスタム・ロール階層情報のテスト環境から本番環境への移行を検討しています。または、ある本番インスタンスから別のインスタンスにロール情報を簡単にレプリケートする方法を検討しています。どのような目的であっても、必要になるのはカスタム・ロール情報をソースからターゲットに移行するためのシンプルなスプレッドシートのみです。

「設定および保守」作業領域の「ユーザーおよびセキュリティ」機能領域にある「ジョブ・ロールの管理」および「職務の管理」タスクを使用します。

開始する前にビジネス・オブジェクト・データをCSVファイルにエクスポートし、CSVファイルからビジネス・データをインポートする方法を学習します。詳細な手順は、Functional Setup Managerの使用ガイドのCSVファイル・パッケージを使用した設定の管理の章を参照してください。

エクスポート対象とインポート対象カスタム・ロールをエクスポートまたはインポートすると、カスタム・ロール定義を含む次のビジネス・オブジェクトがCSVパッケージにバンドルされます。

機能セキュリティ・カスタム・ロール機能セキュリティ・カスタム・ロール階層機能セキュリティ・カスタム・ロール権限メンバーシップ

102

各ビジネス・オブジェクトに含まれている内容を詳しく調べてみましょう。

ビジネス・オブジェクト エクスポートおよびインポートに含まれる情報

機能セキュリティ・カスタム・ロール

カスタム・ロールには次の詳細が含まれます。ロール・コードロール名ロール摘要ロール・カテゴリすべてのIPアドレス・アクセス - サインイン元のIPアドレスに関係なく、ロールにセキュリティ制御へのアクセス権が付与されることを示します。

機能セキュリティ・カスタム・ロール階層

ロール階層には、次の詳細が含まれます。親ロールメンバー・ロールロール・メンバーシップの追加または削除

機能セキュリティ・カスタム・ロール権限メンバーシップ

ロール権限メンバーシップには、次の詳細が含まれます。親ロールメンバー権限権限メンバーシップの追加または削除

エクスポート・プロセスが正常に完了すると、次のCSVファイルが生成されます。

カスタム・ロールCSV

カスタム・ロール階層CSV

カスタム・ロール権限メンバーシップCSV

データを別の環境にインポートするには、これらのファイルを.zipファイルにバンドルしてCSVファイル・パッケージを作成し、設定データをインポートするプロセスに従います。

関連トピック

CSVファイル・パッケージのエクスポートおよびインポート: 手順設定データのエクスポートおよびインポート・プロセスに関する主な情報

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

103

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

104

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

11 アプリケーション・ユーザーに対する準備この章の内容は次のとおりです。

HCMアプリケーション・ユーザーの準備の概要ユーザーおよびロール・プロビジョニングの設定オプション「ユーザー・アカウント作成」オプション「ユーザー・アカウント・ロール・プロビジョニング」オプション「ユーザー・アカウント保守」オプション「退職済就業者のユーザー・アカウント作成」オプション

105

ユーザーおよびロール・プロビジョニング・オプション設定ユーザーへの抽象ロールの自動プロビジョニングアプリケーション・ユーザーに対する準備のFAQ

HCMアプリケーション・ユーザーの準備の概要実装中にアプリケーション・ユーザー向けのOracle HCM Cloudサービスを準備します。このフェーズで下した決定により、デフォルトでユーザーを管理する方法が決まります。こうした決定のほとんどは上書きすることができます。ただし、効率的なユーザー管理のために、企業ポリシーを反映し、ほとんどまたはすべてのユーザーをサポートするように環境を構成することを推奨します。

この章ではいくつかの重要な決定とタスクについて説明しており、次の表にその概要を示しています。

決定またはタスク トピック

アプリケーション・ユーザーに対してユーザー・アカウントが自動的に作成されるかどうか。

「ユーザー・アカウント作成」オプション: 説明

ロール・プロビジョニングを管理する方法。 「ユーザー・アカウント・ロール・プロビジョニング」オプション: 説明

ユーザー・アカウントが自動的に保守されるかどうか。 「ユーザー・アカウント保守」オプション: 説明

一括してロードする退職済就業者に対してユーザー・アカウントが作成されるかどうか。

「退職済就業者のユーザー・アカウント作成」オプション: 説明

従業員、派遣就業者、ライン・マネージャの抽象ロールが自動的にプロビジョニングされることを確認する。

ユーザーへの抽象ロールの自動プロビジョニング: 手順

アプリケーション・ユーザーに影響をおよぼす一部の決定は、セキュリティ・コンソールを設定したときに下されます。これには、次の決定が含まれます。

デフォルトでユーザー名が作成される方法パスワードが作成される方法とその有効期間失効警告など、サインインの詳細とパスワード・イベントがユーザーに通知される方法

アプリケーション・ユーザーを作成する前に、セキュリティ・コンソールの各ユーザー・カテゴリに対するこれらの設定を確認できます。

関連トピック

ユーザー名書式パスワード・ポリシーユーザー名とパスワード通知

106

ユーザーおよびロール・プロビジョニングの設定オプションこのトピックでは、一部のユーザー・アカウント機能のデフォルト管理を制御する、ユーザーおよびロール・プロビジョニング・オプションについて説明します。これらのオプションを設定するには、使用するオファリングの「ワークフォース・ストラクチャ」機能領域で必要な「企業HCM情報の管理」タスクを実行します。必要に応じて、これらの値を編集し、変更した値の有効開始日を指定できます。

ユーザー・アカウント作成「ユーザー・アカウント作成」オプションにより、次のことが制御されます。

個人、ユーザー、パーティ・レコードを作成すると、ユーザー・アカウントが自動的に作成されるかどうか。アカウント作成時のユーザーへのロールの自動プロビジョニング。

注意: ロールのないユーザー・アカウントは自動的に休止されます。したがって、この自動休止を回避するために、アカウントを作成するとき、ロールが自動的にプロビジョニングされます。

「ユーザー・アカウント作成」オプションは、次の場合に役立ちます。

一部の就業者はOracle Applications Cloudにアクセスする必要がない。既存のプロビジョニング・インフラストラクチャでユーザー・アカウントが作成されており、そのユーザー・アカウントをOracle Applications Cloudに統合する予定である。

ユーザー・アカウント・ロール・プロビジョニングユーザー・アカウントが存在する場合、現在のロール・プロビジョニング・ルールで指定されているとおり、ユーザーはロールを取得および喪失します。たとえば、マネージャがロールをユーザーに手動でプロビジョニングし、退職プロセスでユーザーからロールが自動的に削除される場合があります。「ユーザー・アカウント・ロール・プロビジョニング」オプションを設定することにより、ロール・プロビジョニングを制御できます。

注意: セキュリティ・コンソールでユーザーに直接プロビジョニングしたロールは、このオプションの影響を受けません。

ユーザー・アカウント保守「ユーザー・アカウント保守」オプションは、ユーザー・アカウントが自動的に休止および再アクティブ化されるかどうかを制御します。デフォルトでは、ユーザーが退職すると、ユーザーのアカウントが自動的に休止され、ユーザーが再雇用されると、アカウントが自動的に再アクティブ化されます。

退職済就業者のユーザー・アカウント作成「退職済就業者のユーザー・アカウント作成」オプションは、退職済就業者のユーザー・アカウント要求が処理または抑制されるかどうかを制御します。このオプションは、「待ち状態のLDAP要求の送信」プロセスを実行する

107

と有効になります。

「ユーザー・アカウント作成」オプション「ユーザー・アカウント作成」オプションは、個人またはパーティ・レコードを作成すると、ユーザー・アカウントが自動的に作成されるかどうかを制御します。このオプションを設定するには、「企業HCM情報の管理」タスクを使用します。

次の表では、「ユーザー・アカウント作成」オプションの値について説明しています。

値 説明

個人およびパーティ・ユーザーの両方

個人およびパーティ・ユーザーの両方に対してユーザー・アカウントが自動的に作成されます。この値がデフォルト値です。

パーティ・ユーザーのみ

パーティ・ユーザーのみに対してユーザー・アカウントが自動的に作成されます。個人レコードを作成したとき、ユーザー・アカウントは自動的に作成されません。その代り、アカウント要求はLDAP要求表に保持されます。この表でアカウント要求は抑制済として識別されます。アカウント要求は処理されません。

なし ユーザー・アカウントは自動的に作成されません。すべてのアカウント要求はLDAP要求表に保持されます。この表でアカウント要求は抑制済として識別されます。アカウント要求は処理されません。

ユーザー・アカウントが自動的に作成された場合、アカウント作成時の現在のロール・マッピングで指定されているとおりに、ロール・プロビジョニングも自動的に発生します。ユーザー・アカウントが自動的に作成されない場合、ロール要求はLDAP要求表に保持されます。この表でロール要求は抑制済として識別されます。ロール要求は処理されません。

一部のユーザーまたはすべてのユーザーに対してユーザー・アカウントの自動作成を無効にした場合、次の操作が行なえます。

セキュリティ・コンソールでユーザー・アカウントを個別に作成する。「ユーザー・アカウントの管理」または「ユーザーの管理」タスクを使用して、既存のユーザー・アカウントを個人およびパーティ・レコードにリンクする。

または、外部プロビジョニング・インフラストラクチャを使用して、ユーザー・アカウントを作成および管理することができます。この場合、ユーザー・アカウント関連の更新など、Oracle Applications Cloudでインタフェースを管理する必要があります。

「ユーザー・アカウント・ロール・プロビジョニング」オプション

108

既存のユーザーは、現在のロール・プロビジョニング・ルールで指定されているとおりに、ロールを取得および喪失します。たとえば、ユーザーはいくつかのロールを自身のために要求し、その他のロールを自動的に取得できます。すべてのプロビジョニング変更は、デフォルトで処理されるロール要求です。「ユーザー・アカウント・ロール・プロビジョニング」オプションを設定することにより、ロール要求に対して行われる内容を制御できます。このオプションを設定するには、「企業HCM情報の管理」タスクを使用します。

次の表では、「ユーザー・アカウント・ロール・プロビジョニング」オプションの値について説明しています。

値 説明

個人およびパーティ・ユーザーの両方

ロール・プロビジョニングおよびプロビジョニング解除は、個人とパーティ・ユーザーの両方に対して発生します。この値がデフォルト値です。

パーティ・ユーザーのみ

ロール・プロビジョニングおよびプロビジョニング解除は、パーティ・ユーザーのみに対して発生します。個人ユーザーの場合、ロール要求はLDAP要求表に保持されます。この表でロール要求は抑制済として識別されます。アカウント要求は処理されません。

なし 個人ユーザーとパーティ・ユーザーの両方の場合で、ロール要求はLDAP要求表に保持されます。この表でロール要求は抑制済として識別されます。アカウント要求は処理されません。

注意: ユーザー・アカウントが作成されたとき、現在のロール・プロビジョニング・ルールに基づいてロールが自動的にプロビジョニングされることがあります。このプロビジョニングは、ロールがないユーザー・アカウントが自動的に休止されるために発生します。ユーザー・アカウントの自動作成および関連付けられるロール・プロビジョニングは、「ユーザー・アカウント作成」オプションによって制御されます。

「ユーザー・アカウント保守」オプションデフォルトでは、ユーザーにロールがない場合、ユーザーのアカウントは自動的に休止されます。通常、この状況は退職時に発生します。退職を取り消すか、就業者を再雇用すると、ユーザー・アカウントは自動的に再アクティブ化されます。「ユーザー・アカウント保守」オプションは、これらの処理を制御します。このオプションを設定するには、「企業HCM情報の管理」タスクを使用します。

次の表では、「ユーザー・アカウント保守」オプションの値について説明しています。

値 説明

個人およびパーティ・ユーザーの両方

個人およびパーティ・ユーザーの両方に対してユーザー・アカウントが自動的に保守されます。この値がデフォルト値です。

パーティ・ユーザーのみ

パーティ・ユーザーのみに対してユーザー・アカウントが自動的に保守されます。個人ユーザーの場合、アカウント保守要求はLDAP要求表に保持されます。この表でアカウント保守要求は抑制済として識別されます。アカウント要求は処理されません。個人ユーザーのアカウントを何か他の方法で管理する場合は、この値を選択してください。

なし 個人ユーザーとパーティ・ユーザーの両方の場合で、アカウント保守要求はLDAP要求表に保持されます。この表でアカウント保守要求は抑制済として識別されます。アカウント要求は処理されません。

109

個人ユーザーとパーティ・ユーザーの両方のアカウントを何か他の方法で管理する場合は、この値を選択してください。

「退職済就業者のユーザー・アカウント作成」オプション「退職済就業者のユーザー・アカウント作成」オプションは、退職済就業者に対してユーザー・アカウントが作成されるかどうかを制御します。この制御は、待ち状態のLDAP要求の送信を実行する場合にのみ適用されます。通常、たとえば、HCMデータ・ローダーを使用して、就業者を一括してロードした後、待ち状態のLDAP要求の送信を実行します。このオプションは、ユーザー・インタフェースで作成した就業者が先日付でない限り、就業者に適用されません。このオプションを設定するには、「企業HCM情報の管理」タスクを使用します。

次の表では、「退職済就業者のユーザー・アカウント作成」オプションの値について説明しています。

値 説明

いいえ(または、設定なし)

待ち状態のLDAP要求の送信を実行すると、退職済就業者に対して生成されたユーザー・アカウント要求が抑制されます。

はい 待ち状態のLDAP要求の送信を実行すると、退職済就業者に対して生成されたユーザー・アカウント要求が処理されます。

このオプションにより、退職済就業者のユーザー・アカウント要求が処理または抑制されるかどうかが決定されます。次の場合にのみ、ユーザー・アカウント要求は、一括アップロードにより作成された就業者に対して生成されます。

「ユーザー・アカウント作成」企業オプションが「個人およびパーティ・ユーザーの両方」に設定されている。就業者オブジェクトのGeneratedUserAccountFlag属性がNに設定されている。

それ以外の場合、就業者のユーザー・アカウント要求が抑制され、「退職済就業者のユーザー・アカウント作成」は影響を及ぼしません。

関連トピック

「待ち状態のLDAP要求の送信」プロセスを実行する理由

ユーザーおよびロール・プロビジョニング・オプション設定ユーザーおよびロール・プロビジョニング・オプションは、企業のユーザー・アカウントの作成と保守を制御します。この手順では、これらのオプションの設定方法について説明しています。すべてのユーザーに対してOracleApplications Cloudユーザー・アカウントを自動的に作成および保守する場合、デフォルト設定を使用できます。

110

次のステップを実行します。

1. 「設定および保守」作業領域で、オファリングの次の場所に移動します。機能領域: ワークフォース・ストラクチャタスク: 企業HCM情報の管理

2. 「企業」ページで、「編集」→「更新」を選択します。3. 企業の更新ダイアログ・ボックスで、変更の有効日を入力し、「OK」をクリックします。企業の編集ページが開きます。

4. 「ユーザーおよびロール・プロビジョニング情報」セクションまで下方向にスクロールします。5. 必要に応じて、ユーザー・アカウント・オプションを設定します。次のようなユーザー・アカウント・オプションがあります。

ユーザー・アカウント作成ユーザー・アカウント・ロール・プロビジョニングユーザー・アカウント保守退職済就業者のユーザー・アカウント作成

これらのオプションは、相互に独立しています。たとえば、「ユーザー・アカウント作成」を「なし」に、「ユーザー・アカウント・ロール・プロビジョニング」を「はい」に設定できます。

6. 「送信」をクリックして変更を保存します。7. 「OK」をクリックして「確認」ダイアログ・ボックスを閉じます。

ユーザーへの抽象ロールの自動プロビジョニング従業員、派遣就業者、ライン・マネージャの抽象ロールをユーザーに直接プロビジョニングすることは効率的です。ほとんどのユーザーは、これらのロールを少なくとも1つ持っているためです。また、抽象ロールを直接プロビジョニングすると、ユーザーが最初にサインインしたときに、機能やデータへの基本的なアクセス権が確保されます。このトピックでは、「ロール・プロビジョニング・ルールの管理」タスクを使用して、実装中に自動ロール・プロビジョニングを設定する方法について説明します。

従業員への従業員ロールの自動プロビジョニング次のステップを実行します。

1. TechAdminユーザー、または「ITセキュリティ・マネージャ」ジョブ・ロールまたは特権をもつ他のユーザーとしてサインインします。

2. 「設定および保守」作業領域で、オファリングの次の場所に移動します。機能領域: ユーザーおよびセキュリティタスク: ロール・プロビジョニング・ルールの管理

3. 「ロール・マッピングの管理」ページの「検索結果」セクションで、「作成」アイコンをクリックします。「ロール・マッピングの作成」ページが開きます。

4. 「マッピング名」フィールドに「従業員」と入力します。5. 次の表に示すように、「ロール・マッピングの作成」ページにある「条件」セクションのフィールドに入

111

力します。

フィールド 値

システムPersonタイプ 従業員

HRアサイメント・ステータス アクティブ

6. 「ロール・マッピングの作成」ページの「関連ロール」セクションで、行を追加します。7. 「関連ロール」セクションの「ロール名」フィールドで、「検索」をクリックします。8. 「検索と選択」ダイアログ・ボックスで、「ロール名」フィールドに「従業員」と入力し、「検索」をクリックします。

9. 検索結果の「従業員」を選択し、「OK」をクリックします。10. 「自動プロビジョニング」が自動的に選択されていない場合、それを選択します。「要求可能」オプションと「自己要求可能」オプションが選択されていないことを確認します。

11. 「保存してクローズ」をクリックします。

派遣就業者への派遣就業者ロールの自動プロビジョニング「従業員への従業員ロールの自動プロビジョニング」のステップを繰り返しますが、次の変更点があります。

ステップ4で、マッピング名として「派遣就業者」を入力します。ステップ5で、「システムPersonタイプ」を「派遣就業者」に設定します。ステップ8および9で、「派遣就業者」ロールを検索して選択します。

ライン・マネージャへのライン・マネージャ・ロールの自動プロビジョニング次のステップを実行します。

1. 「ロール・マッピングの管理」ページの「検索結果」セクションで、「作成」アイコンをクリックします。「ロール・マッピングの作成」ページが開きます。

2. 「マッピング名」フィールドに、「ライン・マネージャ」と入力します。3. 次の表に示すように、「ロール・マッピングの作成」ページにある「条件」セクションのフィールドに入力します。

フィールド 値

システムPersonタイプ 従業員

HRアサイメント・ステータス アクティブ

部下を持つマネージャ はい

ヒント: 「部下を持つマネージャ」を「はい」に設定することは、「マネージャ・タイプ」を「ライン・マネージャ」に設定することと同じです。これらの値を両方とも設定する必要はありません。

4. 「ロール・マッピングの作成」ページの「関連ロール」セクションで、行を追加します。5. 「関連ロール」セクションの フィールドで、 をクリックします。「ロール名」 「検索」

112

6. 「検索と選択」ダイアログ・ボックスで、「ロール名」フィールドに「ライン・マネージャ」と入力し、「検索」をクリックします。

7. 検索結果の「ライン・マネージャ」を選択し、「OK」をクリックします。8. 「自動プロビジョニング」が自動的に選択されていない場合、それを選択します。「要求可能」オプションと「自己要求可能」オプションが選択されていないことを確認します。

9. 「保存してクローズ」をクリックします。10. 「ロール・マッピングの管理」ページで、「完了」をクリックします。

派遣就業者にライン・マネージャ・ロールを自動的にプロビジョニングするには、次のステップを実行して、追加のロール・マッピングを作成します。ステップ2で、一意のマッピング名(たとえば、派遣就業者ライン・マネージャ)を使用します。ステップ3で、「システムPersonタイプ」を「派遣就業者」に設定します。

アプリケーション・ユーザーに対する準備のFAQ

クラウドにシングル・サインオンを実装できますか。はい。シングル・サインオンを使用すると、ユーザーは一度サインインすると、Oracle Human Capital ManagementCloudなどの複数のアプリケーションにアクセスできます。

シングル・サインオン実装のサービス要求を送信してください。詳細は、My Oracle Support(https://support.oracle.com)の『Oracle Applications Cloudサービス資格/権利(2004494.1)』を参照してください。

関連トピック

Oracle Applications Cloudサービス資格/権利(2004494.1)

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

113

Integrated Cloud Applications & Platform Services

114

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

12 アプリケーション・ユーザーの作成この章の内容は次のとおりです。

HCMアプリケーション・ユーザーを作成するためのオプション「新規個人」タスクを使用したOracle HCM Cloudユーザーの作成「ユーザーの作成」タスクを使用したOracle HCM Cloudユーザーの作成ユーザー管理のための勤務先Eメール検証の有効化アプリケーション・ユーザーの作成に関するFAQ

115

HCMアプリケーション・ユーザーを作成するためのオプションOracle HCM Cloudで個人レコードを作成するときに、ユーザー・アカウントを自動で作成できます。ユーザー・アカウントの作成および保守を自動で行うかどうかは、ユーザーおよびロール・プロビジョニングのオプションで制御します。企業でのこれらのオプションの設定は、実装中に「企業HCM情報の管理」タスクを使用して行います。

企業によっては、Oracle HCM Cloud以外のアプリケーションを使用してユーザーおよびロールのプロビジョニングを行っている場合もあります。この場合には、ユーザー・アカウントの自動作成を禁止するようにユーザーおよびロール・プロビジョニングのオプションを設定します。Oracle HCM Cloudのユーザー・アカウントには、他の企業用アプリケーションからアクセスできません。

個人レコードの作成個人レコードを作成する方法は次のとおりです。

「従業員の採用」などのタスクを使用して個別に作成するHCMデータ・ローダーを使用して個人レコードを一括でアップロードする

実装中には、テストのため、「ユーザーの作成」タスクを使用して、基本個人レコードが設定されたアプリケーション・ユーザーを個別に作成することもできます。ただし、実装後は、「従業員の採用」や「派遣就業者の追加」などのタスクを使用します。これらのタスクは機能が豊富であり、Oracle HCM Cloudの実装に必要な従業員情報を作成します。「ユーザーの作成」は、Oracle HCM Cloudを実装していないOracle Fusion Applicationsユーザーを主な対象としたものであるため、このタスクは使用しないでください。

HCMデータ・ローダーを使用して就業者を一括でアップロードする

HCMデータ・ローダーにより就業者をロードするには、「データ交換」作業領域の「データのインポートおよびロード」タスクを使用します。デフォルトですべての作業者のユーザー・アカウントを作成するかどうかは、「ユーザー・アカウント作成」企業オプションで制御します。「ユーザー情報」コンポーネントのGeneratedUserAccountFlag属性を「N」に設定することで、就業者ごとにユーザー・アカウントを作成しないように設定できます。アップロード対象の就業者のユーザー・アカウントを作成する場合は、アップロード対象のデータにユーザー名を指定できます。この値により、デフォルトのユーザー・カテゴリのデフォルトのユーザー名形式が上書きされます。ユーザー・アカウントのバルク処理要求を送信するには、「待ち状態のLDAP要求の送信」プロセスを実行します。

注: 新しい就業者のロード時に適切なロール・マッピングが存在しない場合、ユーザー・アカウントは作成されますがロールはプロビジョニングされません。ロールのないユーザー・アカウントは、「待ち状態のLDAP要求の送信」が完了すると自動で休止されます。この休止処理を防ぐには、就業者をロードする前に、その就業者のロール・マッピングを必ず作成してください。ほとんどの場合、従業員、派遣就業者、ライン・マネージャに抽象ロールを自動でプロビジョニングする推奨ロール・マッピングを用意すれば十分です。

関連トピック

ユーザーへの抽象ロールの自動プロビジョニング

116

「新規個人」タスクを使用したOracle HCM Cloudユーザーの作成Oracle HCM Cloudの初回実装後、個人レコードを以下の手順で作成できます。

「新規個人」作業領域で「従業員の採用」などのタスクを使用して個別に作成するHCMデータ・ローダーを使用して個人レコードを一括でアップロードする

このトピックでは、「従業員の採用」タスクを使用した個人レコードの作成方法について、ユーザーおよびロール・プロビジョニングに影響するステップに重点を置いて説明します。

従業員の採用: ユーザー名の値ここで説明する従業員の採用を行うには、「人事担当者」ロールが必要です。次のステップを実行します。

1. 「新規個人」作業領域を開きます。2. 「タスク」パネル・タブで、「従業員の採用」タスクを選択します。「従業員の採用:ID」ページが開きます。

3. 「個人番号」の値が「自動生成済」の場合、個人番号は採用の承認時に生成されます。このフィールドが空白の場合は、個人番号を入力します。セキュリティ・コンソールで指定されているユーザー名の生成ルールが「個人またはパーティ番号」の場合、ユーザー名は個人番号になります。

ヒント: 新規ユーザーは、デフォルトのユーザー・カテゴリに属します。したがって、デフォルトのユーザー名形式は、デフォルトのユーザー・カテゴリに定義された形式になります。ユーザー・アカウントが存在するようになると、ユーザーを別のユーザー・カテゴリに追加できます。

4. 従業員の姓と名を入力します。他の名前は省略可能です。デフォルトのユーザー・カテゴリのユーザー名の生成ルールが「FirstName.LastName」または「FLastName」の場合、ユーザー名は従業員の姓と名に基づいて生成されます。

5. 「次」をクリックします。「従業員の採用:個人情報」ページが開きます。6. ユーザーには勤務先Eメールを1つのみ設定できます。勤務先Eメールを個人レコードの作成時に入力しない場合は、後から承認ユーザーがセキュリティ・コンソールで入力できます。このEメールを後で直接個人レコードに追加することはできません。個人レコードの作成後は、Eメールはセキュリティ・コンソールで管理します。デフォルトのユーザー・カテゴリのユーザー名の生成ルールが「Eメール」の場合、ユーザー名は勤務先Eメールになります。

7. 「次」をクリックします。

従業員の採用: ロール「従業員の採用:雇用情報」ページが開きます。ロール・マッピングの条件に応じて、割当ステータスやジョブなどの様々な詳細の割当が行われます。たとえば、関連するロール・マッピングのロールとユーザーの等級が一致す

117

る場合、そのロールが自動で割り当てられます。

1. 「次」をクリックします。「従業員の採用:報酬およびその他情報」ページが開きます。このページの「ロール要求」領域には、従業員が条件を満たしているロールが自動で表示されます。

2. ロールを手動で追加するには、「ロールの追加」をクリックします。「ロールの追加」ダイアログ・ボックスが開きます。

3. 目的のロールを検索して選択します。条件を満たしているロール・マッピングに、「要求可能」オプションが選択されているプロビジョニング可能なロールが表示されます。選択したロールが、「追加要求済」ステータスで「ロール要求」領域に表示されます。追加するロールについてステップ2および3を繰り返します。

4. 「次」をクリックします。「従業員の採用: レビュー」ページで「送信」をクリックします。この操作により次の処理が行われます。

承認を求める「従業員の採用」トランザクションの送信採用承認時のユーザー・アカウント作成および要求したロールのプロビジョニングの要求の作成

注: ユーザー・アカウントおよびロールプロビジョニングの要求が処理されるのは、企業でこの処理が有効化されている場合のみです。

デフォルトのユーザー・カテゴリで、適切な通知テンプレートが有効化されている場合、ユーザーにサインインの詳細が通知されます。

「ユーザーの作成」タスクを使用したOracle HCMCloudユーザーの作成実装中に、「ユーザーの作成」タスクを使用して、テスト用のアプリケーション・ユーザーを作成できます。このタスクでは、デフォルトでは最小限の個人レコードとユーザー・アカウントが作成されます。実装後、アプリケーション・ユーザーを作成するには、「従業員の採用」などのタスクを使用します。実装の完了後は、「ユーザーの作成」タスクは推奨されません。このトピックでは、「ユーザーの作成」タスクを使用してテスト・ユーザーを作成する方法について説明します。

サインインし、次のステップを実行します。

1. 「ナビゲータ」→「自分のチーム」→「ユーザーおよびロール」を選択して、「個人の検索」ページを開きます。

2. 「検索結果」セクションで「作成」アイコンをクリックします。「ユーザーの作成」ページが開きます。

個人詳細の入力次のステップを実行します。

1. ユーザー名を入力します。2. 「Eメール」フィールドに、ユーザーのプライマリ勤務先Eメールを入力します。

118

ヒント: Eメールの検証が有効な場合、Eメールがすでに存在するときは警告が表示されます。3. 「採用日」フィールドに、就業者の場合は採用日を入力します。他のタイプのユーザーの場合は、ユーザーの開始日を入力します。この日付は、ユーザーの作成後は編集できません。

ユーザー詳細の入力ユーザー・アカウントを作成するか、既存のスタンドアロン・ユーザー・アカウントをリンクできます。

ユーザー・アカウントを作成するには、「ユーザー名の入力」を選択します。「ユーザー名」フィールドを空白にした場合、ユーザー名は企業のデフォルト形式に従って自動で生成されます。この場合、企業でユーザー・アカウントの自動作成を有効にする必要があります。有効なユーザー名を入力すると、その名前が使用されます。

セキュリティ・コンソールまたはSCIM (REST) APIを使用してスタンドアロン・ユーザー・アカウントを作成している場合もあります。これらのタイプのユーザー・アカウントは、個人レコードにリンクされません。このようなアカウントを新しい個人レコードにリンクするには、次の手順を実行します。

1. 「ユーザー・アカウントのリンク」を選択します。2. 「リンク」アイコンをクリックして、「ユーザー・アカウントのリンク」ダイアログ・ボックスを開きます。

3. 「ユーザー・アカウントのリンク」ダイアログ・ボックスで、ユーザー・アカウントを検索して選択します。すでに個人レコードにリンクされているアカウントは、ここには表示されません。アカウントは任意のステータスになっています。リンクしたときに、そのステータスが変更されることはありません。

4. 「OK」をクリックしてアカウントをリンクします。

ヒント: 「ユーザーの編集」ページでは、必要に応じて、ユーザーの詳細を編集し、別のユーザー・アカウントをリンクできます。既存のユーザー・アカウントへのリンクは自動的に削除されます。

ユーザー通知プリファレンスの設定アカウントの作成時に新規ユーザーのサインイン詳細が記載された通知を送信するかどうかは、「ユーザー名およびパスワードの送信」オプションで制御します。このオプションは、次の場合にのみ有効になります。

セキュリティ・コンソールで、デフォルトのユーザー・カテゴリに対して通知が有効である。適切な通知テンプレートが存在している。

たとえば、事前定義済の「新規アカウント・テンプレート」通知テンプレートがデフォルトのユーザー・カテゴリに対して有効な場合、ユーザーに通知が送信されます。

このオプションの選択を解除した場合は、後で「ユーザー名およびパスワードEメール通知の送信」プロセスを実行して通知を送信できます。通知はユーザーの勤務先Eメールに送信されます。ユーザーが勤務先Eメールを持っていない場合、通知はユーザーのライン・マネージャに送信されます。送信時には、適切な通知テンプレートが有効化されている必要があります。

雇用情報の入力次のステップを実行します。

119

1. 「Personタイプ」の値を選択します。2. 「雇用主」および「ビジネス・ユニット」の値を選択します。

ロールの追加次のステップを実行します。

1. 「ロールの自動プロビジョニング」をクリックします。これまでに入力した情報に基づいて、ユーザーが条件を満たしているロールが「ロール要求」テーブルに自動で表示されます。

注意: 既存のユーザー・アカウントをリンクした場合は、すでに外部でアカウントに手動で割り当てられたロールが、「ロール」セクションに表示されます。「ロールの自動プロビジョニング」をクリックすると、それらのロールに対するユーザーの権限がレビューされます。これまでに入力した雇用情報に基づいてユーザーがロールの条件を満たしていない場合は、それらの削除が要求されます。

2. ロールをユーザーに手動でプロビジョニングするには、「ロールの追加」アイコンをクリックします。「ロールの追加」ダイアログ・ボックスが開きます。

3. 目的のロールを検索して選択します。条件を満たしているロール・マッピングに、「要求可能」オプションが選択されているロールが表示されます。選択したロールが、「追加要求済」ステータスで「ロール要求」領域に表示されます。「保存してクローズ」をクリックすると、ロール要求が作成されます。追加するロールについてステップ2および3を繰り返します。

4. 「保存してクローズ」をクリックします。5. 「完了」をクリックします。

ユーザー管理のための勤務先Eメール検証の有効化「ユーザーの作成」ページおよび「ユーザーの編集」ページで、入力したEメールの検証を有効にできます。検証が有効な場合、重複する値を入力すると警告メッセージが表示されます。メッセージには、Eメールの所有者の名前またはユーザー名(あるいはその両方)が表示されます。この警告により、保存する前に一意のEメールを入力できるようになります。「ユーザーの作成」ページおよび「ユーザーの編集」ページでのEメールの検証は、デフォルトでは無効化されています。このトピックでは、「ユーザーの作成」ページおよび「ユーザーの編集」ページでEメール値の検証を有効にする方法について説明します。

Eメール検証の有効化検証を有効にするには、プロファイル・オプションを作成、有効化および設定します。

プロファイル・オプションを作成して有効化するには、次のステップに従います。

1. 「設定および保守」作業領域で、「プロファイル・オプションの管理」タスクを使用します。2. 「プロファイル・オプションの管理」ページで、「検索結果」セクションにある「新規」アイコンをクリックします。

3. 「プロファイル・オプションの作成」ページで、次のように必須の値を入力します。

120

フィールド 値

プロファイル・オプション・コード PER_MANAGE_USERS_EMAIL_VALIDATION

プロファイル表示名 Enable Validation of User Work Email

アプリケーション グローバル人事管理

モジュール ユーザー

開始日 1/1/50

4. 「保存してクローズ」をクリックします。5. 「プロファイル・オプションの管理」ページの「プロファイル・オプション・レベル」セクションで、サイト・レベルで「有効」および「更新可能」のオプションを選択します。

6. 「保存してクローズ」をクリックします。

プロファイル・オプションを設定するには、次のステップに従います。

1. 「設定および保守」作業領域で、「管理者プロファイル値の管理」タスクを使用します。2. 「管理者プロファイル値の管理」ページで、「プロファイル・オプション・コード」フィールドに「PER_MANAGE_USERS_EMAIL_VALIDATION」と入力し、「検索」をクリックします。

3. 検索結果の「プロファイル値」セクションで、「プロファイル値」フィールドに「Y」と入力します。4. 「保存してクローズ」をクリックします。

注意: 勤務先Eメールの検証が有効になっている場合は、「ユーザーの作成」ページおよび「ユーザーの編集」ページに適用されます。セキュリティ・コンソールで管理するユーザー・アカウントには適用されません。

アプリケーション・ユーザーの作成に関するFAQ

新規就業者のユーザー・アカウントを作成するにはどうすればよいですかアカウントの自動作成が有効な場合、ユーザー・アカウントは個人レコードを作成すると自動で作成されます。ユーザー・アカウントが自動的に作成されない場合は、権限のあるユーザーがセキュリティ・コンソールで作成したり、SCIM (REST) APIを使用して作成できます。アカウントは、「ユーザー・アカウントの管理」ページまたは「ユーザーの作成」ページを使用して個人レコードにリンクできます。

既存の就業者のユーザー・アカウントを作成するにはどうすればよいですか「ユーザー・アカウントの管理」ページで、「ユーザー・アカウントの作成」を選択します。必要に応じてアカウント詳細を更新し、「保存」をクリックします。要求が正常に処理されると、アカウントが利用可能になります。

アカウントの自動作成が使用不可になっている場合、「ユーザー・アカウントの作成」処理は使用できません。代

121

わりに、承認ユーザーがセキュリティ・コンソールでユーザー・アカウントを作成できます。

デフォルトのユーザー名はどのように生成されますかユーザー名は、ユーザー・カテゴリのセキュリティ・コンソールで指定した書式で自動的に生成されます。デフォルト書式は就業者のプライマリ勤務先Eメールですが、この値は各ユーザー・カテゴリで上書きできます。たとえば、企業でデフォルトのユーザー・カテゴリのデフォルトのユーザー名として個人番号を使用できます。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

122

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

13 アプリケーション・ユーザーの管理この章の内容は次のとおりです。

ユーザー・アカウントの管理ユーザー名LDAPに個人データを送信する理由ユーザー・アカウントに対する不完全な要求を管理する方法既存のユーザー・アカウントの個人レコードへのリンクユーザー・アカウントを休止する方法

123

セキュリティ・コンソールでアプリケーション・ユーザーを管理する方法読取り専用アクセスの提供アプリケーション・ユーザーの管理に関するFAQ

ユーザー・アカウントの管理人事担当者(HR担当者)は、レコードにアクセスできるユーザーのユーザー・アカウントを管理できます。このトピックでは、ユーザー・アカウントの更新方法について説明します。

個人のユーザー・アカウント・ページにアクセスするには、次の手順を実行します。

1. 「個人管理」作業領域を開きます。2. 「個人の検索」ページで、アカウントを更新する個人を検索します。3. 検索結果でその個人を選択し、「処理」→「個人および雇用」→「ユーザー・アカウントの管理」を選択します。「ユーザー・アカウントの管理」ページが開きます。

ユーザー・ロールの管理ロールを追加するには、次の手順を実行します。

1. 「ロールの追加」をクリックします。「ロールの追加」ダイアログ・ボックスが開きます。

2. 「ロール名」フィールドで、追加するロールを検索します。3. 検索結果でそのロールを選択し、「OK」をクリックします。そのロールが「ロール要求」リージョンに表示されます。ステータスは「追加要求済」です。

4. 「保存」をクリックします。

このページの任意のセクションからロールを削除するには、次の手順を実行します。

1. そのロールを選択し、「削除」をクリックします。2. 「警告」ダイアログ・ボックスで、「はい」をクリックして続行します。3. 「保存」をクリックします。

「保存」をクリックすると、ロールの追加や削除の要求がLDAPディレクトリ・サーバーに送信されます。要求は、「過去30日間のロール要求」セクションに表示されます。プロビジョニングが完了すると、「現在のロール」セクションにロールが表示されます。

ユーザーのロールを自動的に更新するには、「処理」→「ロールの自動プロビジョニング」を選択します。この処理は、現在のすべてのロール・マッピングで「自動プロビジョニング」オプションが選択されているロールに適用されます。次の変更がただちに反映されます。

ユーザーが条件を満たしているロールがまだ取得されていない場合は取得されます。ユーザーが条件を満たさなくなったロールが失われます。

追加または更新されたロール・マッピングが存在し、ユーザーに影響があることがわかっている場合は、それらの

124

ユーザーのロールを自動プロビジョニングすることをお薦めします。

LDAPへの個人データのコピーデフォルトでは、個人データ(個人名、電話番号など)の変更は定期的にLDAPディレクトリにコピーされます。変更をただちにコピーするには、次の手順を実行します。

1. 「処理」→「LDAPへの個人データのコピー」を選択します。2. 「LDAPへの個人データのコピー」ダイアログ・ボックスで、「LDAPの上書き」をクリックします。

パスワードのリセットユーザーのパスワードをリセットするには、次の手順を実行します。

1. 「処理」→「パスワードのリセット」を選択します。2. 「警告」ダイアログ・ボックスで、「はい」をクリックして続行します。この処理では、パスワード・リセット・リンクを含む通知がユーザーの勤務先Eメールに送信されます。

注意: パスワード・リセット・イベントの通知テンプレートが存在し、ユーザーのユーザー・カテゴリに対して有効になっている必要があります。そうでないと、通知は送信されません。

ユーザー名の編集ユーザー名を編集するには、次の手順を実行します。

1. 「処理」→「ユーザー名の編集」を選択します。2. 「ユーザー名の更新」ダイアログ・ボックスで、ユーザー名を入力して「OK」をクリックします。ユーザー名の最大長は80文字です。

3. 「保存」をクリックします。

この処理では、更新されたユーザー名がLDAPディレクトリに送信されます。この要求が処理されると、ユーザーが更新後の名前を使用してサインインできるようになります。変更の自動通知は送信されないため、ユーザーに詳細を送信することをお薦めします。

ヒント: ユーザーは、ロールの追加、ロールの自動プロビジョニング、LDAPへの個人データのコピーを実行できます。そのためには、「ナビゲータ」→「自分」→「ロールおよび委任」を選択します。ライン・マネージャは、部下のロールの追加、削除、自動プロビジョニングや、LDAPへの個人データのコピーを実行できます。そのためには、ディレクトリから操作するか、「ナビゲータ」→「自分のチーム」→「ユーザーおよびロール」を選択します。

ユーザー名デフォルトでは、ユーザー名は、個人レコードの作成時にデフォルトのユーザー・カテゴリに指定した書式で自動的に生成されます。人事担当者(HR担当者)ロールを所有しているユーザーは、レコードにアクセスできる既存

125

のHCMユーザーのユーザー名を変更できます。このトピックでは、ユーザー名の自動生成と、既存のユーザー名を変更する方法について説明します。

ユーザー作成時のユーザー名HCMユーザーを作成するには、「新規個人」作業領域で「従業員の採用」などのタスクを選択します。ユーザー名は、デフォルトのユーザー・カテゴリに指定された書式で自動的に生成されます。Oracle HCM Cloudユーザーに対して利用可能な各書式の概要を次の表に示します。

ユーザー名書式 説明

Eメール 就業者の勤務先Eメールがユーザー名になります。採用時に勤務先Eメールを入力しない場合は、後からセキュリティ・コンソールで入力できます。この書式はデフォルトで使用されます。セキュリティ・コンソールで別のデフォルト書式を選択できます。

FirstName.LastName 就業者の名と姓を1つのピリオドで区切った名前がユーザー名になります。

FLastName 就業者の姓の前に名のイニシャルを加えた名前がユーザー名になります。

個人番号 手動採番を使用している場合は、入力した任意の番号がユーザー名になります。それ以外の場合は、番号が自動的に生成され、編集することはできません。自動的に生成された番号がユーザー名になります。

注意: デフォルトのユーザー名ルールが失敗した場合は、システム・ユーザー名を生成できます。システム・ユーザー名を生成するオプションはデフォルトで有効になっていますが、セキュリティ・コンソールで無効にすることもできます。

既存のユーザー名HR担当者は、「ユーザー・アカウントの管理」ページで既存のユーザー名を変更できます。

就業者のユーザー名を変更するには、次の手順を実行します。

1. 「個人管理」作業領域で、就業者を検索して選択します。2. 選択した就業者について、「処理」→「個人および雇用」→「ユーザー・アカウントの管理」を選択します。

3. 「ユーザー・アカウントの管理」ページで、「処理」→「ユーザー名の編集」を選択します。

更新された名前(任意の書式を使用できます)は、自動的にLDAPディレクトリ・サーバーに送信されます。ユーザー名の最大長は80文字です。

ヒント: 既存のユーザー名を変更しても、そのユーザーのパスワードとロールは変わりません。ただし、変更の自動通知は送信されません。したがって、更新されたユーザー名の詳細をユーザーに送信することをお薦めします。

LDAPに個人データを送信する理由

126

Oracle Fusion Applicationsのユーザーのユーザー・アカウントは、LDAPディレクトリ・サーバーで保守されます。Oracle HCM Cloudでは、ユーザーの個人情報の一部がデフォルトでLDAPディレクトリに送信されます。たとえば、個人番号、個人名、電話番号、プライマリ・アサイメントのマネージャなどがこれに含まれます。これらの詳細を共有することにより、ユーザー・アカウントの情報とHCM Cloudのユーザー情報の一致が確保されます。

このトピックでは、いつどのようにして個人情報を明示的にLDAPディレクトリに送信できるのかを説明します。

ユーザーの一括作成HCMデータ・ローダーなどを使用して個人レコードをロードしたら、「待ち状態のLDAP要求の送信」プロセスを実行します。このプロセスでは、ユーザー・アカウントの一括要求がLDAPディレクトリに送信されます。

個人レコードを一括してロードした場合のレコードの作成順序は定義されていません。そのため、個人のレコードがそのマネージャのレコードより前に作成される場合もあります。そのような場合、「待ち状態のLDAP要求の送信」プロセスでは、その個人のマネージャ詳細はユーザー・アカウント要求に含まれません。その結果、LDAPディレクトリの情報とHCM Cloudで保持されている情報との間に相違が生じます。こうした個人詳細の相違を修正するには、「LDAPへの複数ユーザーの個人データの送信」プロセスを実行します。

「LDAPへの複数ユーザーの個人データの送信」プロセス「LDAPへの複数ユーザーの個人データの送信」は、LDAPディレクトリの情報を、HCM Cloudで保持されている情報と一致するように更新します。このプロセスは、次の表に示すように、すべてのユーザーに対して実行することも、変更されたユーザーのみに対して実行することもできます。

対象ユーザー 説明

すべてのユーザー

最後に個人詳細が送信されてから変更されているかどうかに関係なく、すべてのユーザーの個人詳細がLDAPディレクトリに送信されます。

変更されたユーザーのみ

最後に個人詳細がLDAPディレクトリに送信されてから(送信方法は問わない)変更されている詳細のみが送信されます。このオプションがデフォルト設定です。

注意: 「ユーザー・アカウント保守」が「いいえ」に設定されている場合は、このプロセスは実行されません。

このプロセスは、パーティ・ユーザーに対しては適用されません。

このプロセスを実行するには「人材管理アプリケーション管理者」ジョブ・ロールが必要です。

「LDAPへの個人データのコピー」処理ユーザーは、「ユーザー・アカウントの管理」ページで自分の個人データをLDAPディレクトリにコピーできます。人事担当者とライン・マネージャも、レコードにアクセスできるユーザーについてこの処理を実行できます。デフォルトでは、個人データの変更は定期的にLDAPディレクトリにコピーされます。変更をただちにコピーする必要がある場合にこの処理を使用できます。

関連トピック

ユーザーおよびロール・プロビジョニングの設定オプション

127

ユーザー・アカウントに対する不完全な要求を管理する方法このトピックでは、「ユーザー・アカウント要求の処理」処理について説明します。この処理は、ユーザー・アカウントがないユーザーの「ユーザー・アカウントの管理」ページに表示される場合があります。

「ユーザー・アカウント要求の処理」処理「ユーザー・アカウント要求の処理」処理は、就業者のユーザー・アカウントのステータスが「要求済」または「失敗」の場合に使用できます。これらの値は、アカウント要求が完了していないことを示します。

この処理を選択すると、要求が再度送信されます。要求が正常に完了すると、ユーザーがアカウントを使用できるようになります。企業設定によっては、ユーザー名とパスワードを含むEメールがユーザーに送信される場合もあります。

ロール・プロビジョニングユーザーに割り当てられるロールは、「ユーザー・アカウントの管理」ページの「ロール」セクションに表示されます。「ユーザー・アカウント要求の処理」処理を選択する前にロールを追加したり削除したりできます。ロールを変更した場合は「保存」をクリックする必要があります。

「待ち状態のLDAP要求の送信」プロセス「ユーザー・アカウント要求の処理」処理の効果は、「待ち状態のLDAP要求の送信」プロセスと同じです。「待ち状態のLDAP要求の送信」が一定の間隔で自動的に実行される場合、必要に応じてそのプロセスの実行を待機できます。「ユーザー・アカウント要求の処理」処理を使用すると、個々の就業者のユーザー・アカウント要求をただちに送信できます。

既存のユーザー・アカウントの個人レコードへのリンクデフォルトでは、個人レコードを作成すると、自動的にLDAPディレクトリにユーザー・アカウントが作成されて、それらの個人レコードにリンクされます。ただし、このユーザー・アカウントの自動作成を無効にすることもできます。たとえば、ユーザー・アカウントを別の方法で管理している場合や、ユーザー・アカウントがすでにLDAPディレクトリに存在している場合などが考えられます。その場合は、既存のユーザー・アカウントを手動で個人レコードにリンクする必要があります。このトピックでは、既存のユーザー・アカウントをOracle HCMCloudの個人レコードにリンクする方法について説明します。このタスクを実行するには個人レコードにアクセスできる必要があります。

128

次のステップを実行します。

1. 「個人管理」作業領域で、就業者を検索して選択します。2. 選択した就業者について、「処理」→「個人および雇用」→「ユーザー・アカウントの管理」を選択します。

3. 「ユーザー・アカウントの管理」ページで、「処理」→「ユーザー・アカウントの作成」を選択します。この処理は、まだユーザー・アカウントがリンクされていない就業者に対してのみ使用できます。自動プロビジョニングが自動的に実行され、現在の雇用情報に基づいてユーザーが条件を満たしているすべてのロールが「ロール要求」セクションに表示されます。

4. 「ユーザー・アカウント詳細の編集」セクションで、「ユーザー・アカウントのリンク」をクリックします。

5. 「ユーザー・アカウントのリンク」ダイアログ・ボックスで、ユーザー名を検索して選択します。このリストに含まれるのは、まだOracle HCM Cloudの個人レコードにリンクされていないユーザー・アカウントのみです。

6. 「OK」をクリックして「ユーザー・アカウントのリンク」ダイアログ・ボックスを閉じます。7. 「保存」をクリックします。

すでに外部で割り当てられ、リンクされたユーザー・アカウントに手動で割り当てられたロールは、「現在のロール」セクションに表示されます。ユーザーが現在の雇用情報に基づいてこれらのロールの条件を満たしていない場合は、それらの削除が要求されます。「ユーザー・アカウントの管理」ページの「ロール要求」セクションに、ユーザーが条件を満たしているロールが表示されます。「保存」をクリックする前に、必要に応じてロールを追加できます。

「ユーザーの作成」ページおよび「ユーザーの編集」ページで、既存のユーザー・アカウントを個人レコードにリンクすることもできます。

ユーザー・アカウントを休止する方法デフォルトでは、ユーザーにロールがない場合、ユーザーのアカウントは自動的に休止されます。このユーザー・アカウントの自動休止は、「ユーザー・アカウント保守」企業オプションによって制御されます。人事(HR)担当者が必要に応じて手動でユーザー・アカウントを休止することもできます。このトピックでは、アカウントの自動休止と自動再アクティブ化がどのように行われるのかを説明します。また、ユーザー・アカウントを手動で休止する方法についても説明します。

ユーザー・アカウントの自動休止雇用関係を終了するとどうなるかを次に示します。

ユーザーは、自動的にプロビジョニングされたロールのうち、条件を満たさなくなったロールを喪失します。このプロビジョニング解除は自動的に行われます。ほかにアクティブな雇用関係がない場合は、手動でプロビジョニングされたロールも失われます。これには次のものが含まれます。

ユーザーが要求したロール別のユーザー(ライン・マネージャなど)がユーザーに対してプロビジョニングしたロール

129

ほかにアクティブな雇用関係がある場合は、手動でプロビジョニングされたロールは維持されます。

雇用関係を終了する際には、ユーザーが退職日にロールを喪失するか、退職日の翌日にロールを喪失するかを指定します。

退職済就業者のユーザー・アカウントは、ユーザーにロールがない場合にのみ、退職時に自動的に休止されます。該当するロール・マッピングが存在する場合、ユーザーが退職時に自動的にロールを取得することがあります。その場合、そのユーザー・アカウントはアクティブなままになります。

ユーザー・アカウントの自動再アクティブ化退職を取り消すか、就業者を再雇用すると、ユーザー・アカウントは自動的に再アクティブ化されます。雇用関係の終了を取り消すとどうなるかを次に示します。

ユーザーが退職時に自動的に喪失したロールが回復されます。たとえば、手動でプロビジョニングされたロールを自動的に喪失した場合は、それらのロールが回復されます。

注意: 退職時に手動で削除したロールは、必要に応じて手動で回復する必要があります。ユーザーが退職時に自動的に取得したロールは失われます。退職時にユーザー・アカウントが自動的に休止された場合は、自動的に再アクティブ化されます。

退職を取り消すと、自動プロビジョニング・プロセスが自動的に実行されます。したがって、ユーザーのロールは、現在のロール・マッピングで指定されているとおりに自動的に更新されます。

就業者を再雇用すると、ユーザー・アカウントが自動的に再アクティブ化されて、ロールが現在のロール・マッピングで指定されているとおりに自動的にプロビジョニングされます。その他の場合は、「ユーザーの編集」ページで、休止されたユーザー・アカウントを手動で再アクティブ化する必要があります。

ヒント: 権限を持つユーザーは、セキュリティ・コンソールで直接ユーザー・アカウント・ステータスを管理することもできます。

ユーザー・アカウントの手動休止HR担当者が手動でユーザー・アカウントを休止するには、次のステップを実行します。

1. 「ナビゲータ」→「自分のチーム」→「ユーザーおよびロール」を選択します。2. ユーザーを検索して選択し、「ユーザーの編集」ページを開きます。3. 「ユーザーの編集」ページの「ユーザー詳細」セクションで、「アクティブ」の値を「非アクティブ」に設定します。アカウントを再アクティブ化するには、「アクティブ」の値を「アクティブ」に戻します。

4. 「保存してクローズ」をクリックします。

注意: ユーザー・アカウントを手動で休止して再アクティブ化しても、ロール・プロビジョニングには影響しません。たとえば、ユーザー・アカウントを手動で再アクティブ化しても、「ユーザーの編集」ページで「ロールの自動プロビジョニング」をクリックしないかぎり、ユーザーの自動プロビジョニング済ロールは更新されません。同様に、休止されたユーザー・アカウントは、「ロールの自動プロビジョニング」をクリックしても再アクティブ化されません。先にユーザー・アカウントを明示的に再アクティブ化する必要があります。

ITセキュリティ・マネージャは、セキュリティ・コンソールでユーザー・アカウントをロックすることができま

130

す。ユーザー・アカウントをセキュリティ・コンソールでロックしたり、「ユーザーの編集」ページで「非アクティブ」に設定したりすると、そのユーザーはサインインできなくなります。

関連トピック

「ユーザー・アカウント保守」オプション

セキュリティ・コンソールでアプリケーション・ユーザーを管理する方法人事担当者とライン・マネージャは、ユーザー・アカウントとロール・プロビジョニングの日常的な管理に「ユーザー・アカウントの管理」タスクを使用します。ユーザーは、「自分のアカウント」ページで一部のタスク(ロールの要求、委任など)を実行できます。ITセキュリティ・マネージャも、必要に応じてユーザー・アカウントを管理できます。そのためには、セキュリティ・コンソールで適切なタスクを実行します。このトピックでは、ITセキュリティ・マネージャが実行できるユーザー管理タスクの概要について説明します。

セキュリティ・コンソールでのユーザー管理セキュリティ・コンソールの「ユーザー・アカウント」ページでITセキュリティ・マネージャが実行できるタスクを次に示します。

ユーザー・アカウントを作成および管理する。通常は、この方法で作成および管理されるのは実装ユーザーのアカウントのみです。実装ユーザーのアカウントを必要に応じて削除する。アプリケーション・ユーザーのユーザー・アカウントは削除しないでください。ユーザー・アカウントをロックおよびロック解除する。アカウントをロックするとユーザーがサインインできなくなります。ユーザー・アカウントをアクティブ化または非アクティブ化する。実装ユーザーに対するロールをプロビジョニングする。ユーザー・パスワードをリセットする(関連するユーザー・カテゴリに対して「管理者によるパスワードの手動リセットを許可」オプションが選択されている場合)。

ITセキュリティ・マネージャは、セキュリティ・コンソールの「ユーザー・カテゴリ」ページで、ユーザー・カテゴリを作成および管理できます。すべてのカテゴリに対して、次のことができます。

ユーザー名のデフォルト形式を定義する。パスワード・ポリシーを設定する。通知を管理する。カテゴリに対してユーザーを追加および削除する。

131

読取り専用アクセスの提供一部のユーザーにOracle HCM Cloudへの読取り専用アクセスが必要になる場合があります。次に例を示します。

ヘルプ・デスク担当者は、ユーザーのトランザクションを複製する必要がありますが、変更を保存する必要はありません。監査者は、規制のためにアプリケーション・データをレビューしますが、データの変更は許可されません。

読取り専用アクセスは、読取り専用モード(FND_READ_ONLY_MODE)プロファイル・オプションによって制御されます。このトピックでは、読取り専用モードを特定のユーザーに対して設定する方法について説明します。

読取り専用モード・プロファイル・オプションの設定読取り専用モードをユーザーに対して有効にするには、次の手順を実行します。

1. 「設定および保守」作業領域で、「管理者プロファイル値の管理」タスクを使用します。2. 「管理者プロファイル値の管理」ページの「検索」セクションで、「プロファイル・オプション・コード」フィールドに「FND_READ_ONLY_MODE」と入力して、「検索」をクリックします。

3. ページの「FND_READ_ONLY_MODE: プロファイル値」セクションで、「新規」アイコンをクリックします。

4. プロファイル値の表の新しい行で、次の手順を実行します。a. プロファイル・レベルを「ユーザー」に設定します。b. 「ユーザー名」フィールドで、ユーザーを検索して選択します。c. 「プロファイル値」を「使用可能」に設定して、選択したユーザーに対して読取り専用アクセスをアクティブ化します。

5. 「保存してクローズ」をクリックします。

ユーザーが次にサインインしたときにページ・バナーが表示されて、読取り専用モードが有効になっているために何も変更できないことが通知されます。

アプリケーション・ユーザーの管理に関するFAQ

ユーザーのロールを自動プロビジョニングするとどうなりますかロール・プロビジョニング・プロセスによってユーザーのアサイメントが現在のすべてのロール・マッピングと照合されます。

次の変更がただちに反映されます。

ユーザーが条件を満たしているロールがまだ取得されていない場合は取得されます。ユーザーが条件を満たさなくなったロールが失われます。

新しいロール・マッピングや変更されたロール・マッピングが存在する場合は、「ユーザー・アカウントの管理」ページで個々のユーザーのロールを自動プロビジョニングすることをお薦めします。そうしないと、次にユーザー

132

のアサイメントを更新するときまでロールの自動更新は行われません。

一部のロールが自動的に表示されるのはなぜですかロール・マッピングで次の条件が満たされているからです。

ロールに指定されている条件がユーザーのアサイメント属性(ジョブなど)と一致している。ロールの「自動プロビジョニング」オプションが選択されている。

ユーザーが自動的にロールを喪失するのはなぜですかそれらのロールがユーザーのアサイメント情報に基づいて自動的に取得されたからです。ユーザーのアサイメントが変更されると、ユーザーはそれらのロールに対して適格ではなくなります。その結果、それらのロールは表示されなくなります。

プロビジョニング解除されたロールが手動でユーザーにプロビジョニングできるロールである場合は、必要に応じてユーザーに再割当できます。

ユーザーにプロビジョニングしようとしているロールが表示されないのはなぜですかロールをプロビジョニングできるのは、ロールにロール・マッピングが存在し、「要求可能」オプションがロール・マッピングでロールに選択され、1つ以上のアサイメントがロール・マッピング条件を満たしている場合です。それ以外の場合は、そのロールを他のユーザーにプロビジョニングすることはできません。

ユーザーからロールをプロビジョニング解除するとどうなりますか削除されたロールのみによって提供されていた機能やデータにユーザーがアクセスできなくなります。ユーザーは、次にサインインしたときにこの変更に気づきます。

ユーザーがそのロールを自動的に取得した場合は、将来ユーザーのアサイメントが更新されて再びそのロールを取得する可能性があります。

委任ロールとは何ですか委任者と呼ばれるユーザーからプロキシ・ユーザーと呼ばれる別のユーザーへ割り当てられたジョブ・ロール、抽象ロール、またはデータ・ロール。

ロールを委任する際には、期間を指定することも(計画休暇欠勤の場合など)、無期限にすることもできます。

アクティブな雇用関係が複数ある個人のユーザー・アクセスを取り消すとどうなりますか

133

その個人は、その雇用関係のアサイメントに対してのみ自動的にプロビジョニングされたロールを喪失します。次のロールは保持されます。

手動でプロビジョニングされたロール他のアクティブな雇用関係で自動的に取得したロール

退職時にロールがある場合、ユーザー・アカウントはアクティブなままになります。それ以外の場合は自動的に休止されます。

就業者にユーザー・アカウントがないのはなぜですかユーザー・アカウントの自動作成が無効になっている可能性があります。その場合、ユーザー・アカウントはOracle HCM Cloudの外部で管理されていると考えられます。このようなアカウントを、「ユーザー・アカウントの管理」ページ、「ユーザーの作成」ページまたは「ユーザーの編集」ページで就業者の個人レコードにリンクできます。

ユーザー・アカウントをリンクするとどうなりますか個人レコードまたはパーティ・レコードをアカウントにリンクする要求が自動的にLDAPディレクトリに送信されます。アカウント・ステータスが「アクティブ」になると、「ユーザー・アカウントの管理」ページまたは「ユーザーの編集」ページの「ロール」セクションに現在のロールが表示されます。この時点でユーザーはサインインできます。アカウントがリンクされたら、ユーザーに通知することをお薦めします。

ユーザー名を編集するとどうなりますか「ユーザー・アカウントの管理」ページまたは「ユーザーの編集」ページで「保存」をクリックすると、更新されたユーザー名が処理のためにLDAPディレクトリに送信されます。アカウント・ステータスは「アクティブ」のままで、ユーザーのロールとパスワードは影響を受けません。この変更はユーザーに自動的に通知されないため、ユーザーに通知することをお薦めします。

ユーザー名を編集できるのは人事担当者のみです。

個人データをLDAPにコピーするとどうなりますかLDAPディレクトリでユーザー・アカウントが定義されます。また、ユーザーの個人情報の一部(名前、勤務先電話番号、就業事業所住所など)がLDAPディレクトリに保持されます。Oracle HCM Cloudで個人情報に加えられた変更は、一定の間隔で自動的にLDAPディレクトリにコピーされます。変更をただちに送信するには、「LDAPへの個人データのコピー」処理を実行します。この処理はオプションです。

ユーザー名とパスワードを送信するとどうなりますかユーザーの勤務先Eメールかユーザーのライン・マネージャ(存在する場合)にユーザー名とパスワードが送られます。このイベントの通知テンプレートが存在し、有効になっている必要があります。

これらの詳細は、任意のユーザーに対して一度だけ送信できます。「ユーザー・アカウントの管理」ページまたは「ユーザーの作成」ページでこのオプションを選択解除した場合は、後からこれらの詳細を送信できます。そのた

134

めには、「ユーザー名およびパスワードEメール通知の送信」プロセスを実行します。

ユーザーのパスワードをリセットするとどうなりますかパスワード・リセット・リンクを含む通知がユーザーの勤務先Eメールに送信されます。ユーザーが勤務先Eメールを持っていない場合、通知はユーザーのライン・マネージャに送信されます。このイベントの通知テンプレートが存在し、有効になっている必要があります。

ユーザーにユーザー名とパスワードを通知するにはどうすればよいですか「スケジュール済プロセス」作業領域で「ユーザー名およびパスワードEメール通知の送信」プロセスを実行できます。このプロセスでは、まだEメールを送信していないユーザーにユーザー名とパスワード・リセット・リンクが送信されます。このEメールは、ユーザーの勤務先Eメールか、ユーザーのライン・マネージャに送られます。ユーザー名とパスワードは、任意のユーザーに対して一度だけ送信できます。このイベントの通知テンプレートが存在し、有効になっている必要があります。

ユーザーの偽装を有効にすることはできますかできますが、使用方法に注意してください。ユーザーの偽装(「プリファレンスの設定」→「「プロキシ」)では、プロキシ・ユーザーが偽装セッションであなたのかわりにタスクを実行できます。プロキシ・ユーザーにはあなたと同じデータ・アクセス権が付与されます。プロキシ・ユーザーはあなたのすべてのロールを取得するため、従業員セルフサービスを使用している場合には安全が確保されません。HCM Cloudユーザーは、給与詳細、国別IDなどの個人情報および機密情報にプロキシがアクセスできることを覚えておいてください。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

135

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

14 アプリケーション・ユーザーに対するロールのプロビジョニングこの章の内容は次のとおりです。

ロール・マッピングロール・マッピングの作成ロール・マッピングの例ロールのプロビジョニングとプロビジョニング解除自動プロビジョニングロール・マッピングの編集に関するガイドライン

136

アプリケーション・ユーザーに対するロールのプロビジョニングに関するFAQ

ロール・マッピングロールにより、ユーザーはデータおよび機能にアクセスできます。ユーザーにロールをプロビジョニングするには、ロール・マッピングと呼ばれる、ロールといくつかの条件との関係を定義します。このトピックでは、ユーザーにロールを自動および手動でプロビジョニングする方法について説明します。「設定および保守」作業領域の「ロール・プロビジョニング・ルールの管理」タスクを使用します。

注意: すべてのロール・プロビジョニングでは、ロールをプロビジョニングする要求が生成されます。これらの要求が正常に処理された場合にのみ、ロール・プロビジョニングが完了します。

ユーザーへのロールの自動プロビジョニングロール・プロビジョニングは、次の場合に自動的に発生します。

ユーザーのアサイメントのうち少なくとも1つが、すべてのロール・マッピング条件を満たしている。ロール・マッピングで、ロールの「自動プロビジョニング」オプションを選択する。

たとえば、財務部門の営業マネージャ・データ・ロールの場合、「自動プロビジョニング」オプションを選択し、次の表に示す条件を指定できます。

属性 値

部門 財務部門

ジョブ 営業マネージャ

HRアサイメント・ステータス アクティブ

アサイメントの作成または更新のいずれかが行われると、これらの条件のすべてを満たしているアサイメントを少なくとも1つ持つユーザーは、ロールを自動的に取得します。プロビジョニング・プロセスでは、ロール・マッピング条件を満たさなくなったユーザーからのプロビジョニング済ロールの自動的な削除も行われます。

ユーザーへのロールの手動プロビジョニングライン・マネージャなどのユーザーは、次の場合に他のユーザーにロールを手動でプロビジョニングできます。

ロール(ライン・マネージャなど)をプロビジョニングしているユーザーのアサイメントのうち少なくとも1つが、すべてのロール・マッピング条件を満たしている。ロール・マッピングで、ロールの「要求可能」オプションを選択する。

たとえば、トレーニング・チーム・リーダー・データ・ロールの場合、「要求可能」オプションを選択し、次の表に示す条件を指定できます。

属性 値

137

部下を持つマネージャ はい

HRアサイメント・ステータス アクティブ

両方の条件を満たすアサイメントを少なくとも1つ持つ任意のユーザーは、他のユーザーに対してトレーニング・チーム・リーダー・ロールを手動でプロビジョニングできます。

すべての雇用関係が終了される、またはロールを手動でプロビジョニング解除するまで、ユーザーは手動でプロビジョニングされたロールのままになります。

ユーザーからのロール要求ユーザーは、次の場合に自身のアカウントを管理する際にロールを要求できます。

ユーザーのアサイメントのうち少なくとも1つが、すべてのロール・マッピング条件を満たしている。ロール・マッピングで、ロールの「自己要求可能」オプションを選択する。

たとえば、経費報告者データ・ロールの場合、「自己要求可能」オプションを選択し、次の表に示す条件を指定できます。

属性 値

部門 財務部門

システムPersonタイプ 従業員

HRアサイメント・ステータス アクティブ

これらの条件を満たすアサイメントを少なくとも1つ持つ任意のユーザーは、ロールを要求できます。自己要求されたロールは、手動プロビジョニングとして定義されます。

すべての雇用関係が終了される、またはロールを手動でプロビジョニング解除するまで、ユーザーは手動でプロビジョニングされたロールのままになります。

ロール・マッピング名ロール・マッピング名は、企業内で一意である必要があります。各ロール・マッピングのスコープを示すネーミング・スキームを考案します。たとえば、営業の自動プロビジョニング済ロールというロール・マッピングには、営業部門の就業者に自動的にプロビジョニングされたすべてのロールが含まれます。

ロール・マッピングの作成ユーザーにロールをプロビジョニングするには、ロール・マッピングを作成します。このトピックでは、ロール・マッピングの作成方法について説明します。

ITセキュリティ・マネージャとしてサインインし、次のステップを実行します。

138

1. 「設定および保守」作業領域で、次の項目に移動します。機能領域: ユーザーおよびセキュリティタスク: ロール・プロビジョニング・ルールの管理

2. 「ロール・マッピングの管理」ページの「検索結果」セクションで、「作成」をクリックします。「ロール・マッピングの作成」ページが開きます。

ロール・マッピング条件の定義「条件」セクションに値を設定して、ロール・マッピングの適用タイミングを指定します。たとえば、この表に示されている値は、ジョブがチーフ・バイヤーでデンバーにある調達部門の現在の従業員にマッピングを限定しています。

フィールド 値

部門 調達部門

ジョブ チーフ・バイヤー

事業所 デンバー

システムPersonタイプ 従業員

HRアサイメント・ステータス アクティブ

ユーザーには、これらすべての条件を満たすアサイメントが少なくとも1つ必要です。

ロールの識別1. 「関連ロール」セクションで、「行の追加」をクリックします。2. 「ロール名」フィールドで、プロビジョニングしているロールを検索して選択します。たとえば、「デンバーの調達アナリスト」というデータ・ロールを検索します。

3. この表に示されているロール・プロビジョニング・オプションを1つ以上選択します。

ロール・プロビジョニング・オプション 説明

要求可能 条件を満たすユーザーは、他のユーザーにロールをプロビジョニングできます。

自己要求可能 条件を満たすユーザーは、ロールを自身のために要求できます。

自動プロビジョニング 条件を満たすユーザーは、ロールを自動的に取得します。

条件を満たすユーザーには、ロール・マッピング条件を満たすアサイメントが少なくとも1つあります。

注意: デフォルトでは、「自動プロビジョニング」が選択されています。自動プロビジョニングを行わない場合は、選択解除するのを忘れないでください。

「委任許可」オプションは、ロールを持つユーザーまたは他のユーザーにロールをプロビジョニングできるユーザーが、ロールを委任することもできるかどうかを示します。この値はロール定義の一部であり、変更できません。ロール・マッピングにロールを追加する際に、委任を許可するロールを検索できます。

139

4. 必要に応じて、「関連ロール」セクションにさらに行を追加し、プロビジョニング・オプションを選択します。ロール・マッピング条件は、このセクションのすべてのロールに適用されます。

5. 「保存してクローズ」をクリックします。

自動プロビジョニングの適用ロール・マッピングを作成または編集した後、および個人レコードを一括してロードした後に、「すべてのユーザーの自動プロビジョニング・ロール」プロセスを実行することをお薦めします。このプロセスでは、現在のすべてのユーザー・アサイメントが現在のすべてのロール・マッピングと比較され、適切な自動プロビジョニング要求が作成されます。

ロール・マッピングの例ユーザーにロールを自動的または手動でプロビジョニングする必要があります。このトピックでは、自動および手動のロール・プロビジョニングをサポートするための一般的なロール・マッピングの例を示します。

従業員のロール・マッピングの作成すべての従業員は、採用日から自動的に「従業員」ロールを持っている必要があります。さらに、経費を請求する従業員は、経費レポート・データ・ロールを要求する必要があります。

「すべての従業員」というロール・マッピングを作成し、この表に示す条件を入力します。

属性 値

システムPersonタイプ 従業員

HRアサイメント・ステータス アクティブ

ロール・マッピングに、次のものを含めます。

「従業員」ロールを含め、「自動プロビジョニング」オプションを選択します。経費レポート・ロールを含め、「自己要求可能」オプションを選択します。

ライン・マネージャのロール・マッピングの作成どのタイプの就業者も、営業ビジネス・ユニットのライン・マネージャになることができます。営業BUのライン・マネージャというロール・マッピングを作成し、この表に示す条件を入力します。

属性 値

ビジネス・ユニット 営業

HRアサイメント・ステータス アクティブ

部下を持つマネージャ はい

140

「ライン・マネージャ」ロールを含め、「自動プロビジョニング」オプションを選択します。ロール・マッピング条件を満たすアサイメントが少なくとも1つある就業者は、ロールを自動的に取得します。

同じロール・マッピングでは、ライン・マネージャが次を実行できるロールを含めることができます。

他のユーザーに手動でプロビジョニングする。これらのロールに対して「要求可能」オプションを選択します。自身のために要求する。これらのロールに対して「自己要求可能」オプションを選択します。

ヒント: 「部下を持つマネージャ」は、常にライン・マネージャを意味します。「マネージャ・タイプ」属性を「ライン・マネージャ」に設定することは、「部下を持つマネージャ」を「はい」に設定することと同じです。ロール・マッピングが「ライン・マネージャ」以外のタイプのマネージャに適用される場合は、「部下を持つマネージャ」属性を設定しないでください。

退職(定年他)従業員のロール・マッピングの作成退職した就業者は、退職アカウントを管理するためにシステムにアクセスできます。すべての退職(定年他)従業員というロール・マッピングを作成し、この表に示す条件を入力します。

属性 値

システムPersonタイプ 退職(定年他)従業員

HRアサイメント・ステータス 非アクティブ

ロール・マッピングに「退職(定年他)従業員」カスタム・ロールを含め、「自動プロビジョニング」オプションを選択します。就業者のアサイメントの少なくとも1つがロール・マッピング条件を満たすと、ロールを自動的に取得します。

ロールのプロビジョニングとプロビジョニング解除ユーザーにロールをプロビジョニングする必要があります。そうしない場合、データや機能にアクセスできず、アプリケーション・タスクを実行できません。このトピックでは、ロール・マッピングによるロールのプロビジョニングおよびプロビジョニング解除の制御について説明します。「ロール・プロビジョニング・ルールの管理」または「HCMロール・プロビジョニング・ルールの管理」タスクを使用して、ロール・マッピングを作成します。

ロール・プロビジョニングの方法ユーザーにロールをプロビジョニングできます。

自動手動

ライン・マネージャなどのユーザーは、ロールを他のユーザーに手動でプロビジョニングできます。

141

ユーザーは自分自身のロールを要求できます。

自動と手動の両方のロールのプロビジョニングで、ユーザーがロールの資格を得る時期を指定するロール・マッピングを作成します。

ロール・タイプデータ・ロール、抽象ロールおよびジョブ・ロールをユーザーにプロビジョニングできます。ただし、Oracle HCMCloudユーザーについては、一般的にジョブ・ロールをHCMデータ・ロールに含め、これらのデータ・ロールをプロビジョニングします。

自動ロール・プロビジョニング少なくとも1つのアサイメントが関連するロール・マッピングの条件を満たした場合、ユーザーは自動的にロールを取得します。プロビジョニングは、就業者アサイメントの作成または更新時に行われます。たとえば、就業者を管理ポジションに昇格する際に、適切なロール・マッピングが存在する場合は、就業者は自動的にライン・マネージャ・ロールを取得します。アサイメントを変更すると、自動的にプロビジョニングされた就業者のロールのレビューおよび更新が行われます。

ロールのプロビジョニング解除ロール・マッピングの条件を満たさなくなった場合、ユーザーは自動的にプロビジョニングされたロールを失います。たとえば、ライン・マネージャがライン・マネージャであることをやめると、自動的にプロビジョニングされたライン・マネージャ・ロールを失います。また、いつでも自動的にプロビジョニングされたロールを手動で解除できます。

すべての雇用関係が終了した場合のみ、ユーザーは手動でプロビジョニングされたロールを自動的に失います。それ以外の場合は、手動でプロビジョニングを解除するまで、ユーザーは手動でプロビジョニングされたロールを保持します。

退職時のロール雇用関係を終了すると、ユーザーは資格を失ったすべての自動的にプロビジョニングされたロールを自動的に失います。他の雇用関係がなくなった場合のみ、ユーザーは手動でプロビジョニングされたロールを失います。それ以外の場合は、手動で削除するまで、ユーザーは手動でプロビジョニングされたロールを保持します。

雇用関係を終了するユーザーは、ユーザーがロールを失うタイミングを指定します。プロビジョニング解除は、次のタイミングで発生します。

退職日退職日の翌日

未来の退職日を入力した場合、その日または翌日になるまでロールのプロビジョニング解除は行われません。ユーザー・アカウントの管理ページの「過去30日間のロールの要求」セクションは、プロビジョニング解除要求が作成された場合のみ更新されます。セクションのエントリは、処理されるまで残存します。

ロール・マッピングにより、退職時に自動的にユーザーにロールをプロビジョニングできます。たとえば、退職した就業者は、アサイメント・ステータスおよび個人タイプの値に基づいて、退職時に退職者というカスタム・ロー

142

ルを取得できます。

退職の取消退職を取り消すと、退職時にユーザーが自動的に取得したロールが削除されます。また、次のようにロールがユーザーにプロビジョニングされます。

退職時に自動的に失われた手動でプロビジョニングされたロールが再開されます。退職の取消時に自動プロビジョニング・プロセスが自動的に実行され、現在のロール・プロビジョニング・ルールで指定されたとおりにロールが自動的にプロビジョニングされます。

手動で削除したロールは、適時、手動で再開する必要があります。

アサイメントの有効日の変更ロールの自動プロビジョニングおよびプロビジョニング解除は、現在のデータに基づいて行われます。将来の昇格など、将来の日付のトランザクションでは、ロールのプロビジョニングは、変更が有効になった日に行われます。「待ち状態のLDAP要求の送信」プロセスでは、将来の日付のトランザクションが識別され、適時でのロールのプロビジョニングおよびプロビジョニング解除が管理されます。これらのロール・プロビジョニングの変更は、システム日付で有効になります。よって、他のタイム・ゾーンにいるユーザーがロールを取得するまで、最大24時間の遅延が発生する可能性があります。

自動プロビジョニング自動プロビジョニングは、ユーザー・ロールを自動割当または削除することです。個々のユーザーの自動プロビジョニングは、アサイメントを作成または更新するときに発生します。また、「すべてのユーザーの自動プロビジョニング・ロール」プロセスを使用して、企業に対して明示的に自動プロビジョニングを適用することもできます。このトピックでは、企業に自動プロビジョニングを適用した場合の影響について説明します。

自動プロビジョニングによって影響を受けるロール自動プロビジョニングは、ロール・マッピングで「自動プロビジョニング」オプションが有効になっているロールにのみ適用されます。

「自動プロビジョニング」オプションが有効になっていないロールには適用されません。

「すべてのユーザーの自動プロビジョニング・ロール」プロセス「すべてのユーザーの自動プロビジョニング・ロール」プロセスでは、現在のすべてのユーザー・アサイメントが現在のすべてのロール・マッピングと比較されます。

ロール・マッピングの条件を満たすアサイメントが少なくとも1つあるユーザーと、現在、関連ロールがないユーザーは、そのロールを取得します。現在ロールがあっても、関連ロール・マッピング条件を満たさなくなったユーザーは、そのロールを失いま

143

す。

ユーザーにロールがない場合、ユーザー・アカウントもデフォルトで自動的に休止されます。

このプロセスでは、ロールを追加または削除する要求がただちに作成されます。これらの要求は、「待ち状態のLDAP要求の送信」プロセスによって処理されます。「すべてのユーザーの自動プロビジョニング・ロール」を実行している場合、ロール要求を処理するタイミングを指定できます。ただちに処理するか、バッチとして次回の「待ち状態のLDAP要求の送信」プロセスの実行まで延期できます。特に、数千のロール要求が生成される場合、処理を延期することはパフォーマンスの点では適しています。「生成されたロール要求の処理」パラメータを「いいえ」に設定して、処理を延期します。要求をただちに処理すると、「すべてのユーザーの自動プロビジョニング・ロール」によって、生成されたLDAP要求範囲を識別するレポートが作成されます。要求は要求の有効日に処理されます。

プロセスを実行するタイミングロール・マッピングの作成または編集後、「すべてのユーザーの自動プロビジョニング・ロール」を実行することをお薦めします。また、個人レコードのユーザー・アカウントを要求した場合、個人レコードを一括してロードした後に実行する必要があります。ロードする前に適切なロール・マッピングが存在する場合、このプロセスは必要ありません。それ以外の場合、一括してロードされた新しいユーザーにロールをプロビジョニングするために実行する必要があります。どの日も、複数回プロセスを実行しないでください。そうしないと、プロセスで生成されるロール要求の数によって、プロビジョニング・プロセスが遅くなる可能性があります。

「すべてのユーザーの自動プロビジョニング・ロール」のインスタンスは、一度に1つのみ実行できます。

個々のユーザーの自動プロビジョニング「ユーザー・アカウントの管理」ページで、個々のユーザーに自動プロビジョニングを適用できます。

関連トピック

ユーザーのロールを自動プロビジョニングするとどうなりますか「待ち状態のLDAP要求の送信」プロセスのスケジュール

ロール・マッピングの編集に関するガイドライン「ロール・マッピングの編集」ページで、ロール・マッピングを更新できます。開始日と終了日、ロール・マッピング条件および関連ロールの変更は、現在のロール・プロビジョニングに影響する可能性があります。このトピックでは、そのような変更が有効になるタイミングについて説明します。ロール・マッピングを編集するには、「設定および保守」作業領域の「ロール・プロビジョニング・ルールの管理」タスクを実行します。

自動的にプロビジョニングされたロールの変更自動的にプロビジョニングされたロールの変更は、次のいずれかが発生するとすぐに有効になります。

「すべてのユーザーの自動プロビジョニング・ロール」プロセスが実行される。

144

このプロセスでは、現在のすべてのユーザー・アサイメントが現在のすべてのロール・マッピングと比較され、必要に応じてロール・プロビジョニングが更新されます。ロール・マッピングを作成するか編集した後に、このプロセスを実行することをお薦めします。また、ロード前に個人レコードにロール・マッピングが存在しない場合は、個人レコードを一括でロードした後にこのプロセスを実行する必要があります。人事(HR)担当者またはライン・マネージャが、ロール・マッピングの影響を受ける個々のユーザーの「ユーザー・アカウントの管理」ページまたは「ユーザーの編集」ページで「自動プロビジョニングの適用」をクリックする。この処理では、ユーザーの現在のアサイメントが現在のすべてのロール・マッピングと比較され、必要に応じてユーザーのロールが更新されます。HR担当者またはライン・マネージャが、ロール・マッピングの影響を受けるユーザーのアサイメントを作成または更新する。これらの処理により、ユーザーのロールが再評価されます。

要求可能ロールの変更要求可能ロールに対する変更は、ただちに有効になります。ロール・マッピングから要求可能ロールを削除するか、ロール・マッピング条件を変更する場合、次のようになります。

現在ロールがあるユーザーは、それを保持します。ライン・マネージャなどのユーザーは、他のユーザーに要求可能ロールを手動でプロビジョニングします。すべての雇用関係が終了した場合のみ、ユーザーは手動でプロビジョニングされたロールを自動的に失います。それ以外の場合は、手動でプロビジョニングを解除するまで、ユーザーは手動でプロビジョニングされたロールを保持します。他のユーザーにロールをプロビジョニングできるユーザーは、改訂されたロール・マッピング条件を満たしていないかぎり、これを行うことはできなくなります。

自己要求可能ロールの変更自己要求可能ロールに対する変更は、ただちに有効になります。ロール・マッピングから自己要求可能ロールを削除するか、ロール・マッピング条件を変更する場合、次のようになります。

現在ロールがあるユーザーは、それを保持します。すべての雇用関係が終了した場合のみ、ユーザーは手動でプロビジョニングされたロールを自動的に失います。それ以外の場合は、手動でプロビジョニングを解除するまで、ユーザーは手動でプロビジョニングされたロールを保持します。ロールを要求できるユーザーは、改訂されたロール・マッピング条件を満たしていないかぎり、これを行うことはできなくなります。

アプリケーション・ユーザーに対するロールのプロビジョニングに関するFAQ

145

ロール・マッピング条件とは何ですか。ほとんどは、ジョブや部門などのアサイメント属性です。ユーザーのアサイメントの少なくとも1つは、ユーザーが関連ロールの条件を満たすために、ロール・マッピングのすべてのアサイメント値と一致する必要があります。

HRアサイメント・ステータスとアサイメント・ステータスの違いは何ですか。「HRアサイメント・ステータス」を使用して、条件を満たすアサイメントをアクティブまたは非アクティブにする必要があるかどうかを指定します。

「アサイメント・ステータス」を使用して、「アクティブ - 給与適格」や「休止 - 給与なし」などのサブカテゴリを指定します。

「HRアサイメント・ステータス」の値を選択すると、対応する「アサイメント・ステータス」の値が表示されます。たとえば、「HRアサイメント・ステータス」が「非アクティブ」の場合、「アサイメント・ステータス」の値には、「非アクティブ」または「休止」というプリフィクスが付きます。

ロール・マッピングでの関連ロールとは何ですか。ユーザーにプロビジョニングしようとしているロールです。データ・ロール、抽象ロールおよびジョブ・ロールをユーザーにプロビジョニングできます。ロールは、事前定義済またはカスタムのいずれかになります。

プロビジョニング方法とは何ですか。プロビジョニング方法は、ユーザーがロールを取得する方法を識別します。次の表では、その値について説明しています。

プロビジョニング方法 意味

自動 ユーザーは、ユーザーのアサイメント属性の値に基づいて自動的にロールの条件を満たします。

手動 別のユーザーがユーザーにロールを割り当てたか、ユーザーがロールを要求しました。

外部 ユーザーは、Oracle Applications Cloudの外部でロールを取得しました。

このページは役に立ちましたか?

© Oracle

146

About OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

147

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

15 アプリケーション・ユーザーとロールに関するレポートこの章の内容は次のとおりです。

ユーザー詳細システム抽出レポートの実行ユーザー詳細システム抽出レポートのパラメータユーザー詳細システム抽出レポート個人ユーザー情報レポートユーザー履歴レポートセキュリティ・ダッシュボードを使用したロール情報の表示

148

LDAP要求情報レポート非アクティブ・ユーザー・レポートユーザー・ロール・メンバーシップ・レポートユーザーおよびロールのアクセス監査レポートユーザー・パスワード変更監査レポートロックされたユーザーの表示およびロック解除アプリケーション・ユーザーとロールに関するレポートのFAQ

ユーザー詳細システム抽出レポートの実行Oracle BI Publisherのユーザー詳細システム抽出レポートには、Oracle Fusion Applicationsの選択されたユーザー・アカウントの詳細が含まれます。このレポートを実行するには、「人材管理アプリケーション管理者」ジョブ・ロールの個人レコードへのすべて表示アクセス権を提供するデータ・ロールが必要です。

レポートを実行するには、次の手順を実行します。

1. 「レポートおよび分析」作業領域の「コンテンツ」ペインで、「共有フォルダ」→「人材管理」→「ワークフォース管理」→「人事管理ダッシュボード」を選択します。

2. ユーザー詳細システム抽出レポートを選択します。3. レポート・ウィンドウで、「詳細」をクリックします。4. レポートの「Oracle Business Intelligence」ページで、「オープン」を選択してレポートを即時に実行するか、「詳細」→「スケジュール」を選択してレポートをスケジュールします。

ユーザー詳細システム抽出レポートのパラメータOracle BI Publisherのユーザー詳細システム抽出レポートには、Oracle Fusion Applicationsのユーザー・アカウントの詳細が含まれます。このトピックでは、レポートのパラメータについて説明します。「レポートおよび分析」作業領域でレポートを実行します。

パラメータ対象ユーザー

この表のいずれかの値を入力し、レポートに含めるユーザー・アカウントを識別します。

値 説明

HCM 関連付けられているHCM個人レコードがあるユーザー・アカウント。

TCA 関連付けられているパーティ・レコードがあるユーザー・アカウント。

LDAP 個人番号やパーティIDがない、PER_USERS表内のユーザーのアカウント。実装ユーザーはこのカテゴリに含

149

まれる。

ALL HCM、TCAおよびLDAPユーザー・アカウント。

日付: 自

この日付またはこの日付以降に存在するHCMおよびLDAPユーザーのアカウントがレポートに表示されます。「日付: 自」値を指定しない場合、レポートには「日付: 至」値のみの対象となる任意の作成日のアカウントが含まれます。

日付: 自および日付: 至は、TCAユーザー就業者には適用されません。レポートのユーザー就業者にTCAユーザーを含めた場合、レポートにはすべてのTCAユーザーが含まれます。

日付: 至

この日付またはこの日付以前に存在するHCMおよびLDAPユーザーのアカウントがレポートに表示されます。「日付: 至」値を指定しない場合、レポートには「日付: 自」値のみの対象となる任意の作成日のアカウントが含まれます。

日付: 自および日付: 至は、TCAユーザー就業者には適用されません。レポートのユーザー就業者にTCAユーザーを含めた場合、レポートにはすべてのTCAユーザーが含まれます。

ユーザー・アクティブ・ステータス

この表のいずれかの値を入力し、ユーザー・アカウント・ステータスを識別します。

値 説明

A 現在のロールを持つユーザーに属するアクティブなアカウントが含まれる。

I 現在のロールを持たないユーザーに属する非アクティブなアカウントが含まれる。

すべて アクティブなユーザー・アカウントと非アクティブなユーザー・アカウントの両方が含まれる。

ユーザー詳細システム抽出レポートOracle BI Publisherのユーザー詳細システム抽出レポートには、Oracle Fusion Applicationsのユーザー・アカウントの詳細が含まれます。このトピックでは、レポートのコンテンツについて説明します。

「レポートおよび分析」作業領域でレポートを実行します。

レポートの結果レポートはXML形式のファイルであり、次のように、ユーザー・アカウントはタイプ別にグループ化されています。

グループ1 (G_1)には、HCMユーザー・アカウントが含まれます。

150

グループ2 (G_2)には、TCAパーティ・ユーザー・アカウントが含まれます。グループ3 (G_3)には、LDAPユーザー・アカウントが含まれます。

抽出の情報は、アカウント・タイプによって異なります。

HCMユーザー・アカウント

ビジネス・ユニット名

プライマリ雇用関係のビジネス・ユニット。

複合最終更新日

アサイメント・マネージャ、事業所、ジョブ、Personタイプなど、多数の値のいずれかが最後に更新された日付。

部門

プライマリ・アサイメントの部門。

就業者タイプ

ユーザーのプライマリ雇用関係の就業者タイプ。

生成クオリファイア

ユーザーの名前サフィクス(Jr.、Sr.、IIIなど)

採用日

企業採用日。

ロール名

雇用関係がすべて終了している就業者に現在プロビジョニングされているロールのリスト。この値はアクティブなユーザー・アカウントのみに表示されます。

タイトル

ユーザーのプライマリ・アサイメントのジョブ・タイトル。

TCAユーザー・アカウント

組織

リソース・グループ。

ロール

ユーザーにプロビジョニングされているジョブ・ロール、抽象ロールおよびデータ・ロールのリスト。

151

マネージャ

リソース・グループのマネージャ。

LDAPユーザー・アカウント

開始日

アカウントの開始日。

作成者

アカウントを作成したユーザーのユーザー名。

個人ユーザー情報レポートこのトピックでは、個人ユーザー・ダッシュボードおよび個人ユーザー情報のOracle Business IntelligencePublisherレポートについて説明します。これらのレポートを使用して、指定したOracle HCM Cloudユーザー・アカウントの履歴を抽出します。レポートを実行するには、ORA_PER_MANAGE_USER_AND_ROLES_DUTY_OBI職務ロールを継承する必要があります。「ITセキュリティ・マネージャ」や「人事担当者」など、事前定義されたいくつかのジョブ・ロールがこの職務ロールを継承します。

レポートを実行するには、次の手順を実行します。

1. 「レポートおよび分析」作業領域を開きます。2. 「すべてのフォルダ」→「共有フォルダ」→「人材管理」→「ワークフォース管理」→「人事管理ダッシュボード」を選択します。

両方のレポートが「人事管理ダッシュボード」フォルダに表示されます。

個人ユーザー情報レポートの実行個人ユーザー・ダッシュボード・レポートを使用して、指定したユーザーのユーザー・アカウント情報(特にPersonID)を表示します。次のステップを実行します。

1. 「個人ユーザー・ダッシュボード」エントリをクリックします。2. 「個人ユーザー要約」ページで、この表に示すパラメータを入力してレポートをフィルタし、「適用」をクリックします。

パラメータ 説明

表示名 ユーザーの表示名(たとえば、John Gorman)。

姓 ユーザーの姓(たとえば、Gorman)。

152

開始日 ユーザーの開始日。レポートには、この日付またはこの日付以降の開始日を持つユーザーが表示される。

3. 目的のユーザーを識別したら、レポートの「個人ユーザー情報」表からPerson IDをコピーします。個人ユーザー情報レポートでこのPerson IDを使用します。

個人ユーザー情報レポートを使用して、指定したユーザー・アカウントの詳細履歴を表示します。次のステップを実行します。

1. 「人事管理」ダッシュボードのフォルダで、「個人ユーザー情報」をクリックします。2. 「個人ユーザー詳細」ページで、この表に示すパラメータのいずれかまたは両方を入力し、「適用」をクリックします。

パラメータ 説明

開始日 ユーザーの開始日。レポートには、この日付またはこの日付以降の開始日を持つユーザーが表示される。

Person ID 個人ユーザー・ダッシュボード・レポートからコピーしたPerson ID。

レポートの出力には、次の情報が含まれます。

個人情報ユーザー履歴割当済ロールと関連ロール・マッピングの詳細ロール委任の詳細LDAP要求の詳細雇用関係およびアサイメント情報

いずれかのレポートをスプレッドシートに保存するには、「処理」→「エクスポート」→「Excel」の順に選択します

ユーザー履歴レポートこのトピックでは、指定したOracle HCM Cloudユーザー・アカウントの履歴を抽出して書式設定するユーザー履歴レポートについて説明します。Oracle Supportでは、ユーザー関連のエラーの診断に使用するために、このレポートの実行を求める場合があります。レポートを実行するには、ORA_PER_MANAGE_USER_AND_ROLES_DUTY_OBI (ユーザーの管理)職務ロールを継承する必要があります。「ITセキュリティ・マネージャ」や「人事担当者」など、事前定義されたいくつかのジョブ・ロールがこの職務ロールを継承します。

レポートを実行するには、次のステップを実行します。

1. 「ナビゲータ」→「自分のチーム」→「ユーザーおよびロール」を選択します。2. 「個人の検索」ページで、目的の個人を検索します。3. 検索結果で、個人名をクリックし、「ユーザーの編集」ページを開きます。

153

4. ユーザーの編集ページで、「ユーザー履歴の印刷」をクリックします。「ユーザー履歴」ダイアログ・ボックスで、レポートをレビューできます。「ユーザー履歴」ダイアログ・ボックスの関連アイコンをクリックして、レポートを印刷するか、PDFファイルをダウンロードすることができます。

5. 「取消」をクリックして、「ユーザー履歴」ダイアログ・ボックスを閉じます。

ヒント: レポートを表示する必要はありません。「ユーザー履歴の印刷」→「ダウンロード」を選択して、PDFファイルをダウンロードできます。ファイル名の形式は、<person ID>_UserHistory.pdfです。

このレポートは、承認済ユーザーが「レポートおよび分析」作業領域で実行できる個人ユーザー情報レポートと同じです。

レポートのコンテンツレポートには、選択したユーザーの次の情報が含まれます。

個人情報ユーザー履歴プロビジョニングされたロールと関連ロール・マッピングの詳細ロール委任の詳細LDAP要求の詳細雇用関係およびアサイメント情報

セキュリティ・ダッシュボードを使用したロール情報の表示ITセキュリティ・マネージャはセキュリティ・ダッシュボードを使用して、セキュリティ・ロールのスナップショットおよびOracle Cloudアプリケーションでそれらのロールがどのようにプロビジョニングされているかを確認できます。情報はロール・カテゴリでソートされており、データ・セキュリティ・ポリシーや機能セキュリティ・ポリシー、ロールに関連付けられているユーザーなどの詳細を確認できます。データ・セキュリティ・ポリシーまたは機能セキュリティ・ポリシーに対して逆検索を実行し、関連付けられているロールを表示することもできます。

「ロール概要」ページを使用して、ロールを検索できます。このページには、継承されたロールを含めたロール数や、データ・セキュリティ・ポリシー、機能セキュリティ・ポリシーが表示されます。このページのタイルにある数値をクリックすると、ロール・ダッシュボードの対応するページに移動します。ロールの詳細は、セキュリティ・ダッシュボードの「ロール概要」ページまたはロール・ダッシュボードで確認できます。

ロール・ダッシュボードでは、直接割り当てられた機能セキュリティ・ポリシーやデータ・セキュリティ・ポリシー、ユーザーに割り当てられたロール、直接割り当てられたロール、継承されたロール・リストなどのロール情報を表示できます。セキュリティ・ダッシュボードのページ上でロール関連リンクをクリックすると、ロール・ダッシュボードの関連ページに移動できます。ロール情報をスプレッドシートにエクスポートできます。各タブの情報がスプレッドシートのシートにエクスポートされます。このダッシュボードは1つのロールの印刷用ビューをサポートしています。

154

セキュリティ・ダッシュボードを表示する手順は、次のとおりです。

1. 「レポートおよび分析」作業領域で、「カタログのブラウズ」をクリックします。2. Oracle BIページで、共有フォルダ→「セキュリティ」→「トランザクション分析サンプル」→「セキュリティ・ダッシュボード」を開きます。ダッシュボードのすべてのページがリストされます。

3. 「ロール・カテゴリ概要」ページを表示するには、「オープン」をクリックします。このページには、各ロール・カテゴリのロール数が表形式およびグラフ形式の両方で表示されます。

4. ロール関連の詳細を表示するには、対象のロール・カテゴリの「ロール数」の下の件数をクリックします。

5. 「ロールの表示」をクリックすると、ロール固有の情報がロール・ダッシュボードに表示されます。

LDAP要求情報レポートこのトピックでは、LDAP要求ダッシュボードおよびLDAP要求情報レポートについて説明します。これらのレポートを使用して、LDAP要求のステータスに関する情報を抽出します。レポートを実行するには、「ITセキュリティ・マネージャ」ジョブ・ロールが必要です。

レポートを実行するには、次の手順を実行します。

1. 「レポートおよび分析」作業領域を開きます。2. 「コンテンツ」ペインで、「共有フォルダ」→「人材管理」→「ワークフォース管理」→「人事管理ダッシュボード」を選択します。

両方のレポートが「人事管理ダッシュボード」フォルダに表示されます。

LDAP要求情報レポートの実行LDAP要求ダッシュボード・レポートを使用して、指定したカテゴリで要求の要約を表示します。次のステップを実行します。

1. 「人事管理ダッシュボード」フォルダで、「LDAP要求ダッシュボード」→「詳細」をクリックします。Oracle Business Intelligenceの「カタログ」ページが開きます。

2. Business Intelligenceの「カタログ」ページで「LDAP要求ダッシュボード」エントリを見つけ、「オープン」をクリックして、レポートを開きます。

3. 「LDAP要求ダッシュボード」ページで、次の表のパラメータを入力して、レポートをフィルタし、「適用」をクリックします。

パラメータ 説明

過去N日以内

日数を入力します。レポートには、指定した期間内に更新されたLDAP要求が含まれます。

要求タ LDAP要求タイプを選択します。値は、「作成」、「更新」、「一時停止」、「アクティブ化」、

155

イプ 「ユーザー・ロール」、「退職」、「すべて」のいずれかです。

要求ステータス

LDAP要求ステータスを選択します。値は、「完了」、フォルト、「進行中」、「要求」、一部完了、「抑制済」、「否認済」、「連結済」、「すべて」のいずれかです。

レポートの出力には、次の情報が含まれます。

ユーザー・アカウント作成および保守のための企業設定の要約。表形式およびグラフィカル形式で表示されたステータスおよびタイプ別のLDAP要求数。各要求タイプについて、ステータス、同等のユーザーのステータス、エラー・コードおよび説明、要求数が表示された要約表。すべての値は、指定した期間のものです。

要求が処理されると、レポートをリフレッシュして更新することができます。

LDAP要求情報レポートを実行して、Oracle HCM CloudのLDAP要求表にあるLDAP要求の詳細をレビューすることができます。次のステップを実行します。

1. 「人事管理ダッシュボード」フォルダで、「LDAP要求情報」→「詳細」をクリックします。OracleBusiness Intelligenceの「カタログ」ページが開きます。

2. Business Intelligenceの「カタログ」ページで「LDAP要求情報」エントリを見つけ、「オープン」をクリックして、レポートを開きます。

3. 「LDAP要求情報」ページで、次の表のパラメータを入力して、レポートをフィルタし、「適用」をクリックします。

パラメータ 説明

過去N日以内

日数を入力します。レポートには、指定した期間内に更新されたLDAP要求が含まれます。

要求タイプ

LDAP要求タイプを選択します。値は、「作成」、「更新」、「一時停止」、「アクティブ化」、「ユーザー・ロール」、「退職」、「すべて」のいずれかです。

要求ステータス

LDAP要求ステータスを選択します。値は、「完了」、フォルト、「進行中」、「要求」、一部完了、「抑制済」、「否認済」、「連結済」、「すべて」のいずれかです。

レポートには、各要求について次の情報が表示された表が含まれます。

要求日およびタイプ。要求がアクティブかどうか。要求ステータスおよび同等のユーザーのステータス。必要に応じて、エラー・コードおよび説明。要求されたユーザー名(存在する場合)。要求が関連している個人。要求の作成日および最終更新日。

いずれかのレポートをスプレッドシートに保存するには、「処理」→「エクスポート」→「Excel」の順に選択し

156

ます。

非アクティブ・ユーザー・レポート「非アクティブ・ユーザー・レポート」プロセスを実行して、指定された期間にサインインしていないユーザーを識別します。

レポートを実行するには、次の手順を実行します。

1. 「スケジュール済プロセス」作業領域で、「新規プロセスのスケジュール」をクリックします。2. 「ユーザー・ログイン履歴のインポート」プロセスを検索して選択します。

注意: 「非アクティブ・ユーザー・レポート」プロセスを実行するときは常に、最初に「ユーザー・ログイン履歴のインポート」プロセスを実行する必要があります。このプロセスでは、「非アクティブ・ユーザー・レポート」プロセスが非アクティブ・ユーザーを識別するために使用する情報がインポートされます。「ユーザー・ログイン履歴のインポート」を毎日実行するようにスケジュールすることをお薦めします。

3. 「ユーザー・ログイン履歴のインポート」プロセスが完了したら、「非アクティブ・ユーザー・レポート」プロセスを検索して選択します。

4. 「プロセス詳細」ダイアログ・ボックスで、1人以上のユーザーを識別するようにパラメータを設定します。

5. 「送信」をクリックします。

非アクティブ・ユーザー・レポートのパラメータ「最終アクティビティ以降の日数」以外のすべてのパラメータはオプションです。

ユーザー名の開始文字

1つ以上の文字を入力します。

名の開始文字

1つ以上の文字を入力します。

姓の開始文字

1つ以上の文字を入力します。

部門

ユーザーのプライマリ・アサイメントの部門を入力します。

事業所

157

ユーザーのプライマリ・アサイメントの事業所を入力します。

最終アクティビティ以降の日数

ユーザーが最後にサインインしてから経過した日数を入力します。このパラメータを使用して、企業内の非アクティブ・ユーザーという用語の意味を指定します。他のパラメータを使用して、結果をフィルタします。

この値は必須であり、デフォルトでは30です。この値により、過去30日間またはそれ以上長い間サインインしなかったユーザーが識別されます。

最終アクティビティ開始日

最終アクティビティが収まるべき期間の開始日を指定します。

最終アクティビティ終了日

最終アクティビティが収まるべき期間の終了日を指定します。

レポートの表示このプロセスでは、Inactive_Users_List_processID.xmlファイルとDiagnostics_processID.zipファイルが生成されます。

レポートには、レポートのパラメータを満たす各ユーザーの次の詳細が含まれます。

ユーザーが最後にアクティブだった日から経過した日数。最終アクティビティの日付ユーザー名名と姓アサイメント部門アサイメント事業所市区町村および国レポート・タイム・スタンプ

注意: ユーザーの最新アクティビティに関連するレポートの情報は、UIでユーザーが実行した処理にのみ基づくわけではありません。ユーザーの代理として実行され、ユーザー・セッションを作成する処理も、これらの値に影響します。たとえば、プロセスの実行、Webサービス要求の実行およびバッチ・プロセスの実行は、ユーザー・アクティビティとして解釈されます。

関連トピック

「ユーザー・ログイン履歴のインポート」プロセスのスケジュール

ユーザー・ロール・メンバーシップ・レポート

158

ユーザー・ロール・メンバーシップ・レポートには、指定したユーザーのロール・メンバーシップがリストされます。

レポート・プロセスを実行するには、次の手順を実行します。

1. 「スケジュール済プロセス」作業領域を開きます。2. 「ユーザー・ロール・メンバーシップ・レポート」プロセスを検索して選択します。

ユーザー・ロール・メンバーシップ・レポートのパラメータ次のパラメータの任意の組み合わせを指定して、ロール・メンバーシップがレポートに表示されるユーザーを識別することができます。

注意: すべてのユーザーに対してレポートを実行する場合、ユーザーとそのロールの数に応じて、レポートの実行完了に時間がかかる場合があります。

ユーザー名の開始文字

ユーザー名の1つ以上の文字を入力します。

名の開始文字

ユーザーの名の1つ以上の文字を入力します。

姓の開始文字

ユーザーの姓の1つ以上の文字を入力します。

部門

ユーザーのプライマリ・アサイメントの部門を入力します。

事業所

ユーザーのプライマリ・アサイメントの事業所を入力します。

レポートの表示このプロセスでは、UserRoleMemberships_processID_CSV.zipファイルとDiagnostics_processID.zipファイルが生成されます。UserRoleMemberships_processID_CSV.zipファイルには、CSV形式のレポート出力が含まれます。レポートには、指定したパラメータの後に、指定対象の各ユーザーのユーザー詳細が表示されます。ユーザー詳細には、ユーザ名、名と姓、ユーザー・ステータス、部門、事業所、ロール・メンバーシップが含まれます。

ユーザーおよびロールのアクセス監査レポート

159

ユーザーおよびロールのアクセス監査レポートは、指定したユーザーまたはロールに付与された機能およびデータ・セキュリティ権限の詳細を提供します。この情報は、セキュリティ・コンソールに表示されるユーザーまたはロールの情報と同じです。このレポートは、アプリケーション・セキュリティ表のデータに基づいています。これらのデータは、「ユーザーおよびロールのインポートのアプリケーション・セキュリティ・データ」プロセスを実行することにより、移入されます。

ユーザーおよびロールのアクセス監査レポートを実行するには、次の手順を実行します。

1. 「スケジュール済プロセス」作業領域で、「新規プロセスのスケジュール」をクリックします。2. 「ユーザーおよびロールのアクセス監査レポート」プロセスを検索して選択します。3. 「プロセス詳細」ダイアログ・ボックスで、パラメータを設定し、「送信」をクリックします。4. 「OK」をクリックして確認メッセージを閉じます。

ユーザーおよびロールのアクセス監査レポートのパラメータ対象就業者タイプ

このパラメータを次の値のいずれかに設定し、1人のユーザー、1つのロール、複数のユーザーまたはすべてのロールに対してレポートを実行します。

すべてのロール複数ユーザーロール名ユーザー名

ユーザー名

単一のユーザーのユーザー名を検索して選択します。

このフィールドは、「対象就業者タイプ」が「ユーザー名」に設定されている場合にのみ使用可能になります。

ロール名

単一の集計権限、データ・ロール、ジョブ・ロール、抽象ロールまたは職務ロールの名前を検索して選択します。

このフィールドは、「対象就業者タイプ」が「ロール名」に設定されている場合にのみ使用可能になります。

次で始まるユーザー名: 自

ユーザー名の範囲にある最初のユーザー名の先頭からの1つ以上の文字を入力します。

このフィールドは、「対象就業者タイプ」が「複数ユーザー」に設定されている場合にのみ使用可能になります。このフィールドに入力すると、すべてのユーザーのサブセットに対してレポートを実行できます。

次で始まるユーザー名: 至

ユーザー名の範囲にある最後のユーザー名の先頭からの1つ以上の文字を入力します。

このフィールドは、「対象就業者タイプ」が「複数ユーザー」に設定されている場合にのみ使用可能になります。

160

このフィールドに入力すると、すべてのユーザーのサブセットに対してレポートを実行できます。

次で始まるユーザー・ロール名

ロール名の先頭からの1つ以上の文字を入力します。

このフィールドは、「対象就業者タイプ」が「複数ユーザー」に設定されている場合にのみ使用可能になります。このフィールドに入力すると、すべてのユーザーおよびロールのサブセットに対してレポートを実行できます。

データ・セキュリティ・ポリシー

「データ・セキュリティ・ポリシー」を選択して、任意の対象者のデータ・セキュリティ・レポートを表示します。このオプションを選択解除のままにすると、機能セキュリティ・レポートのみが生成されます。

注意: データ・セキュリティ・レポートを必要としない場合は、レポート処理時間を短縮するために、このオプションの選択を解除したままにします。

デバッグ

レポートにロールGUIDを含めるには、「デバッグ」を選択します。ロールGUIDは、トラブルシューティングのために使用します。Oracle Supportから求められた場合にのみこのオプションを選択します。

レポート結果の表示レポートでは、選択したパラメータに応じて、1つまたは2つの.zipファイルが生成されます。「データ・セキュリティ・ポリシー」を選択すると、データ・セキュリティ・ポリシー用と機能セキュリティ・ポリシー用の階層形式の2つの.zipファイルが生成されます。

ファイル名の形式は、[FILE_PREFIX]_[PROCESS_ID]_[DATE]_[TIME]_[FILE_SUFFIX]です。ファイル・プリフィクスは、指定した「対象就業者タイプ」値によって異なります。

次の表は、各レポート・タイプのファイル・プリフィクス値を示しています。

レポート・タイプ ファイル・プリフィクス

ユーザー名 USER_NAME

ロール名 ROLE_NAME

複数ユーザー MULTIPLE_USERS

すべてのロール ALL_ROLES

次の表は、各レポート・タイプのファイル・サフィクス、ファイル形式、ファイル・コンテンツを示しています。

レポート・タイプ

ファイル・サフィクス

ファイル形式 ファイル・コンテンツ

任意 DataSec CSV データ・セキュリティ・ポリシー。.zipファイルには、すべてのユーザーまたは

161

ロール用のファイルが1つ含まれています。データ・セキュリティ・ポリシー・ファイルは、「データ・セキュリティ・ポリシー」を選択した場合にのみ生成されます。

注意: このレポートの生成には時間がかかるため、必要な場合にのみデータ・セキュリティ・ポリシーを抽出します。

任意 階層 CSV 階層形式の機能セキュリティ・ポリシー。.zipファイルには、各ユーザーまたはロール用のファイルが1つ含まれています。

複数ユーザー

すべてのロール

CSV CSV カンマ区切りの表形式の機能セキュリティ・ポリシー。

このプロセスでは、診断ログが含まれた.zipファイルも生成されます。

たとえば、2015年12月17日午後1時30分にプロセスID 201547で、「データ・セキュリティ・ポリシー」オプションを選択してジョブ・ロールに関するレポートを実行した場合、次のレポート・ファイルが生成されます。

ROLE_NAME_201547_12-17-2015_13-30-00_DataSec.zip

ROLE_NAME_201547_12-17-2015_13-30-00_Hierarchical.zip

Diagnostic.zip

ユーザー・パスワード変更監査レポートこのレポートでは、指定した期間にパスワードが変更されたユーザーが識別されます。このレポートを実行するには、ASE_USER_PASSWORD_CHANGES_AUDIT_REPORT_PRIV機能セキュリティ権限が必要です。事前定義されたITセキュリティ・マネージャ・ジョブ・ロールには、デフォルトでこの権限があります。

ユーザー・パスワード変更監査レポートを実行するには、次の手順を実行します。

1. 「スケジュール済プロセス」作業領域を開きます。2. 「新規プロセスのスケジュール」をクリックします。3. 「ユーザー・パスワード変更監査レポート」プロセスを検索して選択します。4. 「プロセス詳細」ダイアログ・ボックスで、パラメータを設定し、「送信」をクリックします。5. 「OK」をクリックして確認メッセージを閉じます。

ユーザー・パスワード変更監査レポートのパラメータ検索タイプ

レポートを実行する対象として、すべてのユーザー、単一のユーザー、指定ユーザまたは指定した名前パターンによって識別されるユーザー・サブセットを指定します。

162

ユーザー名

レポートを実行する対象のユーザーを検索して選択します。このフィールドは、「検索タイプ」が「単一ユーザー」に設定されている場合にのみ使用可能になります。

ユーザー名パターン

レポートを実行する対象のユーザー名に使用されている1つ以上の文字を入力します。たとえば、SAL%と入力すると、ユーザー名が文字SALで始まるすべてのユーザーに対してレポートできます。このフィールドは、「検索タイプ」が「ユーザー名」パターンに設定されている場合にのみ使用可能になります。

開始日

パスワードの変更が発生した期間の開始日を選択します。この日付よりも前に加えられた変更は、レポートに表示されません。

日付: 至

パスワードの変更が発生した期間の終了日を選択します。この日付よりも後に加えられた変更は、レポートに表示されません。

ソート・キー

レポートの出力がソートされる方法を指定します。レポートは、ユーザー名別か、パスワードが変更された日付別に編成できます。

レポート結果の表示レポートでは、次のファイルが生成されます。

UserPasswordUpdateReport.csv

UserPasswordUpdateReport.xml

Diagnostics_[process ID].log

指定した期間にパスワードが変更された各ユーザーについて、次の内容がレポートに含まれます。

ユーザー名。ユーザーの名と姓パスワードを変更した個人のユーザー名パスワードが変更された方法

ADMINは、たとえば、ライン・マネージャまたはITセキュリティ・マネージャによって、ユーザーに対して変更が加えられたことを意味します。SELF_SERVICEは、たとえば、プリファレンスを設定するか、パスワード・リセットを要求することにより、ユーザーが変更を加えたことを意味します。FORGOT_PASSWORDは、ユーザーがサインインするときに、「パスワードを忘れた場合」リンクをクリックしたことを意味します。

変更が加えられた日時

163

ロックされたユーザーの表示およびロック解除誤ったパスワードを複数回入力したり、一定の期間アプリケーションにアクセスしなかった場合、ユーザーはアプリケーション内でロックされます。ロックされたユーザーのレポートには、これら両方のシナリオでロックされたユーザーのリストが表示されます。

「ロックされたユーザー」スケジュール済プロセスを使用して、ロックされたユーザーのリストを取得できます。その後、セキュリティ・コンソールを使用してユーザーを手動でロック解除できます。ロックされたユーザーのレポートは、ITセキュリティ・マネージャ・ジョブ・ロールを持つ管理ユーザーのみが実行できます。

ロックされたユーザーの表示1. 「スケジュール済プロセス」作業領域で、「新規プロセスのスケジュール」をクリックします。2. 「ロックされたユーザー」プロセスを検索して選択し、「OK」をクリックします。3. 「プロセス詳細」ダイアログ・ボックスで「送信」をクリックします。4. 確認メッセージのダイアログ・ボックスで「OK」をクリックします。5. 選択した「ロックされたユーザー」レポートの「成功」をクリックします。6. ログおよび出力セクションで、「添付」をクリックしてレポート・スプレッドシートをダウンロードします。スプレッドシートには、ロックされたユーザーのリストが表示されます。

「ロックされたユーザー」スプレッドシートには、次の2つのタブがあります。

LOCKED_USERS_<RequestID> -このタブには、ロック済ステータスのためアプリケーションにサインインできないロック済アクティブ・ユーザーのリストが含まれています。LOCKED_AND_INACTIVE_USERS_<RequestID> -このタブには、ロック済および非アクティブ・ステータスのためにアプリケーションにサインインできないロック済および非アクティブ・ユーザーのリストが含まれています。

ユーザーのロック解除1. セキュリティ・コンソールで、「ユーザー」をクリックします。2. 「検索」ドロップダウン・リストから「ロックされたユーザー」を選択して、検索アイコンをクリックします。ロックされているユーザーがすべて表示されます。

3. ユーザーの表示名をクリックすると、詳細が表示されます。4. 「編集」をクリックします。5. 「アカウント情報」セクションで、「ロック済」の選択を解除します。6. 「保存してクローズ」をクリックします。7. 「完了」をクリックします。ユーザーはロック解除され、アプリケーションにサインインできるようになります。

164

アプリケーション・ユーザーとロールに関するレポートのFAQ

すべてのOracle Fusion Applicationsユーザーの詳細を抽出できますか。はい。Oracle BI Publisherのユーザー詳細システム抽出レポートには、ユーザー・アカウントの詳細が含まれます。たとえば、すべてのユーザー・アカウント、非アクティブなユーザ・アカウントまたは指定した日付の範囲内で作成されたアカウントを表示するレポートを作成できます。

レポートを実行するには、「人材管理アプリケーション管理者」ジョブ・ロールの個人レコードへのすべて表示アクセス権を提供するデータ・ロールが必要です。

ユーザーが持っているロールを見つける方法を教えてください。セキュリティ・コンソールの「ロール」タブでユーザーを検索して選択します。ビジュアライゼーション領域で、ユーザーのロール階層を表形式またはグラフィカル形式で表示できます。

または、1人以上のユーザーに対してユーザー・ロール・メンバーシップ・レポートを実行できます。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

165

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

16 HCMデータ・ロールとセキュリティ・プロファイルこの章の内容は次のとおりです。

HCMデータ・ロールHCMセキュリティ・プロファイル事前定義済のHCMセキュリティ・プロファイルHCMデータ・ロールの作成HCMデータ・ロールとセキュリティ・プロファイルのベスト・プラクティスロール委任

166

ロールの委任を有効にする方法ジョブ・ロールと抽象ロールへのセキュリティ・プロファイルの割当HCMデータ・セキュリティをプレビューする方法監査のHCMデータ・ロールとセキュリティ・プロファイルの構成HCMデータ・ロール構成診断テストHCMセキュリティ・プロファイル構成診断テストHCM保護オブジェクト・メタデータ診断テストHCMデータ・ロールとセキュリティ・プロファイルに関するFAQ

HCMデータ・ロールHCMデータ・ロールには、ジョブ・ロールと、該当のロールを持つユーザーがアクセスする必要のあるデータが結合されています。セキュリティ・プロファイルのデータを識別します。データ・ロールは企業に固有のものであるため、事前定義済HCMデータ・ロールは存在しません。

HCMデータ・ロールを作成するには、「設定および保守」作業領域の「ロールへのセキュリティ・プロファイルの割当」タスクを実行します。実装後に、「ワークフォース・ストラクチャ」作業領域でこのタスクを実行することもできます。「ロールへのセキュリティ・プロファイルの割当」タスクにより、「データ・ロールおよびセキュリティ・プロファイルの管理」ページを開きます。ユーザーがこのタスクを実行するには、「ITセキュリティ・マネージャ」ジョブ・ロールが必要です。

ジョブ・ロールの選択HCMデータ・ロールを作成する際には、ジョブ・ロールを含めます。ジョブ・ロールがアクセスする保護されたHCMオブジェクト・タイプは自動的に識別され、適切なセキュリティ・プロファイルのセクションが表示されます。

たとえば、「人事管理アナリスト」ジョブ・ロールを選択した場合、管理対象の個人、公開個人、組織、ポジション、LDG、文書タイプおよび給与フローのセクションが表示されます。HCMデータ・ロールでこれらのオブジェクト・タイプのセキュリティ・プロファイルを選択または作成します。

セキュリティ・プロファイルによって保護されたオブジェクトにアクセスしないジョブ・ロールを選択した場合、HCMデータ・ロールを作成できません。

注意: ジョブ・ロールにはセキュリティ・プロファイルが直接割り当てられないようにする必要があります。「データ・ロールおよびセキュリティ・プロファイルの管理」ページでジョブ・ロールを検索します。検索結果で、「割当済セキュリティ・プロファイル」列にチェック・マークが表示されていないことを確認します。ジョブ・ロールにセキュリティ・プロファイルが割り当てられている場合は、HCMデータ・ロールにジョブ・ロールを含める前にそれらを取り消す必要があります。HCMデータ・ロールを作成した後で、セキュリティ・プロファイルをジョブ・ロールに再割当できます。

セキュリティ・プロファイル

167

HCMデータ・ロールには、オブジェクト・タイプごとに、1つのセキュリティ・プロファイルのみを含めることができます。

HCMデータ・ロールのコンポーネント次の図は、HCMデータ・ロールのコンポーネントをまとめたものです。

HCMデータ・ロールで選択したジョブ・ロールには、多くの機能セキュリティ権限とデータ・セキュリティ・ポリシーが直接付与されています。また、多くの集計権限も継承し、いくつかの職務ロールも継承できます。各集計権限または職務ロールには、自身の機能セキュリティ権限と関連するデータ・セキュリティ・ポリシーがあります。関連するHCMオブジェクト・タイプは、ジョブ・ロールが直接的または間接的に付与されるデータ・セキュリティ・ポリシーから自動的に識別されます。このHCMデータ・ロールで必要とされるオブジェクトの固有のインスタンスは、セキュリティ・プロファイルで識別され、データ・インスタンス・セットに格納されます。この図は、HCMデータ・ロールのコンポーネントを示しています。

たとえば、人事担当者というジョブ・ロールは、他の多くの中で、「雇用関係の管理」および「就業者の昇格・昇進」集計権限を継承します。集計権限は、「雇用関係の管理」や「就業者の昇格・昇進」などの機能セキュリティ権限と、アサイメントなどのオブジェクトへのアクセスの両方を提供します。セキュリティ・プロファイルは、指定された雇用主でアサイメントを持つ個人など、HCMデータ・ロールのオブジェクトの固有のインスタンスを識別します。

HCMセキュリティ・プロファイルセキュリティ・プロファイルは、人材管理(HCM)オブジェクトのインスタンスを識別します。たとえば、個人セ

168

キュリティ・プロファイルは1つ以上の個人オブジェクトを識別し、給与セキュリティ・プロファイルは1つ以上の給与オブジェクトを識別します。このトピックでは、セキュリティ・プロファイルを作成および使用する方法について説明し、セキュリティ・プロファイルを必要とするHCMオブジェクトを示します。セキュリティ・プロファイルを管理するには、「ITセキュリティ・マネージャ」ジョブ・ロールが必要です。

HCMセキュリティ・プロファイルの使用セキュリティ・プロファイルをHCMデータ・ロールに含めて、そのロールを持つユーザーがアクセスできるデータを識別します。従業員などの抽象ロールにセキュリティ・プロファイルを直接割り当てることもできます。ただし、同じジョブ・ロールを持つユーザーは、通常、異なるデータ・セットにアクセスするため、ジョブ・ロールに直接割り当てることはまずありません。ジョブ・ロールにセキュリティ・プロファイルを直接割り当てないことをお薦めします。

HCMオブジェクト・タイプ次のHCMオブジェクト・タイプについて、セキュリティ・プロファイルを作成できます。

国文書タイプジョブ求人国別仕様データ・グループ(LDG)

組織給与給与フロー個人

管理対象の個人公開個人

ポジショントランザクション

多くのユーザーは2つの個別の個人セットにアクセスするため、個人セキュリティ・プロファイルには2つの用途があります。

管理対象の個人セキュリティ・プロファイルは、処理を実行できる個人を識別します。「公開個人」セキュリティ・プロファイルは、就業者ディレクトリで検索できる個人を識別します。このタイプのセキュリティ・プロファイルは、一部の値リストも保護します。たとえば、「マネージャの変更」および「採用」ページには、公開個人セキュリティ・プロファイルが保護する値の個人リストが含まれています。就業者のマネージャを選択している個人は、管理対象の個人セキュリティ・プロファイルを介したそのマネージャへの表示アクセス権を持っていない可能性があります。

事前定義済のセキュリティ・プロファイルによって、セキュア・オブジェクトに対するすべて表示アクセス権が提供されます。たとえば、すべてのポジションの表示セキュリティ・プロファイルでは、企業内のすべてのポジションにアクセスできます。

HCMセキュリティ・プロファイルのセキュリティ基準

169

セキュリティ・プロファイルで、関連するタイプのデータ・インスタンスを識別する基準を指定します。たとえば、組織セキュリティ・プロファイルでは、組織の階層別、分類別または名前別に組織を識別できます。セキュリティ・プロファイル内のすべての基準が適用されます。たとえば、組織の階層と分類の両方で組織を識別する場合、両方の基準を満たす組織のみがデータ・インスタンス・セットに属します。

先日付のオブジェクトへのアクセスデフォルトでは、ユーザーは、先日付の組織、ポジションまたは個人のオブジェクトにアクセスできません。

次のように、先日付のオブジェクトへのアクセスを有効にします。

組織の場合、組織セキュリティ・プロファイルの「先日付の組織を含む」オプションを選択しますポジションの場合、ポジション・セキュリティ・プロファイルの「先日付のポジションを含む」オプションを選択します個人レコードの場合、個人セキュリティ・プロファイルの「先日付の個人を含む」オプションを選択します

ヒント: 事前定義済のすべての就業者の表示セキュリティ・プロファイルでは、先日付の個人レコードへのアクセスは提供されません。事前定義済のすべての個人の表示セキュリティ・プロファイルでは、連絡先の個人レコードなどを含む、すべての個人レコードにアクセスできるため、先日付のレコードにアクセスできます。

セキュリティ・プロファイルの作成セキュリティ・プロファイルは、個別に作成することも、HCMデータ・ロールの作成時に作成することもできます。標準的な要件では、セキュリティ・プロファイルを個別に作成し、適切なHCMデータ・ロールに含める方が効率的です。

セキュリティ・プロファイルを個別に作成するには、関連するセキュリティ・プロファイル・タスクを使用します。たとえば、ポジション・セキュリティ・プロファイルを作成するには、「設定および保守」作業領域または「ワークフォース・ストラクチャ」作業領域で、「ポジション・セキュリティ・プロファイルの管理」タスクを使用します。

セキュリティ・プロファイルの再利用作成方法に関係なく、すべてのセキュリティ・プロファイルは再利用可能です。

セキュリティ・プロファイルを他のセキュリティ・プロファイルに含めることができます。たとえば、組織セキュリティ・プロファイルをポジション・セキュリティ・プロファイルに含めて、部門またはビジネス・ユニット別のポジションを保護できます。セキュリティ・プロファイルは、別のセキュリティ・プロファイルによって定義されたデータ・インスタンス・セットを継承します。

事前定義済のHCMセキュリティ・プロファイルOracle Human Capital Management Cloudのセキュリティ・リファレンス実装には、次の表に示す事前定義済HCMセキュリティ・プロファイルが含まれています。

170

セキュリティ・プロファイル名

セキュリティ・プロファイル・タイプ データ・インスタンス・セット

すべての国の表示 国 FND_TERRITORIES表内のすべての国

すべてのドキュメント・タイプを表示

文書タイプ 企業内のすべての管理者定義文書タイプ

すべてのフローの表示 給与フロー 企業内のすべての給与フロー

すべてのジョブ求人の表示 ジョブ求人 企業内のすべてのジョブ求人

すべての国別仕様データ・グループを表示

LDG 企業内のすべてのLDG

すべての組織の表示 組織 企業内のすべての組織

すべての給与の表示 給与 企業内のすべての給与

すべての個人の表示 個人 企業内のすべての個人レコード

すべてのポジションの表示 ポジション 企業内のすべてのポジション

すべてのHCMトランザクションの表示

トランザクション トランザクション・コンソールのすべてのHCMトランザクション

すべてのトランザクションの表示

トランザクション トランザクション・コンソールのすべてのトランザクション

すべての就業者の表示 個人 企業内で現在アクティブまたは休止しているアサイメントを持つすべての個人の個人レコード

マネージャ階層の表示 個人 サインインしたユーザーのライン・マネージャ階層

自身のレコードの表示 個人 サインインしたユーザー自身の個人レコードと、そのユーザーの連絡先の個人レコード

事前定義済セキュリティ・プロファイルは任意のHCMデータ・ロールに含めることができますが、それらを編集することはできません。作成するセキュリティ・プロファイルでは、「すべて表示」オプションは無効化されます。この制限が存在するのは、事前定義済セキュリティ・プロファイルがこの要件を満たすためです。

HCMデータ・ロールの作成この例では、Vision Corporationのすべての人事(HR)担当者に割り当てることができるHCMデータ・ロールを作成します。データ・ロールによって、HR担当者が自身の職責範囲に基づいて個人レコードにアクセスできるようにします。たとえば、あるHR担当者をVision Canadaの雇用主の人事担当者にすることができます。このデータ・ロールを使用することでHR担当者は、Vision Canadaの就業者の個人レコードにアクセスできます。

開始する前に事前に次の2つの作業を実施する必要があります。

171

1. 各HR担当者の職責範囲を定義します。「人事担当者」の職責タイプを選択し、スコープを関連する雇用主(例: Vision Canada)に設定します。

2. セキュリティ・プロファイルが「人事担当者」ジョブ・ロールに直接割り当てられていないことを確認します。割り当てられている場合は、削除します。そうしないと、HR担当者が個人レコードに想定どおりにアクセスできなくなる可能性があります。

HCMデータ・ロールの作成このデータ・ロールの主な値の入力方法を見てみましょう。その他のフィールドには、デフォルト値を使用できます。

1. 「ナビゲータ」→「自分のクライアント・グループ」→「ワークフォース・ストラクチャ」を選択します。

2. 「ワークフォース・ストラクチャ」作業領域の「タスク」パネル・タブで、「データ・ロールとセキュリティ・プロファイルの管理」を選択します。

3. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページの「検索結果」セクションで、「作成」をクリックします。

4. データ・ロールの作成: ロールの選択ページで、次の値を入力します。

フィールド 値

データ・ロール 雇用主のHR担当者

ジョブ・ロール 人事担当者

5. 「次」をクリックして、データ・ロールの作成: セキュリティ基準ページを開きます。

各保護オブジェクトのセキュリティ基準の指定1. 「個人」セクションで、次の値を入力します。

フィールド 値

個人セキュリティ・プロファイル 新規作成

名前 雇用主別就業者

2. 「職責範囲別保護」を選択します。3. その他すべてのセキュリティ・プロファイルについて、提供された「すべて表示」プロファイルを選択します。たとえば、「公開個人」セクションですべての個人の表示を選択し、「ポジション」セクションですべてのポジションの表示を選択します。

4. 「ロールへのセキュリティ・プロファイルの割当: 個人セキュリティ・プロファイル」ページが表示されるまで「次」をクリックします。

個人セキュリティ・プロファイルの作成1. 「職責範囲」セクションで、「職責範囲別保護」を選択します(まだ選択されていない場合)。2. 次の値を入力します。

172

フィールド 値

職責タイプ 人事担当者

職責のスコープ 雇用主

3. 「レビュー」をクリックして、データ・ロールの作成: レビュー・ページを開きます。

HCMデータ・ロールのレビューおよび送信1. HCMデータ・ロールをレビューします。2. 「送信」をクリックします。3. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページで新規HCMデータ・ロールを検索して、正常に作成されたことを確認できます。ロールのステータスが「完了」の場合、ロールをHR担当者に割り当てることができます。

HCMデータ・ロールとセキュリティ・プロファイルのベスト・プラクティスHCMデータ・ロールとセキュリティ・プロファイルの使用を計画することで、保守が最小限に抑えられ、企業での導入が容易になります。このトピックでは、いくつかのアプローチを提案します。

データ・ロールとセキュリティ・プロファイルの数の最小化可能なかぎり、ユーザーの職責範囲に基づいて個人レコードへのアクセスを保護します。このアプローチを使用すると、次のことが可能です。

管理する必要のあるHCMデータ・ロールとセキュリティ・プロファイルの数を大幅に減らす。多数のHCMデータ・ロールで発生する可能性のあるパフォーマンスの問題を回避する。

標準的な要件の識別ほとんどの企業には、データ・アクセスのための標準的な要件がいくつかあります。たとえば、複数のHCMデータ・ロールは、単一の国のすべての組織へのアクセスが必要になる場合があります。このアクセスを提供する組織セキュリティ・プロファイルを作成した場合、それを複数のHCMデータ・ロールに含めることができます。このアプローチにより、HCMデータ・ロールとセキュリティ・プロファイルの管理が簡略化され、重複したセキュリティ・プロファイルも作成されなくなります。

HCMデータ・ロールとセキュリティ・プロファイルの命名HCMデータ・ロールとセキュリティ・プロファイルのネーミング・スキームを定義して使用することをお薦めします。

173

セキュリティ・プロファイル名は、結果のデータ・インスタンス・セットのスコープを識別できます。たとえば、ポジション・セキュリティ・プロファイル名営業部門のすべてのポジションによって、セキュリティ・プロファイルが営業部門のすべてのポジションを識別することが伝達されます。

HCMデータ・ロール名には、継承されたジョブ・ロールとデータ・スコープの両方の名前を含めることができます。たとえば、雇用主の人事担当者HCMデータ・ロールは、ジョブ・ロールとロール・スコープの両方を識別します。HCMデータ・ロール名は55文字未満にする必要があります。

各HCMデータ・ロールのデータ・アクセスのプランニングHCMデータ・ロールには、各タイプのセキュリティ・プロファイルを1つのみ含めることができます。たとえば、1つの組織セキュリティ・プロファイル、1つの管理対象の個人セキュリティ・プロファイル、および1つの公開個人セキュリティ・プロファイルを含めることができます。したがって、各セキュリティ・プロファイルが必要なすべてのデータ・インスタンスを確実に識別するように、HCMデータ・ロールの要件を計画する必要があります。たとえば、ユーザーが雇用主と部門の両方にアクセスする場合、組織セキュリティ・プロファイルは両方のタイプの組織を識別する必要があります。

オブジェクトのすべてのインスタンスへのアクセス権の提供HCMオブジェクトのすべてのインスタンスへのアクセスを提供するには、適切な事前定義済セキュリティ・プロファイルを使用します。たとえば、企業内のすべての個人レコードへのアクセスを提供するには、事前定義済セキュリティ・プロファイルすべての個人の表示を使用します。

HCMデータ・ロールとセキュリティ・プロファイルの変更の監査「アプリケーション実装コンサルタント」ジョブ・ロールを持つユーザーは、企業のHCMデータ・ロールとセキュリティ・プロファイルの変更の監査を有効化できます。

ロール委任ロール委任とは、委任者と呼ばれる1人のユーザーからプロキシと呼ばれる別のユーザーへのロールのアサイメントです。委任は、期間を指定することも(計画休暇欠勤の場合など)、無期限にすることもできます。

「ユーザー・アカウントの管理」ページの「他のユーザーに委任されたロールおよび承認」セクションで、ロールを委任できます。「ナビゲータ」→「自分」→「ロールおよび委任」を選択します。

委任によって有効化された処理プロキシ・ユーザーは、関連するデータに対して委任されたロールのタスクを実行できます。たとえば、ライン・マネージャは、自分のレポートの休暇欠勤レコードを管理できます。そのマネージャが「ライン・マネージャ」ロールを委任する場合、プロキシは委任者のレポートの休暇欠勤レコードも管理できます。委任者は、ロールが委任されている間はそのロールを失いません。

プロキシ・ユーザーは、自身のユーザー名を使用してサインインしますが、委任されたロールの追加の機能および

174

データ権限を持っています。

プロキシ・ユーザー公開個人セキュリティ・プロファイルによって詳細にアクセスできる任意のユーザーに、ロールを委任できます。このセキュリティ・プロファイルは、通常、就業者ディレクトリ内の個人詳細へのアクセスを制御します。

委任できるロールロールが委任に対して有効になっている場合、現在所有しているロールを委任できます。

注意: ロールは、アサイメント属性に基づいて自動的にプロビジョニングされる場合があります。関連するアサイメントに未来の退職日がある場合、ロールを委任できません。この制限は、アサイメントに未来の退職を指定できるプロキシ・ユーザーには適用されません。

ロールが委任に対して有効になっている場合は、プロビジョニングできる任意のロールを他のユーザーに委任することもできます。ロールをユーザーにプロビジョニングするのではなく委任することで、次のことが可能になります。

限定された委任期間を指定する。プロキシ・ユーザーがデータにアクセスできるようにする。

人事担当者のジョブ・ロールがあるユーザーは「ユーザー・アカウントの管理」ページを使用して、選択された別のユーザーにかわって委任できるロールを委任できます。プロキシ・ユーザーは、すべての委任とその委任者を自身のユーザー・アカウント・ページで参照できますが、他のユーザーが実行した委任は編集または削除できません。

ロールの複製プロキシ・ユーザーにすでにロールがある場合、ロールは再度プロビジョニングされません。ただし、プロキシ・ユーザーは、委任者のロールを使用してアクセス可能なデータにアクセスします。

たとえば、すでにロールを持つプロキシ・ユーザーに「ライン・マネージャ」ロールを委任できます。プロキシ・ユーザーは、ロールが委任されている間、ユーザーのデータ(ユーザーのマネージャ階層など)とプロキシ・ユーザー自身のデータの両方にアクセスできます。プロキシの「自分のアカウント」ページには、データ・アクセスのみが委任されていても、「自分に委任されたロール」セクションに委任されたロールが表示されます。

複数の委任者からの委任重複する期間にわたって、複数のユーザーが同じロールを同じプロキシに委任できます。プロキシ・ユーザーにすでにロールがある場合、ロールは再度プロビジョニングされません。ただし、プロキシは、委任されたロールに関連付けられたデータにアクセスできます。たとえば、3人のライン・マネージャが、次の期間、同じプロキシに「ライン・マネージャ」ロールを委任するとします。

マネージャ1、1月および2月マネージャ2、2月および3月マネージャ3、1月および4月

175

次の表は、プロキシがアクセスできるマネージャ階層を月別に示しています。

月 マネージャ1階層 マネージャ2階層 マネージャ3階層

1月 はい いいえ はい

2月 はい はい はい

3月 いいえ はい はい

4月 いいえ いいえ はい

たとえば、プロキシは、2月に3人のすべてのマネージャの階層にアクセスできます。プロキシがライン・マネージャである場合、プロキシは他のマネージャのマネージャ階層に加えて、自身のマネージャ階層にアクセスできます。

注意: 重複する期間にわたって、単一の委任者が同じロールを同じプロキシに複数回委任することはできません。

ロール委任日開始日と終了日の両方、または開始日のみを入力できます。

開始日が今日の日付の場合、委任は即時に行われます。開始日と終了日が同じ場合、委任は開始日に即時に行われます。委任を終了する要求は、同じ日に生成され、次に「待ち状態のLDAP要求の送信」プロセスが実行されたときに処理されます。開始日と終了日が異なり、将来の日付である場合、委任を開始および終了する要求が関連する日付に生成されます。要求は、関連する日付に「待ち状態のLDAP要求の送信」が実行されたときに処理されます。委任日を今日の日付に変更すると、開始日と終了日が異なる場合、変更は即時に行われます。開始日と終了日が同じである場合、委任を終了する要求が生成され、次に「待ち状態のLDAP要求の送信」が実行されたときに処理されます。終了日を入力しない場合、委任は無期限になります。

プロキシ・ユーザーのアサイメントが終了すると、ロール委任は自動的に終了します。

委任期間の制限事前定義済プロファイル・オプションを使用して、ロール委任期間の最大日数を指定できます。指定した場合は、ロール委任の終了日を必ず指定する必要があります。有効な終了日を設定せずにロール委任を保存しようとすると、エラー・メッセージが表示され、終了日として使用可能な最新の日付が通知されます。

プロファイル・オプションを設定するには、次のステップに従います。

1. 「設定および保守」作業領域で、「管理者プロファイル値の管理」タスクを使用します。2. 「管理者プロファイル値の管理」ページで、「プロファイル・オプション・コード」フィールドに「PER_USER_DELEGATION_MAX_DAYS」と入力し、「検索」をクリックします。

3. 検索結果の「プロファイル値」セクションで、委任期間の日数を「プロファイル値」フィールドに入力します。

176

4. 「保存してクローズ」をクリックします。

デフォルトのプロファイル値は0で、ロール委任の終了日を検証しないことを意味します。

ロールの委任を有効にする方法デフォルトでは、事前定義済のHCMジョブ・ロールまたは抽象ロールに対して委任が有効になっていません。「従業員」および「派遣就業者」抽象ロールを除き、事前定義済HCMロールの委任設定を変更できます。また、HCMデータ・ロール、カスタム・ジョブ・ロールおよびカスタム抽象ロールの委任を有効にすることもできます。

このトピックでは、ロール委任の管理方法について説明します。次のものを使用できます。

「設定および保守」作業領域の「ロールへのセキュリティ・プロファイルの割当」タスク「ワークフォース・ストラクチャ」作業領域の「データ・ロールおよびセキュリティ・プロファイルの管理」タスク

ロール委任を管理するには、「ITセキュリティ・マネージャ」ジョブ・ロールが必要です。

HCMデータ・ロールの委任HCMデータ・ロールを作成する際に、「データ・ロールの作成: ロールの選択」ページで委任が許可されているかどうかを示すことができます。

HCMデータ・ロールを編集する際に、「データ・ロールの編集: ロール詳細」ページで委任設定を変更できます。「委任許可」オプションの選択を解除しても、現在委任されているロールは影響を受けません。

個人レコードへのアクセスがカスタム基準を使用して管理されるHCMデータ・ロールを委任できます。ただし、個人セキュリティ・プロファイルの「カスタム基準」セクションのSQL述語は、委任ロジックを処理する必要があります。

カスタム・ジョブ・ロールおよび抽象ロールの委任抽象ロールを作成する場合、抽象ロールにセキュリティ・プロファイルを直接割り当てる際に委任に対して抽象ロールを有効化できます。抽象ロールにセキュリティ・プロファイルを割り当てるには、「ロールへのセキュリティ・プロファイルの割当」タスクを実行します。「データ・ロールの編集: ロール詳細」ページで、「委任許可」を選択します。ロールを送信するとすぐに、委任が有効になります。

注意: 自身のレコードへのアクセスを委任することはできません。たとえば、事前定義済の自身のレコードの表示セキュリティ・プロファイルをカスタム・ロールに割り当てることができます。または、自身のレコードへのアクセスを有効にする個人セキュリティ・プロファイルを作成し、それをカスタム・ロールに割り当てることができます。どちらの場合でも、委任に対してロールを有効化できます。ロール自体は委任できますが、レコードへのアクセスは委任されません。ただし、委任されたロールは、他のデータ・インスタンスへのアクセスを提供できます。

同様に、委任に対してカスタム・ジョブ・ロールを有効化できますが、カスタム・ジョブ・ロールにセキュリ

177

ティ・プロファイルを直接割り当てることはまずありません。通常、ジョブ・ロールは、委任に対して有効化できるHCMデータ・ロールによって継承されます。

ジョブ・ロールと抽象ロールへのセキュリティ・プロファイルの割当ユーザーにデータへのアクセス権を付与するには、通常、ジョブ・ロールを継承するHCMデータ・ロールを作成します。ただし、ジョブ・ロールおよび抽象ロールにセキュリティ・プロファイルを直接割り当てることもできます。すべての従業員が必要とするデータ・アクセスを提供するために、最もよく行うのは、「従業員」などの抽象ロールにセキュリティ・プロファイルを割り当てることです。たとえば、すべての従業員が就業者ディレクトリにアクセスできる必要があります。通常、同じジョブ・ロールを持つユーザーは異なるデータ・インスタンスにアクセスするため、ジョブ・ロールにセキュリティ・プロファイルを割り当てる方法はあまり使用しません。

このトピックでは、次を行う方法について説明します。

ジョブ・ロールまたは抽象ロールにセキュリティ・プロファイルを直接割り当てる。ジョブ・ロールまたは抽象ロールからセキュリティ・プロファイルを削除する。

ロールへのセキュリティ・プロファイルの割当セキュリティ・プロファイルは、事前定義済およびカスタムのジョブ・ロールと抽象ロールの両方に割り当てることができます。ロールにセキュリティ・プロファイルを割り当てるには、次のステップを実行します。

1. 「設定および保守」作業領域で、次の項目に移動します。機能領域: ユーザーおよびセキュリティタスク: ロールへのセキュリティ・プロファイルの割当

2. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページで、ジョブ・ロールまたは抽象ロールを検索します。

3. 検索結果でそのロールを選択し、「編集」をクリックします。4. 「データ・ロールの編集: ロール詳細」ページで、「次」をクリックします。5. 「データ・ロールの編集: セキュリティ基準」ページで、ロールに割り当てるセキュリティ・プロファイルを選択します。

6. 「レビュー」をクリックします。7. 「データ・ロールの編集: レビュー」ページで、「送信」をクリックします。

「データ・ロールおよびセキュリティ・プロファイルの管理」ページで、ロールを再度検索します。検索結果で、「割当済」アイコン(チェック・マーク)が「割当済セキュリティ・プロファイル」列に表示されていることを確認します。「割当済」アイコンで、そのロールにセキュリティ・プロファイルが割り当てられていることが確認できます。

注意: セキュリティ・プロファイルを割り当てるロールが、セキュリティ・プロファイルが割り当てられた別のロールのコピーになる場合があります。この場合、「割当済セキュリティ・プロファイル」列にチェック・マークは表示されません。ただし、ロールがすでに既存のセキュリティ・プロファイルからのデータ・セキュ

178

リティ・ポリシーを持っていることを示す警告メッセージが表示されます。続行する前に、このメッセージで、これらの既存のポリシーを削除する方法が示されます。コピーする前にロールからセキュリティ・プロファイルを取り消すことで、この状況を回避することをお薦めします。

ロールからのセキュリティ・プロファイルの取消事前定義済またはカスタムの抽象ロールまたはジョブ・ロールに直接割り当てたセキュリティ・プロファイルを削除できます。たとえば、ジョブ・ロールにセキュリティ・プロファイルを直接割り当て、後でデータ・ロールにジョブ・ロールを含めることができます。この場合、ユーザーは意図した以上のデータにアクセスする可能性があります。ロールからセキュリティ・プロファイルを削除するには、次のステップを実行します。

1. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページで、ジョブ・ロールまたは抽象ロールを検索します。

2. 検索結果で、ロールを選択し、セキュリティ・プロファイルが現在ロールに割り当てられていることを確認します。

3. 「セキュリティ・プロファイルの取消」をクリックします。現在ロールに直接割り当てられているすべてのセキュリティ・プロファイルが取り消されます。

注意: HCMデータ・ロールのセキュリティ・プロファイルを置き換えるには、通常の方法でデータ・ロールを編集します。「セキュリティ・プロファイルの取消」ボタンは使用できません。

関連トピック

抽象ロールのコピーに関するガイドライン

HCMデータ・セキュリティをプレビューする方法ユーザーから、個人レコードや組織レコードなどの保護されたデータにアクセスできないと報告されることがあります。通常、ユーザーには複数のロールが割り当てられているため、このような問題の診断が困難になる場合があります。このタスクの実行に役立つように、「ワークフォース・ストラクチャ」作業領域で「HCMデータ・セキュリティのプレビュー」インタフェースを使用できます。このインタフェースを使用して、ユーザーの現在のロールおよび職責範囲すべてに基づいて、ユーザーのデータ・アクセスを分析できます。このトピックでは、「HCMデータ・セキュリティのプレビュー」インタフェースの使用方法について説明します。

ユーザーの識別分析を開始するには、ユーザー名を検索して選択します。ユーザーを選択すると、ページの次のセクションが自動的に入力されます。

ページ・セクション セクション・コンテンツ

現在割当済ロール

ユーザーが現在直接継承するジョブ・ロール、抽象ロールおよびデータ・ロール。このセクションでは、これらのロールに割り当てられているセキュリティ・プロファイルも示されます。

現在割当済 ユーザーの職責範囲の詳細(存在する場合)。個人レコードまたはポジション・レコードへのアクセスが

179

職責範囲 職責範囲によって保護されている場合、このアクセスを調査する際に、この情報が必要です。

セッションベース・ロール

ユーザーの最新セッションに関連付けられているロール。直接および間接的に継承されたロールがリストされます。

この情報はユーザーの最新セッションから取得されるため、ユーザーが少なくとも1回サインインしている必要があります。

権限の識別ほとんどのデータ・アクセスの問題は、次のいずれかのタイプになります。

ユーザーが、個人レコードなどの保護されたオブジェクトのインスタンスにアクセスできると予期しているが、レコードが見つからない。ユーザーが、「就業者の昇格・昇進」などの処理を実行できると予期しているが、処理を使用できない。ユーザーが、個人レコードなどの保護されたオブジェクトのインスタンスにアクセスできるが、レコードにアクセスできてはならない。ユーザーが、「就業者の昇格・昇進」などの処理を実行できるが、処理を使用できてはならない。

これらのタイプの問題を調査するには、まず、ユーザーが実行しようとした内容を特定します。たとえば、ユーザーが、必要な個人レコードを見つけたが、「就業者の昇格・昇進」処理を選択できなかったとします。この場合、このアクセス権を制御するデータ・セキュリティ権限およびデータ・リソースを特定します。データ・セキュリティ権限およびデータ・リソースの名前がわかっている場合は、「権限に基づくアクセス」セクションでそれらを選択できます。または、集計権限名などを使用して、関連付けられているデータ・セキュリティ・ポリシーを検索できます。検索結果で値を選択すると、「権限」フィールドと「データ・リソース」フィールドが自動的に入力されます。

アクセスのプレビュー「権限に基づくアクセス」セクションのフィールドが入力されたら、「アクセスのプレビュー」をクリックします。ページの「アクセス検証」セクションが、ユーザーに付与されたデータ・セキュリティ・ポリシーのすべてのインスタンスを識別するために自動的に更新されます。「次のアクセスの検証」フィールドで、この調査の対象である保護レコードを選択し、「検証」をクリックします。たとえば、ユーザーが昇格できなかった個人の個人レコードを選択します。セクションが自動的に更新され、次のものが表示されます。

データ・セキュリティ・ポリシーが付与されているロール、およびユーザーがそれらのロールをどのように継承しているかこれらのロールに割り当てられているセキュリティ・プロファイル(存在する場合)

ロールによって、レコードまたは処理にユーザーがアクセスできるようになっているかどうか

この図は、「アクセス検証」セクションの標準的なコンテンツを示しています。

180

「アクセス検証」セクションでロール名のインスタンスをクリックすると、SQL述語を含むデータ・セキュリティ・ポリシーの詳細が表示されます。ほとんどのデータ・アクセスの問題を診断して解決するには、「HCMデータ・セキュリティのプレビュー」ページのすべてのセクションによって提供される情報で十分です。

監査のHCMデータ・ロールとセキュリティ・プロファイルの構成この手順では、監査のHCMデータ・ロールとセキュリティ・プロファイルの属性を構成する方法について説明します。このタスクを実行するには、「アプリケーション実装コンサルタント」ジョブ・ロールが必要です。

1. 「設定および保守」作業領域で、次の項目に移動します。機能領域: アプリケーション拡張タスク: 監査ポリシーの管理

2. 「監査ポリシーの管理」ページで、「Oracle Fusion Applications」セクションの「ビジネス・オブジェクト属性の構成」をクリックします。

3. ビジネス・オブジェクト属性の構成ページで、「製品」をHCMコア設定に設定します。4. 表示されるビジネス・オブジェクトの表の「監査」列で、オブジェクトを選択します。たとえば、「個人セキュリティ・プロファイル」または「データ・ロール」を選択します。

5. ページの「監査済属性」セクションには、オブジェクトの属性のリストがデフォルトで表示されます。「作成」をクリックします。監査属性の選択および追加ダイアログ・ボックスが開きます。

6. 「監査属性の選択と追加」ダイアログ・ボックスで、監査対象の属性のデフォルトの選択内容を更新できます。たとえば、必要に応じていくつかの属性の選択を解除できます。「OK」をクリックして、「監査属性の選択と追加」ダイアログ・ボックスを閉じます。

7. 「保存してクローズ」をクリックします。8. 「監査ポリシーの管理」ページで、「Oracle Fusion Applications」セクションの監査レベルを「監査」に設定します。

9. 「保存してクローズ」をクリックします。

オブジェクトの選択された属性に今後行われる変更が監査されます。「内部監査者」ジョブ・ロールを持つユーザーは、「監査レポート」ページで監査済の変更をレビューできます。

関連トピック

Oracle HCM Cloudビジネス・オブジェクトを監査する方法

181

HCMデータ・ロール構成診断テストHCMデータ・ロール構成診断テストは、指定されたユーザーの「HCMデータ・ロールの管理」タスク・フローが正常に構成されていることを検証します。

HCMデータ・ロール構成診断テストを実行するには、「設定およびアクション」→「診断テストの実行」を選択します。

診断テストのパラメータユーザー名

テストは指定されたユーザーに対して実行されます。ユーザーは、テストの実行中にサインインする必要はありません。ただし、テストではユーザーの現在または最新のセッションの詳細が使用されるため、ユーザーは少なくとも一度はサインインする必要があります。

HCMセキュリティ・プロファイル構成診断テストHCMセキュリティ・プロファイル構成診断テストは、指定されたユーザーの「セキュリティ・プロファイルの管理」タスク・フローが正常に構成されていることを検証します。

HCMセキュリティ・プロファイル構成診断テストを実行するには、「設定およびアクション」→「診断テストの実行」を選択します。

診断テストのパラメータユーザー名

テストは指定されたユーザーに対して実行されます。ユーザーは、テストの実行中にサインインする必要はありません。ただし、テストではユーザーの現在または最新のセッションの詳細が使用されるため、ユーザーは少なくとも一度はサインインする必要があります。

HCM保護オブジェクト・メタデータ診断テストHCM保護オブジェクト・メタデータ診断テストは、HCM保護オブジェクトの保護オブジェクト・メタデータを検証します。

HCM保護オブジェクト・メタデータ診断テストを実行するには、「設定およびアクション」→「診断テストの実行」を選択します。

182

診断テストのパラメータ保護オブジェクト

次の表から、HCM保護オブジェクトの名前を入力します。

保護オブジェクト名 説明

PERSON 個人

LDG 国別仕様データ・グループ

POSITION ポジション

ORGANIZATION 組織

PAYROLL 給与

FLOWPATTERN 給与フロー

DOR 文書タイプ

COUNTRY 国

保護オブジェクトの名前を入力しない場合、テストはすべての保護オブジェクトに適用されます。

HCMデータ・ロールとセキュリティ・プロファイルに関するFAQ

HCMデータ・ロールを編集するとどうなりますか。HCMデータ・ロールのセキュリティ・プロファイルを編集または置換できます。変更を保存すると、関連するデータ・インスタンス・セットが更新されます。このHCMデータ・ロールを持つユーザーは、次回のサインイン時に、更新されたデータ・インスタンス・セットを検索します。

HCMデータ・ロール名を変更したり、別のジョブ・ロールを選択することはできません。そのような変更を行うには、新しいHCMデータ・ロールを作成し、必要に応じてこのHCMデータ・ロールを無効にします。

ユーザーにHCMデータ・ロールをプロビジョニングする方法を教えてください。「ロール・マッピングの作成」ページで、ロールのロール・マッピングを作成します。

アサイメントがマッピング属性に一致する任意のユーザーにロールを自動的にプロビジョニングするには、「自動プロビジョニング」オプションを選択します。

183

アサイメントがマッピング属性に一致する任意のユーザーが他のユーザーにロールを手動でプロビジョニングできる場合は、「要求可能」オプションを選択します。

アサイメントがマッピング属性に一致する任意のユーザーがロールを要求できる場合は、「自己要求可能」オプションを選択します。

有効なセキュリティ・プロファイルを編集するとどうなりますか。セキュリティ・プロファイルが使用中の場合、変更を保存すると、セキュリティ・プロファイルのデータ・インスタンス・セットが更新されます。たとえば、ポジション・セキュリティ・プロファイルからポジションを削除すると、ポジションはデータ・インスタンス・セットに表示されなくなります。ユーザーは、次回データにアクセスする際に、更新されたデータ・インスタンス・セットを検索します。

セキュリティ・プロファイルを無効にするとどうなりますか。セキュリティ・プロファイルはデータを返しません。たとえば、組織の定義を更新できるようにするHCMデータ・ロールを持つユーザーは、引き続き組織関連のタスクにアクセスします。しかし、ユーザーは、無効な組織セキュリティ・プロファイルで識別された組織にアクセスできませんでした。

別のセキュリティ・プロファイルに含まれるセキュリティ・プロファイルを無効にすることはできません。

HCMデータ・ロールとセキュリティ・プロファイルに関する問題を診断する方法を教えてください。「設定およびアクション」→「診断テストの実行」を選択して、次の表に示す診断テストを実行します。

診断テスト名 テスト内容

HCMデータ・ロール構成 ユーザーの「HCMデータ・ロールの管理」の構成

HCMデータ・ロール詳細情報 データ・ロールについて発生する可能性がある問題

HCMセキュリティ・プロファイル構成 ユーザーの「セキュリティ・プロファイルの管理」タスクの構成

HCMセキュリティ・プロファイル詳細情報

あるタイプのセキュリティ・プロファイルについて発生する可能性がある問題

HCM保護オブジェクト・メタデータ 保護オブジェクト・メタデータ

このページは役に立ちましたか?

184

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

185

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

17 個人セキュリティ・プロファイルこの章の内容は次のとおりです。

個人レコードの保護に関するガイドライン職責範囲別の個人レコードを保護する方法職責範囲別の個人レコードの保護HCM除外ルールの作成マネージャ階層によって個人レコードを保護するためのオプション個人セキュリティ・プロファイルのマネージャ・タイプ

186

個人セキュリティ・プロファイルの階層コンテンツ個人セキュリティ・プロファイルのPersonタイプジョブ・オファーのある候補者へのアクセスを保護する方法個人セキュリティ・プロファイルでのカスタム基準カスタム基準の表と表示個人セキュリティ・プロファイルのFAQ

個人レコードの保護に関するガイドラインこのトピックでは、公開個人レコードと管理個人レコード両方へのアクセスを保護する方法を説明します。推奨アプローチを使用すると、管理作業が最小化され、セキュリティ・パフォーマンスが向上します。

公開個人レコードの保護公開個人レコードは、たとえば、すべての就業者が就業者ディレクトリでアクセスする必要があるレコードです。すべての就業者の表示事前定義済セキュリティ・プロファイルを使用してこのアクセスを提供します。すべての就業者の表示によって、次にアクセスできます。

現在アクティブまたは休止しているアサイメントを持つ従業員、派遣就業者、非就業者、および処理待ち就業者サインインしたユーザー自身のレコード共有された個人情報

すべての就業者の表示では、先日付の個人レコードへのアクセスは提供されません。

注意: すべての個人の表示セキュリティ・プロファイルでは、連絡先の個人レコードなどを含む、すべての個人レコードにアクセスできます。また、先日付の個人レコードにもアクセスできます。

マネージャ階層別の個人レコードの保護マネージャは、マネージャ階層内の就業者の個人レコードにアクセスする必要があります。このアクセスを提供するには、マネージャ階層によって個人レコードを保護します。可能なかぎり、事前定義済マネージャ階層の表示セキュリティ・プロファイルを使用します。次の表に、マネージャ階層の表示セキュリティ・プロファイルの概要を示します。ここに表示される値は、これらのフィールドのデフォルト値でもあります。

フィールド 値

個人またはアサイメント・レベル 個人

階層内の最高レベル 最大なし

マネージャ・タイプ ライン・マネージャ

階層コンテンツ マネージャ階層

187

マネージャ階層の表示には、共有個人情報が含まれますが、先日付の個人レコードは含まれません。

非標準要件の場合は、個人セキュリティ・プロファイルを作成します。たとえば、企業内にカスタムの「プロジェクト・マネージャ」ジョブ・ロールがある場合は、そのマネージャ・タイプのセキュリティ・プロファイルを作成できます。これをHCMデータ・ロールに含めて、「プロジェクト・マネージャ」ジョブ・ロールを持っているすべてのユーザーにそのロールをプロビジョニングします。

職責範囲別の個人レコードの保護個人レコードを職責範囲別に保護する場合、ユーザーがアクセスできるレコードのセットが動的に計算されます。計算は、ユーザーの割当済職責範囲に基づいて行われます。このアプローチには以下の利点があります。

管理する必要のある個人セキュリティ・プロファイルの数とHCMデータ・ロールの数が削減される。セキュリティ・パフォーマンスが向上する。職責が変更された場合、セキュリティ・プロファイルを更新する必要がない。

たとえば、次の表の人事 (HR) 担当者について考えてます。これらの人事担当者は、同じジョブ・ロールを、様々なビジネス・ユニットの就業者に対して実行します。

HR担当者 ジョブ・ロール ビジネス・ユニット

Fen Lee 人事担当者 USA1 BU

John Gorman 人事担当者 USA2 BU

Jenna Markum 人事担当者 USA3 BU

各ビジネス・ユニットの個人レコードへのアクセスを提供するには、次を実行します。

各HR担当者の職責範囲を定義します。この場合、職責のスコープは関連のビジネス・ユニットです。職責範囲でアクセスを制限する単一の個人セキュリティ・プロファイルを作成します。この場合、「職責のスコープ」は「ビジネス・ユニット」です。単一のHCMデータ・ロールを作成して、個人セキュリティ・プロファイルを含め、それを3人のすべてのHR担当者に割り当てます。

この図は、アプローチの概要を示しています。

188

職責範囲別に個人レコードへのアクセスを保護する場合、ユーザーは就業者のアサイメントをすべて参照できるわけではありません。かわりに、次のようになります。

現在の就業者の場合、承認済ユーザーは現在および休止アサイメントのみ参照できます。グローバル異動前にアクティブだったアサイメントなど、終了したアサイメントへのアクセスは回避されます。退職済就業者の場合、承認済ユーザーは最近終了したアサイメントのみ参照できます。

最大3つの除外ルールを含めることもできます。これらのルールによって選択された個人レコードは、セキュリティ・プロファイルによって識別されたレコード・セットから除外されます。

インポート済候補者へのアクセスの保護Oracle Talent Acquisition Cloudからインポートされた候補者のレコードへのアクセスを保護できます。個人セキュリティ・プロファイルの「基本詳細」セクションの「目的」フィールドを次のいずれかの値に設定します。

インポート済候補者アクセス個人およびインポート済候補者アクセス

インポート済候補者へのアクセスを職責範囲別またはマネージャ階層別に保護できます。

「採用統合」企業オプションが次のいずれかに設定される場合のみ、「目的」フィールドが使用できます。

Oracle Integration Cloudと統合済固定およびOracle Integration Cloudと統合済

それ以外の場合、「目的」フィールドは表示されません。

189

職責範囲別の個人レコードを保護する方法職責範囲別に個人レコードを保護する場合は、スコープと職責タイプを選択します。スコープには、「ジョブ」や「事業所」などの単一の値、または「ビジネス・ユニットおよび部門」などの提供された値ペアを指定できます。このトピックでは、ユーザーが個人レコードにアクセスできるかどうかを見るため、これらのスコープ値がユーザーの職責範囲とどのように一致するかを説明します。

単一の職責スコープ値の使用「部門」や「国」などの単一のスコープ値を選択する場合、ユーザーの職責範囲にはそのスコープ値を含める必要があります。そうでない場合、ユーザーは関連する個人レコードにアクセスできません。次の値を使用して個人レコードを保護するとします。

職責タイプ: 人事担当者スコープ: 部門

ユーザーは、職責タイプについて、次の表に示すように4つの職責範囲を持つことができます。

職責範囲 ビジネス・ユニット 部門

1 Vision BU 1 Vision Department 1

2 Vision BU 2 なし

3 Vision BU 3 Vision Department 3

4 なし Vision Department 4

ユーザーは次の個人レコードにアクセスできます。

Vision Department 1

Vision Department 3

Vision Department 4

ただし、ユーザーは、次の個人レコードにはアクセスできません。

Vision BU 1 (Vision Department 1に属さない場合)

Vision BU 2

Vision BU 3 (Vision Department 3に属さない場合)

複数の職責スコープ値の使用「国および部門」や「雇用主およびジョブ」など、2つの個別の値を組み合せた職責スコープ値を選択できます。これらのペア値の1つを使用して個人レコードを保護する場合、ユーザーの職責範囲にこれら両方の値が含まれている必要があります。そうでない場合、ユーザーは関連する個人レコードにアクセスできません。次の値を使用して個人レコードを保護するとします。

190

職責タイプ: 人事担当者スコープ: ビジネス・ユニットおよび部門

ユーザーは、職責タイプについて、次の表に示すように4つの職責範囲を持つことができます。

職責範囲 ビジネス・ユニット 部門

1 Vision BU 1 Vision Department 1

2 Vision BU 2 なし

3 Vision BU 3 Vision Department 3

4 なし Vision Department 4

ユーザーは次の個人レコードにアクセスできます。

Vision Department 1にも属するVision BU 1

Vision Department 3にも属するVision BU 3

ただし、ユーザーは、次の個人レコードにはアクセスできません。

Vision BU 2

Vision Department 4

Vision BU 1 (Vision Department 1に属さない場合、または部門がない場合)

Vision BU 3 (Vision Department 3に属さない場合、または部門がない場合)

Vision Department 1 (Vision BU 1に属さない場合)

Vision Department 3 (Vision BU 3に属さない場合)

ユーザーの職責範囲には、Vision BU 1とVision Department 1のみではなく、Vision Location 1も含まれるとします。個人セキュリティ・プロファイルの条件が満たされているため、ユーザーは引き続き個人レコードにアクセスできます。ただし、3つの条件を満たすことを強制したり、提供外の値のペアを使用して個人レコードを保護したりする場合は、カスタム基準を作成する必要があります。たとえば、国、部門およびジョブの組合せを使用して個人レコードを保護するには、カスタム基準を使用する必要があります。

ヒント:職責範囲で識別したレコードから一部の個人レコードを除外するには、除外ルールを使用します。レコードを除外するためにカスタム基準を定義する必要はありません。

職責範囲別の個人レコードの保護通常、マネージャ階層または職責範囲別に個人レコードへのアクセスを保護します。このトピックでは、職責範囲を使用する方法について説明します。

注意: 職責範囲を使用する場合、個人レコードにアクセスする必要がある従業員に職責範囲を定義しておく必要があります。たとえば、人事担当者がある国の個人レコードを管理するとします。その担当者には、その国の職責範囲(人事担当者など)が必要になります。

191

個人セキュリティ・プロファイルの作成1. 「ナビゲータ」→「自分のクライアント・グループ」→「ワークフォース・ストラクチャ」を選択します。

2. 「ワークフォース・ストラクチャ」作業領域の「タスク」パネル・タブで、「個人セキュリティ・プロファイルの管理」を選択します。

3. 「個人セキュリティ・プロファイルの管理」ページで、「作成」をクリックします。4. 「個人セキュリティ・プロファイルの作成」ページの「基本詳細」セクションで、セキュリティ・プロファイルの名前を入力します。

5. 「職責範囲」セクションで、「職責範囲別保護」を選択します。6. 「職責タイプ」の値を選択します。たとえば、「福利厚生担当者」または「組合代表」を選択します。7. 「職責のスコープ」の値を選択します。「部門」や「ジョブ」などの単一の値を選択できます。または、「ビジネス・ユニットおよびジョブ」や「雇用主および事業所」など、値の組合せを選択できます。

注意: 「国」職責のスコープは、就業者アサイメントがある国ではなく、雇用主の国を意味します。

8. 必要に応じて、就業者タイプの選択を更新します。たとえば、従業員レコードに対するアクセス権のみを付与するには、「従業員」を除くすべての値の選択を解除します。

9. ここまでで、「職責範囲」セクションで数件の個人レコードが識別されました。これらのレコードの一部をセキュリティ・プロファイルから除外するには、「除外ルール」セクションで「除外ルールの適用」を選択します。

10. 「行の追加」アイコンをクリックします。11. 除外ルールを選択します。

ヒント: ルールが有効になっていることを確認してください。無効になっていると効果がありません。

最大3つの除外ルールを追加できます。12. 「次」をクリックします。

個人セキュリティ・プロファイルのプレビュー「個人セキュリティ・プロファイルの作成: プレビュー」ページで、セキュリティ・プロファイルを保存前にテストできます。

1. 「個人アクセス・プレビュー」タブで、セキュリティ・プロファイルに含めた職責範囲を持つユーザーを選択します。「プレビュー」をクリックすると、次のようになります。

ページの「ユーザー要約」セクションに、このユーザーがアクセスできる個人レコードの数が表示されます。このタブの「割当済職責範囲」セクションには、ユーザーの職責範囲が表示されます。

注意: 「個人アクセス・プレビュー」の結果は、この個人セキュリティ・プロファイルのみに基づく結果です。他の個人レコードへのアクセスを提供するロールがユーザーに付与される場合もあります。

2. このタブの「個人の検索」セクションで特定の個人レコードを検索して、そのレコードにアクセスできるかを確認できます。検索は、ユーザーの「プレビュー」をクリックしたときに識別された個人レコードが対象になります。たとえば、プレビューで50件の個人レコードが識別された場合、それら50件の個人レコードが検索されます。

192

3. このセキュリティ・プロファイルで生成されたSQL述語を表示するには、「個人アクセスのSQL述語」タブをクリックします。

4. 完了したら、「保存してクローズ」をクリックします。

関連トピック

職責範囲の割当て方法

HCM除外ルールの作成個人セキュリティ・プロファイルのHCM除外ルールを使用して、一部のレコードを除外できます。たとえば、HR部門や特定のマネージャ階層にいる個人レコードを除外するには、HCM除外ルールを使用できます。このトピックでは、HCM除外ルールの作成方法を示します。

1. 「ナビゲータ」→「自分のクライアント・グループ」→「ワークフォース・ストラクチャ」を選択します。

2. 「ワークフォース・ストラクチャ」作業領域の「タスク」パネル・タブで、「HCM除外ルールの管理」を選択します。

3. 「HCM除外ルールの管理」ページで、「作成」をクリックします。4. HCM除外ルールの作成ページで、ルールの名前を指定し、「使用可能」を選択したままにします。

ヒント: 除外ルールが有効になっていない場合、個人セキュリティ・プロファイルで除外ルールは無視されます。

5. 「除外定義」セクションで、「除外基準」の値を選択します。6. リスト値を選択した場合は、除外するオブジェクトをリストします。「部門リスト」を選択するとします。「部門」セクションで、次の操作を実行します。

a. 「追加」をクリックします。b. 「部門」フィールドで、除外する部門を選択します。c. 「OK」をクリックします。

リストに部門をさらに追加するには、前述の手順を繰り返します。7. 「部門階層」を選択した場合、「部門階層」セクションで次を実行します。

a. 「ツリー名」フィールドで、部門階層ツリーを選択します。b. 「最上位部門」フィールドで、階層の最上位部門を選択します。c. 「OK」をクリックします。

8. 「HCMポジション階層」を選択した場合は、「ポジション階層」セクションで最上位ポジションを選択します。

9. 「上長階層」を選択した場合は、「マネージャ階層」セクションで最上位マネージャを選択します。

ヒント: 階層の場合は、除外ルールに最上位ノードを含めます。10. 「部門属性」などの属性値を選択した場合は、「除外条件」セクションの「属性」、「演算子」および「値」フィールドの値を選択します。たとえば、次の値を選択します。

属性 値

属性 部門セット

193

演算子 次と等しい

値 EMEAセット

属性にはオブジェクトのコア属性と構成されたフレックスフィールド属性が含まれます。11. 完了したら、「保存してクローズ」をクリックします。

作成したこの除外ルールは、職責範囲別にレコードを保護するときに個人セキュリティ・プロファイルに含めることができます。

マネージャ階層によって個人レコードを保護するためのオプションマネージャがアクセスできる個人レコードは、個人セキュリティ・プロファイルでのマネージャ階層の指定方法によります。このトピックでは、「個人またはアサイメント・レベル」オプションの影響を説明します。このオプションは「個人」または「アサイメント」のいずれかに設定します。

注意: 「個人またはアサイメント・レベル」オプションは、その設定にかかわらず、個人レコードへのアクセスを制御します。特定のアサイメントへのアクセスを有効にできません。

次のマネージャ階層の例について考えます。

Harryは、2つのアサイメントを持つライン・マネージャです。彼は、自分のプライマリ・アサイメントで、Svenのプライマリ・アサイメントを管理します。Harryは、プライマリ・アサイメント2で、Janeのプライマリ・アサイメントを管理します。Monicaは、1つのアサイメントを持つライン・マネージャです。彼女はJaneのアサイメント2、およびAmirのプライマリ・アサイメントを管理します。Janeは、自分のプライマリ・アサイメントで、Francoのプライマリ・アサイメントを管理します。彼女はアサイメント2で、Kyleのプライマリ・アサイメントを管理します。この図は、このマネージャ階層の例を示しています。

194

注意: ライン・マネージャ以外のマネージャは、そのロールが機能やデータにアクセスできる場合にのみ、マネージャ階層別に保護される個人レコードにアクセスできます。このアクセスの提供は、セキュリティ設定タスクです。

個人レベルのマネージャ階層「個人またはアサイメント・レベル」が「個人」の場合、セキュリティ・プロファイルには、マネージャの任意のアサイメントに直接または間接的にレポートする個人が含まれます。

次の表は、3人のマネージャそれぞれが個人レベルのマネージャ階層でアクセスできる個人レコードを示しています。

マネージャ Sven Jane Franco Kyle Amir

Harry はい はい はい はい いいえ

Monica いいえ はい はい はい はい

Jane いいえ いいえ はい はい いいえ

サインインしたマネージャは、セキュリティ・プロファイルの他の基準に従って、自分のマネージャ階層内のすべての個人の個人レコードにアクセスします。たとえば、KyleはHarryが管理するアサイメントにレポートしませんが、HarryはKyleの個人レコードにアクセスできます。

195

アサイメントレベルのマネージャ階層「個人またはアサイメント・レベル」が「アサイメント」の場合、マネージャは、次のユーザーの個人レコードを参照できます。

1つ以上のアサイメントから直接マネージャにレポートする。管理しているアサイメントにレポートする。

次の表は、3人のマネージャそれぞれがアサイメントレベルのマネージャ階層でアクセスできる個人レコードを示しています。

マネージャ Sven Jane Franco Kyle Amir

Harry はい はい はい いいえ いいえ

Monica いいえ はい いいえ はい はい

Jane いいえ いいえ はい はい いいえ

このシナリオでは、次のようになります。

HarryはSven、Jane、およびFrancoの個人レコードにアクセスします。KyleはMonicaが管理するアサイメントにレポートするため、HarryはKyleのレコードにアクセスできません。Monicaは、Jane、Kyle、およびAmirの個人レコードにアクセスします。FrancoはHarryが管理するアサイメントにレポートするため、MonicaはFrancoのレコードにアクセスできません。JaneはFrancoとKyleの個人レコードにアクセスします。

アサイメントレベルのマネージャ階層は、個々のアサイメントへのアクセスを保護するアサイメントレベルのセキュリティとは異なります。個々のアサイメントへのアクセスは保護できません。

退職済就業者へのアクセスライン・マネージャは、マネージャ階層での退職済就業者へのアクセス権を退職日の翌日に自動的に失います。

関連トピック

マネージャ階層:管理方法

個人セキュリティ・プロファイルのマネージャ・タイプ個人レコードをマネージャ階層で保護する場合、セキュリティ・プロファイルのデータ・インスタンス・セットには、指定したタイプのマネージャ階層からの個人レコードが含まれます。このトピックでは、使用可能なタイプ値とその影響について説明します。「個人セキュリティ・プロファイルの管理」タスクを実行するときに、「マネージャ・タイプ」の値を選択します。

196

次の表では、「マネージャ・タイプ」の値について説明しています。

マネージャ・タイプ 説明

すべて セキュリティ・プロファイルには、マネージャ階層のすべてのタイプが含まれます。

ライン・マネージャ セキュリティ・プロファイルには、ライン・マネージャ階層のみ含まれます。

選択済 セキュリティ・プロファイルには、指定したタイプのマネージャ階層のみ含まれます。

通常、ライン・マネージャの場合は「ライン・マネージャ」、プロジェクト・マネージャの場合は「プロジェクト・マネージャ」、などのように選択します。「すべて」を選択すると、たとえば「ライン・マネージャ」ジョブ・ロールを持つユーザーは、そのすべてのマネージャ階層に対するライン・マネージャのアクセス権を持ちます。このアクセス・レベルが不要な場合は、「すべて」を選択しないでください。

マネージャ・ジョブ・ロールライン・マネージャ以外のマネージャ・ジョブ・ロールは事前定義されていません。プロジェクト・マネージャやリソース・マネージャなどのマネージャのジョブ・ロールを作成するのはセキュリティ設定タスクです。これらのロールが存在する場合は、直接または個別のHCMデータ・ロールを作成してセキュリティ・プロファイルをそれらのロールに割り当てることができます。これらのロールを持つユーザーは、「ナビゲータ」→「自分のチーム」などを選択して、マネージャ階層にアクセスできます。

個人セキュリティ・プロファイルの階層コンテンツ個人セキュリティ・プロファイルの「階層コンテンツ」属性は、次の場合にマネージャ階層へのアクセスを委任する方法を制御します。

マネージャ階層別に個人レコードへのアクセスを保護する。個人セキュリティ・プロファイルを含むロールを委任する。

個人セキュリティ・プロファイルを作成するには、「設定および保守」作業領域で、「個人セキュリティ・プロファイルの管理」タスクを使用します。

階層コンテンツの値次の表では、「階層コンテンツ」の値について説明しています。

値 説明

マネージャ階層

サインインしたユーザーのマネージャ階層。この値がデフォルト値です。関連付けられているロールを委任できる場合はこの値を使用しないでください。

委任マネージャ階層

委任マネージャのマネージャ階層。関連付けられたロールが常にマネージャ以外のユーザーに委任されるためにマネージャ階層がない場合は、この値を選択します。

197

両方 プロキシ・ユーザーは、自分のマネージャ階層と委任マネージャの階層両方にアクセスできます。この値は、1人のマネージャが「ライン・マネージャ」ロールを別のマネージャに委任する一般的なケースの場合に選択します。

「ライン・マネージャ」ロールが別のライン・マネージャに委任されると、プロキシは、たとえば「個人管理」作業エリアで委任者のレポートを管理できます。ただし、マネージャ階層はロールの委任で変更されないため、プロキシの「自分のチーム」情報には委任者のレポートは表示されません。

注意: プロキシ・ユーザーが委任者のマネージャ階層内に存在する場合、委任されたロールによってプロキシ・ユーザーに自分のレコードへのアクセスが付与されます。

個人セキュリティ・プロファイルのPersonタイプシステムPersonタイプまたはそのユーザーPersonタイプに基づいて、個人レコードへのアクセスを保護できます。たとえば、システムPersonタイプが従業員である就業者の個人レコードへのアクセスを保護できます。Personタイプ別に保護する場合は、アクティブまたは休止しているアサイメントを持つ就業者の個人レコードにのみアクセスできます。退職済就業者の個人レコードにはアクセスできません。このトピックでは、Personタイプ別に個人レコードへのアクセスを保護する場合の、「アクセス」の値の影響について説明します。

制限付きアクセスPersonタイプ別に保護する場合に「アクセス」を「制限付き」に設定すると、セキュリティ・プロファイル内のその他の基準も適用されます。たとえば、次の表に示す値を選択できます。

タイプ システムPersonタイプ アクセス

システムPersonタイプ 従業員 制限付き

システムPersonタイプ 派遣就業者 制限付き

さらに、同じ個人セキュリティ・プロファイルのマネージャ階層別に、個人レコードへのアクセスを保護する場合は、両方の基準セットが適用されます。つまり、次のようになります。

ユーザーは、独自のレポート階層で、従業員と派遣就業者の個人レコードにアクセスできます。ユーザーは、この個人セキュリティ・プロファイルを使用する場合は、レポート階層の他のタイプの個人レコードと、レポート階層外の個人レコードにはアクセスできません。

すべてのアクセスPersonタイプ別に保護する場合に「アクセス」を「すべて」に設定すると、セキュリティ・プロファイル内のその他の基準が影響することはありません。たとえば、「システムPersonタイプ」を「従業員」、「アクセス」を「すべて」に設定すると、ユーザーは企業内のすべての従業員にアクセスできます。セキュリティ・プロファイルの他の基準がある場合、選択した就業者タイプでは無視されます。

198

ジョブ・オファーのある候補者へのアクセスを保護する方法Oracle Recruiting Cloudからジョブ・オファーを受け取った候補者は、Oracle Human Capital Management Cloudでオファー・アサイメントを持っています。これらのオファー・アサイメントに基づいて、ジョブ・オファーのある候補者へのアクセスを保護できます。したがって、採用担当者または人事担当者は、オンボーディングの開始前に、Oracle HCM Cloudでジョブ・オファーのある候補者を安全に管理できます。このトピックでは、ジョブ・オファーのある候補者へのアクセスを保護する方法について説明します。

ジョブ・オファーのある候補者へのアクセスの保護職責範囲別にアクセスを保護するには、「個人セキュリティ・プロファイルの作成」ページの「職責範囲」セクションで「オファーした候補者」を選択します。または、「個人セキュリティ・プロファイルの作成」ページの「基本詳細」セクションで、「オファーした候補者へのアクセス」オプションを選択できます。このオプションを使用すると、職責範囲以外の基準によって、ジョブ・オファーのある候補者の個人レコードを含む、個人レコードへのアクセスを保護できます。たとえば、マネージャ階層別にアクセスを保護できます。また、ワークフォース・ストラクチャおよびグローバル名の範囲別にアクセスを保護することもできます(それらのセクションが個人セキュリティ・プロファイルに表示されている場合)。「ワークフォース・ストラクチャ」セクションおよび「グローバル名の範囲」セクションは、リリース11からリリース12にアップグレードした場合にのみ表示されます。

ヒント: 「オファーした候補者へのアクセス」と「オファーした候補者」の両方は選択できません。「職責範囲別保護」を選択すると、「オファーした候補者へのアクセス」オプションは「基本詳細」セクションで使用できなくなります。

ジョブ・オファーのある候補者へのアクセスの終了ジョブ・オファーのある候補者が処理待ち就業者、従業員または派遣就業者になると、オファー・アサイメントが非アクティブになります。次の場合には、オファー・アサイメントが非アクティブになると、ジョブ・オファーのある候補者の個人レコードにアクセスできなくなります。

非アクティブなオファー・アサイメントにのみアクセスでき、かつ、アクセスを保護している個人セキュリティ・プロファイルによって、アクティブなアサイメントおよび休止アサイメントのみが評価される場合。アクセスが職責範囲によって保護され、かつ、新規採用就業者に対する職責がない場合。候補者が再雇用で、以前のアクセス権が最後に終了したアサイメントに基づいていた場合。その就業者にアクティブなアサイメントが与えられたとき、そのアクティブなアサイメントに対するアクセス権がない場合、以前のアクセス権は失われます。

個人セキュリティ・プロファイルでのカスタム基準個人レコードは職責範囲またはマネージャ階層別に保護できます。標準基準に加えてまたはそのかわりに、カスタム基準をSQL文の形式で使用することもできます。このトピックでは、個人セキュリティ・プロファイルでカスタ

199

ム基準を使用する方法を説明します。

カスタム基準の使用例この例では、個人セキュリティ・プロファイルでカスタム基準を使用する方法を説明します。この例では、個人セキュリティ・プロファイルに、1990年1月1日よりも前に生まれた個人の個人レコードを含めます。

&TABLE_ALIAS.PERSON_ID IN (SELECT PERSON_ID FROM PER_PERSONSWHERE DATE_OF_BIRTH < TO_DATE('01-JAN-1990', 'DD-MON-YYYY'))

カスタム基準には、SQL述語がPERSON_IDまたはASSIGNMENT_IDで制限する任意の文を含めることができます。述語には、カスタム基準の制限列として&TABLE_ALIAS.PERSON_IDまたは&TABLE_ALIAS.ASSIGNMENT_IDを含める必要があります。

カスタム基準の検証カスタム基準を2段階で検証します。

1. ページの「カスタム基準」セクションで「検証」をクリックすると、構文チェックが実行されます。欠落したカッコ、スペルが間違ったキーワード、1行コメントなどの構文エラーがレポートされます。

注意: SQL文に複数行のコメントを含めることができます。複数行のコメントは、スラッシュとアスタリスク(/*)で始まり、アスタリスクとスラッシュ(*/)で終了します。2つのハイフン(--)で始まる1行コメントは無効です。

2. 「次」をクリックして「プレビュー」ページを開くと、さらに検証が行われ、次の問題がレポートされます。

ASSIGNMENT_ID属性に対する別名としての文字Aの使用(文字AはOracleが使用する目的で予約されているため)個人識別可能情報(PII)を含む表への参照(ランタイム・エラーが発生する可能性があります)

UNIONやJOINなどのコマンドの使用(パフォーマンスに影響を与える可能性があります)

検証エラーはすべて修正する必要があります。

職責範囲の例外の定義たとえば、特定の等級や事業所の個人レコードを除いて、組織内のすべての個人レコードにユーザーがアクセスできるようにする必要があるとします。職責範囲別にレコードを保護する場合、カスタム基準を使用して一部のレコードを除外する必要はありません。かわりに、個人セキュリティ・プロファイルに除外ルールを3個まで含めることができます。ルールでは、等級や事業所など、一部のレコードを除外するための基準を定義します。

カスタム基準の表と表示カスタム基準をSQL述語の形式で使用して、個人レコードへのアクセスを保護できます。このトピックでは、カス

200

タムのSQL文で使用できない表と表示を示します。これらの表または表示のいずれかを使用するとランタイム・エラーが発生する可能性があります。エラー・メッセージには、ORA28113: POLICY PREDICATE HASERRORというテキストが含まれます。

次の表に、個人レコードへのアクセスを保護するときにカスタムのSQL文に含めることができない表と表示を示します。

製品 表または表示

Contracts OKC_EMPLOYEE_CONTACT_V

OKC_SEARCH_EMPLOYEE_V

OKC_SEARCH_INT_CONTACTS_V

OKC_SIGNER_CONTACTS_V

Financials for EMEA JE_RU_FA_EMPLOYEE_V

General Ledger GL_HIERVIEW_PERSON_INFO_V

グローバル人事管理 HR_BU_LOCATIONS_X

HR_LOCATIONS

HR_LOCATIONS_ALL

HR_LOCATIONS_ALL_F

HR_LOCATIONS_ALL_F_VL

HR_LOCATIONS_ALL_VL

HR_LOCATIONS_ALL_X

PER_ADDRESSES_F

PER_ADDRESSES_FU_SEC

PER_ADDRESSES_F_

PER_ADDRESSES_F_SEC

PER_CONT_WORKERS_CURRENT_X

PER_CONT_WORKERS_X

PER_DISPLAY_PHONES_V

PER_DRIVERS_LICENSES

PER_DRIVERS_LICENSESU_SEC

PER_DRIVERS_LICENSES_

PER_DRIVERS_LICENSES_SEC

PER_EMAIL_ADDRESSES

PER_EMAIL_ADDRESSESU_SEC

PER_EMAIL_ADDRESSES_

PER_EMAIL_ADDRESSES_SEC

PER_EMAIL_ADDRESSES_V

PER_EMPLOYEES_CURRENT_X

PER_EMPLOYEES_X

PER_LOC_OTHER_ADDRESSES_V

PER_NATIONAL_IDENTIFIERS

PER_NATIONAL_IDENTIFIERSU_SEC

PER_NATIONAL_IDENTIFIERS_

PER_NATIONAL_IDENTIFIERS_SEC

PER_NATIONAL_IDENTIFIERS_V

PER_PASSPORTS

PER_PASSPORTSU_SEC

201

PER_PASSPORTS_

PER_PASSPORTS_SEC

PER_PERSON_ADDRESSES_V

PER_PHONES

PER_PHONESU_SEC

PER_PHONES_

PER_PHONES_SEC

PER_PHONES_V

PER_VISAS_PERMITS_F

PER_VISAS_PERMITS_FU_SEC

PER_VISAS_PERMITS_F_SEC

PER_WORKFORCE_CURRENT_X

PER_WORKFORCE_X

グローバル給与 PAY_AMER_W4_LOC_ADDRESS_V

PAY_AMER_W4_PERSON_ADDRESS_V

Grants Management GMS_ALL_CONTACTS_V

GMS_INTERNAL_CONTACTS_V

Payments IBY_EXT_FD_EMP_HOME_ADDR

Planning Common Components MSC_AP_INTERNAL_LOCATIONS_V

プロファイル管理 HRT_PERSONS_D

HRT_PERSONS_X

Project Foundation PJF_PROJ_ALL_MEMBERS_V

PRJ_PROJECT_MANAGER_V

PRJ_TEAM_MEMBERS_F_V

Workforce Reputation Management HWR_VLTR_REGN_RGSTR_VL

HWR_VLTR_REGN_TOTAL_VL

表と表示の詳細は、Oracle HCM Cloudの表と表示のガイドを参照してください。

関連トピック

Oracle HCM Cloudの表およびビュー

個人セキュリティ・プロファイルのFAQ

ユーザーはアクセス可能な個人の連絡先レコードを参照できますか。「個人の管理」作業領域の「連絡先」タブを参照するユーザーは、連絡先が就業者でないかぎり、就業者の連絡先

202

を参照できます。連絡先が就業者である場合、連絡先の詳細は個人セキュリティ・プロファイルで保護されます。電話や電子メールなどの個人識別可能情報(PII)は、ユーザーが「連絡先個人PIIの管理」集計権限を継承しないかぎり、表示されません。

どのユーザーも自分の連絡先の連絡先レコードを参照できます。

個人が複数のアサイメントや個人タイプを持っている場合はどうなりますか。個人レコードにアクセスできるユーザーは、アサイメント・タイプに関係なく、個人のすべてのアサイメントにアクセスできます。アサイメントは異なる雇用主が持つこともできます。

個人セキュリティ・プロファイルに共有情報を含めるとどうなりますか。ユーザーは、共有しているすべての個人情報にアクセスできます。このアクセスは、個人セキュリティ・プロファイルで指定されている個人レコードに追加されるものです。このオプションを選択しない場合、ユーザーは、共有している個人レコードが個人セキュリティ・プロファイルで指定されていない場合、共有している個人情報にアクセスできません。

先日付のオブジェクトをセキュリティ・プロファイルに含めるとどうなりますか。ユーザーは、セキュリティ・プロファイル基準を満たす先日付の個人、組織、またはポジションにアクセスできます。このオプションを選択解除のままにした場合、ユーザーは先日付のオブジェクトにアクセスできません。たとえば、開始日が先日付である組織は、セキュリティ・プロファイルのその他の基準をすべて満たしていても、ユーザーには表示されません。

オブジェクト内の有効日レコードは、このオプションの影響を受けません。

ワークフォース・ストラクチャまたはグローバル名の範囲別に個人レコードへのアクセスを保護できますか。はい、できます。ただし、リリース11からアップグレードした場合のみに限られます。リリース12以上で実装が新規の場合は、ワークフォース・ストラクチャまたはグローバル名の範囲別に個人レコードへのアクセスを保護できません。

個人セキュリティ・プロファイルから一部のレコードを除外するにはどうすればよいですか。個人セキュリティ・プロファイルに除外ルールを含めます。ルールで部門や等級などの基準を使用して、除外するレコードを特定します。ただし、職責範囲別に個人レコードを保護する必要があります。

個人セキュリティ・プロファイルには、除外ルールを3個まで含めることができます。階層に基づくルールは1つの

203

み使用できます。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

204

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

18 組織セキュリティ・プロファイルとその他のセキュリティ・プロファイルこの章の内容は次のとおりです。

組織を保護する方法組織の保護に関するガイドライン組織セキュリティ・プロファイルの例ポジションの保護に関するガイドライン

205

ポジション・セキュリティ・プロファイルの例文書タイプ・セキュリティ・プロファイルの例国別仕様データ・グループ・セキュリティ・プロファイルトランザクション・セキュリティ・プロファイル給与セキュリティ・プロファイルの作成: 例フロー・パターン・セキュリティ・プロファイルの例フロー・セキュリティとフロー所有者組織セキュリティ・プロファイルとその他のセキュリティ・プロファイルに関するFAQ

組織を保護する方法有効な組織セキュリティ・プロファイルによって、企業内のすべての組織またはそれらの組織のサブセットへのアクセスを保護できます。このトピックでは、組織セキュリティ・プロファイルで基準を設定して特定の組織セットを識別する方法について説明します。

組織セキュリティ・プロファイルの次の3つのセクションの任意の組合せを使用して、組織セットを識別できます。

組織階層組織分類組織リスト

組織リスト・セクションで、追加するいくつかの組織と除外するいくつかの組織を選択できます。すべてのセクションで指定するすべての基準が適用されます。

次の表に、組織セキュリティ・プロファイル内の基準のそれぞれの組合せによる結果の組織セットを示します。

階層 分類リスト(除外)

リスト(追加) 組織セット

はい いいえ

いいえ いいえ 指定した階層内のすべての組織

いいえ

はい いいえ いいえ 企業内の選択した分類のすべての組織

いいえ

いいえ

はい いいえ リストされている組織を除外した企業内のすべての組織

いいえ

いいえ

いいえ はい リストされている組織

はい はい いいえ いいえ 指定された階層に属する選択した分類の組織

はい いいえ

はい いいえ リストされている組織を除外した指定された階層内のすべての組織

はい いいえ

いいえ はい 指定された階層内のすべての組織とリストされている組織

206

いいえ

はい はい いいえ リストされている組織を除外した、選択した分類のすべての組織

いいえ

はい いいえ はい 選択した分類のすべての組織とリストされている組織

はい はい はい いいえ リストされている組織を除外した、指定された階層内の選択した分類のすべての組織

はい はい いいえ はい 指定された階層内の選択した分類のすべての組織とリストされている組織

はい はい はい はい リストされている組織が追加および除外された、指定された階層内の選択した分類のすべての組織

組織セキュリティ・プロファイルの組織リスト・セクションの使用には、次のルールが適用されます。

組織を組織リスト・セクションに追加して、「追加」を選択すると、その組織がセキュリティ・プロファイル・インスタンス・セットに追加されます。通常、これは、組織がセキュリティ・プロファイル内の他の基準によって識別されない場合に行います。たとえば、雇用主分類を含めて、組織リスト・セクションに部門を追加できます。組織リスト・セクションに雇用主を含めた場合は、その組織がすでに含まれていても、エラーは発生しません。組織を組織リスト・セクションに追加して、「除外」を選択すると、その組織がセキュリティ・プロファイル・インスタンス・セットから除外されます。通常、これは、組織がセキュリティ・プロファイル内の他の基準によって識別される場合に行います。たとえば、部門階層を含めて、それらの部門の1つを組織リスト・セクションに追加して除外できます。組織リスト・セクションに雇用主を含めた場合は、雇用主がすでに除外されていても、エラーは発生しません。

組織の保護に関するガイドライン組織の定義を保守するユーザーもいれば、アサイメントの作成などのタスクを実行しながら、組織のリストにアクセスするユーザーもいます。これらのユーザーのアクセス要件は異なります。ただし、どちらのタイプのユーザーについても、組織セキュリティ・プロファイルで関連する組織を指定します。このトピックでは、組織セキュリティ・プロファイルを作成する際に選択するオプションの影響について説明します。組織セキュリティ・プロファイルを作成するには、「組織セキュリティ・プロファイルの管理」タスクを使用します。

分類が複数ある組織組織には、複数の分類がある場合があります。たとえば、ある部門に雇用主分類も設定されていることがあります。組織は、組織セキュリティ・プロファイルの分類基準のいずれかを満たしている場合、そのセキュリティ・プロファイルのデータ・インスタンス・セットに属します。たとえば、部門階層別にのみ保護する場合、雇用主でもある部門は、部門であるため対象となります。

組織分類別の保護単一の分類のすべての組織へのアクセスを保護するには、「組織別保護」セクションで分類を選択します。たとえば、企業内のすべての雇用主へのアクセスを保護するには、分類別保護セクションの「分類名」を「雇用主」に設定します。選択した雇用主をこのアクセスから除外するには、「組織」セクションでその雇用主をリストし

207

て、「組織の追加または除外」列で「除外」を選択します。

組織階層の最上位組織の選択名前付き組織を組織階層の最上位組織として選択する場合は、その組織が有効な状態に維持されるようにする必要があります。組織階層の変更は組織セキュリティ・プロファイルとは別に行われるため、組織の自動検証は行われません。

アサイメントが複数あるユーザーユーザーのアサイメント先の部門を組織階層の最上位組織として選択できます。ユーザーにアサイメントが複数ある場合、最上位組織が複数存在することもあります。この場合、組織階層の関連する下位階層に含まれるすべての部門が組織セキュリティ・プロファイルのデータ・インスタンス・セットに属します。

次の図は、ユーザーにアサイメントが複数ある場合のこのオプションの影響を示しています。

このユーザーにはアサイメントが2つあります。1つは部門Bで、もう1つは部門Dです。これらは同じ組織階層に属しています。したがって、最上位組織は部門Bと部門Dとなり、このユーザーの組織データ・インスタンス・セットには部門B、E、D、F、Gが含まれます。

組織セキュリティ・プロファイルの例組織セキュリティ・プロファイルでは、組織階層、組織分類、組織リストの1つ以上によって組織を指定できます。

208

これらの例は、組織セキュリティ・プロファイルの一般的な要件を示しています。組織セキュリティ・プロファイルを作成するには、「組織セキュリティ・プロファイルの管理」タスクを使用します。

組織を保守するHR IT管理者HR IT管理者は、企業のあらゆるタイプの組織を保守します。このようなユーザーのアクセスについては、セキュリティ・プロファイルの更新なしに、組織階層の変更が反映される必要があります。そのためには、次のようにします。

組織階層別に保護します。一般組織階層を選択します。階層にはすべてのタイプの組織が含まれます。階層の最上位組織を名前で指定します。ユーザー自身のアサインメントによって最上位組織が変わることはまずありません。

組織分類別に保護する場合、または名前で組織をリストする場合は、組織階層の変化に応じてセキュリティ・プロファイルを保守する必要があります。

雇用主の雇用レコードを管理する人事担当者人事(HR)担当者は、雇用情報を管理しながら、雇用主やビジネス・ユニットなど、様々な組織のリストにアクセスします。そのようなリストで表示される組織を指定するには、次のようにします。

組織階層別に保護します。このユーザーは複数のタイプの組織にアクセスするため、一般組織階層を選択します。ユーザーのアサインメント先の部門を階層の最上位組織として使用します。この値を使用すると、この組織セキュリティ・プロファイルを含むHCMデータ・ロールを複数のHR担当者に割り当てることができます。

ポジションの保護に関するガイドラインこのトピックでは、ポジション・レコードへのアクセスを保護する方法を決定する際に考慮すべき点について説明します。また、指定したユーザーのセキュリティ・プロファイルによって提供されるアクセスを保存前にプレビューする方法についても説明します。

職責範囲別の保護職責範囲別にポジション・レコードを保護する場合、ユーザーがアクセスできるレコードのセットが動的に計算されます。計算は、ユーザーの割当済職責範囲に基づいて行われます。たとえば、ユーザーは特定の部門のHR担当者である場合があります。これらの値に基づいて、ポジション・セキュリティ・プロファイルを作成します。つまり、「職責タイプ」を「人事担当者」に、「スコープ」を「部門」に設定します。この場合、部門でその職責を担うユーザーは、その部門に対して定義されたポジション・レコードにアクセスできます。後でユーザーが別の部門のポジションに対して職責を担うようになった場合は、そのユーザーの職責範囲のみを更新します。ポジション・セキュリティ・プロファイルは、更新なしに有効な状態に維持されます。また、ポジション・セキュリティ・プロファイルを含む単一のデータ・ロールを作成し、複数の担当者に割り当てることもできます。ポジション・リスト別にアクセスを保護するオプションをいつでも使用できるため、必要に応じて、ユーザーがアクセスできるポジ

209

ションのリストをさらに調整できます。パフォーマンス上の理由から、可能な限り、職責範囲別にポジション・レコードへのアクセスを保護することをお薦めします。

ポジション・セキュリティ・プロファイルで「職責範囲」セクションを選択すると、「ポジション階層」セクションと「ワークフォース・ストラクチャ」セクションは使用できなくなります。これらの基準は、職責範囲別の保護と互換性がありません。

ポジション階層別の保護Oracle HCM Cloudは、ポジション・ツリーとHCMポジション階層の両方をサポートしています。「ポジション階層構成」企業オプションの値に応じて、どちらのタイプの階層を使用しても、ポジション・レコードへのアクセスを保護できます。

注意: ポジション階層に関連する今後の機能強化では、HCMポジション階層のみがサポートされます。そのため、ポジション・ツリーよりも、HCMポジション階層を優先的に使用することをお薦めします。

「ポジション階層構成」オプションは「企業HCM情報の管理」ページで設定します。このオプションにより、「ポジション・ツリー」フィールドが「ポジション・セキュリティ・プロファイルの作成」ページの「ポジション階層」セクションに表示されるかどうかが決まります。

「HCMポジション階層の使用」のみを選択した場合、「ポジション・ツリー」フィールドは非表示になります。「ポジション・ツリーの使用」のみを選択した場合、「ポジション・ツリー」フィールドは表示されます。両方のオプションを選択した場合、「階層タイプ」フィールドが表示され、HCMポジション階層またはポジション・ツリーを選択できます。

既存のポジション・セキュリティ・プロファイルを編集する場合は、企業オプションは影響を及ぼしません。既存のポジション・セキュリティ・プロファイルがポジション・ツリーに基づいている場合は、「ポジション・ツリー」フィールドが表示されます。それ以外の場合は、「ポジション・ツリー」フィールドは非表示になります。

セキュリティ・プロファイルのプレビューポジション・セキュリティ・プロファイルは、2つのステップで作成できます。セキュリティ基準を定義した後、「次」をクリックして、「ポジション・セキュリティ・プロファイルの作成: プレビュー」ページを開きます。ここで、セキュリティ・プロファイルによって提供されるアクセスを保存前にテストできます。「ポジション・アクセス・プレビュー」タブで、ユーザーを選択し、「プレビュー」をクリックできます。この処理では、このセキュリティ・プロファイルでユーザーによるアクセスを許可しているポジション・レコードの数が返されます。ユーザーの職責範囲の名前とタイプも表示されます(存在する場合)。その後、セキュリティ・プロファイルによってアクセスが提供される個々のポジション・レコードを検索して確認できます。検索は、ポジション名、ビジネス・ユニット、在職者などの基準に基づいて行われます。検索は、プレビュー処理で返された一連のポジション・レコード内で実行されます。

「ポジション・アクセスのSQL述語」タブで、セキュリティ基準に対して自動的に生成されたSQL述語を確認できます。

注意: ポジション・アクセス・プレビューの結果は、現在のポジション・セキュリティ・プロファイルのみに基づきます。ユーザーは、他のポジション・レコードへのアクセスを提供する多数のロールを持っている場合があります。

210

関連トピック

職責範囲の割当て方法

ポジション・セキュリティ・プロファイルの例これらのシナリオは、ポジション・セキュリティ・プロファイルの一般的な使用方法を示しています。ポジション・セキュリティ・プロファイルを作成するには、「ポジション・セキュリティ・プロファイルの管理」タスクを使用します。

ポジション定義を管理する人事担当者人事(HR)担当者は、特定のビジネス・ユニットのポジション定義を管理します。各HR担当者に対して、「職責タイプ」が「人事担当者」に設定され、ビジネス・ユニットが選択された職責範囲を定義します。ポジション・セキュリティ・プロファイルで、次のようにします。

職責範囲別に保護します。「職責タイプ」を「人事担当者」に、職責の「スコープ」を「ビジネス・ユニット」に設定します。

このセキュリティ・プロファイルをデータ・ロールに含めて、ビジネス・ユニットのポジションを管理するHR担当者にそのロールをプロビジョニングできます。

ヒント: ポジション・リスト別に保護することもできます。たとえば、職責範囲を使用して識別されたセットに追加するポジションを指定できます。

就業者を採用するライン・マネージャ雇用主のライン・マネージャは、ポジション階層でそのマネージャ自身のポジションよりも低いポジションの就業者を採用できます。マネージャのポジションは、アクティブなアサイメントに関連付けられている必要があります。HCMポジション階層を使用している場合、これらのポジションを指定するには、次のようにします。

ポジション階層別に保護します。「最上位ポジション」を「すべてのアクティブなユーザー・アサイメントからのポジションの使用」に設定します。「最上位ポジションを含む」の選択を解除します。

このポジション・セキュリティ・プロファイルをデータ・ロールに含めて、雇用主のライン・マネージャにそのロールをプロビジョニングできます。

文書タイプ・セキュリティ・プロファイルの例

211

企業の文書タイプを管理するユーザーもいれば、アクセスする個人レコードに関連付けられた文書を管理するユーザーもいます。たとえば、就業者は自分の文書を管理します。どのようなアクセス要件でも、文書タイプ・セキュリティ・プロファイルで、ユーザーがアクセスできる文書タイプを指定できます。

これらのシナリオは、文書タイプ・セキュリティ・プロファイルの一般的な使用方法を示しています。文書タイプ・セキュリティ・プロファイルを作成するには、「文書タイプ・セキュリティ・プロファイルの管理」タスクを使用します。

注意: 文書タイプ・セキュリティ・プロファイルでは、管理者定義文書タイプへのアクセスのみを保護します。ビザ、労働許可、運転免許証など、標準的な事前定義済の文書タイプへのアクセスは保護されません。標準的な事前定義済の文書タイプへのアクセスは、個人レコードへのアクセスによって提供されます。

自分の文書を管理する就業者就業者は、個人情報を編集することで自分の文書を管理できます。通常、従業員および派遣就業者ロールには、事前定義済セキュリティ・プロファイルすべての文書タイプの表示が直接割り当てられます。したがって、就業者は自分の文書にアクセスできます。

または、指定した文書タイプのみを含む文書タイプ・セキュリティ・プロファイルを作成することもできます。セキュリティ・プロファイルで、追加または除外する文書タイプを指定します。たとえば、学術文書や医学文書を除外した文書タイプ・セキュリティ・プロファイルを就業者に対して作成できます。この場合、就業者は他のすべての文書タイプにアクセスできます。

文書タイプを管理する人事担当者企業の文書タイプを管理する人事(HR)担当者は、すべての文書タイプにアクセスする必要があります。このようなアクセスは、事前定義済セキュリティ・プロファイルすべての文書タイプの表示をHR担当者のHCMデータ・ロールに含めることで提供できます。このセキュリティ・プロファイルを使用して、HR担当者は、管理する個人レコードで管理者定義タイプの文書を管理することもできます。

国別仕様データ・グループ・セキュリティ・プロファイル国別仕様データ・グループ(LDG)セキュリティ・プロファイルを使用して、アクセスを保護するLDGを指定できます。「設定および保守」作業領域の「国別仕様データ・グループ・セキュリティ・プロファイルの管理」タスクを使用します。

すべての国別仕様データ・グループの表示セキュリティ・プロファイル事前定義済LDGセキュリティ・プロファイルすべての国別仕様データ・グループの表示は、すべての企業LDGへのアクセスを提供します。このセキュリティ・プロファイルを必要に応じて使用します。たとえば、特定のHCMデータ・ロールを持つユーザーがすべての企業LDGを管理する場合は、すべての国別仕様データ・グルー

212

プの表示をそのデータ・ロールに含めます。

LDGセキュリティ・プロファイルの作成HCMデータ・ロールによって担当するLDGが異なる場合は、データ・ロールごとに適切なLDGセキュリティ・プロファイルを作成します。たとえば、LDGセキュリティ・プロファイルがヨーロッパのLDG用に1つ、アメリカのLDG用にも1つ必要となる場合があります。

トランザクション・セキュリティ・プロファイルデフォルトでは、トランザクション・コンソールにアクセスできるユーザーは、コンソール上のすべてのトランザクションを管理できます。ただし、ユーザーがタレント・トランザクションや報酬トランザクションのみを管理できるようにアクセスを制限する場合があります。このトピックでは、指定したカテゴリのトランザクションのみにユーザーがアクセスできるように、トランザクション・コンソールのトランザクションを保護する方法について説明します。

トランザクション・コンソールのトランザクションへのアクセスを保護する方法トランザクション・コンソールのトランザクションへのアクセスを保護するには、いくつかの処理を行う必要があります。

1. トランザクション・セキュリティ・プロファイルを作成します。2. データ・ロールを作成し、それらにトランザクション・セキュリティ・プロファイルを割り当てます。3. ユーザーにデータ・ロールを割り当てます。4. トランザクション・セキュリティを有効にします。

トランザクション・セキュリティ・プロファイルを個別に作成する必要はありません。必要に応じて、データ・ロールを作成するときに作成できます。このトピックでは、個別に作成する方法について説明しますが、主要なステップはどちらの場合も同じです。

トランザクション・セキュリティ・プロファイルの作成「トランザクション・セキュリティ・プロファイルの管理」タスクを使用して、ユーザーが管理できるトランザクション・タイプを選択します。このタスクは、「ワークフォース・ストラクチャ」または「設定および保守」作業領域にあります。

トランザクション・セキュリティ・プロファイルの作成ページで、次を実行します。

1. 「新規作成」アイコンをクリックします。2. 「ファミリ」を「HCM」に設定します。3. 「タレント」や「ワークフォース管理」などのカテゴリを選択します。この値は、ユーザーが管理できるトランザクションのカテゴリを示します。選択しないカテゴリは除外されます。

213

4. オプションでサブカテゴリを選択します。たとえば、「タレント」カテゴリの「パフォーマンス」サブカテゴリを選択できます。

サブカテゴリでは、サブカテゴリのトランザクションのみが識別されます。カテゴリ内の他のすべてのサブカテゴリは、個別に選択しないかぎり除外されます。サブカテゴリの除外を選択すると、ユーザーは除外されたサブカテゴリのトランザクション以外の、カテゴリ内のトランザクションを管理できます。

これらのステップを繰り返して、他のトランザクションのカテゴリをセキュリティ・プロファイルに追加できます。終了したら、変更を保存します。

データ・ロールの作成データ・ロールは、次の方法で作成できます。

「ワークフォース・ストラクチャ」作業領域の「データ・ロールおよびセキュリティ・プロファイルの管理」タスク「設定および保守」作業領域の「ロールへのセキュリティ・プロファイルの割当」タスク

データ・ロールは次のようにする必要があります。

事前定義済の「人材管理アプリケーション管理者」ジョブ・ロールまたは必要な権限を持つカスタム・ロールを継承する。

事前定義済の「人材管理アプリケーション管理者」ジョブ・ロールは、管理者としてのHCM承認トランザクションのレビュー職務ロールを継承します。この職務ロールをカスタム・ロールに割り当てることができます。ビジネス・ユーザーとしてのHCM承認トランザクションのレビュー職務ロールは、事前定義済ロールによって継承されません。これにより、トランザクション・コンソールで制限付きの一連の処理が有効化されます。この職務ロールは、人事担当者などのカスタム・ロールに割り当てることができます。

トランザクション・セキュリティ・プロファイルが割り当てられる。このセキュリティ・プロファイルは、トランザクション・コンソールでユーザーが管理できるトランザクションのタイプを識別します。次のことが可能です。

「トランザクション・セキュリティ・プロファイルの管理」タスクを使用して作成したトランザクション・セキュリティ・プロファイルを選択します。データ・ロールのタスク・フローでセキュリティ・プロファイルを作成します。事前定義済のセキュリティ・プロファイルのすべてのトランザクションの表示とすべてのHCMトランザクションの表示のいずれかを使用します。

必要な数のデータ・ロールを作成し、ユーザーに割り当てます。トランザクション・コンソールでは、これらのユーザーが次のトランザクションを管理できます。

データ・ロールの個人セキュリティ・プロファイルによって識別されたユーザーによって作成されたものデータ・ロールのトランザクション・セキュリティ・プロファイルのカテゴリに属するもの

両方の条件が適用されることに注意してください。トランザクション・セキュリティを有効化する必要もあります。それ以外の場合、トランザクション・コンソールにアクセスできるユーザーは、自身のデータ・ロールがトランザクションの指定タイプに制限している場合でも、すべてのトランザクションを管理できます。

214

トランザクション・セキュリティの有効化トランザクション・セキュリティはデフォルトで無効です。トランザクション・セキュリティを有効にするには、「企業HCM情報の管理」タスクを使用します。このタスクは次の場所にあります。

「ワークフォース・ストラクチャ」作業領域オファリングの「ワークフォース・ストラクチャ」機能領域の「設定および保守」作業領域

次のステップを実行します。

1. 企業の編集ページで、「編集」→「更新」を選択します。2. 企業の更新ダイアログ・ボックス内の各フィールドを入力し、「OK」をクリックします。3. 「トランザクション・コンソール情報」セクションにスクロールします。「トランザクション・コンソール情報」セクションで、「トランザクション・セキュリティ使用可能」を選択します。

4. 「送信」をクリックします。

トランザクション・セキュリティは1回のみ有効にする必要があります。有効化されている間、トランザクション・コンソールのトランザクションへのアクセスが保護され、ユーザーはデータ・ロールで許可されているトランザクションのみを管理できます。

給与セキュリティ・プロファイルの作成: 例これらの例は、給与担当部門のメンバーに給与データへのアクセスを提供するためのさまざまな方法を示しています。まず、「給与セキュリティ・プロファイルの管理」タスクを使用して、給与定義を適切な給与セキュリティ・プロファイルに編成します。次に、「ロールへのセキュリティ・プロファイルの割当」タスクを使用して、ユーザーにプロビジョニングするHCMデータ・ロールに含めるセキュリティ・プロファイルを選択します。

給与期間タイプ給与セキュリティ・プロファイルを使用して給与期間タイプ別に給与定義を編成することが、最も一般的な例です。セキュリティ・プロファイルを月次給与用に1つ、月2回の給与用にも1つ、といったように作成します。

地域別のアサイメント給与セキュリティ・プロファイルを使用して、対象となる従業員の作業領域の地域別に給与をグループ化することができます。たとえば、カナダの施設用に1つ、ヨーロッパの施設用にも1つ作成できます。

個別拠出者管理対象の給与定義のみに給与マネージャのアクセスを制限する必要がある場合があります。このシナリオでは、給与セキュリティ・プロファイルにそれらの給与のみを含めます。

215

フロー・パターン・セキュリティ・プロファイルの例様々な方法を使用して、給与フローを適切なセキュリティ・プロファイルに編成できます。「設定および保守」作業領域の「ロールへのセキュリティ・プロファイルの割当」タスクを使用して、就業者に対し、データ・ロール別にそのプロファイルへのアクセス権を付与します。

シナリオ給与セキュリティ・プロファイルおよびデータ・ロールの例をいくつか次に示します。

例 データ・ロール セキュリティ・プロファイル

給与処理とQuickPayフロー

給与管理者 給与サイクル・フローおよびQuickPayフロー

年度末レポート 給与管理者 年度末フローおよび年度末給与計算結果のアーカイブ・フロー

採用と退職 HR管理者またはHR担当者

新規採用フローおよび退職フロー

フロー・セキュリティとフロー所有者HCMデータ・ロール・セキュリティによって、送信または表示できるフローが決まります。このトピックでは、HCMデータ・ロールとフロー・セキュリティがどのように連携するかについて説明します。給与フロー・パターンのセキュリティを定義するには、「設定および保守」作業領域の「給与フロー・セキュリティ・プロファイルの管理」タスクを使用します。

給与フロー・セキュリティとHCMデータ・ロールHCMデータ・ロールは、データ権限によってフローへのアクセスを保護し、機能権限によってチェックリスト上のタスクへのアクセスを保護します。

フロー・パターンを送信すると、含まれているタスクのチェックリストが生成されます。送信したユーザーはフローとそのタスクの所有者になります。フロー・パターンで異なる所有者にタスクが指定されても、フロー所有者は変わりません。自分またはタスクの所有者は、他のユーザーにタスクを再割当てできます。たとえば、タスクが期限超過になり、タスク所有者が休暇中である状況に対応できます。

この図は、給与マネージャと給与管理者がプロセスまたはレポートを送信し、月次給与フローの結果を表示できることを示しています。

216

給与マネージャまたは給与管理者は、フローを送信してそのタスクを実行することも、タスクを互いに再割当てすることもできます。給与マネージャと給与管理者は、同じ機能権限を持っているため、同じタスクを実行できます。どちらも給与フロー・データを送信および表示できます。

この図は、給与マネージャだけが給与を計算できることを示しています。給与マネージャがこのタスクを給与管理者に再割り当てすることはできません。これは、給与管理者は月次給与フロー処理の送信に必要な機能権限を持っていないためです。

217

トラブルシューティングフローでタスクの送信または完了に問題が発生した場合は、次の操作を実行します。

問題 解決策

フローを送信または表示できない

割り当てられたデータ・ロールに給与フロー・パターンのセキュリティ・プロファイルが含まれていることを確認します。

プロセスやレポートなどのタスクを実行できない

データ・ロールがそのタスクを実行するための機能権限を含むジョブ・ロールまたは抽象ロールに基づいていることを確認します。

組織セキュリティ・プロファイルとその他のセキュリティ・プロファイルに関するFAQ

一般組織階層と部門階層の違いは何ですか。一般組織階層は、ディビジョン、法的エンティティ、部門、税レポート・ユニットなど、すべての分類の組織を含む単一の階層です。

部門階層には、部門分類の組織しか含まれません。

218

一般組織階層の組織セキュリティ・プロファイルを選択するとどうなりますか。たとえば、部門別に保護する場合、データ・インスタンス・セットには、一般組織階層の部門分類を持つ組織のみが含まれます。他のタイプの組織はデータ・インスタンス・セットに含まれません。

したがって、複数のワーク・ストラクチャ・タイプに対して同じ組織セキュリティ・プロファイルを選択できます。

ユーザーのアサイメント先の部門またはポジションを最上位部門または最上位ポジションとして使用するとどうなりますか。組織階層またはポジション階層へのユーザーのアクセス権は、ユーザーのアサイメントによって決まります。そのため、単一のセキュリティ・プロファイルからのデータ・インスタンス・セットが、ユーザーごとに異なる場合があります。

階層内に複数のアサイメントがあるユーザーの場合、最上位組織または最上位ポジションが複数存在することになる可能性があります。関連する下位階層のすべての組織またはポジションがデータ・インスタンス・セットに含まれます。

国セキュリティ・プロファイルはどのような場合に必要ですか。国セキュリティ・プロファイルでは、国のリストに表示される国を指定できます。事前定義済の国セキュリティ・プロファイルすべての国の表示は、ほとんどのニーズに対応できます。ただし、HCMデータ・ロールに対して国セキュリティ・プロファイルを作成することで、そのロールで使用できる国リストを制限できます。含めることができる国は、FND_TERRITORIESテーブルで定義されている国です。

デフォルトでは、次の事前定義済ジョブおよび抽象ロールを持つユーザーには、国リストにすべての国が表示されます。

福利厚生管理者福利厚生マネージャ福利厚生スペシャリスト報酬マネージャ派遣就業者従業員人材管理統合スペシャリスト人事担当者ライン・マネージャ

データ・ロールにこれらのロールを含めると、このデータ・ロールを持つユーザーにはすべての国が表示されます。データ・ロールに含める国セキュリティ・プロファイルが影響することはありません。

ジョブ求人セキュリティ・プロファイルはどのような場合に必要ですか。

219

デフォルトでは、ユーザーは、ジョブ求人採用チームのメンバーである場合にジョブ求人を表示できます。自分の部下が表示できるジョブ求人も表示できます。ユーザーが他のジョブ求人を表示できるように、ジョブ求人セキュリティ・プロファイルを定義し、HCMデータ・ロールに含めることができます。たとえば、事業所または採用タイプ別にジョブ求人へのアクセスを保護できます。

先日付のオブジェクトをセキュリティ・プロファイルに含めるとどうなりますか。ユーザーは、セキュリティ・プロファイル基準を満たす先日付の個人、組織、またはポジションにアクセスできます。このオプションを選択解除のままにした場合、ユーザーは先日付のオブジェクトにアクセスできません。たとえば、開始日が先日付である組織は、セキュリティ・プロファイルのその他の基準をすべて満たしていても、ユーザーには表示されません。

オブジェクト内の有効日レコードは、このオプションの影響を受けません。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

220

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

19 セキュリティ・コンソールの使用この章の内容は次のとおりです。

グラフィカル形式と表形式でのロールのビジュアライゼーションナビゲータ・メニューのシミュレートロール割当のレビューロール階層のレビューロールの比較「分析」タブでのロール情報

221

データベース・リソースの分析

グラフィカル形式と表形式でのロールのビジュアライゼーションセキュリティ・コンソールの「ロール」タブで、ロール階層をレビューできます。ロール階層を表形式表示またはグラフィカル形式表示で表示できます。デフォルトの表示は、「管理」タブの「デフォルトの表形式表示可能」オプションの設定によって異なります。このトピックでは、これらの各表示を使用する方法について説明します。

ロール階層の範囲は、階層の上部のユーザーから下部の権限までです。グラフィカル形式表示と表形式表示の両方で、表示される階層の方向を設定できます。

選択したユーザー、ロールまたは権限から上に移動する階層を表示するには、「展開方向」を「ユーザー」に設定します。選択したユーザー、ロールまたは権限から下に移動する階層を表示するには、「展開方向」を「ロール」に設定します。

表形式表示「ロール」タブでセキュリティ・アーティファクトを選択したときに、表形式表示が表示されない場合は、「表として表示」アイコンをクリックします。表形式表示で次の操作が行えます。

選択したユーザーまたはロールの完全なロール階層をレビューします。表には、直接的および間接的に継承されたロールが表示されます。列検索フィールドに検索条件を入力し、[Enter]を押すことで、セキュリティ・アーティファクトを検索します。表の内容を次のように設定します。

「展開方向」が「権限」に設定されている場合、「表示」を「権限」または「ロール」に設定できます。「展開方向」が「ユーザー」に設定されている場合、「表示」を「ロール」または「ユーザー」に設定できます。

表の結果の内容は、開始点によって異なります。たとえば、権限を選択して、「展開方向」を「権限」に、「表示」を「ロール」に設定した場合、表は空になります。表示された詳細をMicrosoft Excelスプレッドシートにエクスポートします。

グラフィカル形式表示「ロール」タブでセキュリティ・アーティファクトを選択したときに、グラフィカル形式表示が表示されない場合は、「グラフの表示」アイコンをクリックします。グラフィカル形式表示では、ユーザー、権限、様々なタイプのロールがノードで表され、色とラベルで区別されます。これらの値は、「凡例」で定義されます。次のことが可能です。

選択したロールまたはユーザーによって直接継承されたロールをレビューします。間接的に継承されたロー

222

ルおよび権限を表示するには、直接継承されたロールを選択し、右クリックして「展開」または「すべて展開」を選択します。処理を取り消すには、「縮小」または「すべて縮小」を選択します。または、ノードをダブルクリックして、ノードを展開または縮小します。「フォーカスとして設定」処理を使用して、選択した任意のノードをビジュアライゼーションの中心に配置します。「概要」アイコンを使用して、ビジュアライゼーションを操作します。たとえば、「概要」でノードをクリックすると、ノードがビジュアライゼーションの中心に移動します。ドラッグ・アンド・ドロップを使用することもできます。凡例エントリにカーソルを合せて、ビジュアライゼーションの対応するノードをハイライトします。凡例エントリをクリックし、ビジュアライゼーションの対応するノードを追加または削除します。

コントロール・パネルで次の操作が行えます。

放射状表示とレイヤー表示間でレイアウトを切り替えます。「検索」アイコンをクリックして、検索条件を入力し、現在表示されているノードからセキュリティ・アーティファクトを見つけます。「ズーム・イン」および「ズーム・アウト」アイコンまたはマウス・ホイールを使用して、拡大および縮小します。「拡大」アイコンをクリックして目的の領域にドラッグし、ビジュアライゼーションの領域を拡大します。拡大を解除するには、アイコンを再度クリックします。「合せてズーム」アイコンをクリックして、イメージを中央揃えにし、表示領域全体に表示します

ナビゲータ・メニューのシミュレートユーザーとロールの両方に対して、ナビゲータをシミュレートできます。この機能は、特定の作業領域およびタスクにアクセス権が提供される方法の識別に役立ちます。たとえば、ロールを作成するときに、この情報が必要になる場合があります。このトピックでは、ナビゲータをシミュレートする手順を説明します。

ロールに対するナビゲータのシミュレーション次のステップを実行します。

1. セキュリティ・コンソールの「ロール」タブで、任意のタイプのロールを検索します。2. 検索結果で、ロールの「処理」メニューから「ナビゲータのシミュレート」を選択します。「ナビゲータのシミュレート」ページが開きます。ナビゲータ・エントリに対してアイコンが表示される場合があります。具体的には次のとおりです。

「ロック」アイコンは、ロールがエントリにアクセスできないことを示します。「警告」アイコンは、たとえば、構成の結果として、エントリがナビゲータに表示されないことを示します。

これらのアイコンのいずれも表示されないエントリが、そのロールで使用可能です。

ヒント: ロールがアクセスできるエントリのみを表示するには、「表示」を「アクセス権限付与」に設定します。

223

ナビゲータ・エントリにアクセス権を付与するロールの表示ナビゲータのすべてのエントリについて、ロールに使用できるかどうかに関係なく、アクセス権を付与するロールを識別できます。次のステップを実行します。

1. エントリをクリックします。2. 「アクセス権を付与するロールの表示」を選択します。3. 「アクセス権を付与するロール」ダイアログ・ボックスで、ロールのリストをレビューします。すべてのタイプのロールが表示されます。このリストをレビューした後、必要に応じて、このアクセス権を有効にする方法を決定できます。たとえば、抽象ロールをユーザーにプロビジョニングしたり、集計権限をカスタム・ロールに追加したりすることを決定できます。

4. 「OK」をクリックして、「アクセス権を付与するロール」ダイアログ・ボックスを閉じます。

メニューに必要な権限の表示ナビゲータのすべてのエントリについて、ロールが使用できるかどうかに関係なく、次のものにアクセス権を付与する権限を識別できます。

ナビゲータ・エントリ関連付けられた作業領域のタスク

次のステップを実行します。

1. エントリをクリックします。2. 「メニューに必要な権限の表示」を選択します。3. 作業領域アクセスの権限の表示ダイアログ・ボックスで、次のものにアクセス権を付与する権限のリストをレビューします。

ナビゲータ・メニュー項目関連付けられた作業領域のタスク・パネル・エントリ。この表の「アクセス権限付与」列で、選択したロールがこれらのタスクにアクセスできるかどうかが確認できます。

たとえば、ロールを作成するときに、この情報を使用できます。特定のタスクや作業領域へのアクセス権を追加および削除する方法を識別できます。

4. 「OK」をクリックして、作業領域アクセスの権限の表示ダイアログ・ボックスを閉じます。5. 「クローズ」をクリックして「ナビゲータのシミュレート」ページを閉じます。

ユーザーに対するナビゲータのシミュレーションセキュリティ・コンソールの「ロール」タブでユーザーを検索し、ユーザーの「処理」メニューで「ナビゲータのシミュレート」を選択します。ロールに対するナビゲータをシミュレートする手順に従います。

ロール割当のレビュー

224

セキュリティ・コンソールを使用して、次の操作を行えます。

ユーザーに割り当てられているロールを表示する。特定のロールを持つユーザーを識別する。

ユーザーがこのタスクを実行するには、「ITセキュリティ・マネージャ」ジョブ・ロールが必要です。

ユーザーに割り当てられたロールの表示次のステップを実行します。

1. セキュリティ・コンソールを開きます。2. 「ロール」タブで、ユーザーを検索して選択します。企業設定に応じて、ユーザーのロール階層が表形式表示またはグラフィカル形式表示で表示されます。必要に応じて、グラフィカル形式表示に切り替えて、ユーザーと、ユーザーが直接継承するロールを表示します。カーソルを合せると、ユーザー名とロール名が表示されます。継承ロールを展開するには、次の操作を行います。

a. ロールを選択して右クリックします。b. 「展開」を選択します。必要に応じて、これらのステップを繰り返し、階層を下に移動します。

ヒント: 完全なロール階層を一度に表示するには、表に切り替えます。この表示から詳細をMicrosoft Excelにエクスポートできます。

特定のロールを持つユーザーの識別次のステップを実行します。

1. セキュリティ・コンソールの「ロール」タブで、ロールを検索して選択します。2. 企業設定に応じて、ロール階層が表形式表示またはグラフィカル形式表示で表示されます。デフォルトでグラフィカル形式表示が表示されない場合は、グラフィカル形式表示に切り替えます。

3. 「展開方向」を「ユーザー」に設定します。

ヒント: 「展開方向」オプションを設定して、グラフの方向を制御します。選択したロールから階層内を上へ移動(ユーザーへ向かって)したり、下へ移動(権限へ向かって)したりできます。

リフレッシュされたグラフでカーソルを合せると、ユーザー名が表示されます。ユーザーは、他のロールからロールを直接的または間接的に継承できます。ロールを展開して、その階層を表示します。

4. 「凡例」で、「ユーザー」アイコンの「表形式表示」アイコンをクリックします。ロールを持つすべてのユーザーが表にリストされます。この情報をMicrosoft Excelにエクスポートできます。

ロール階層のレビューセキュリティ・コンソールで、ジョブ・ロール、抽象ロール、職務ロールまたはHCMデータ・ロールのロール階層をレビューできます。ユーザーがこのタスクを実行するには、「ITセキュリティ・マネージャ」ジョブ・ロールが必要です。

225

注意: セキュリティ・コンソールでHCMデータ・ロールをレビューできますが、HCMデータ・ロールおよびセキュリティ・プロファイルの管理ページでHCMデータ・ロールを管理する必要があります。セキュリティ・コンソールでそれらを編集しようとしないでください。

次のステップを実行します。

1. セキュリティ・コンソールの「ロール」タブで、「展開方向」が「権限」に設定されていることを確認します。

2. 目的のロールを検索して選択します。企業設定に応じて、ロールが表形式表示またはグラフィカル形式表示で表示されます。

3. デフォルトで表が表示されない場合は、「表として表示」アイコンをクリックします。表には、選択したロールによって直接的または間接的に継承されるすべてのロールがリストされます。ロールから権限に切り替えるには、「表示」を「権限」に設定します。

ヒント: 列検索フィールドにテキストを入力して、[Enter]を押すと、指定したテキストが含まれるロールまたは権限のみが表示されます。

現在の表データをMicrosoft Excelにエクスポートするには、「Excelにエクスポート」をクリックします。

ロールの比較2つのロールを比較して、相違点と類似点を識別できます。比較できるロールは、ジョブ・ロール、抽象ロール、HCMデータ・ロール、職務ロールまたは集計権限です。また、同じタイプまたは異なるタイプのロールを比較できます。たとえば、ジョブ・ロールと職務ロールを、またはカスタム・ジョブ・ロールと事前定義済の同等ロールを比較できます。このトピックでは、2つのロールを比較する方法を説明します。

2つのロールの比較次のステップを実行します。

1. セキュリティ・コンソールの「ロール」タブで、「ロールの比較」をクリックします。「ロールの比較」ページが開きます。

2. 「第1ロール」フィールドで、比較する2つのロールのうち最初のロールを検索して選択します。3. 「第2ロール」フィールドで、2番目のロールを検索して選択します。4. 「フィルタ基準」を次のいずれかの値に設定して、各ロールで比較するセキュリティ・アーティファクトを識別します。

機能セキュリティ・ポリシーデータ・セキュリティ・ポリシー継承されたロール

5. 「表示」を次の表のいずれかの値に設定して、比較結果に表示するセキュリティ・アーティファクトを識別します。

値 説明

226

すべて 両方のロールのすべての選択済アーティファクト

第1ロールでのみ 第1ロールに表示されるが、第2ロールに表示されない選択済アーティファクト

第2ロールでのみ 第2ロールに表示されるが、第1ロールに表示されない選択済アーティファクト

両方のロール 両方のロールに表示される選択済アーティファクトのみ

たとえば、「フィルタ基準」を「継承されたロール」に、「表示」を「両方のロール」に設定した場合、両方のロールが継承するロールが表示されます。この比較では、いずれかのロールのみが継承するロールは除外されます。

6. 「比較」をクリックします。例による問合せを実行して、結果をフィルタできます。「表示」または「フィルタ基準」の値を変更すると、比較は自動的にリフレッシュされます。

ヒント: 比較データをスプレッドシートに保存するには、「Excelにエクスポート」をクリックします。

7. 「終了」をクリックして、「ロールの比較」ページを閉じます。

「ロール」タブでロールを比較する別の方法があります。次のことが可能です。

検索結果で、検索結果のロールの「処理」メニューから「ロールの比較」を選択します。ロールのグラフィカル形式表示で、ロールを選択し、右クリックして「ロールの比較」を選択します。

両方の場合、選択済ロールがロールの比較で第1ロールになります。

比較対象の第2ロールへの権限のコピーロールを明示的に編集する必要なしに、比較対象の第2ロールに対していくつかの更新を実行できます。つまり、次のように設定すると、選択した機能またはデータ・セキュリティ・ポリシーを第1ロールから第2ロールにコピーできます。

「フィルタ基準」を「機能セキュリティ・ポリシー」または「データ・セキュリティ・ポリシー」に設定します「表示」を「第1ロールでのみ」に設定します

注意: 比較対象の第2ロールはカスタム・ロールである必要があります。

選択したポリシーを第2ロールにコピーするには、「第2ロールに追加」をクリックします。

「分析」タブでのロール情報すべてのロールは1つのカテゴリに属します。ほとんど場合、カテゴリにより、製品ファミリおよびロール・タイプの所有が識別されます。たとえば、「HCM - ジョブ・ロール」、「HCM - 職務ロール」および「共通 - 抽象ロール」はロール・カテゴリです。このトピックでは、セキュリティ・コンソールの「分析」タブで、個々のロールのロール・カテゴリとロール詳細に関連する統計をレビューする方法を説明します。

「分析」タブで、各ロール・カテゴリに対して次のものの数を表示できます。

227

カテゴリ内のロールロール・メンバーシップ(このカテゴリ内のロールによって継承されるロール)

カテゴリ内のすべてのロールに付与される機能セキュリティ・ポリシーカテゴリ内のすべてのロールに付与されるデータ・セキュリティ・ポリシー

この情報は、表に表示されます。各カテゴリ内のロール数は、円グラフにも表示されます。

「分析」タブでのロールのレビュー「分析」タブでロール詳細をレビューするには、次のステップを実行します。

1. 「分析」タブの「カテゴリ内のロール」セクションに移入するロール・カテゴリを選択します。2. 「カテゴリ内のロール」セクションには、選択したカテゴリ内のすべてのロールのリストが表示されます。任意の列検索フィールドに値を入力して[Enter]を押すと、リストをフィルタできます。

3. 選択したロールに対して、ロール名をクリックして、「ロール詳細」ページを開きます。4. 「ロール詳細」ページで、ロールの次のものをレビューします。

機能セキュリティ・ポリシーデータ・セキュリティ・ポリシーロール階層ユーザー・メンバーシップ(ロールを持つユーザー)

このロール情報を.csvファイルに保存するには、「エクスポート」をクリックします。

データベース・リソースの分析データベース・リソースにアクセス権を付与するデータ・セキュリティ・ポリシーに関する情報や、そのリソースへのアクセス権を付与されるロールとユーザーに関する情報をレビューできます。

開始するには、「分析」タブを選択してから、「分析」ページの「データベース・リソース」タブを選択します。「データベース・リソース」フィールドでレビューするリソースを選択します。次に、「進む」をクリックします。結果は、3つの表に表示されます。

データ・セキュリティ・ポリシー「データ・セキュリティ・ポリシー」表には、選択したデータベース・リソースにアクセス権を付与するポリシーが文書化されます。

各行には、デフォルトで次のものを指定するポリシーが文書化されます。

付与するデータ権限。データベース・リソースからデータを選択する方法を定義する条件。ポリシー名と説明。ポリシーを含むロール。

228

任意の指定ポリシーについて、この表には、複数の行を含めることができ、各行はポリシーが使用される各ロールに対応しています。

承認済ロール「承認済ロール」表には、選択したデータベース・リソースへの直接的または間接的なアクセス権があるロールが文書化されます。任意の指定ロールでは、次のことが可能です。

データベース・リソースにアクセス権を付与する1つ以上のデータ・セキュリティ・ポリシーを含むことができます。「承認済ロール」表では、ロールに属する各ポリシーに対して1つの行が含まれます。階層内の1つ以上のロールからデータベース・リソースへのアクセス権を継承できます。「承認済ロール」表では、各継承に対して1つの行が含まれます。

デフォルトでは、各行は次のものを指定します。

文書化するロールの名前。アクセス権の継承元の下位ロールの名前(存在する場合)。(行で、サブジェクト・ロールに直接割り当てられたデータ・セキュリティ・ポリシーが提供するアクセス権が文書化される場合、このセルは空になります。)ロールに付与されるデータ権限。データベース・リソースからデータを選択する方法を定義する条件。

注意: ロールのデータ・セキュリティ・ポリシーと階層によって任意の数のデータベース・リソースにアクセス権が付与される場合がありますが、「承認済ロール」表には、選択したデータベース・リソースへのアクセス権のレコードのみが表示されます。

承認済ユーザー「承認済ユーザー」表には、選択したデータベース・リソースへのアクセス権があるロールが割り当てられるユーザーが文書化されます。

デフォルトでは、各行により、ユーザー名、ユーザーに割り当てられるロール、ユーザーに付与されるデータ権限、データベース・リソースからデータを選択する方法を定義する条件が指定されます。任意の指定ユーザーについて、この表に複数の行を含めることができます。この場合、ユーザーに割り当てられたロールに属するか、そのロールが継承するデータ・セキュリティ・ポリシーによって付与される各アクセス権に対して1つの行が対応しています。

結果の操作これらの3つの表すべてで、次の操作が行えます。

列を追加または削除します。「表示」→「列」を選択します。結果全体を検索します。「表示」→「例による問合せ」を選択して、表の各列に検索フィールドを追加します。結果をスプレッドシートにエクスポートします。各表で使用可能な「Excelにエクスポート」オプションを選択します。

229

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

230

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

20 ジョブ・ロール、抽象ロール、職務ロールの作成および編集この章の内容は次のとおりです。

HCMロールのコピーに関するガイドラインセキュリティ・コンソールのロールのコピー・オプション抽象ロールのコピーに関するガイドラインジョブ・ロールおよび抽象ロールのコピージョブ・ロールおよび抽象ロールの編集ジョブ・ロールおよび抽象ロールの新規作成

231

職務ロールのコピーおよび編集

HCMロールのコピーに関するガイドライン事前定義済ロールをコピーしてそのコピーを編集する方法は、ロール作成の推奨アプローチです。このトピックでは、ロールをコピーする際の検討事項を説明します。

ロール階層のレビュー事前定義済のジョブ・ロール、抽象ロール、または職務ロールをコピーする場合は、最初にロール階層をレビューすることをお薦めします。このレビューでは、カスタム・ロールで参照、コピー、または削除する継承されたロールを確認します。たとえば、「給与マネージャ」ジョブ・ロールは特に「給与管理者」ジョブ・ロールを継承します。「給与マネージャ」ロールをコピーする場合は、「給与管理者」ロールをコピーするか、参照するか、あるいはコピーから削除するかを決定する必要があります。セキュリティ・コンソールの「ロール」タブでロール階層をグラフィカル形式または表形式でレビューできます。次も実行できます。

ロール階層を「ロール」タブからスプレッドシートにエクスポートする。ロール階層をレビューして、「分析」タブからスプレッドシートにエクスポートする。「ユーザーおよびロールのアクセス監査レポート」を実行する。

ヒント: 集計権限はコピーされません。ジョブ・ロールまたは抽象ロールをコピーすると、その継承された集計権限がコピーから参照されます。

権限のレビュージョブ・ロールおよび抽象ロールは、機能セキュリティ権限とデータ・セキュリティ・ポリシーを、それらが継承したロールから継承します。機能セキュリティ権限とデータ・セキュリティ・ポリシーはジョブ・ロールまたは抽象ロールに直接付与される場合もあります。これらの直接付与された権限は、次のようにセキュリティ・コンソールの「ロール」タブでレビューできます。

ロールのグラフィカル・ビューでは、その継承されたロールと機能セキュリティ権限が同時に表示されます。表形式のビューでは、「表示」値を設定してロールと機能セキュリティ権限を切り替えます。いずれかのビューをスプレッドシートにエクスポートできます。

カスタム・ロールが存在する場合は、そのロールを編集して直接付与された機能セキュリティ権限を追加または削除します。

注意: データ・セキュリティ・ポリシーは、ロールを編集するときのみ表示されます。データ・セキュリティ・ポリシーは変更しないことをお薦めします。

トランザクション分析職務ロール

232

「人事管理アナリスト」ジョブ・ロールなどの一部のロールは、Oracle Transactional Business Intelligenceレポート権限で使用されるトランザクション分析職務ロールを継承します。「人事管理アナリスト」ジョブ・ロール、またはトランザクション分析職務ロールを継承する他のロールをコピーする場合は、トランザクション分析職務ロールをコピーしないでください。ロールをコピーする場合は、関連レポートに対する権限を更新し、ロールのコピーを使用してそれらを保護する必要があります。かわりに、事前定義済トランザクション分析職務ロールを、「人事管理アナリスト」などの関連ジョブ・ロールのコピーに追加します。

コピーしたロールの命名デフォルトでは、コピーしたロールは、コピー元のロールと同じ名前にサフィクスCustomが付いた名前になります。コピーしたロールのロール・コードのサフィクスは_CUSTOMです。コピーしたロールのロール・コードからは、自動的にプリフィクスORA_が付かなくなります。セキュリティ・コンソールの「管理」タブで、カスタム・ロールのローカル命名規則をプリフィクス、サフィクスまたはその両方を使用して定義できます。

注意: コピーしたロールはその命名パターンを、セキュリティ・コンソールの「管理」タブで指定したデフォルト値から取得します。このパターンは、コピーしているロールの「ロールのコピー:基本情報」ページで上書きできます。ただし、コピーしたロールで継承されたロールの名前には影響しません。たとえば、「従業員」ロールのディープ・コピーを実行すると、継承された職務ロールはその命名パターンをデフォルト値から取得します。

ロールの複製ロールをコピーするときに階層内のロールがすでに存在する場合、そのロールのコピーは作成されません。たとえば、「従業員」ロールの2つ目のコピーを作成する場合、継承された職務ロールのコピーはすでに存在している可能性があります。この場合、メンバーシップがロールの既存のコピーに追加されます。継承されたロールの一意のコピーを作成するには、ディープ・コピーを実行する前にセキュリティ・コンソールの「管理」タブで一意の値を入力する必要があります。

事前定義済ジョブまたは抽象ロール階層のメンバーシップを保持するには、事前定義済ロールのシャロー・コピーを実行します。

ロール・コピーで実行される内容セキュリティ・コンソールでロールをコピーすると、指定したロールのコピー・オプションに従ってロールがコピーされます。それ以外のものは更新されません。次に例を示します。

コピーするロールがEL式で参照されている場合、その式が新しいロールを含むように更新されることはありません。コピー元のロールを持つユーザーに、新しいロールが自動的に割り当てられることはありません。

関連トピック

ロール・プリファレンスユーザーおよびロールのアクセス監査レポート

233

セキュリティ・コンソールのロールのコピー・オプションセキュリティ・コンソールでロールをコピーする場合は、次のいずれかのオプションを選択します。

最上位ロールのコピー最上位ロールと継承されたロールのコピー

このトピックでは、これらの各オプションの影響について説明します。

最上位ロールのコピー「最上位ロールのコピー」オプションを選択すると、選択したロール階層の最上位ロールのみがコピーされます。コピー元のロールがメンバーになっているロールでコピーに対するメンバーシップが作成されます。つまり、最上位ロールのコピーは、コピー元のロールの継承されたロール階層を参照します。それらの継承ロールに対して行われた変更は、コピー元のロールとコピーの両方に表示されます。したがって、コピーのロール階層を編集する場合は注意が必要です。次のことが可能です。

コピー元のロールに影響を与えずに、ロールをコピーに直接追加できる。コピー元のロールに影響を与えずに、コピーの直接継承されたロールを削除できる。ただし、コピーによって間接的に継承されたロールを削除すると、削除されたロールの親ロールを継承するロールに影響を与えます。最上位ロールのコピーに直接付与される機能セキュリティ権限およびデータ・セキュリティ権限を追加または削除できる。

カスタム・ロールをコピーして、継承ロールを編集すると、その変更は、編集したロールを継承するすべてのロールに影響します。

最上位ロールをコピーするオプションは、シャロー・コピーと呼ばれます。この図は、シャロー・コピーの効果の概要を示しています。これは、コピーがコピー元のロールと同じ継承ロールのインスタンスを参照することを示しています。継承ロールはコピーされません。

234

他のロールに影響を与える可能性がある変更、または事前定義されたロールに行えなかった変更を実施する必要がある場合を除き、シャロー・コピーを作成することをお薦めします。他のロールに影響を与えずに継承したロールを編集するには、最初にこれらの継承したロールのコピーを作成する必要があります。継承されたロールをコピーするには、「最上位ロールと継承されたロールのコピー」オプションを選択します。

ヒント: 「ロールのコピー: サマリーおよび影響レポート」ページには、有用な変更のサマリーが示されます。この情報をレビューして、他のロールに影響を与える変更を誤って行っていないか確認します。

最上位ロールと継承されたロールのコピー「最上位ロールと継承されたロールのコピー」の選択は、ロール階層全体のコピー要求です。次のルールが適用されます。

継承された集計権限はコピーされません。かわりに、コピーされたロールの各集計権限にメンバーシップが追加されます。継承された職務ロールは、同じ名前のコピーが存在しない場合にコピーされます。それ以外の場合、新しいロールに対して職務ロールの既存のコピーにメンバーシップが追加されます。

継承された職務ロールがコピーされると、カスタムの職務ロールが作成されます。したがって、他のロールに影響を与えずに編集できます。同様に、その後にコピー元の職務ロールに加えられた変更は、それらのロールのコピーには表示されません。たとえば、それらの職務ロールが事前定義されており、アップグレード中に更新された場合、アップグレード後に手動でコピーを更新する必要がある場合があります。このオプションは、ディープ・コピーと呼ばれます。

この図は、ディープ・コピーの効果を示しています。この例では、同じ名前の継承された職務ロールのコピーはまだ存在しません。したがって、最上位ロールをコピーすると、継承された職務ロールがコピーされます。集計権限は、新しいロールから参照されます。

235

抽象ロールのコピーに関するガイドラインこのトピックでは、抽象ロールのコピーに関するガイダンスを示します。このガイダンスは、セキュリティ・プロファイルをジョブ・ロールに直接割り当てる場合、ジョブ・ロールにも適用されます。

継承されたHCM、CRM、およびFSCMロールを含むアップグレードされた抽象ロールのコピーこのセクションでは、Oracle Human Capital Management Cloudリリース11からアップグレードされた、セキュリティ・プロファイルが割り当てられた抽象ロールのコピー方法を説明します。この情報は、次の場合は該当しません。

リリース11から抽象ロールをアップグレードしていない。抽象ロールをリリース11からアップグレードしたが、アップグレード後にそれらのデータ・セキュリティ・ポリシーを再生成した。

簡易参照ロール・モデルはリリース10より導入されました。リリース10および11では、事前定義済ジョブ・ロールと抽象ロールはそれぞれエンタープライズ・ロールとして表されていました。エンタープライズ・ロールはアプリケーション・ロールを継承していました。リリース12の前にセキュリティ・プロファイルを抽象ロールに割り当てた場合、いくつかの追加ロールが自動で生成されていました。これらの追加ロールは、抽象ロールの名前にサフィクス(HCM)、(CRM)、または(FSCM)の付いた名前になっていました。これらのロールに対してデータ・セキュリティ・ポリシーが生成され、抽象ロールのエンタープライズ・ロールにより直接継承されていました。これらのロールの存在は、エンタープライズ・ロールが変更されたことを意味します。この変更によって、抽象ロールがリリース11からアップグレードされたときにエンタープライズ・ロールとアプリケーション・ロールがマージされませんでした。

このような抽象ロールのエンタープライズ・ロールとアプリケーション・ロールはリリース11からのアップグレード後も分離されたままであるため、コピーする際には注意が必要です。アップグレードしたエンタープライズ・

236

ロールのシャロー・コピーを実行する場合は、次のメンバーシップを維持します。

継承された(HCM)、(CRM)、および(FSCM)ロール。元のロールからのアプリケーション・ロール。アプリケーション・ロールが事前定義済である場合、そのロールは編集できません。それ以外の場合、アプリケーション・ロールに対する変更はすべて、コピー元のロールでも継承されます。

したがって、アプリケーション・ロールは常にコピーし、シャロー・コピーを実行することをお薦めします。エンタープライズ・ロールをコピーする必要がある場合は、常にディープ・コピーを実行します。エンタープライズ・ロールのコピーが存在する場合、そのコピーを編集して、継承された(HCM)、(CRM)、および(FSCM)ロールを削除する必要があります。それ以外の場合、カスタム・ロールには、カスタム・ロール専用に作成したものに加え、コピー元ロールからのデータ・セキュリティ・ポリシーがあります。コピーしたロールは、これらのロールを削除しないかぎり必要な機能を実行できません。

セキュリティ・プロファイルが割り当てられている抽象ロールのコピーこのセクションでは、次の状況でのロールのコピーに関するガイダンスを示します。

ユーザーは、リリース12以上を使用している新規の顧客で、セキュリティ・プロファイルが割り当てられている事前定義済の抽象ロールをコピーしている。カスタムの抽象ロールを作成し、セキュリティ・プロファイルをそれらのロールに直接割り当ててから、コピーしている。リリース11からアップグレードして、セキュリティ・プロファイルが割り当てられた抽象ロールのデータ・セキュリティ・ポリシーを再生成し、それらのロールをコピーしている。

上記のすべての場合において、割当済セキュリティ・プロファイルのデータ・セキュリティ・ポリシーが最上位レベル・ロールに付与されます。したがって、抽象ロールをコピーする場合は、割当済セキュリティ・プロファイルから生成されたものも含め、そのデータ・セキュリティ・ポリシーをすべてコピーします。これらのデータ・セキュリティ・ポリシーをセキュリティ・コンソールでロール・コピーから正常に削除するのは困難です。そのため、不要なデータ・セキュリティ・ポリシーのコピーを回避するために、コピーする前に抽象ロールからセキュリティ・プロファイルを取り消すことをお薦めします。コピーが完了したら、セキュリティ・プロファイルを抽象ロールに再割り当てします。

ヒント: セキュリティ・プロファイルが割り当てられた事前定義済の抽象ロールのコピーをすでに作成している場合は、コピーしたデータ・セキュリティ・ポリシーを次のように削除できます。

1. カスタム・ロールを編集します。2. 「データ・セキュリティ・ポリシー」ページで、プリフィクスORA_で始まるポリシー名でフィルタします。これらのポリシーは、コピーした事前定義済抽象ロールに割り当てられていたセキュリティ・プロファイルから生成されたものです。

3. フィルタされたリストで、ORA_で始まるすべてのポリシーを削除します。

残りのデータ・セキュリティ・ポリシーは、事前定義済で削除不可のものか、カスタム・ロールに割り当てたセキュリティ・プロファイルから生成されたものです。

237

ジョブ・ロールおよび抽象ロールのコピー任意のジョブ・ロールまたは抽象ロールをコピーし、それをカスタム・ロールの基礎として使用できます。特に変更が小さいものである場合は、ロールをコピーした方が新規に作成するよりも効率的です。このトピックでは、ロールをコピーしてロールを作成する方法を説明します。このタスクを実行するには、「ITセキュリティ・マネージャ」ジョブ・ロールまたは権限が必要です。

ロールのコピー次のステップを実行します。

1. セキュリティ・コンソールの「ロール」タブで、コピーするロールを検索します。2. 検索結果でロールを選択します。デフォルトでは、ロール階層は表形式で表示されます。

ヒント: 必要に応じて、「グラフの表示」アイコンをクリックして、階層をグラフィカル形式で表示します。

3. 検索結果で、選択したロールの下矢印をクリックして、「ロールのコピー」を選択します。4. 「コピー・オプション」ダイアログ・ボックスで、コピー・オプションを選択します。5. 「ロールのコピー」をクリックします。6. 「ロールのコピー: 基本情報」ページで、必要に応じて、「ロール名」、「ロール・コード」、「摘要」および「ロールはすべてのIPアドレスからアクセス可能」の値をレビューおよび編集します。「ロールはすべてのIPアドレスからアクセス可能」は、事業所ベースのアクセスが有効になっている場合にのみ表示されます。

ヒント: ロール名とロール・コードには、セキュリティ・コンソールの「管理」タブの「ロール」サブタブで指定されたコピーしたロールのデフォルトのプリフィクスとサフィクスが付いています。コピーしているロールでこれらの値を上書きできます。ただし、コピーしたロールで継承されたロールは、「ロールのコピー:基本情報」ページで行った名前の変更による影響を受けません。

7. 「サマリーおよび影響レポート」トレイン・ストップをクリックします。8. 「送信してクローズ」をクリックし、OKをクリックして確認メッセージを閉じます。9. セキュリティ・コンソールの「管理」タブの「ロール・コピー・ステータス」サブタブでコピーの進行状況をレビューします。ステータスが「完了」の場合は、コピーしたロールを編集できます。必要に応じて、「ロールのコピー: 基本情報」ページの後で中間トレイン・ストップにアクセスし、ロールのコピーを保存する前に編集できます。

ジョブ・ロールおよび抽象ロールの編集事前定義済ジョブ・ロールまたは抽象ロールをコピーし、コピーを編集してロールを作成できます。このトピックでは、セキュリティ・コンソールでロールを編集する方法を説明します。このタスクを実行するには、「ITセキュリティ・マネージャ」ジョブ・ロールまたは権限が必要です。

ロールの編集

238

次のステップを実行します。

1. セキュリティ・コンソールの「ロール」タブで、カスタム・ロールを検索して選択します。2. 検索結果で、選択したロールの下矢印をクリックして、「ロールの編集」を選択します。3. 「ロールの編集:基本情報」ページで、ロール名と説明は編集できますが、ロール・コードは編集できません。事業所ベースのアクセスが有効になっている場合、「ロールはすべてのIPアドレスからアクセス可能」オプションも管理できます。

4. 「次」をクリックします。

機能セキュリティ権限の管理「ロールの編集: 機能セキュリティ・ポリシー」ページの「権限」タブには、コピーしたアプリケーション・ロールに付与されている機能セキュリティ権限が表示されます。このページの「詳細」セクションに保護するコード・リソースの詳細を表示する権限を選択します。

ロールから権限を削除するには、権限を選択し、「削除」アイコンをクリックします。権限をロールに追加するには、次の手順を実行します。

1. 「機能セキュリティ・ポリシーの追加」をクリックします。2. 「機能セキュリティ・ポリシーの追加」ダイアログ・ボックスで、権限またはロールを検索および選択します。

3. ロールを選択する場合は、「選択した権限の追加」をクリックし、選択したロールからすべての機能セキュリティ権限をカスタム・ロールに追加します。

ヒント: ロールに機能セキュリティ権限がない場合は、エラー・メッセージが表示されます。必要に応じて、「ロールの編集: ロール階層」ページでロールをロール階層に追加できます。単一の権限を選択する場合は、「ロールに権限追加」をクリックします。

4. 「OK」をクリックして確認メッセージを閉じます。5. 追加の権限に対して、ステップ2以降を繰り返します。6. 「機能セキュリティ・ポリシーの追加」ダイアログ・ボックスを閉じます。7. 「次」をクリックします。

注意: 機能セキュリティ権限が集計権限の一部を構成している場合、集計権限をロール階層に追加します。機能セキュリティ権限はロールに直接付与しないでください。セキュリティ・コンソールではこのアプローチが適用されます。

読取り専用である「リソース」タブには、機能セキュリティ権限によるものではない、ロールに直接付与されているリソースがリストされます。セキュリティ・コンソールでは、ロールに直接リソースを付与できないため、リリース12より前に作成されたリソース権限のみがこのタブに表示されます。これらの値は編集できません。

データ・セキュリティ・ポリシーの管理「ロールのコピー:データ・セキュリティ・ポリシー」ページで変更を行わないでください。

継承されたロールの追加および削除

239

「ロールの編集:ロール階層」ページには、コピーされたロールとその継承された集計権限および職務ロールが示されます。デフォルトでは、階層は表形式で表示されます。ロールは追加または削除できます。

ロールを削除するには、次の手順を実行します。

1. 表でロールを選択します。2. 「削除」アイコンをクリックします。3. 「OK」をクリックして確認メッセージを閉じます。

注意: 削除するロールは、編集するロールによって直接継承されている必要があります。ロールが間接的に継承されている場合、その親ロールを編集する必要があります。

ロールを追加するには、次の手順を実行します。

1. 「ロールの追加」アイコンをクリックします。2. 「ロール・メンバーシップの追加」ダイアログ・ボックスで、追加するロールを検索して選択します。3. 「ロール・メンバーシップの追加」をクリックします。4. 「OK」をクリックして確認メッセージを閉じます。5. 追加のロールに対して、ステップ2以降を繰り返します。6. 「ロール・メンバーシップの追加」ダイアログ・ボックスを閉じます。「ロールの編集:ロール階層」ページには、更新したロール階層が表示されます。

7. 「次」をクリックします。

ユーザーに対するロールのプロビジョニングユーザーに対してロールをプロビジョニングするには、ロール・マッピングを作成する必要があります。セキュリティ・コンソールで、ユーザーにロールをプロビジョニングしないでください。

ロールのレビュー「ロールの編集:サマリーおよび影響レポート」ページで、変更のサマリーをレビューします。「戻る」をクリックして修正します。それ以外の場合は、次を実行します。

1. 「保存してクローズ」をクリックしてロールを保存します。2. 「OK」をクリックして確認メッセージを閉じます。

ロールはすぐに使用可能になります。

ジョブ・ロールおよび抽象ロールの新規作成事前定義済ロールが適していない場合、または少ない権限のロールが必要な場合は、ロールを新規に作成できます。このトピックでは、ジョブ・ロールまたは抽象ロールの作成方法を説明します。このタスクを実行するには、「ITセキュリティ・マネージャ」ジョブ・ロールまたは権限が必要です。

240

基本情報の入力次のステップを実行します。

1. セキュリティ・コンソールの「ロール」タブで、「ロールの作成」をクリックします。2. 「ロールの作成: 基本情報」ページで、「ロール名」フィールドにロールの表示名を入力します。たとえば、「営業部門管理ジョブ・ロール」と入力します。

3. 「ロール・コード」フィールドに入力します。たとえば、「SALES_DEPT_ADMIN_JOB」と入力します。抽象ロールにはサフィクス_ABSTRACT、ジョブ・ロールにはサフィクス_JOBが付きます。

4. 「ロール・カテゴリ」フィールドで、必要に応じて「HCM - 抽象ロール」または「HCM - ジョブ・ロール」を選択します。

注意: ジョブ・ロールの作成時には、必ず「HCM - ジョブ・ロール」カテゴリを選択してください。そうしないと、HCMデータ・ロールを作成するときに、ジョブ・ロールが使用可能なジョブ・ロールのリストに表示されません。

5. 事業所ベースのアクセスを使用している場合、「ロールはすべてのIPアドレスからアクセス可能」オプションが表示されます。このオプションを選択した場合、そのロールを持つユーザーは、どのIPアドレスからもそのロールが保護するタスクにアクセスできます。

6. 「次」をクリックします。

機能セキュリティ・ポリシーの追加ロールを新規に作成する場合、最もよく行うのが1つ以上の集計権限または職務ロールをロールに追加することです。機能セキュリティ権限をロールに直接付与する方法はあまり使用しません。

機能セキュリティ権限を付与しない場合は、「次」をクリックします。付与する場合、次のように機能セキュリティ権限をロールに付与します。

1. 「ロールの作成: 機能セキュリティ・ポリシー」ページの「権限」タブで、「機能セキュリティ・ポリシーの追加」をクリックします。

2. 「機能セキュリティ・ポリシーの追加」ダイアログ・ボックスで、権限またはロールを検索および選択します。

3. ロールを選択する場合は、「選択した権限の追加」をクリックし、選択したロールからすべての機能セキュリティ権限をカスタム・ロールに追加します。

ヒント: ロールに機能セキュリティ権限がない場合は、エラー・メッセージが表示されます。必要に応じて、「ロールの作成: ロール階層」ページでロールをロール階層に追加できます。単一の権限を選択する場合は、「ロールに権限追加」をクリックします。

4. 「OK」をクリックして確認メッセージを閉じます。5. 追加の権限に対して、ステップ2以降を繰り返します。6. 「機能セキュリティ・ポリシーの追加」ダイアログ・ボックスを閉じます。7. 「次」をクリックします。

注意: 機能セキュリティ権限が集計権限の一部を構成している場合、集計権限をロール階層に追加します。機能セキュリティ権限はロールに直接付与しないでください。セキュリティ・コンソールではこのアプローチが適用されます。

241

データ・セキュリティ・ポリシーの作成「ロールの作成:データ・セキュリティ・ポリシー」ページでは入力を行わないでください。

ロール階層の構築「ロールの作成:ロール階層」ページには、デフォルトでカスタム・ロールの階層が表形式で表示されます。1つ以上の集計権限、ジョブ・ロール、抽象ロール、および職務ロールをロールに追加できます。通常、ジョブ・ロールまたは抽象ロールを作成する場合、集計権限を追加します。ロールは常に作成しているロールに直接追加されます。

ロールを追加するには、次の手順を実行します。

1. 「ロールの追加」アイコンをクリックします。2. 「ロール・メンバーシップの追加」ダイアログ・ボックスで、追加するロールを検索して選択します。3. 「ロール・メンバーシップの追加」をクリックします。4. 「OK」をクリックして確認メッセージを閉じます。5. 追加のロールに対して、ステップ2以降を繰り返します。6. ロールの追加が完了したら、「ロール・メンバーシップの追加」ダイアログ・ボックスを閉じます。7. 「次」をクリックします。

ロールのプロビジョニングユーザーに対してロールをプロビジョニングするには、ロールが存在する場合、ロール・マッピングを作成する必要があります。セキュリティ・コンソールで、ユーザーにロールをプロビジョニングしないでください。

ロールのレビュー「ロールの作成:サマリーおよび影響レポート」ページで、変更のサマリーをレビューします。「戻る」をクリックして修正します。それ以外の場合は、次を実行します。

1. 「保存してクローズ」をクリックしてロールを保存します。2. 「OK」をクリックして確認メッセージを閉じます。

カスタム・ロールはすぐに使用可能になります。

職務ロールのコピーおよび編集職務ロールをコピーして、コピーを編集し、職務ロールを作成できます。職務ロールのコピーは、推奨される職務ロールの作成方法です。このトピックでは、職務ロールをコピーし、そのコピーを編集する方法を説明します。これらのタスクを実行するには、「ITセキュリティ・マネージャ」ジョブ・ロールまたは権限が必要です。

242

職務ロールのコピー次のステップを実行します。

1. セキュリティ・コンソールの「ロール」タブで、コピーする職務ロールを検索します。2. 検索結果でロールを選択します。デフォルトでは、ロール階層は表形式で表示されます。

ヒント: 必要に応じて、「グラフの表示」アイコンをクリックして、階層をグラフィカル形式で表示します。

3. 検索結果で、選択したロールの下矢印をクリックして、「ロールのコピー」を選択します。4. 「コピー・オプション」ダイアログ・ボックスで、コピー・オプションを選択します。5. 「ロールのコピー」をクリックします。6. 「ロールのコピー: 基本情報」ページで、必要に応じて、「ロール名」、「ロール・コード」、および「摘要」の値を編集します。

ヒント: ロール名とロール・コードには、セキュリティ・コンソールの「管理」タブの「ロール」サブタブで指定されたコピーしたロールのデフォルトのプリフィクスとサフィクスが付いています。コピーしているロールでこれらの値を上書きできます。ただし、コピーしたロールで継承されたロールは、「ロールのコピー:基本情報」ページで行った名前の変更による影響を受けません。

7. 「サマリーおよび影響レポート」トレイン・ストップをクリックします。8. 「送信してクローズ」をクリックし、OKをクリックして確認メッセージを閉じます。9. セキュリティ・コンソールの「管理」タブの「ロール・コピー・ステータス」サブタブでコピーの進行状況をレビューします。ステータスが「完了」の場合は、コピーしたロールを編集できます。

コピーした職務ロールの編集次のステップを実行します。

1. セキュリティ・コンソールの「ロール」タブで、職務ロールのコピーを検索して選択します。2. 検索結果で、選択したロールの下矢印をクリックして、「ロールの編集」を選択します。3. 「ロールの編集:基本情報」ページで、ロール名と説明は編集できますが、ロール・コードは編集できません。

4. 「次」をクリックします。

機能セキュリティ・ポリシーの管理「ロールの編集: 機能セキュリティ・ポリシー」ページの「権限」タブには、コピーしたアプリケーション・ロールに付与されている機能セキュリティ権限が表示されます。保護するコード・リソースの詳細を表示する権限を選択します。

ロールから権限を削除するには、権限を選択し、「削除」アイコンをクリックします。権限をロールに追加するには、次の手順を実行します。

1. 「機能セキュリティ・ポリシーの追加」をクリックします。2. 「機能セキュリティ・ポリシーの追加」ダイアログ・ボックスで、権限またはロールを検索および選択します。

243

3. ロールを選択する場合は、「選択した権限の追加」をクリックし、選択したロールからすべての機能セキュリティ権限をカスタム・ロールに付与します。単一の権限を選択する場合は、「ロールに権限追加」をクリックします。

ヒント: ロールに機能セキュリティ権限がない場合は、エラー・メッセージが表示されます。必要に応じて、「ロールの編集: ロール階層」ページでロールをロール階層に追加できます。

4. 「OK」をクリックして確認メッセージを閉じます。5. 追加の権限に対して、ステップ2以降を繰り返します。6. 機能セキュリティ・ポリシーの追加ダイアログ・ボックスを閉じます。7. 「次」をクリックします。

注意: 機能セキュリティ権限が集計権限の一部を構成している場合、集計権限をロール階層に追加します。機能セキュリティ権限はロールに直接付与しないでください。セキュリティ・コンソールではこのアプローチが適用されます。

読取り専用である「リソース」タブには、機能セキュリティ権限によるものではない、ロールに直接付与されているリソースがリストされます。セキュリティ・コンソールでは、ロールに直接リソースを付与できないため、リリース12より前に作成されたリソース権限のみがこのタブに表示されます。これらの値は編集できません。

データ・セキュリティ・ポリシーの管理「ロールの編集:データ・セキュリティ・ポリシー」ページで変更を行わないでください。

継承されたロールの追加および削除「ロールの編集:ロール階層」ページには、コピーされた職務ロールと継承する職務ロールと集計権限が示されます。デフォルトでは、階層は表形式で表示されます。ロールは追加または削除できます。

ロールを削除するには、次の手順を実行します。

1. 表でロールを選択します。2. 「削除」アイコンをクリックします。3. 「OK」をクリックして情報メッセージを閉じます。

ロールを追加するには、次の手順を実行します。

1. 「ロールの追加」をクリックします。2. 「ロール・メンバーシップの追加」ダイアログ・ボックスで、追加するロールを検索して選択します。3. 「ロール・メンバーシップの追加」をクリックします。4. 「OK」をクリックして確認メッセージを閉じます。5. 追加のロールに対して、ステップ2以降を繰り返します。6. 「ロール・メンバーシップの追加」ダイアログ・ボックスを閉じます。「ロールの編集:ロール階層」ページには、更新したロール階層が表示されます。

7. 「次」をクリックします。

244

ロールのレビュー「ロールの編集:サマリーおよび影響レポート」ページで、変更のサマリーをレビューします。「戻る」をクリックして修正します。それ以外の場合は、次を実行します。

1. 「保存してクローズ」をクリックしてロールを保存します。2. 「OK」をクリックして確認メッセージを閉じます。

ロールはすぐに使用可能になります。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

245

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

21 ロールの再生成この章の内容は次のとおりです。

ロールの再生成「データ・セキュリティ権限付与の再生成」プロセスの実行

ロールの再生成HCMデータ・ロール階層を変更する場合、HCMデータ・ロールを再生成する必要があります。たとえば、カスタム・ジョブ・ロールから集計権限を削除する場合、そのジョブ・ロールを継承するデータ・ロールを再生成する必

246

要があります。また、セキュリティ・プロファイルが割り当てられる抽象ロールの階層を変更する場合、その抽象ロールも再生成する必要があります。ロールを再生成すると、そのデータ・セキュリティ・ポリシーが更新され、最新のロール階層が反映されます。このトピックでは、データ・ロールと抽象ロールを再生成する方法について説明します。

複数のロールの再生成複数のロールを一度に再生成するには、「データ・セキュリティ権限付与の再生成」プロセスを使用します。

ロールの個別再生成単一のデータ・ロールまたは抽象ロールを再生成するには、「データ・セキュリティ権限付与の再生成」プロセスを使用します。または、「データ・ロールおよびセキュリティ・プロファイルの管理」ページでロールを編集することもできます。

次のステップを実行します。

1. データ・ロールまたは抽象ロールを検索します。2. 「検索結果」でロールを選択し、「編集」をクリックします。3. 「データ・ロールの編集: ロールの選択」ページで、「次へ」をクリックします。4. 「データ・ロールの編集: セキュリティ基準」ページで、「レビュー」をクリックします。5. 「データ・ロールの編集: レビュー」ページで、「送信」をクリックします。

この手順では、ロールに割り当てられているセキュリティ・プロファイルに基づいて、ロールのデータ・セキュリティ・ポリシーを自動的に再生成します。

注意: Oracle HCM Cloudの各リリース・アップグレードの後、更新された事前定義済ロールを再生成する必要があります。たとえば、アップグレードで事前定義済の給与マネージャ・ロールが更新された場合、そのジョブ・ロールを継承するデータ・ロールを再生成する必要があります。

「データ・セキュリティ権限付与の再生成」プロセスの実行HCMデータ・ロールの継承されたジョブ・ロールのデータ・セキュリティ・ポリシーに変更を加えた場合、HCMデータ・ロールを再生成する必要があります。たとえば、ジョブ・ロールから集計権限を削除した場合、そのジョブ・ロールを継承するデータ・ロールを再生成する必要があります。また、ロールのデータ・セキュリティ・ポリシーに変更を加えた場合、セキュリティ・プロファイルを直接割り当てた抽象ロールを再生成する必要があります。「データ・ロールおよびセキュリティ・プロファイルの管理」ページでデータ・ロールと抽象ロールを編集することにより、これらのロールを個別に再生成できます。または、1つ以上のロールを再生成するには、「データ・セキュリティ権限付与の再生成」プロセスを実行します。このトピックでは、このプロセスを実行する方法について説明します。

247

データ・セキュリティ権限付与の再生成プロセスの実行次のステップを実行します。

1. 次のロールまたは権限でサインインします。ITセキュリティ・マネージャ人事担当者人材管理アプリケーション管理者

2. 「スケジュール済プロセス」作業領域を開きます。3. 「スケジュール済プロセス」作業領域で、「新規プロセスのスケジュール」をクリックします。4. 「新規プロセスのスケジュール」ダイアログ・ボックスで、「データ・セキュリティ権限付与の再生成」プロセスを検索して選択します。

5. 「OK」をクリックします。6. 「プロセス詳細」ダイアログ・ボックスで、「モード」の値を設定して、処理するロールのタイプを識別します。次の表では、これらの値について説明しています。

モードの値 説明

指定ジョブ・ロール

指定ジョブ・ロールを直接継承するデータ・ロールを再生成します。ジョブ・ロールを間接的に継承するデータ・ロールは再生成されません。

指定データ・ロール

指定データ・ロールのみを再生成します。

指定抽象ロール

指定抽象ロールのみを再生成します。

すべてのロール

セキュリティ・プロファイルが割り当てられるすべてのロールを再生成します。このモードでは、すべてのロールの保護アクセスが再計算され、すべてのユーザーの保護アクセスがリフレッシュされます。このプロセスの完了に必要な時間は、再生成されるロールの数によって異なります。

7. 個々のロールを再生成する場合は、ロールを選択します。8. 「送信」をクリックします。

このページは役に立ちましたか?

248

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

249

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

22 値セットへのアクセスの保護この章の内容は次のとおりです。

値セットのセキュリティの有効化値セットへのアクセスの保護

値セットのセキュリティの有効化値セットは、フレックスフィールド・セグメントに割り当てられる有効な値のグループです。ユーザーがそのフレックスフィールド・セグメントの値を入力すると、値セットに対して値が検証されます。「設定および保守」作

250

業領域の「グローバル人事管理の値セットの管理」タスクを使用して、値セットを管理します。このトピックでは、値セットのセキュリティを有効にして、特定のユーザーまたはプロセスのみが使用できるようにする方法について説明します。また、値セットへの保護されたアクセスの実装方法も要約します。

セキュリティの有効化「検証タイプ」が「非依存」、「依存」、「サブセット」または「表」の値セットを作成すると、その値セットのセキュリティを有効にできます。「値セットの作成」ページで、次の手順を実行します。

1. 「セキュリティ有効」オプションを選択します。この選択により、データ・セキュリティ・ポリシーで値セットの値へのユーザー・アクセスを制御できるようになります。

2. 「データ・セキュリティ・リソース名」フィールドに名前を入力します。この値で保護する値セットを特定します。通常、この値は「値セット・コード」と同じです。

ヒント: セキュリティ・コンソールで値セットへのアクセスを保護する場合は、後で「データ・セキュリティ・リソース名」の値が必要になります。

値セットへのアクセスを保護するデータ・セキュリティ・ポリシーの定義値セットに対してセキュリティが有効になっている場合は、データ・セットのデータ・セキュリティ・ポリシーを作成できます。データ・セキュリティ・ポリシーを事前定義済の職務ロールに付与します。この目的に使用するロールは、アプリケーション・アイデンティティのカスタム・データ・セキュリティ・ポリシー(ORA_HRC_APPLICATION_IDENTITY_CUSTOM_DSPS)です。次の事前定義済APPIDがこの職務ロールを継承します。

FUSION_APPS_HCM_ESS_APPID

FUSION_APPS_HCM_ESS_LOADER_APPID

FUSION_APPS_HCM_SOA_APPID

FUSION_APPS_OBIA_BIEE_APPID

注意: APPIDは、特定のタイプのアクセス(バッチ・プロセスを実行する権限など)が付与される事前定義済ユーザーです。

保護された値セットへのアクセスが必要なプロセスは、その値セットにアクセスできます。たとえば、給与プロセスの原価配賦キー・フレックスフィールド内の値セットへのアクセスは、この方法で保護されます。

値セットへのアクセスの保護このトピックでは、事前定義済のアプリケーション・アイデンティティのカスタム・データ・セキュリティ・ポリシー職務ロールにデータ・セキュリティ・ポリシーを付与する方法を示します。これらのデータ・セキュリティ・ポリシーは、値セットへのアクセスを保護します。

次のステップを実行します。

251

1. 「ITセキュリティ・マネージャ」ロールまたは権限でサインインします。2. 「ナビゲータ」→「ツール」→「セキュリティ・コンソール」を選択します。3. セキュリティ・コンソールの「ロール」タブで、アプリケーション・アイデンティティのカスタム・データ・セキュリティ・ポリシー(ORA_HRC_APPLICATION_IDENTITY_CUSTOM_DSPS)職務ロールを検索します。

4. 検索結果でロールを選択します。5. ロールの「処理」メニューから、「ロールの編集」を選択します。

ヒント: 事前定義済ロールには、最初にロールのコピーを作成することなく事前定義済ロールにデータ・セキュリティ・ポリシーを追加できます。このタイプの変更は、アップグレードが維持されます。

6. 「基本情報」ページで、「データ・セキュリティ・ポリシー」トレイン・ストップをクリックします。7. 「データ・セキュリティ・ポリシー」ページで、「データ・セキュリティ・ポリシーの作成」をクリックします。

8. 「データ・セキュリティ・ポリシーの作成」ダイアログ・ボックスで、次の手順を実行します。a. 「保護された値セットへのアクセスVISION_SECURED_VALUE_SET」などのポリシー名を入力します。

b. 「データベース・リソース」フィールドで、値セットに定義した名前を検索して選択します。

ヒント: 値セットに対して「セキュリティ有効」を選択した後、「値セットの作成」ページでこの値を作成しました。

c. 開始日を入力します。値セットへのユーザー・アクセスをテストできるように、今日の日付以前の値を使用します。

d. 「データ・セット」を「すべての値」に設定します。e. 「処理」を「読取り」に設定します。f. 「OK」をクリックします。

9. 追加の値セットについて、ステップ7から繰り返します。10. 「データ・セキュリティ・ポリシー」ページで、「サマリーおよび影響レポート」トレイン・ストップをクリックします。

11. 変更のサマリーをレビューします。12. 「保存してクローズ」をクリックします。13. 「OK」をクリックして確認ダイアログ・ボックスを閉じます。

これで、アプリケーション・アイデンティティのカスタム・データ・セキュリティ・ポリシーを継承するいずれかのAPPIDで実行されるプロセスで、関連する値セットへのアクセスが保護されるようになりました。

このページは役に立ちましたか?

© OracleAbout Oracle

252

Contact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

253

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

23 個人プロファイルのコンテンツ・セクションの保護この章の内容は次のとおりです。

個人プロファイルでコンテンツ・セクションを保護する方法個人プロファイルのコンテンツ・セクションの保護

個人プロファイルでコンテンツ・セクションを保護254

する方法就業者の機密データは、個人プロファイルのコンテンツ・セクションに表示されます。たとえば、個人プロファイルには、コンピテンシ、パフォーマンス評点、ジョブ重要度、離職のリスク、学位などの情報を含めることができます。個人プロファイルのコンテンツへの適切なアクセス・レベルをユーザーに付与する場合、この情報をコンテンツ・セクション・レベルで保護できます。

トピックは次のとおりです。

コンテンツ・タイプとコンテンツ・セクションの概要選択したロールのコンテンツ・セクション・アクセスを管理するタスクの説明カスタム・コンテンツ・タイプへのアクセスを保護するためにデータ・セキュリティ・ポリシーを作成する方法の説明影響を受けるデータ・ロールおよび抽象ロールの再生成の説明

コンテンツ・タイプとコンテンツ・セクションコンテンツ・タイプとは、タレント・プロファイルで追跡するスキル、資質、資格のことです。コンテンツ・ライブラリからコンテンツ・タイプを選択し、プロファイル・タイプのコンテンツ・セクションを作成します。個人プロファイルのみでコンテンツ・セクションへのアクセスを保護できます。コンテンツ・タイプは事前定義済またはカスタムのいずれかですが、個人プロファイル・タイプに関連付けられている必要があります。

プロファイル・コンテンツ・セクション・アクセスの管理「設定および保守」作業領域の「プロファイル・コンテンツ・セクション・アクセスの管理」タスクを使用して、個人プロファイルのコンテンツ・セクションへのアクセスを保護します。このタスクを実行するには、「ITセキュリティ・マネージャ」ジョブ・ロールまたは権限が必要です。選択したコンテンツ・セクションに対して、次の操作を行えます。

個人プロファイルのコンテンツ・セクションにアクセスできる事前定義済またはカスタム・ジョブ・ロールおよび抽象ロールを識別する。各ロールのアクセス・レベルを指定する。次の表では、レベルについて説明しています。

アクセス・レベル 説明

表示 ユーザーはコンテンツ・セクションのデータを表示できます。

編集 ユーザーはコンテンツ・セクションのデータを編集できます。このアクセスには、「表示」と「レポート」のアクセスが含まれます。

レポート ユーザーは、Oracle Business Intelligence Publisherレポートにコンテンツ・セクションのデータを含めることができます。

データ・セキュリティ・ポリシー事前定義済コンテンツ・タイプをロールにマップすると、事前定義済データ・セキュリティ権限がロールに自動的に付与されます。カスタム・コンテンツ・タイプをロールにマップすると、データ・セキュリティ権限が生成さ

255

れ、ロールに自動的に付与されます。たとえば、カスタム・リーダーシップ・コンテンツ・タイプを事前定義済の従業員抽象ロールにマップして、アクセス・レベルを「編集」に設定できます。次の表は、結果のデータ・セキュリティ・ポリシーを示しています。このデータ・セキュリティ・ポリシーに示されているデータ・セキュリティ権限は、ロールによって生成されて付与されます。

データ・セキュリティ・ポリシーデータ・リソース

データ・セキュリティ権限 条件

ORA_PER_EMPLOYEE_ABSTRACT, Granton Profile Content Type LEADERSHIP

個人詳細

リーダーシップ・コンテンツ・タイプの管理

HCM:PER:PER_ALL_PEOPLE_F:ViewOwn Record

次のルールがデータ・セキュリティ・ポリシーに適用されます。

ポリシー名の形式は、ロール・コード, Grant on Profile Content Type コンテンツ・タイプ・コードです。ポリシーの説明は、ポリシー名の場合と同じです。データ・リソースは、「個人詳細」です。データ・セキュリティ権限の形式は、Manage | Report | View | コンテンツ・タイプ名 Content Typeです条件により、個人レコードの特定のインスタンスへのアクセスが制御され、関連する個人セキュリティ・プロファイルが識別されます。

注意: プロファイル・コンテンツ・セクションへのアクセスを管理するために、セキュリティ・コンソールでカスタム・データ・セキュリティ・ポリシーを作成しないでください。常に「プロファイル・コンテンツ・セクション・アクセスの管理」タスクを使用してください。

データ・ロールおよび抽象ロールの再生成「プロファイル・コンテンツ・セクション・アクセスの管理」ページで変更を保存した後、次のロールを再生成する必要があります。

コンテンツ・セクションをマップした任意のジョブ・ロールを継承するデータ・ロールコンテンツ・セクションをマップし、セキュリティ・プロファイルを割り当てた抽象ロール

ロールを再生成すると、ロールのデータ・セキュリティ権限が更新されます。関連ロールを再生成しない場合、ユーザーは個人プロファイルのコンテンツ・セクションにアクセスできません。

注意: セキュリティ・プロファイルが割り当てられる抽象ロールまたはジョブ・ロールをコピーする場合は、コピーを実行する前にセキュリティ・プロファイルを取り消します。この予防措置により、コンテンツ・セクションをロールにマップするときに生成されたものを含め、データ・セキュリティ・ポリシーがコピーされないことが確実になります。

制限個人プロファイルが次のものに含まれている場合、個人プロファイルのコンテンツ・セクションは保護されません。

ベストフィット分析プロファイル比較

256

Oracle Transactional Business Intelligenceレポート

関連トピック

ロールの再生成

個人プロファイルのコンテンツ・セクションの保護個人プロファイルの選択済コンテンツ・セクションにアクセスできるようにジョブ・ロールまたは抽象ロールを設定できます。また、各ロールのアクセス・レベルを指定できます。このトピックでは、このタスクを実行する方法について説明します。「ITセキュリティ・マネージャ」ジョブ・ロールまたは権限を持っている必要があります。

サインインし、次のステップを実行します。

1. 「設定および保守」作業領域で、「プロファイル・コンテンツ・セクション・アクセスの管理」タスクを使用します。

2. 「プロファイル・コンテンツ・セクション・アクセスの管理」ページの「コンテンツ・セクション」セクションで、コンテンツ・セクションを選択します。選択したコンテンツ・セクションに対して「ロール」セクションが自動的に更新されます。このセクションには、コンテンツ・セクションにすでにアクセスできるロールとそのアクセス・レベルが表示されます。必要に応じて、アクセス・レベルを変更することができます。

3. コンテンツ・セクションをジョブ・ロールまたは抽象ロールにマップするには、次の手順を実行します。a. ページの「ロール」セクションで「追加」をクリックします。b. 目的のロールを検索して選択します。c. 「表示」、「編集」、「レポート」の任意の組合せを選択し、ロールに対してアクセスを設定します。「編集」を選択すると、「表示」と「レポート」が自動的に選択されます。

追加のロールに対して、このステップを繰り返します。4. ロールを削除するには、ロールを選択して「削除」をクリックします。5. 変更を保存します。6. 追加のコンテンツ・セクションに対して、ステップ2以降を繰り返します。

注意: 次のロールを再生成する必要があります。コンテンツ・セクションをマップした任意のジョブ・ロールを継承するデータ・ロールコンテンツ・セクションをマップし、セキュリティ・プロファイルを割り当てた抽象ロール

関連トピック

ロールの再生成

257

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

258

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

24 後任プラン、在職者および候補者へのアクセスの保護この章の内容は次のとおりです。

後任プラン、在職者および候補者へのアクセスを保護する方法の概要後任プランのスーパーユーザー・ジョブ・ロールの作成在職者および候補者リストへのアクセスの構成

259

後任プラン、在職者および候補者へのアクセスを保護する方法の概要このトピックでは、後任プラン、在職者および候補者へのユーザー・アクセスを構成できる方法の概要について説明します。

「後任プラン」作業領域のすべての後任プランへのアクセスの提供事前定義済ジョブ・ロールでは、ユーザーは「後任プラン」作業領域ですべての後任プランを管理できません。選択したユーザーにこのアクセス権を付与するために、スーパーユーザー・ジョブ・ロールを作成して、ユーザーにジョブ・ロールを直接プロビジョニングできます。ジョブ・ロールには、すべての後任プランにアクセスできるカスタム・データ・セキュリティ・ポリシーが付与されます。

このスーパーユーザー・ジョブ・ロールを持つユーザーが、すべての後任プランのOracle Transactional BusinessIntelligence (OTBI)サブジェクト領域にアクセスできるようにすることもできます。カスタム・ジョブ・ロールを編集してOTBIアクセスを追加するか、OTBIアクセス権を持つ個別のジョブ・ロールを提供できます。OTBIアクセス権を持つロールとOTBIアクセス権を持たないロールを作成することで、後任管理のOTBIサブジェクト領域に選択的にアクセスできます。

後任プラン、在職者および候補者リストへのアクセスの構成人事(HR)担当者およびライン・マネージャは、自分のロールに割り当てられた個人セキュリティ・プロファイルによって保護された就業者のリストから在職者および候補者を選択します。ただし、HR担当者やライン・マネージャが在職者や候補者を選択するときに提示される就業者リストの内容を変化させることが望ましい場合があります。たとえば、リストをなんらかの方法で制限したり、リストに含める就業者を条件に従って制御することが必要になる場合があります。このような柔軟なアクセスを実現するために、これらのリストへのアクセスを保護する事前定義済データ・セキュリティ・ポリシーをカスタム・データ・セキュリティ・ポリシーに置き換えることができます。在職者リストと候補者リストは個別に保護されるため、リストごとに異なる条件を指定できます。たとえば、次のように指定できます。

在職者リストには、特定の事業所の就業者のみを含めます。候補者リストには、HR担当者が人事担当者職責を持つ雇用主の就業者のみを含めます。

後任プランのスーパーユーザー・ジョブ・ロールの作成この例では、「後任プラン」作業領域のすべての後任プランにアクセスできるジョブ・ロールを作成する方法を示します。

次の表に、このシナリオにおける主な検討事項の概要を示します。

260

検討する決定 この例

ジョブ・ロールの名前は何ですか。 後任プランのスーパーユーザー・ジョブ

ジョブ・ロールのコードは何ですか。 SUCCESSION_PLANS_SUPER_USER_JOB

データ・セキュリティ・ポリシーの名前は何ですか。

後任プランのカスタム・ポリシー後任候補者のカスタム・ポリシー後任の個人詳細のカスタム・ポリシー

コピーされたロールの企業サフィクスは何ですか。

カスタム

コピーされたロールに企業サフィクスはありますか。

いいえ

ロール・マッピングの名前は何ですか。 すべての後任プランへのアクセス

どのようにロールを取得しますか。 人事担当者職責を持つユーザーは、他のユーザーにロールをプロビジョニングできます。

タスクの概要次の方法で、「後任プラン」作業領域のすべての後任プランにアクセスできるようにします。

1. 事前定義済の「後任プラン管理」職務ロールをコピーし、編集します2. ジョブ・ロールを作成します3. ジョブ・ロールにデータ・セキュリティ・ポリシーを付与します4. ジョブ・ロールのロール階層を作成します5. ロール・マッピングを作成します6. 必要に応じて、ジョブ・ロールを編集して、後任管理のOracle Transactional Business Intelligence (OTBI)サブジェクト領域にアクセスできるようにします

「後任プラン管理」職務ロールのコピー事前定義済の「後任プラン管理」職務ロールをコピーして編集し、既存のデータ・セキュリティ・ポリシーを削除します。

1. 「ITセキュリティ・マネージャ」ジョブ・ロールまたは権限でサインインして、「ナビゲータ」→「ツール」→「セキュリティ・コンソール」を選択します。

2. セキュリティ・コンソールの「ロール」タブで、事前定義済の「後任プラン管理」(ORA_HRM_SUCCESSION_PLAN_DUTY)職務ロールを検索します。

3. 検索結果で、ロールの「処理」メニューの「ロールのコピー」を選択します。4. 「コピー・オプション」ダイアログ・ボックスで、「最上位ロールのコピー」を選択し、「ロールのコピー」をクリックします。「ロールのコピー: 基本情報」ページで、コピーしたロールの名前は、後任プラン管理カスタム(HRM_SUCCESSION_PLAN_DUTY_CUSTOM)になります。

5. 「データ・セキュリティ・ポリシー」トレイン・ストップをクリックします。「データ・セキュリティ・ポリシー」ページに、後任プラン詳細に関する付与ポリシーがリストされま

261

す。6. データ・セキュリティ・ポリシーの「処理」メニューで、「データ・セキュリティ・ポリシーの削除」をクリックします。

7. 「警告」ダイアログ・ボックスで、「はい」をクリックします。8. 「サマリーおよび影響レポート」トレイン・ストップをクリックします。9. 「サマリーおよび影響レポート」ページで、「送信してクローズ」をクリックして職務ロールを作成します。

10. 「OK」をクリックして「確認」ダイアログ・ボックスを閉じます。

ジョブ・ロールの作成後任プランのスーパーユーザー・ジョブ・ロールを作成します。

1. セキュリティ・コンソールの「ロール」タブで、「ロールの作成」をクリックします。2. 「ロールの作成: 基本情報」ページで、「後任プランのスーパーユーザー」というロール名を入力します。3. ロール・コードとしてSUCCESSION_PLANS_SUPER_USER_JOBを入力します。4. 「ロール・カテゴリ」フィールドで、「HCM -ジョブ・ロール」を選択します。5. 「データ・セキュリティ・ポリシー」トレイン・ストップをクリックします。

ジョブ・ロールへのデータ・セキュリティ・ポリシーの付与後任プランのスーパーユーザー・ジョブ・ロールに対して、3つのデータ・セキュリティ・ポリシーを作成します。

1. 「データ・セキュリティ・ポリシー」ページで、「データ・セキュリティ・ポリシーの作成」をクリックし、「データ・セキュリティ・ポリシーの作成」ダイアログ・ボックスを開きます。

2. 「データ・セキュリティ・ポリシーの作成」ダイアログ・ボックスに、「後任プランのカスタム・ポリシー」というポリシー名を入力します。

3. 「後任プラン詳細」(HRM_PLANS)というデータベース・リソースを検索して選択します。4. 「データ・セット」フィールドで「すべての値」を選択します。5. 「処理」フィールドで、次の値を選択します。

就業者を後任プランに追加就業者の後任プランの作成後任プランの管理後任プランの表示

6. 「OK」をクリックして、「データ・セキュリティ・ポリシーの作成」ダイアログ・ボックスを閉じます。7. ステップ1から繰り返して、さらに2つのデータ・セキュリティ・ポリシーを作成します。次の表に示すようにフィールドに入力します。

ポリシー名 データベース・リソースデータ・セット 処理

後任候補者のカスタム・ポリシー

後任プラン候補者(HRM_PLAN_CANDIDATES)

すべての値

後任プラン候補者の管理後任プラン候補者の表示

262

後任の個人詳細のカスタム・ポリシー

個人詳細(PER_ALL_PEOPLE_F) すべての値

就業者を後任プランに追加就業者の後任プランの作成後任プランの表示

これで、「データ・セキュリティ・ポリシー」ページにリストされる3つのデータ・セキュリティ・ポリシーについて確認しました。

ジョブ・ロールのロール階層の定義「就業者の後任プランの作成」集計権限および後任プラン管理カスタム職務ロールを、後任プランのスーパーユーザー・ジョブ・ロール階層に追加します。

1. 「ロール階層」トレイン・ストップをクリックします。2. 「ロール階層」ページで、「ロールの追加」をクリックします。3. 「ロール・メンバーシップの追加」ダイアログ・ボックスで、「就業者の後任プランの作成」(ORA_HRM_SUCCESSION_PLAN_CREATE_DUTY)集計権限を検索します。

4. 検索結果の集計権限を選択し、「ロール・メンバーシップの追加」をクリックします。5. ステップ3から繰り返して、後任プラン管理カスタム職務ロールを追加します。6. 「ロール・メンバーシップの追加」ダイアログ・ボックスを閉じます。7. 「サマリーおよび影響レポート」トレイン・ストップをクリックします。8. 「保存してクローズ」をクリックします。9. 「OK」をクリックして「確認」ダイアログ・ボックスを閉じます。

ロール・マッピングの作成ロール・マッピングを作成して、後任プランのスーパーユーザー・ジョブ・ロールをユーザーにプロビジョニングできるようにします。

1. 「設定および保守」作業領域で、次の項目に移動します。オファリング: ワークフォース開発機能領域: ユーザーおよびセキュリティタスク: ロール・プロビジョニング・ルールの管理

2. 「ロール・マッピングの管理」ページで、「検索結果」セクションの「作成」アイコンをクリックします。

3. 「ロール・マッピングの作成」ページの「マッピング名」フィールドに、「すべての後任プランへのアクセス」と入力します。

4. 次の表に示すように、「条件」セクションのフィールドに入力します。

フィールド 値

HRアサイメント・ステータス アクティブ

職責タイプ 人事担当者

5. 「関連ロール」セクションで、「行の追加」アイコンをクリックします。

263

6. 「ロール名」フィールドで、「後任プランのスーパーユーザー・ジョブ」を検索して選択します。7. 「要求可能」オプションを選択し、「自動プロビジョニング」オプションの選択を解除します。8. 「保存してクローズ」をクリックします。これで、人事担当者職責を持つユーザーは、後任プランのスーパーユーザー・ジョブ・ロールを他のユーザーにプロビジョニングできるようになりました。ロールを持つユーザーは「後任プラン」作業領域ですべての後任プランを管理できますが、次の例外があります。

プランの候補者マネージャでもあるユーザーは、プランの候補者リストのみを編集できます。プランのビューアでもあるユーザーは、プランを表示できますが編集することはできません。

OTBIサブジェクト領域へのアクセスの有効化後任プランのスーパーユーザー・ジョブ・ロールを持つユーザーが後任管理のOTBIサブジェクト領域にアクセスできるようにするには、2つのジョブ・ロールのデータ・セキュリティ・ポリシーを編集し、ロール階層にロールを追加します。

1. 「ITセキュリティ・マネージャ」ジョブ・ロールまたは権限でサインインして、「ナビゲータ」→「ツール」→「セキュリティ・コンソール」を選択します。

2. セキュリティ・コンソールの「ロール」タブで、「後任プランのスーパーユーザー・ジョブ」ロールを検索します。

3. 検索結果で、ロールの「処理」メニューで「ロールの編集」を選択します。4. 「データ・セキュリティ・ポリシー」トレイン・ストップをクリックします。5. 「後任プランのカスタム・ポリシー」データ・セキュリティ・ポリシーの「処理」メニューで、「データ・セキュリティ・ポリシーの編集」を選択します。

6. 「データ・セキュリティ・ポリシーの編集」ダイアログ・ボックスで、「処理」フィールドの「後任プランのレポート」を選択します。

7. 後任個人詳細カスタム・ポリシー・データ・セキュリティ・ポリシーの「処理」メニューで、「データ・セキュリティ・ポリシーの編集」を選択します。

8. 「データ・セキュリティ・ポリシーの編集」ダイアログ・ボックスの「処理」フィールドで、「後任プラン候補者のレポート」および「後任プラン在職者のレポート」を選択します。

9. 「OK」をクリックして、「データ・セキュリティ・ポリシーの編集」ダイアログ・ボックスを閉じます。10. 「データ・セキュリティ・ポリシーの作成」をクリックして、「データ・セキュリティ・ポリシーの作成」ダイアログ・ボックスを開きます。

11. 「データ・セキュリティ・ポリシーの作成」ダイアログ・ボックスで、次の表に従ってフィールドに入力します。

ポリシー名 データベース・リソースデータ・セット 処理

後任タレント・プロファイルのカスタム・ポリシー

表HRT_PROFILES_Bのタレント・プロファイル

すべての値

タレント・プロファイルのレポート

12. 「OK」をクリックして、「データ・セキュリティ・ポリシーの作成」ダイアログ・ボックスを閉じます。13. 「ロール階層」トレイン・ストップをクリックします。14. 「ロールの追加」をクリックします。15. 「ロール・メンバーシップの追加」ダイアログ・ボックスで、事前定義済の「後任管理トランザクション分析職務」(FBI_SUCCESSION_MANAGEMENT_TRANSACTION_ANALYSIS_DUTY)ロールを検索して選択

264

します。16. 「ロール・メンバーシップの追加」をクリックします。17. 「ロール・メンバーシップの追加」ダイアログ・ボックスを閉じます。18. 「サマリーおよび影響レポート」トレイン・ストップをクリックします。19. 「保存してクローズ」をクリックします。これで、後任管理のスーパーユーザー・ジョブ・ロールを持つユーザーが後任管理のOTBIサブジェクト領域にアクセスできるようになりました。

在職者および候補者リストへのアクセスの構成この例では、後任プランの在職者および候補者の制限リストへのアクセスを提供するHCMデータ・ロールの作成方法について学習します。人事(HR)担当者は、就業者のリストから後任プランの候補者および候補者を選択します。デフォルトでは、これらのリストに表示される就業者は、HR担当者のデータ・ロールに割り当てられた個人セキュリティ・プロファイルによって定義されます。このアクセスを変化させることが求められる場合があります。たとえば、なんらかの方法で制限された在職者および候補者のリストを提示することが望ましい場合があります。

次の表に、このシナリオにおける主な検討事項の概要を示します。

検討する決定 この例

HCMデータ・ロールの名前は何ですか。 HR担当者 - 制限付き在職者および候補者

在職者のデータベース・リソース条件の名前および表示名は何ですか。

在職者リストおよび在職者リストの保護条件

候補者のデータベース・リソース条件の名前および表示名は何ですか。

候補者リストおよび候補者リストの保護条件

データベース・リソース条件はどのように指定しますか。 SQL述語

HR担当者の在職者および候補者リストにはどの就業者が表示されますか。

HR担当者が人事担当者職責を持つ部門の従業員

在職者のデータ・セキュリティ・ポリシーの名前は何ですか。 在職者ポリシーへの制限付きアクセス

候補者のデータ・セキュリティ・ポリシーの名前は何ですか。 候補者ポリシーへの制限付きアクセス

タスクの概要次の方法で、在職者および候補者の制限されたリストにアクセスできるようにします。

1. HCMデータ・ロールを作成します2. 2つのデータベース・リソース条件を作成します。3. 既存のデータ・セキュリティ・ポリシーを終了するHCMデータ・ロールを編集します。4. 新しいデータベース・リソース条件を参照するHCMデータ・ロールの置換データ・セキュリティ・ポリシーを作成します。

265

HCMデータ・ロールの作成すべて表示のアクセス権を持つHCMデータ・ロールを作成します。

1. 「ITセキュリティ・マネージャ」ロールまたは権限でサインインします。2. 「設定および保守」作業領域で、次の項目に移動します。

オファリング: ワークフォース開発機能領域: ユーザーおよびセキュリティタスク: ロールへのセキュリティ・プロファイルの割当

3. 「データ・ロールおよびセキュリティ・プロファイルの管理」ページで、「作成」をクリックします。4. 「データ・ロールの作成: ロールの選択」ページで、次の表に示すようにフィールドに入力します。

フィールド 値

データ・ロール HR担当者 - 制限付き在職者および候補者

ジョブ・ロール 人事担当者

5. 「次」をクリックします。6. 「ロールの作成: セキュリティ基準」ページで、次の表に示すセキュリティ・プロファイルを選択します。

フィールド 値

「組織」セキュリティ・プロファイル すべての組織の表示

「ポジション」セキュリティ・プロファイル すべてのポジションの表示

「国」セキュリティ・プロファイル すべての国の表示

「LDG」セキュリティ・プロファイル すべての国別仕様データ・グループを表示

個人セキュリティ・プロファイル(個人) すべての就業者の表示

個人セキュリティ・プロファイル(公開個人) すべての個人の表示

「文書タイプ」セキュリティ・プロファイル すべてのドキュメント・タイプを表示

給与セキュリティ・プロファイル すべての給与の表示

フロー・パターン・セキュリティ・プロファイル すべてのフローの表示

7. 「レビュー」をクリックします。8. 「データ・ロールの作成: レビュー」ページで、「送信」をクリックします。

データベース・リソース条件の作成データ・セキュリティ・ポリシーに含める2つのデータベース・リソース条件を作成します。

1. 「ナビゲータ」→「ツール」→「セキュリティ・コンソール」を選択します。2. セキュリティ・コンソールで、「管理」タブをクリックします。3. 「一般」サブタブで、「データベース・リソースの管理」をクリックします。4. 「データベース・リソースおよびポリシーの管理」ページで、「オブジェクト名」フィールド

266

にPER_ALL_PEOPLE_Fと入力し、「検索」をクリックします。5. 「検索結果」セクションで、「編集」アイコンをクリックします。6. 「データ・セキュリティの編集: PER_ALL_PEOPLE_F」ページで、「条件」タブをクリックします。7. 「条件」タブで、「作成」アイコンをクリックします。8. 「データベース・リソース条件の作成」ダイアログ・ボックスで、次の表に従ってフィールドに入力します。

フィールド 値

名前 在職者リスト

表示名 在職者リストの保護条件

条件タイプ SQL述語

「SQL述語」フィールドに、次の文を入力します。

EXISTS(SELECT 1 FROM PER_ALL_ASSIGNMENTS_M ASG,PER_PERIODS_OF_SERVICE PS,PER_ASG_RESPONSIBILITIES RES WHERE ASG.ASSIGNMENT_TYPE IN('E') AND ASG.EFFECTIVE_LATEST_CHANGE='Y' AND SYSDATE BETWEEN ASG.EFFECTIVE_START_DATE AND ASG.EFFECTIVE_END_DATE AND PS.PERIOD_OF_SERVICE_ID=ASG.PERIOD_OF_SERVICE_ID AND (ASG.ASSIGNMENT_STATUS_TYPE IN ('ACTIVE','SUSPENDED') OR (ASG.ASSIGNMENT_STATUS_TYPE IN ('INACTIVE') AND NOT EXISTS SELECT 1 FROM PER_ALL_ASSIGNMENTS_M EXASG WHERE EXASG.ASSIGNMENT_TYPE IN('E','C','N','P') AND EXASG.EFFECTIVE_LATEST_CHANGE = 'Y' AND EXASG.PERSON_ID = ASG.PERSON_ID AND SYSDATE BETWEEN LEAST(SYSDATE,EXASG.EFFECTIVE_START_DATE) AND EXASG.EFFECTIVE_END_DATE AND EXASG.ASSIGNMENT_STATUS_TYPE IN ('ACTIVE','SUSPENDED')) AND PS.ACTUAL_TERMINATION_DATE = (SELECT MAX(ALLPS.ACTUAL_TERMINATION_DATE) FROM PER_PERIODS_OF_SERVICE ALLPS WHERE ALLPS.PERSON_ID = ASG.PERSON_ID AND ALLPS.ACTUAL_TERMINATION_DATE IS NOT NULL))) AND SYSDATE BETWEEN RES.START_DATE AND NVL(RES.END_DATE,SYSDATE) AND ASG.PERSON_ID=&TABLE_ALIAS.PERSON_ID AND RES.PERSON_ID=(SELECT NVL(HRC_SESSION_UTIL.GET_USER_PERSONID,-1) FROM DUAL) AND RES.RESPONSIBILITY_TYPE='HR_REP' AND ASG.ORGANIZATION_ID=RES.ORGANIZATION_ID AND ((SELECT NVL(HRC_SESSION_UTIL.GET_USER_PERSONID,-1) FROM DUAL)<>&TABLE_ALIAS.PERSON_ID)))

ヒント: 使用または編集できるSQL述語を生成するには、必要な条件を使用して個人セキュリティ・プロファイルを作成します。「個人セキュリティ・プロファイルの作成: プレビュー」ページの「個人アクセスのSQL述語」タブからSQL述語をコピーします。

9. 「保存」をクリックします。10. 次の表および同じSQL述語に示す値を使用して、候補者条件に対してステップ7から9を繰り返します。

267

フィールド 値

名前 候補者リスト

表示名 候補者リストの保護条件

条件タイプ SQL述語

HCMデータ・ロールに付与されるデータ・セキュリティ・ポリシーの終了HCMデータ・ロールを編集して、既存のデータ・セキュリティ・ポリシーを終了します。

1. セキュリティ・コンソールで「ロール」タブをクリックします。2. 「HR担当者 - 制限付き在職者および候補者」データ・ロールを検索して選択します。3. 検索結果で、ロールの「処理」メニューで「ロールの編集」を選択します。4. 「基本情報」ページで、「データ・セキュリティ・ポリシー」トレイン・ストップをクリックします。5. 「権限」検索フィールドで、「就業者を後任プランに追加」を入力し、[Enter]を押します。6. 「個人詳細」データ・リソースに指定された権限を含む行で、「処理」メニューの「データ・セキュリティ・ポリシーの編集」を選択します。

7. 「データ・セキュリティ・ポリシーの編集」ダイアログ・ボックスで、「終了日」フィールドに今日の日付を入力します。

8. 「OK」をクリックして、「データ・セキュリティ・ポリシーの編集」ダイアログ・ボックスを閉じます。9. 「就業者の後任プランの作成」権限に対してステップ5から繰り返します。「データ・セキュリティ・ポリシー」ページに残ります。

データ・セキュリティ・ポリシーの作成HCMデータ・ロールの在職者および候補者への制限付きアクセスを提供する2つのデータ・セキュリティ・ポリシーを作成します。

1. 「データ・セキュリティ・ポリシーの作成」ページで、「データ・セキュリティ・ポリシーの作成」をクリックします。

2. 次の表に示す値を使用して、「データ・セキュリティ・ポリシーの作成」ダイアログ・ボックスのフィールドに入力します。

フィールド 値

ポリシー名 在職者ポリシーへの制限付きアクセス

データベース・リソース 個人詳細

データ・セット インスタンス・セット別の選択

条件名 在職者リストの保護条件

処理 就業者の後任プランの作成

3. 「OK」をクリックします。

268

4. 次の表に示す値を使用して、ステップ1から3を繰り返します。

フィールド 値

ポリシー名 候補者ポリシーへの制限付きアクセス

データベース・リソース 個人詳細

データ・セット インスタンス・セット別の選択

条件名 候補者リストの保護条件

処理 就業者を後任プランに追加

5. 「サマリーおよび影響レポート」トレイン・ストップをクリックします。6. 「保存してクローズ」をクリックし、HCMデータ・ロールに対する変更を保存します。

HCMデータ・ロールをユーザーにプロビジョニングするには、ロール・マッピングを作成します。.

ヒント: 「ライン・マネージャ」抽象ロールにこれらの拡張機能を実装する場合、データ・ロールを作成する必要がないことを除いてステップは同じです。「ライン・マネージャ」ロールにはセキュリティ・プロファイルが直接割り当てられている可能性があるため、関連するデータ・セキュリティ・ポリシーを終了するには、「ライン・マネージャ」ロールを編集します。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

269

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

25 レスポンシブ・ユーザー・エクスペリエンス・ページの値リストへのアクセスの保護この章の内容は次のとおりです。

レスポンシブ・ユーザー・エクスペリエンス・ページの値リストを保護する権限およびロール

270

レスポンシブ・ユーザー・エクスペリエンス・ページの値リストを保護する権限およびロール機能セキュリティ権限、集計権限および職務ロールよって、レスポンシブ・ユーザー・エクスペリエンス・ページの値リストへのアクセスが保護されます。事前定義済のジョブ・ロールと抽象ロールは、これらの権限およびロールを継承します。事前定義済ロールを使用している場合、処理は必要ありません。レスポンシブ・ユーザー・エクスペリエンス・ページと関連ロールのカスタム・バージョンの両方を使用している場合、これらの権限およびロールをカスタム・ロールに追加する必要があります。このトピックでは、権限および職務ロール、それらが保護する値リストおよびそれらを継承する事前定義済ロールについて説明します。

次の表は、レスポンシブ・ユーザー・エクスペリエンス・ページの値リストへのアクセスを保護する機能セキュリティ権限を示しています。また、権限が付与される事前定義済ロールも示します。必要に応じて、事前定義済ロールのカスタム・バージョンにこれらの権限を追加します。

値リスト 機能セキュリティ権限事前定義済ロール

住所コンポーネント RESTサービスの使用 - 住所値リストPER_REST_SERVICE_ACCESS_ADDRESS_LOVS_PRIV

派遣就業者従業員人事担当者

労働協約 RESTサービスの使用 - 労働協約値リストPER_REST_SERVICE_ACCESS_COLLECTIVE_AGREEMENTS_LOV_PRIV

人事担当者ライン・マネージャ

コンテンツ項目評点レベル

RESTサービスの使用 - コンテンツ項目値リストHRT_REST_SERVICE_ACCESS_CONTENT_ITEMS_LOV_PRIV

派遣就業者従業員人事担当者ライン・マネージャ

自分のブランド・スキル RESTサービスの使用 - ワークフォース評判値リストHWR_REST_SERVICE_ACCESS_REPUTATION_LOVS_PRIV

派遣就業者従業員

プロファイル RESTサービスの使用 - モデル・プロファイル値リストHRT_REST_SERVICE_ACCESS_MODEL_PROFILES_LOV_PRIV

派遣就業者従業員人事担当者ライン・マネージャ

質問リスト質問

RESTサービスの使用 - 質問値リストHRT_REST_SERVICE_ACCESS_QUESTIONNAIRE_LOVS_PRIV

採用マネージャ採用担当者

ロールユーザー・ロールユーザー・アカウント

RESTサービスの使用 - ユーザーおよびロール値リストPER_REST_SERVICE_ACCESS_USERS_AND_ROLES_LOVS_PRIV

従業員派遣就業者ライン・マネージャ人材管理アプリケーション管理者

271

人事担当者ITセキュリティ・マネージャ

給与ベース RESTサービスの使用 - 給与ベース値リストCMP_REST_SERVICE_ACCESS_SALARY_BASES_LOV_PRIV

報酬管理者報酬マネージャ人事担当者ライン・マネージャ採用担当者

タイム・カードタイム・カード・フィールド値

RESTサービスの使用 - タイム・カード値リストHXT_REST_SERVICE_ACCESS_TIME_CARD_FIELD_VALUES_LOV_PRIV

派遣就業者従業員

次の表は、レスポンシブ・ユーザー・エクスペリエンス・ページの値リストへのアクセスを保護する集計権限を示しています。また、権限を継承する事前定義済ロールも示します。必要に応じて、事前定義済ロールのカスタム・バージョンに権限を追加します。

値リスト 集計権限

事前定義済ロール

処理処理事由アサイメント・ステータス・タイプPersonタイプ

RESTサービスの使用 - 個人参照データ値リストORA_PER_REST_SERVICE_ACCESS_PERSON_REFERENCE_DATA_LOVS

人事担当者ライン・マネージャ

国 RESTサービスの使用 - HCM国値リストORA_PER_REST_SERVICE_ACCESS_HCM_COUNTRIES_LOVS

派遣就業者従業員人事担当者

交渉団体ビジネス・ユニットコスト・センター部門等級等級ラダージョブジョブ・ファミリ雇用主

RESTサービスの使用 - ワークフォース・ストラクチャ値リストORA_PER_REST_SERVICE_ACCESS_WORKFORCE_STRUCTURE_LOVS

採用マネージャ人事担当者ライン・マネー

272

事業所ポジション報告組織組合

ジャ採用担当者

応募フロー候補者プール候補者選択プロセスコンテンツ・ライブラリ地理階層の場所ジョブ求人ジョブ求人テンプレート採用組織

RESTサービスの使用 - 採用値リストORA_IRC_REST_SERVICE_ACCESS_RECRUITING_LOVS

採用マネージャ採用担当者

後任プランタレント・プール

RESTサービスの使用 - 後任管理値リストORA_HRM_REST_SERVICE_ACCESS_SUCCESSION_MANAGEMENT_LOVS

人事担当者ライン・マネージャ

次の表は、レスポンシブ・ユーザー・エクスペリエンス・ページの値リストへのアクセスを保護する職務ロールを示しています。また、職務ロールが付与される事前定義済ロールも示します。必要に応じて、事前定義済ロールのカスタム・バージョンにこれらの職務ロールを追加します。

値リスト 職務ロール 事前定義済ロール

文書タイプ RESTサービスの使用 - HR文書タイプ値リストORA_PER_DOCUMENT_TYPES_LOV_REST_SERVICE_DSPS

福利厚生管理者派遣就業者従業員人材管理アプリケーション管理者人事担当者ライン・マネージャ

適格な連絡先 RESTサービスの使用 - 適格な連絡先値リストORA_PER_REST_SERVICE_ACCESS_ELIGIBLE_CONTACTS_LOV

派遣就業者従業員人事担当者

就業者 RESTサービスの使用 - 就業者値リストORA_PER_WORKERS_LOV_REST_SERVICE_DSPS

派遣就業者従業員採用マネージャ人事担当者ライン・マネージャ採用担当者

関連トピック

273

ジョブ・ロールおよび抽象ロールの編集HCMレスポンシブ・ユーザー・エクスペリエンスの設定情報

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

274

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

26 セキュリティおよびレポートこの章の内容は次のとおりです。

Oracle Fusion Transactional Business Intelligenceのセキュリティレポート・データ・セキュリティビジネス・インテリジェンス・ロールレポートのロールおよび権限の表示Business Intelligence Publisherの保護リスト・ビューBusiness Intelligence PublisherとPIIデータディメンション・セキュリティセキュリティとレポートのFAQ

275

Oracle Fusion Transactional Business IntelligenceのセキュリティOracle Fusion Transactional Business Intelligenceは、リアルタイムのセルフサービス・レポート・ソリューションです。適切なロールを持つすべてのアプリケーション・ユーザーは、Transactional Business Intelligenceを使用して、意思決定を支援する分析を作成できます。また、ビジネス・ユーザーは、様々なツールを使用して、ビジネス・アプリケーションの現状分析を実行できます。これらのツールには、問合せおよびレポートの標準ツールとしてのOracle Business Intelligence Enterprise Edition、Oracle Business Intelligence AnswersおよびOracle Business IntelligenceDashboardユーザー・ツールが含まれます。このトピックでは、Transactional Business Intelligenceのサブジェクト領域、ビジネス・インテリジェンス・カタログのフォルダおよびビジネス・インテリジェンス・レポートへのアクセスを保護する方法について要約しています。

サブジェクト領域サブジェクト領域は、職務ロールを使用して機能的に保護されます。サブジェクト領域へのアクセスを許可する職務ロールの名前には、「トランザクション分析職務」という語が含まれています(例: 「ワークフォース・トランザクション分析職務」)。

次の表は、事前定義済のHCMジョブ・ロールがアクセスできるサブジェクト領域を示しています。

HCMジョブ・ロール サブジェクト領域

福利厚生マネージャ

すべての福利厚生

報酬マネージャ

すべての報酬

報酬アナリスト

すべての報酬

人事管理アナリスト

「目標」、「ワークフォース管理」、「ワークフォース・パフォーマンス」、「ワークフォース・プロファイル」、「タレント・レビュー」

ライン・マネージャ

すべてのワークフォース管理

給与マネージャ

すべての給与

ユーザーがレポート内のすべてのサブジェクト領域にアクセスできない場合、分析は失敗します。

ビジネス・インテリジェンス・カタログのフォルダビジネス・インテリジェンス・カタログのフォルダは、サブジェクト領域へのアクセスを保護する職務ロールと同じ職務ロールを使用して機能的に保護されます。そのため、ワークフォース・トランザクション分析職務を継承す

276

るユーザーは、次にアクセスできます。

Business Intelligenceの「カタログ」の「ワークフォース管理」フォルダ「ワークフォース管理」サブジェクト領域

次の表は、事前定義済のHCMジョブ・ロールがアクセスできるフォルダを示しています。

HCMジョブ・ロール ビジネス・インテリジェンス・カタログのフォルダ

福利厚生マネージャ

Transactional Business Intelligenceの「福利厚生」

報酬マネージャ Transactional Business Intelligenceの「報酬」

報酬アナリスト Transactional Business Intelligenceの「報酬」

人事管理アナリスト

Business Intelligence Publisherの「目標」、「パフォーマンス」、「プロファイル」Transactional Business Intelligenceの「キャリア」と「ワークフォース管理」

ライン・マネージャ

Business Intelligence Publisherの「報酬」と「ワークフォース管理」Transactional Business Intelligenceの「ワークフォース管理」とBusiness Intelligence Answersの多くのフォルダ

給与マネージャ Transactional Business IntelligenceおよびBusiness Intelligence Answersの「給与」フォルダ

ビジネス・インテリジェンス・レポート分析は、保存先のフォルダに基づいて保護されます。レポート権限を使用してビジネス・インテリジェンス・レポートを保護していない場合、ビジネス・インテリジェンス・レポートはデフォルトでフォルダ・レベルで保護されます。アプリケーション・ロール、カタログ・グループまたはユーザーに対して、フォルダおよびレポートに対する権限を設定できます。

次の権限を設定できます。

読取り、実行、書込みまたは削除権限の変更所有権の設定Publisherレポートの実行PublisherレポートのスケジュールPublisher出力の表示

レポート・データ・セキュリティOracle Transactional Business Intelligenceレポートで返されるデータは、アプリケーション・ページで返されるデータと同様の方法で保護されます。データ・アクセスは、セキュリティ・プロファイルにリンクされたロールによって付与されます。このトピックでは、Transactional Business Intelligenceレポートのデータへのアクセスの保護においてトランザクション分析職務ロールが果たす役割について説明します。また、カスタム・ジョブ・ロールでこのア

277

クセスを有効にする方法についても説明します。

トランザクション分析職務ロールサブジェクト領域およびビジネス・インテリジェンス・カタログのフォルダへのアクセスを提供するトランザクション分析職務ロールにはそれぞれ、1つ以上のデータ・セキュリティ・ポリシーが付与されます。これらのポリシーにより、データへのアクセスが有効になります。

カスタム・ジョブ・ロールTransactional Business Intelligenceレポートへのアクセス権を持つジョブ・ロールを作成する場合、このロールに適切な職務ロールを付与する必要があります。カスタム・ロールには、トランザクション分析職務ロールのOBIバージョンとHCMバージョンの両方が必要です。これらの職務ロールによって、カスタム・ジョブ・ロールにレポート実行のための機能とデータ・セキュリティが確保されます。

たとえば、ロールがワークフォース・トランザクション分析サブジェクト領域にアクセスする必要がある場合、ロールは次の表の職務ロールを継承する必要があります。

職務ロール バージョン

ワークフォース・トランザクション分析職務 OBI

ワークフォース・トランザクション分析 HCM

「ワークフォース・トランザクション分析職務」ロールは、関連するデータ・セキュリティ・ポリシーを付与され、BIコンシューマ・ロールを継承します。

注意: OBIトランザクション分析職務ロールをコピーすることはお薦めしません。かわりに、事前定義済のOBIトランザクション分析職務ロールをカスタム・ロールに追加します。ロールをコピーする場合は、関連レポートに対する権限を更新し、ロールのコピーを使用してそれらを保護する必要があります。

ビジネス・インテリジェンス・ロール「Oracle Business Intelligence」ロールは、Oracle Business Intelligence PublisherとOracle Fusion Transactional BusinessIntelligenceの両方に適用されます。これらによって、レポートの実行権限や作成権限などのビジネス・インテリジェンス機能へのアクセス権が付与されます。これらのロールは、レポート、サブジェクト領域、ビジネス・インテリジェンス・カタログのフォルダおよびHCMデータへのアクセス権を付与するロールに追加するロールです。このトピックでは、ビジネス・インテリジェンス・ロールについて説明します。

次の表は、ビジネス・インテリジェンス・ロールをリストしています。

ビジネス・インテリジェンス・ロール 説明

BIコンシューマ・ロール ビジネス・インテリジェンス・レポートを実行します。

BI作成者ロール レポートを作成および編集します。

278

BI管理者ロール ダッシュボードの作成や編集、レポートやフォルダなどのセキュリティ権限の変更などの管理タスクを実行します。

「BI Publisherデータ・モデル・デベロッパ」ロール

Business Intelligence Publisherデータ・モデルを作成および編集します。

BIコンシューマ・ロール事前定義済のTransactional Business Intelligenceトランザクション分析職務ロールは、BIコンシューマ・ロールを継承します。BIコンシューマ・ロールを継承するカスタム・ロールを構成すると、このロールはレポートを実行できますが、作成はできません。

BI作成者ロールBI作成者ロールは、BIコンシューマ・ロールを継承します。BI作成者ロールを持つユーザーは、TransactionalBusiness Intelligenceレポートを作成、編集および実行できます。

BI管理者ロールBI管理者ロールは、スーパーユーザー・ロールです。BIコンシューマ・ロールを継承するBI作成者ロールを継承します。このロールは、テスト環境のユーザーにのみプロビジョニングすることを推奨します。

BI管理者ロール・アクセスを持つ事前定義済のHCMジョブ・ロールはありません。

「BI Publisherデータ・モデル・デベロッパ」ロール「BI Publisherデータ・モデル・デベロッパ」ロールは、「アプリケーション実装コンサルタント」ロールによって継承される「アプリケーション開発者」ロールによって継承されます。したがって、このいずれかの事前定義済ジョブ・ロールを持つユーザーは、Business Intelligence Publisherデータ・モデルを管理できます。

レポートのロールおよび権限の表示レポートのロールおよび権限を表示すると、Oracle Transactional Business Intelligenceセキュリティの仕組みの理解に役立ちます。

このトピックでは、次のものを表示する方法について説明します。

ジョブ・ロールが継承するレポート・ロールビジネス・インテリジェンス・カタログのOracle Transactional Business Intelligenceサンプル・レポートに対する権限

セキュリティ・コンソールでの継承レポート・ロールの表示

279

「ITセキュリティ・マネージャ」ジョブ・ロールまたは権限でサインインし、次のステップを実行します。

1. セキュリティ・コンソールで、ジョブ・ロールを検索して選択します。たとえば、「人事管理アナリスト」ジョブ・ロールを検索して選択します。企業設定に応じて、ロールがグラフィカル形式または表形式で表示されます。デフォルトで表形式表示が表示されない場合は、表形式表示に切り替えます。

2. 人事管理アナリストは、レコード文書トランザクション分析や休暇欠勤管理トランザクション分析などの多くのトランザクション分析職務ロールを継承します。これらのロール(名前に「職務」という語がない場合)は、HCMロールです。これらのロールのロール・コードは、ORA_という文字で始まります。表でこれらのロールを見つけます。

3. 多くのトランザクション分析職務ロール(名前に「職務」という語がある場合)も表示されることに注意してください。たとえば、人事管理アナリストは、「レコード文書トランザクション分析職務」ロールおよび「休暇欠勤管理トランザクション分析職務」ロールを継承します。これらのロールは、OBIロールです。これらのロールのロール・コードは、FBI_という文字で始まります。表でこれらのロールを見つけます。

4. 「休暇欠勤管理トランザクション分析職務」ロールは、BIコンシューマ・ロールを継承することに注意してください。ほとんどのOBI職務ロールは、BIコンシューマ・ロールを継承します。

5. 「人事管理アナリスト」ロールは、BI作成者ロールを直接継承します。BI作成者ロールを見つけます。BI作成者ロールもBIコンシューマロールを継承することに注意してください。

ヒント: オフラインでレビューするために、ロール階層をスプレッドシートにエクスポートできます。

ビジネス・インテリジェンス・カタログの権限の表示これらの権限を表示するには、BI管理者ロールを継承するロールが必要です。事前定義済の「HCM」ジョブ・ロールは、BI管理者ロールを継承しません。

1. 「レポートおよび分析」作業領域を開きます。2. 「コンテンツ」ペインで、「カタログの参照」アイコンをクリックします。ビジネス・インテリジェンス・カタログページが開きます。

3. 「フォルダ」ペインで、「共有フォルダ」を展開します。「人材管理」フォルダを展開し、「給与」フォルダを展開します。

4. 「トランザクション分析サンプル」フォルダをクリックします。「BIカタログ」ページにレポートのリストが表示されます。

5. 「原価計算レポート」で、「詳細」→「権限」をクリックします。「権限」ダイアログ・ボックスが開きます。必要に応じて、スクロールして、BI管理者ロールが含まれた権限の完全なリストを表示します。

6. 「Oracle Applications」タブをクリックして、ホーム・ページに戻ります。

Business Intelligence Publisherの保護リスト・ビューOracle Business Intelligence Publisherは、データ・モデルに基づいて書式付きレポートを作成するための一連のツールです。「新規」→「レポート」をクリックして、Business Intelligence Composerまたはビジネス・インテリジェンス・カタログからBusiness Intelligence Publisherにアクセスできます。このトピックでは、保護リスト・ビューを使

280

用して、ビジネス・インテリジェンス・レポートのデータへのアクセスを保護する方法について説明します。

一部のレポート・ツールでは、1つのレポート・ファイルでデータ・モデル、レイアウト、翻訳が組み合わされています。このアプローチでは、ビジネス・インテリジェンス管理者は、小さな変更をサポートするために、同じレポートの複数のコピーを保持する必要があります。一方、Business Intelligence Publisherでは、データ・モデル、レイアウト、翻訳が分離されます。したがって、レポートに対して次の操作が可能です。

PDFやスプレッドシートなど、多くの出力形式で生成および消費する。Eメールやプリンタなどへの配信をスケジュールする。翻訳ファイルを追加することにより、複数の言語で印刷する。複数の受信者への配信をスケジュールする。

Business Intelligence Publisherのデータ・セキュリティと保護リスト・ビュー物理SQLを使ってBusiness Intelligence Publisherデータ・モデルを作成する場合、2つのオプションがあります。

次のことが可能です。

1. データベース表からデータを直接選択します。この場合、返すデータは、データ・セキュリティ制限の対象になりません。保護されていないデータに基づいてデータ・モデルを作成できるため、データ・モデルを作成できるユーザーの数を最小限にすることを推奨します。

2. select文の保護リスト・ビューに参加します。返されるデータは、レポートを実行しているユーザーのロールに割り当てられるセキュリティ・プロファイルによって決まります。

次の表は、各データベース表の次のものを示しています。

保護リスト・ビュー表のデータに関するレポートの実行に必要なデータ・セキュリティ権限(保護リスト・ビューを使用してアクセスする場合)

次の職務ロールには、次の表に示された権限があります。

休暇欠勤管理トランザクション分析給与トランザクション分析欠員トランザクション分析ワークフォース・トランザクション分析

表 保護リスト・ビュー データ・セキュリティ権限

HR_ALL_ORGANIZATION_UNITS_F PER_DEPARTMENT_SECURED_LIST_V 部門データのレポート

HR_ALL_POSITIONS_F PER_POSITION_SECURED_LIST_V ポジション・データのレポート

PER_JOBS_F PER_JOB_SECURED_LIST_V HRジョブ・データのレポート

PER_LOCATIONS PER_LOCATION_SECURED_LIST_V 事業所データのレポート

PER_GRADES_F PER_GRADE_SECURED_LIST_V アサイメント等級データのレポート

281

注意: PER_JOBS_F、PER_LOCATIONSおよびPER_GRADES_Fは、現在保護されていません。これらの表の保護リスト・ビューと権限は、現在使用されていません。

次の職務ロールには、次の表に示された権限があります。

レコード文書トランザクション分析給与トランザクション分析ワークフォース・トランザクション分析

表 保護リスト・ビュー データ・セキュリティ権限

PER_ALL_PEOPLE_F PER_PERSON_SECURED_LIST_V 個人データのレポート

PER_PERSONS PER_PUB_PERS_SECURED_LIST_V 個人繰延データのレポート

給与トランザクション分析職務ロールには、次の表の権限があります。

表 保護リスト・ビュー データ・セキュリティ権限

HR_ALL_ORGANIZATION_UNITS_F PER_LEGAL_EMP_SECURED_LIST_V 雇用主データのレポート

PER_LEGISLATIVE_DATA_GROUPS PER_LDG_SECURED_LIST_V 国別仕様データ・グループ・データのレポート

PAY_ALL_PAYROLLS_F PAY_PAYROLL_SECURED_LIST_V 給与定義データのレポート

報酬トランザクション分析職務ロールには、次の表の権限があります。

表 保護リスト・ビュー データ・セキュリティ権限

CMP_SALARY CMP_SALARY_SECURED_LIST_V 給与データのレポート

「人事管理アナリスト」ジョブ・ロールには、次の表の権限があります。

表 保護リスト・ビュー データ・セキュリティ権限

PER_ALL_ASSIGNMENTS_M PER_ASSIGNMENT_SECURED_LIST_V アサイメント・データのレポート

保護リスト・ビューの詳細については、Oracleヘルプ・センターの『Oracle HCM Cloudの表とビュー』を参照してください。

Business Intelligence PublisherとPIIデータ個人識別可能情報（PII）表は、仮想プライベート・データベース（VPD）ポリシーを使用してデータベース・レベルで保護されます。承認済ユーザーのみがPII表のデータに関するレポートを実行できます。この制限は、OracleBusiness Intelligence Publisherレポートにも適用されます。PII表のデータは、職務ロールによって通常の方法で付与されたデータ・セキュリティ権限を使用して保護されます。このトピックでは、PIIデータを含む表と、これらのデータに関するレポートの実行に使用されるデータ・セキュリティ権限を示します。

282

PII情報を含む表次の表では、PII表と、それらの表のデータに関するレポートの実行に使用される権限をリストしています。

表 データ・セキュリティ権限

PER_ADDRESSES_F 個人住所のレポート

PER_CONTACT_RELSHIPS_F 個人連絡先のレポート

PER_DRIVERS_LICENSES 運転免許のレポート

PER_EMAIL_ADDRESSES 個人Eメールのレポート

PER_NATIONAL_IDENTIFIERS 個人国別識別子のレポート

PER_PASSPORTS 個人パスポートのレポート

PER_PERSON_DLVRY_METHODS 個人連絡方法のレポート

PER_PHONES 個人電話番号のレポート

PER_VISAS_PERMITS_F 個人ビザのレポート

注意: 勤務先Eメールおよび電話番号は保護されません。

これらのすべての権限には、「人事管理アナリスト」ジョブ・ロールが継承するワークフォース機密レポート職務ロールを使用してアクセスできます。

ディメンション・セキュリティディメンションとは、数値メジャーのグループ化または集約に使用するビジネス属性のコレクションまたは階層構造のことです。アサイメント・マネージャ・ディメンションを除くOracle Transactional Business Intelligenceのディメンションはいずれも、保護されていません。つまり、ディメンション(就業者ディメンションや部門ディメンションなど)を単独で選択すると、すべての就業者データおよび部門データはフィルタ処理されずに表示されます。Oracle Transactional Business Intelligenceのデータ・セキュリティは、複数のディメンションまたは1つのディメンションと1つ以上のメトリックを組み合せて選択しないかぎり、適用されません。

たとえば、「ワークフォース管理 - 就業者アサイメント・リアルタイム」サブジェクト領域から「部門名」を選択すると、すべての部門が表示されます。レポートに割当数を追加すると、データ・セキュリティが適用され、自分がアクセスできる部門の就業者のみが表示されます。

アサイメント・マネージャアサイメント・マネージャは、就業者とマネージャの間のレポート関係を表す階層構造です。このディメンションは、Oracle Transactional Business Intelligenceで保護されている唯一のHCMディメンションです。アサイメント・マネージャ階層は、ライン・マネージャに限定されています。サインインしているユーザーに直属の部下がいない場合、レポートにアサイメント・マネージャを含めても、そのユーザーにデータは表示されません。

283

アサイメント・マネージャの使用は、ライン・マネージャに限定してください。人事管理アナリストなど、他の一部のジョブ・ロールがマネージャ情報にアクセスする必要がある場合があります。その場合は、アサイメント・マネージャ階層ではなく就業者ディメンションのマネージャ名を使用してください。

セキュリティとレポートのFAQ

ライン・マネージャに報酬サブジェクト領域へのアクセス権を付与する方法を教えてください。事前定義済の「ライン・マネージャ」ロールには、報酬サブジェクト領域へのアクセス権がありません。このアクセス権を付与するには、「ライン・マネージャ」ジョブ・ロールを作成します。「報酬トランザクション分析職務」ロールと報酬トランザクション分析ロールの両方をカスタム・ロールに追加します。

ライン・マネージャにタレント管理サブジェクト領域へのアクセス権を付与する方法を教えてください。事前定義済の「ライン・マネージャ」ロールには、タレント管理サブジェクト領域へのアクセス権がありません。このアクセス権を付与するには、「ライン・マネージャ」ロールを作成します。関連するトランザクション分析職務ロールをカスタム・ロールに追加します。たとえば、ワークフォースの目標サブジェクト領域へのアクセス権を提供します。この場合、「目標管理トランザクション分析職務」ロールと目標管理トランザクション分析ロールの両方をカスタム・ロールに追加します。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

284

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

27 ワークフロー・アクセスのロールこの章の内容は次のとおりです。

HCMワークフロー・アクセスのロール

HCMワークフロー・アクセスのロール事前定義済ロールでは、ワークフロー機能にアクセスできます。これらのロールを持つユーザーは、承認ルールの設定や送信された承認タスクの管理などを実行できます。次の表は、HCMワークフロー・アクセスの事前定義済OracleBusiness Process Management (BPM)ロールと、それを継承する事前定義済ジョブ・ロールを示しています。必要に応じて、事前定義済のBPMロールをカスタム・ジョブ・ロールに割り当てることができます。

285

BPMロール名 BPMロール・コード ジョブ・ロールによる継承

BPMワークフロー人材管理管理者

BPMWorkflowHCMAdmin 人材管理アプリケーション管理者(ORA_HRC_HUMAN_CAPITAL_MANAGEMENT_APPLICATION_ADMINISTRATOR_JOB)

BPMワークフローすべてのドメイン管理者ロール(BPMWorkflowAllDomainsAdmin)のロールは、すべてのOracleFusion製品ファミリに対するワークフロー・アクセスを提供します。このロールは事前定義済ジョブ・ロールに割り当てられませんが、カスタム・ジョブ・ロールに追加できます。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

286

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

28 Oracle HCM Cloudビジネス・オブジェクトの監査この章の内容は次のとおりです。

Oracle HCM Cloudビジネス・オブジェクトを監査する方法Oracle HCM Cloudビジネス・オブジェクトの監査の有効化監査可能なOracle HCM Cloudビジネス・オブジェクトHCM監査データへのアクセスを有効にするためのオプション

287

Oracle HCM Cloudビジネス・オブジェクトを監査する方法Oracle HCM Cloudビジネス・オブジェクトの作成、更新および削除に関する監査情報を記録して、後で取得できます。監査情報は、ビジネス・オブジェクトが個別に作成されるか、一括アップロードで作成されるかに関係なく、記録できます。この監査情報は、ユーザーが介入せずに格納されます。このトピックでは、監査ポリシーの管理方法と監査レポートへのアクセス方法について要約しています。

監査ポリシー次のものを識別する監査ポリシーを作成します。

監査対象のビジネス・オブジェクト監査対象の選択したビジネス・オブジェクトの属性

したがって、必要に応じて、選択したビジネス・オブジェクトの属性のサブセットに対する変更を監査できます。

監査の有効化と無効化デフォルトで、すべてのアプリケーションについて監査は無効化されています。Oracle HCM Cloudの監査を有効にするには、次の手順を実行します。

1. 「ビジネス・オブジェクト属性の構成」ページで監査対象のビジネス・オブジェクトを構成します。2. 「監査ポリシーの管理」ページでOracle Fusion Applicationsの監査を有効にします。

監査は、指定したオブジェクトに対して即時に開始されます。

オブジェクト全体の監査を停止するには、「ビジネス・オブジェクト属性の構成」ページでオブジェクトの選択を解除します。また、いつでも異なる属性を監査対象として選択できます。必要に応じて、「監査ポリシーの管理」ページでOracle Fusion Applicationsの監査をすべて無効にできます。

監査を管理するには、「監査ポリシーの管理」(FND_MANAGE_AUDIT_POLICIES_PRIV)機能セキュリティ権限が必要です。事前定義された「アプリケーション実装コンサルタント」ジョブ・ロールには、この権限があります。

監査レポート監査プロセスによって記録されたデータにアクセスするには、「監査レポート」作業領域で監査レポートを表示します。「監査レポート」作業領域を開くには、「ナビゲータ」→「ツール」→「監査レポート」を選択します。

監査レポートを表示するには、監査レポートの表示(FND_VIEW_AUDIT_REPORTS_PRIV)機能セキュリティ権限が必要です。事前定義された「内部監査者」ジョブ・ロールには、この権限があります。

関連トピック

監査履歴監査イベントのタイプ

288

Oracle HCM Cloudビジネス・オブジェクトの監査の有効化この手順では、選択したHCMビジネス・オブジェクトの監査を有効にする方法について説明します。

監査する製品の選択次のステップを実行します。

1. 「設定および保守」作業領域で、オファリングの次の場所に移動します。機能領域: アプリケーション拡張タスク: 監査ポリシーの管理

2. 「監査ポリシーの管理」ページで、「Oracle Fusion Applications」セクションの「ビジネス・オブジェクト属性の構成」をクリックします。

3. 「ビジネス・オブジェクト属性の構成」ページで、製品を選択します。たとえば、「製品」を「プロファイル管理」に設定します。製品を選択すると、監査できるオブジェクトがページの「オブジェクト」セクションのグループにリストされます。たとえば、「プロファイル管理」の場合に表示される内容は、次のとおりです。

トップ・ノードの監査タレント・コンテンツ・ライブラリタレント・プールタレント・プロファイルタレント・プロファイルの設定共通ノート

これらの各オブジェクト・グループの下に、オブジェクトとその監査可能なコンポーネントの階層が表示されます。たとえば、「タレント・コンテンツ・ライブラリ」グループでは、次の階層が表示されます。

評点モデル評点レベル

コンテンツ項目

監査するオブジェクトおよび属性の選択次のステップを実行します。

1. ビジネス・オブジェクトの表の「監査」列で、監査する項目を選択します。次のルールが適用されます。「評点レベル」などの単一コンポーネントを選択すると、そのオブジェクト・グループおよび「トップ・ノードの監査」が自動的に選択されます。「タレント・コンテンツ・ライブラリ」などのオブジェクト・グループを選択すると、グループ内のすべてのエントリおよび「トップ・ノードの監査」が自動的に選択されます。「トップ・ノードの監査」を選択すると、すべてのオブジェクト・グループとそのコンテンツが自動的に選択されます。

289

2. 「評点レベル」など、単一のコンポーネントを選択した場合にのみ、監査する属性を構成できます。単一のコンポーネントを選択すると、ページの「監査済属性」セクションが自動的に更新され、デフォルトで監査される属性がリストされます。属性のリストを更新するには、「作成」アイコンをクリックします。監査属性の選択および追加ダイアログ・ボックスが開きます。

3. 「監査属性の選択と追加」ダイアログ・ボックスで、選択した属性の選択を解除し、必要に応じて追加属性を選択できます。フレックスフィールド属性を監査するには、ダイアログ・ボックスの「フレックスフィールド(追加属性)」オプションを選択します。このオプションが表示されるのは、選択したコンポーネントにフレックスフィールドがある場合のみです。

4. 「OK」をクリックしてダイアログ・ボックスを閉じます。5. 「ビジネス・オブジェクト属性の構成」ページで、「保存して閉じる」をクリックします。

監査の有効化「監査ポリシーの管理」ページで、次の手順を実行します。

1. 「監査レベル」を「監査」に設定します。2. 「保存して閉じる」をクリックし、「監査ポリシーの管理」ページを閉じます。

オブジェクトの選択された属性にユーザーによって今後行われる変更が監査されます。「内部監査者」ジョブ・ロールまたは権限を持つユーザーは、「監査レポート」ページで監査済の変更をレビューできます。

監査可能なOracle HCM Cloudビジネス・オブジェクトこのトピックでは、監査可能なOracle HCM Cloudビジネス・オブジェクトをリストします。

この表は、各製品に対して監査できるビジネス・オブジェクトを示しています。

製品 オブジェクト

休暇欠勤管理 休暇欠勤レコード

報酬 給与

従業員の健康推進 アクティビティウェルネス・ユーザー

グローバル人事管理 ビジネス・ユニットチェックリスト共通ワーク・ストラクチャデータ・ロール文書レコード適格ジョブ等級安全衛生ジョブ事業所組織

290

個人ポジションロール委任セキュリティ・プロファイル年功起算日就業者雇用

グローバル給与 支払コア監査支払セキュリティ・プロファイル

パフォーマンス管理 チェックイン会議パフォーマンス評価

プロファイル管理 共通ノートタレント・コンテンツ・ライブラリタレント・プールタレント・プロファイルタレント・プロファイルの設定

採用 説明求人

後任管理 後任プラン

ワークフォース安全衛生インシデント 安全衛生処理安全衛生インシデント・コア安全衛生インシデント・イベント安全衛生インシデント・キオスク

ビジネス・オブジェクトごとに監査するオブジェクトのコンポーネントおよび属性を構成するには、「監査ポリシーの管理」タスクを実行します。

HCM監査データへのアクセスを有効にするためのオプションこのトピックでは、HCM監査データへのアクセスを有効にする方法について説明します。

データ・ロールの作成ロールがアクセスするデータを識別するセキュリティ・プロファイルを持つ「内部監査者」ジョブ・ロールを含むHCMデータ・ロールを作成できます。たとえば、個人レコードの監査データにアクセスするには、HCMデータ・ロールに適切な個人セキュリティ・プロファイルを含める必要があります。事前定義済セキュリティ・プロファイルすべての就業者の表示を使用して、すべての就業者レコードの監査データへのアクセスを有効にします。

291

ジョブ・ロールの作成企業では、人事担当者などの他のジョブ・ロールが、アクセスする監査可能ビジネス・オブジェクトの監査データにアクセスすることを許可する場合があります。このアクセスを有効にするには、関連する権限の追加先のジョブ・ロールのバージョンを作成します。このカスタム・ジョブ・ロールは、データを識別する1つ以上のセキュリティ・プロファイルを持つHCMデータ・ロールに含めます。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

292

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

29 証明書管理この章の内容は次のとおりです。

証明書の概要証明書のタイプX.509証明書への署名X.509証明書のインポートとエクスポートPGP証明書のインポートとエクスポート証明書の削除

293

証明書の概要証明書は、Oracle Cloudアプリケーションが他のアプリケーションと交換するデータの暗号化および復号化に使用するキーを確立します。「セキュリティ・コンソール」機能領域の「証明書」ページを使用して、PGPおよびX.509の2つのいずれかの形式の証明書について作業を行います。

各形式について、証明書は公開キーと非公開キーから構成されます。証明書ページには、各証明書について1件のレコードが表示されます。各レコードはこれらの値をレポートします。

タイプ:PGP証明書では、「公開キー」が唯一のタイプです。X.509証明書では、タイプは「自己署名証明書」または「信頼できる証明書(認証局が署名した証明書)」のいずれかです。非公開キー: チェック・マークは、証明書の非公開キーが存在していることを示します。どちらの証明書形式でも、非公開キーは自身の証明書(セキュリティ・コンソールで生成する証明書)用に存在しています。証明書が外部ソースに属している場合、非公開キーは存在しておらず、セキュリティ・コンソールを通してインポートします。ステータス: PGP証明書では、唯一の値が「適用不可」です(PGP証明書にステータスはありません。)x.509証明書の場合、ステータスは証明書から導出されます。

「処理」メニューをクリックして、証明書に対する適切な処理を行います。処理には次のものが含まれます。

PGP証明書またはX.509証明書を生成する。X.509証明書を自己署名証明書から信頼できる証明書に変換するための署名要求を生成する。PGP証明書またはX.509証明書をエクスポートまたはインポートする。証明書を削除する。

証明書のタイプPGP証明書またはX.509証明書については、一度の操作で公開キーと非公開キーとを作成できます。「証明書」ページから「生成」オプションを選択します。「生成」ページで、証明書の形式を選択し、その形式に適した値を入力します。

PGP証明書の場合、値には次のものが含まれます。

書名所を一意に識別する別名(名前)およびパスフレーズ生成されるキーのタイプ(DSAまたはRSA)。キー長(512、1024または2048)。キー生成の暗号化アルゴリズム・オプション(AES128、AES256)

X.509証明書の場合、値には次のものが含まれます。

書名所を一意に識別する別名(名前)および非公開キーのパスワード証明書の「識別名」の要素である共通名共通名は、他のウェブ・エンティティとの通信において、証明書が作成された目的であるエンティティを識別するものです。証明書に示されているエンティティの名前と一致していなければなりません。最大の長さは64文字です。オプションの識別値: 組織、組織ユニット、地域、都道府県/州、および国。これらは証明書の識別名の要素

294

でもありますが、セキュリティ・コンソールではこれらの値の検証は行われません。キーが生成されるアルゴリズム(MD5またはSHA1)。キー長。有効期間(日)。この期間は、一般管理ページで指定された値に事前設定されます。新しい値を入力して事前設定値を上書きできます。

X.509証明書への署名認証局に対して、自己署名のX.509証明書に署名を行い、信頼できる証明書にするように署名要求を生成することができます(このプロセスはPGP証明書には当てはまりません。)

1. 「証明書署名要求の生成」を選択します。このオプションは2つのメニューのどちらからも使用できます。1つのメニューは「証明書」ページで、自己署名のX.509証明書の行から開きます。もう1つは、その証明書の詳細ページの「処理」メニューです。

2. 証明書の非公開キーのパスワードを入力し、ファイルの場所を選択します。3. 要求ファイルを保存します。既定の名前は「[alias]_CSR.csr」です。

ファイルをCAに送付するには、組織で定められたプロセスに従う必要があります。返送された信頼できる証明書をインポートします。

X.509証明書のインポートとエクスポートX.509証明書の場合、一度の操作で完全な証明書をインポートまたはエクスポートします。

エクスポートするには、次の手順を実行します。

1. 「証明書」ページで、エクスポートする証明書の行で使用できるメニューを選択します。または、証明書の詳細ページを開き、「処理」メニューを選択します。

2. いずれかのメニューから「エクスポート」、次に「証明書」を選択します。3. エクスポート・ファイルの場所を選択します。既定では、このファイルは[alias].cerという名前になります。

インポートするには、2つの手順のいずれかを使用します。目的に合う適切な手順を選択してください。

最初の手順では、自己署名の証明書を、同じ証明書の信頼できるバージョン(CAによって署名された証明書)に置き換えます(前提条件として、署名要求への応答を受け取っている必要があります。)

1. 「証明書」ページで、自己署名の証明書の行に位置を合わせてメニューを開きます。または、証明書の詳細ページを開き、「処理」メニューを選択します。いずれかのメニューで「インポート」を選択します。

2. 証明書の非公開キーのパスワードを入力します。3. 署名要求に対してCAから返されたファイルを表示して選択し、「インポート」ボタンをクリックします。

295

「証明書」ページで、証明書のタイプの値が自己署名から信頼できる証明書に変わります。2つ目の手順では、新しいX.509証明書をインポートします。.cerファイルをインポートすることも、1つ以上の証明書を含むキーストアをインポートすることもできます。

1. 「証明書」ページで「インポート」ボタンをクリックします。「インポート」ページが開きます。2. X.509を選択し、証明書とキーストアのどちらをインポートするかを選択します。3. インポートの対象の選択によって異なる識別値を入力します。いずれの場合でも、別名(.cerファイルをインポートする場合は、その別名と一致する必要はありません)を入力します。キーストアの場合、キーストアのパスワードおよび非公開キーのパスワードも入力する必要があります。

4. インポート・ファイルを表示して選択します。5. 「インポートおよびクローズ」を選択します。

PGP証明書のインポートとエクスポートPGP証明書の場合、証明書の公開キーと非公開キーを別の操作でエクスポートします。公開キーのみがインポートできます(キーは外部のソースからインポートし、その外部ソースは非公開キーを提供しない、と仮定しています)。

エクスポートするには、次の手順を実行します。

1. 「証明書」ページで、エクスポートする証明書の行で使用できるメニューを選択します。または、証明書の詳細ページを開き、「処理」メニューを選択します。

2. いずれかのメニューで、「エクスポート」を選択し、「公開キー」または「非公開キー」を選択します。3. 「非公開キー」を選択した場合は、パスフレーズを入力します(公開キーの場合は必要ありません。)

4. エクスポート・ファイルの場所を選択します。既定では、このファイルは[alias]_pub.ascまたは[alias]_priv.ascという名前になります。

新しいPGP公開キーをインポートするには次の手順に従います。

1. 「証明書」ページで「インポート」ボタンを選択します。2. 「インポート」ページで、「PGP」を選択して別名(インポートするファイルの別名と一致する必要はありません)を指定します。

3. 公開キーファイルを表示し、「インポートおよびクローズ」を選択します。

「証明書」ページには、インポートされる証明書のレコードが、「非公開キー」セルがチェックされていない状態で表示されます。

インポート済の証明書の公開キーを置き換える必要があり、証明書の名前を変更しない場合は、別のインポート手順を使用します。

1. 「証明書」ページで、インポートした公開キーの証明書の行に位置を合わせてメニューを開きます。または、証明書の詳細ページを開き、「処理」メニューを選択します。いずれかのメニューで「インポート」を選択します。

2. 公開キーファイルを表示し、「インポート」を選択します。

296

証明書の削除PGP証明書およびX.509証明書を削除できます。

1. 「証明書」ページで、削除する証明書の行で使用できるメニューを選択します。または、証明書の詳細ページで、「処理」メニューを選択します。

2. いずれかのメニューで「削除」を選択します。3. 警告メッセージに応答します。警告への応答で、証明書の非公開キーが存在している場合、パスフレーズ(PGP証明書の場合)またはパスワード(X.509の場合)を入力しなければなりません。どちらの値も、組織が証明書を生成したときに作成されているはずです。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

297

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

30 ロールの最適化この章の内容は次のとおりです。

ロール・オプティマイザロールの最適化レポート

ロール・オプティマイザロールの最適化は、既存のロール階層の冗長性や他の非効率性を分析するために使用されるプロセスです。ロールの最適化により、現在承認されている権限に対して各ジョブ・ロールを承認するために必要なロールの数を最小化

298

するロール階層を作成できます。ロール・オプティマイザ機能は、分析プロセスを自動化し、ジョブ階層の最適化に利用できるレポートを生成します。

最適化する理由事前定義されたロール階層に変更を加えると、アプリケーション・データのプライバシがリスクにさらされる可能性があります。次の操作を実行した場合、意図せずにデータの安全を低下させる可能性があります。

次のものを最小化するために、少数の権限グループを持つ職務ロールを作成する。依存関係差分変更の実行による影響

ロール階層内にすでに存在する権限を付与する。

次の図に示すように、時間の経過とともにロールが増加し、ロールの権限の重複が増えるため、ロール階層の効率が低下します。

最適化の利点ロール・オプティマイザを使用すると、次のことが可能です。

ユーザーの生産性向上。時間の短縮により、他のタスクを実行できる。管理費の削減。セキュリティ・オブジェクトの数や、管理対象の保守にかける時間を減らせます。ロール階層に対する文書化されていない変更に関連するアクセス・リスクの低減。冗長や不適切な権限付与を特定して排除できます。

次の図は、ロール・オプティマイザで提案できるより効率的なロール階層を示しています。

299

ロール・オプティマイザへのアクセスロール・オプティマイザ機能は、事前定義されたレポートとして利用できます。「スケジュール済プロセス」作業領域の「概要」ページで、ロールの最適化レポートをスケジュールして送信します。このプロセスの特徴は、次のとおりです。

1. 既存のジョブ・ロール階層を分析します。2. 最適化したジョブ・ロール階層を生成し、各ジョブ・ロールのデータを別々のCSVファイルに保存します。

3. CSVファイルをアーカイブし、プロセスの出力として添付します。4. ログを生成し、それをZIPファイルとしてアーカイブします。ログ・ファイルには、トラブルシューティング用に、分析の技術的詳細が含まれています。

注意: ロールの最適化プロセスによってセキュリティ構造が変更されることはありません。レポートに基づいて、権限をロールにマップしてロール階層を更新してください。

ロールの最適化レポートロールの最適化レポートを利用して、組織にとって最も効率的なロール階層を作成します。このレポートの結果を使用して、ロール階層を評価し、必要に応じて、ロール階層を更新します。このレポート結果に基づいて、現在承認されている各権限に対して各ジョブ・ロールを承認するために必要なロールの数が最小限のロール階層を作成できます。

「ITセキュリティ・マネージャ」ロールを持つユーザーは、セキュリティ・コンソールからアクセスできる、ロールの最適化レポートを実行できます。

300

このレポートは、次の場合に実行する必要があります。

事前定義済ロール階層に変更を加える場合。事前定義済ロール階層ではなく、独自のロール階層を実装する場合。

注意: このプロセスによってロール階層に変更が加えられることはありません。

セキュリティ・リファレンス実装の事前定義済ロール階層は、最適化された状態で配布されます。

レポート・ファイルプロセスのステータスは、「概要」ページでモニターします。ステータスの値が「成功」の場合、レポート詳細の「ログおよび出力」セクションに2つのファイルが表示されます。

次の表では、ロールの最適化レポートを実行すると表示される2つのファイルについて説明しています。

ファイル名 説明

ClusterAnalysis-Job-CSVs.zip

各ジョブ・ロールのCSVファイルが1つ含まれています。各CSVファイルには、最適化されたジョブ・ロール階層を構成する職務ロールおよび権限が含まれています。各CSVファイルには、そのファイルに収められたジョブ・ロール階層データを識別する名前が付いています。たとえば、ClustersforJob-AR_REVENUE_MANAGER_JOB_14240.csvファイルには、売掛/未収金収益マネージャ・ジョブ・ロールのすべてのロール階層データが含まれています。

Diagnostics.zip 分析プロセスの技術的詳細を提供するログ・ファイルが含まれています。このファイルは、トラブルシューティングのために使用できます。

CSVファイルから未処理データを適切なアプリケーションにインポートして、結果を読み取ります。レポートのデータは次の2つのセクションに表示されます。

権限クラスタクラスタ詳細

ロールの最適化レポートの結果

権限クラスタ

権限クラスタ・セクションには、各権限と、推奨される権限クラスタの名前がリストされます。個々の推奨クラスタの説明は、クラスタ詳細セクションに表示されます。

クラスタ詳細

クラスタ詳細セクションは、権限クラスタセクションで参照されている権限クラスタごとに表示されます。各詳細セクションには次のものが含まれます。

クラスタ名。権限クラスタへのマップを推奨されるロールの候補の名前クラスタに関連付けられたジョブおよび権限の名前と説明

次の表では、クラスタ詳細セクションに表示されるフィールドについて説明しています。

301

フィールド名 説明

クラスタ名 最適化されたクラスタの名前。通常の形式はCluster ###です。

第1～3候補ロール

クラスタ内の権限に対してマップするロールとして推奨される候補。最大3つまでの推奨職務ロールが、リストされた権限にマップされます。

ロールを選択します。その後、クラスタ内の権限をそのロールに割り当てます。

クラスタ内のジョブ

権限クラスタを継承するジョブ・ロールの数。

ジョブ名と説明のリストも含まれます。

クラスタ内の権限

クラスタを構成している権限の数。

権限名と説明のリストも含まれます。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

302

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

31 拡張データ・セキュリティこの章の内容は次のとおりです。

拡張データ・セキュリティ

拡張データ・セキュリティ拡張データ・セキュリティでは、2つのタイプのデータ保護が追加されています。Database Vaultは高度な権限を持つユーザーによるアクセスからデータを保護し、Transparent Data Encryptionは保存データを暗号化します。拡張データ・セキュリティは、Break-Glassサービスにサブスクライブすることにより、Oracle Applications Cloudで使用

303

できます。

Oracle Database VaultDatabase Vaultは、データベース管理者やシステム管理者など、高度な権限を持つユーザーがアプリケーション・データにアクセスして閲覧するリスクを削減します。この機能は、アプリケーション・テーブルやSOAオブジェクトなど、特定のデータベース・オブジェクトへのアクセスを制限します。

管理者は通常のデータベース保守アクティビティを実行できますが、アプリケーション・テーブルから選択することはできません。DBAがアプリケーション・テーブルにアクセスする必要がある場合、Oracle Fusionスキーマへの一時アクセスをリクエストしてください。リクエストすると、キーストローク監査が有効になります。

Transparent Data EncryptionTransparent Data Encryption (TDE)は、ファイル・システムに保存されているOracle Fusion Applicationsデータの読取りと使用を防止します。データベース・ファイル(DBF)が暗号化されているため、DBFのデータは保護されます。バックアップと一時ファイルのデータは保護されます。暗号化された表領域のすべてのデータは、UNDO表領域、REDOログおよび一時表領域に書き込まれるときに自動的に暗号化されます。

拡張セキュリティでは、アプリケーション・データが含まれるすべての表領域において表領域レベルで暗号化が有効になります。これには、退避済みのペイロードとアプリケーション・データが格納されている場合があるSOA表領域が含まれます。

暗号化キーはOracle Walletに格納されます。Oracle Walletはデータベースの外部にある暗号化されたコンテナであり、パスワード、TDEマスター・キー、PKI非公開キー、証明書、Secure Sockets Layer (SSL)で必要な信頼できる証明書など、認証および署名資格証明が格納されます。表領域キーは、表領域のヘッダーと、表領域を構成する各オペレーティング・システム(OS)ファイルのヘッダーに格納されます。これらのキーは、Oracle Walletに格納されているマスター・キーによって暗号化されます。表領域キーはAES128ビット暗号で、TDEマスター・キーは常にAES256ビット暗号です。

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

304

Integrated Cloud Applications & Platform Services

305

HomeSkip to ContentSkip to Search

OracleHelp CenterMenu

Sign In Account

Oracle Account

AccountHelpSign Out

Oracle Account

Manage your account and access personalized content. Sign up for an Oracle Account

Sign in to my Account

Sign in to Cloud

Access your cloud dashboard, manage orders, and more. Free Cloud Platform Trial

Sign in to Cloud

Cloud / Software as a Service (SaaS) / Global Human Resources / 19c

HCMの保護

用語集A | B | C | D | E | F | G | H | J | L | M | N | P | R | S | T | U | W

A

抽象ロール従業員、派遣就業者またはライン・マネージャなど、個人のジョブ(ポジション)とは無関係の企業内における個人の機能に関する説明。

処理表示や編集などのアクセスの種類。セキュリティ・ポリシーで名前を指定します。

306

集計権限1つの役割のセキュリティ権限と、それに関連するデータ・セキュリティ・ポリシー組み合せた事前定義済ロール。

アサイメント雇用主における就業者ロールまたは非就業者ロールを定義する、ジョブ、ポジション、支払、報酬、マネージャ、勤務時間および就業事業所を含む情報セット。

B

ビジネス・ユニット1つ以上のビジネス機能を実行し、管理階層にロールアップできる企業のユニット。

C

候補者後任プランにおいて、あるジョブまたはポジションに就くように、または指定された在職者の後任となるように識別された個人です。

コンピテンシ業務においてユーザーが発揮する、組織、ジョブ、またはポジションに求められる重要な性質。知識、スキル、態度、特性などがある。

条件データベース・リソースのどの部分を保護するかを指定するデータ・セキュリティ・ポリシーの一部分。

コンテンツ・タイププロファイルに追加されるスキル、資質または資格などの属性。

派遣就業者自営業者、または仲介業者から派遣された就業者。一般的に、派遣就業者と雇用主との雇用関係は指定した期間だけ続く。雇用主と派遣就業者雇用関係を結んだ個人はすべて派遣就業者となる。

D

データ・ディメンションユーザーがアクセスできるデータのタイプ。データ・セキュリティ・コンテキストと呼ばれることもあります。

データ・インスタンス・セットHCMセキュリティ・プロファイルにより識別されるHCMデータの集まり(1つまたは複数の個人、組織、給与など)

データ・ロールある定義済データ・セットに対するロール。その定義済データ・セットの範囲内でユーザーが実行するジョブを表します。データ・ロールは、ジョブまたは抽象ロールを継承し、データ・セキュリティ・ポリシーに基づいて

307

特定のデータ・ディメンション内でデータにアクセスするための資格を付与します。エンタープライズ・ロールの一種です。

データ・セキュリティユーザーがアクセスおよび処理できるデータの制御。

データ・セキュリティ・ポリシー特定の条件に関する、オブジェクトまたは属性グループのロールへの資格の付与。

データベース・リソースデータ・セキュリティ・ポリシーで保護される、インスタンス、インスタンス・セットまたはグローバル・レベルでのアプリケーション・データ・オブジェクト。

委任ロール委任者と呼ばれるユーザーからプロキシ・ユーザーと呼ばれる別のユーザーへ割り当てられたジョブ・ロール、抽象ロール、またはデータ・ロール。

部門特定のアクティビティ領域を扱う企業の区分。

ディビジョン企業内の業務に応じた下位区分。各ディビジョンは、製品およびサービスを提供したり、様々な市場に対応するために編成されます。

文書タイプ保持する文書情報、文書へのアクセス権限を持つユーザー、文書に承認が必要かどうか、および文書を期限付きにするかどうかを制御するための一連のオプションを提供する個人文書のカテゴリ化。文書タイプは、文書のカテゴリとサブカテゴリの組合せに対して存在します。

職務ロール役職の1つの職務を表す機能およびデータ権限のグループ。職務ロールはアプリケーションに固有であり、ポリシー・ストアに格納され、アプリケーション・インスタンス内で共有されます。

E

有効開始日有効日オブジェクトに対する、オブジェクトの履歴における物理レコードの開始日。物理レコードは、その有効開始日と有効終了日の間のトランザクションで使用できます。

企業共通で管理される1つ以上の法的エンティティが存在する組織。

権限付与役割とデータへのアクセス権の付与。権限に関するOracle Fusion Middlewareの用語です。

F

フレックスフィールド

308

1つ以上のセグメントを含めたり、追加情報を格納できるように構成できる、柔軟なデータ・フィールド。各セグメントには値と意味があります。

フレックスフィールド・セグメント属性を表し、データベース内の事前定義済の単一の拡張列に対応する値を取得する拡張可能データ・フィールド。セグメントはグローバルに、または取得された他の情報のコンテキストに基づいて表示されます。

機能セキュリティページへのアクセスまたはページの特定の使用の制御。機能セキュリティは、ユーザーが実行できる処理を制御します。

G

一般組織階層すべての分類の組織を含む組織階層。

等級就業者の報酬のレベルを定義する、雇用モデルのコンポーネント。

H

HCM

Human Capital Managementの略称。HCMデータ・ロール部門内のすべての従業員など、HCMデータのインスタンスに関連付けられた、福利厚生管理者などのジョブ・ロール。HCM保護オブジェクト関連オブジェクトに含まれるデータへのアクセス権を保護するHCMオブジェクト。たとえば、指定した個人レコードへのアクセス権では、個人レコードで保護されるデータ(目標プランや評価など)へのアクセスを許可する。

J

ジョブ特定の単一の部門や事業所から独立した一般ロール。たとえば、ジョブ・マネージャおよびコンサルタントは、複数の部門に存在できます。

ジョブ・ロール買掛管理マネージャやアプリケーション実装コンサルタントなどのロール。通常、ジョブを構成する職務または職責を識別して集約します。

309

L

LDAP

Lightweight Directory Access Protocolの省略形。LDG

Legislative Data Group (国別仕様データ・グループ)の略称。

雇用主個人を雇用する法的エンティティ。

法的エンティティ国の適切な当局への登録を介して識別され、商法に基づいて特定の権利と責任を与えられたエンティティ。

国別仕様データ・グループ給与と関連データを分割する方法。企業が運営されている国ごとに、少なくとも1つの国別仕様データ・グループが必要です。各国別仕様データ・グループは、1つ以上の給与法定ユニットに関連付けられます。

M

管理対象の個人ユーザーが情報を管理できる個人。たとえば、ライン・マネージャは直属の部下および間接的部下の情報を管理できる。

N

非就業者ボランティアや退職従業員など、企業または雇用主の基幹業務に関与していないが、または雇用主から給与を受け取る可能性のある個人。雇用主と非就業者雇用関係を結んだ個人はすべて非就業者となる。

P

パーティ個人、組織、グループなど、採用企業の追跡対象となる物理的エンティティ。

処理待ち就業者雇用または派遣就業者への配置が予定されており、雇用日または開始日に有効になる個人レコードが作成されている個人。

個人番号自動または手動で割り付けられる、企業内で一意のPerson IDであり、企業全体でのすべての個人の雇用関係および個人間の関係について有効です。

個人プロファイル

310

就業者のスキル、経験、資格、勤務プリファレンスおよびキャリア・プランニング情報の集合。Personタイプ企業によって定義可能なシステムPersonタイプのサブカテゴリ。Personタイプは、アサイメント・レベルで個人に対して指定されます。

ポジション1つの部門内に固定された1つのジョブの特定のオカレンス。また、多くの場合、1つの事業所にも制限されます。たとえば、財務マネージャというポジションは、財務部門内のジョブ・マネージャのインスタンスです。

権限クラスタ「ロールの最適化レポート」における、職務ロールにマッピング可能な権限のグループ。

公開個人就業者ディレクトリなどに含まれるすべての就業者に基本情報(名前や電話番号など)が公開されている個人。

R

リソースサービス・エージェントや営業マネージャ、パートナ担当者といった作業オブジェクトとして割当て可能な人員。営業マネージャおよびパートナ担当者はリードや商談に対する作業に割当て可能です。サービス・エージェントはサービス・リクエストに対して割当て可能です。

ロールアプリケーションの機能およびデータへのアクセスを制御します。

ロール階層組織の一連の職権および責務を表すロールの構造。ロール階層では、親ロールが1つ以上の子ロールが持つすべての権限を継承する。

ロール・マッピング1つ以上のロールと1つ以上のアサイメント条件との間の関係。条件に一致するアサイメントが少なくとも1つあるユーザーには、関連ロールの適用資格があります。

ロール・プロビジョニング自動または手動による、ユーザーへのロールの割付。

S

セキュリティ・プロファイル単一タイプのHCMオブジェクトを、これらのオブジェクトへのアクセスを保護する目的で識別する一連の基準。関連するHCMオブジェクトには、個人、組織、ポジション、国、LDG、ドキュメント・タイプ、給与および給与フローがあります。

セキュリティ・リファレンス実装ロール・ベースのアクセス制御と機能およびデータを保護するポリシーを含む事前定義された機能とデータ・セキュリティ。このリファレンス実装では、ツール、データ変換、アクセス方法、企業の情報ライフサイクル全体でのID管理、アクセスのプロビジョニング、セキュリティの施行がサポートされる。

311

SQL述語データ・セキュリティ・ポリシーで保護するデータをSQLを使用して制限する条件の一種。

サブジェクト領域特定のビジネス・オブジェクトまたはビジネス・エリアに関連する列(データ)のセット。

後任プランロールやポジションの候補者、または特定の在職者の後任となる候補者を指定するプラン。

システムPersonタイプアプリケーションで個人グループの識別に使用される固定の名前。

T

税レポート・ユニット税金および社会保険をレポートする目的で就業者をグループ化する法的エンティティ。

U

URL

Uniform Resource Locatorの略称。

ユーザーPersonタイプユーザーのグループを識別するために要件に構成できる、システムPersonタイプから導出された名前。

W

作業領域タスクや検索、ビジネス目標を達成するのに必要なその他のコンテンツが含まれる一連のページ。

雇用関係個人と雇用主との関連であり、就業者タイプによって、関係が非就業者、派遣就業者または従業員のいずれの雇用関係であるかが決まります。

就業者タイプ個人の雇用関係に基づいて選択される分類。従業員、派遣就業者、処理待ち就業者、非就業者がある。

ワークフローあるユーザー(またはユーザーのグループ)から別のユーザーに確認または処理のためにタスクを渡す自動化されたプロセス。タスクは、最終結果に到達するまでの論理的な順序でルーティングされます。

312

このページは役に立ちましたか?

© OracleAbout OracleContact UsProducts A-ZTerms of Use and Privacy

Ad Choices

Oracle

Integrated Cloud Applications & Platform Services

313