LN のユーザ権限 (OP-CE)

当初、通常ユーザは LN を使用することができません。したがって、さまざまな LN ソフトウェア構成要素に対する権限を定義する必要があります。会社の従業員の権限は、その組織での従業員の任務または役割に関連しているため、他の従業員より権限の多い従業員もいます。同様に、LN の権限管理システム (AMS) も役割のコンセプトを使用して LN ユーザの権限を定義します。

これらの役割依存の権限のほかに、従業員の役割以外に依存するその他の権限を定義することもできます。たとえば、開発パラメータ、デバイス設定、その他の権限があります。これらの役割に依存しない権限はテンプレートで定義してから、ユーザプロファイルに連結できます。

下図は、ユーザ権限が役割関連の権限と役割以外に依存する権限にどのように分かれるのかを表します。

LN の権限の概念の図

LN の権限の概念の図

注意

LN を使用するには、ユーザは最小限、何らかのセッション権限、テーブル権限、およびライブラリ権限を持っている必要があります。通常ユーザがログオン時に十分な権限を持てるように、一部のデフォルト役割はすでに自動的に生成されています。

セッション権限 (DEM、AMS、および拡張 AMS)

従業員の役割を定義するには、以下の方法を使用します。

  • ダイナミックエンタープライズモデラ (DEM)
  • 権限管理システム (AMS)
  • 拡張 AMS (DEM を AMS に全面的に統合)
DEM

DEM では、DEM ビジネスプロセスも含めて、組織をモデル化できます。DEM ビジネスプロセスには、請求書の支払や販売オーダの作成など、実行する必要のある作業が含まれます。それらの作業が、LN のセッションになります。

LN ユーザは 1 対 1 で DEM 従業員にリンクされます。この従業員は、DEM 役割を 1 つ以上持ちます。これらの DEM 役割は、1 つ以上の DEM ビジネスプロセスにリンクされます。このようにして、ユーザログインから LN セッションまで、LN のセッションへのアクセスが管理されます。

ランタイムに、従業員は特定の DEM メニュー (プロセスブラウザ) を使用します。従業員がプロセスブラウザから LN のセッションを実行すると、メニューにあるすべてのセッションの認証時に、モデル化された DEM 権限が使用されます。DEM 権限はモデル化情報から導き出され、どの静的な権限テーブルにも格納されません。

プロセスブラウザからセッションを開始した場合、LN は、AMS で定義されセッション権限を持つすべての役割を無視します。

メニューブラウザからセッションを開始した場合、DEM の役割と権限は適用されません。それらはプロセスブラウザを使用する場合にのみ適用されます。

AMS

AMS では、セッション、テーブル、およびテーブルフィールドに関する権限を持つ役割を定義できます。役割は通常ユーザにリンクすることができます。デフォルトでは、通常ユーザにはどの権限もありません。スーパーユーザは全セッションと全テーブルにすべての権限を持っています。

「全権限」、「読取専用」、「権限なし」 など、さまざまな権限レベルを定義できます。

LN ユーザアカウントにリンクされている役割によって、LN メニューブラウザで実行できる機能と、権限のレベルが決まります。

「プログラムの実行」 コマンドを使用してセッションを開始した場合は、AMS 権限が適用されます。

拡張 AMS

この方法は DEM と AMS をリンクするために用意されています。明示的に AMS パラメータ (旧 SSO パラメータ) で拡張 AMS を有効にする必要があります。LN を新規にインストールした場合は、これがデフォルトです。拡張 AMS が有効な場合、ツール > ユーザ管理 > 権限管理システム(AMS)メニューに、対応する新しいセッションが含まれます。他のセッションは削除されます。

DEM モデラを使用する場合は、拡張 AMS を DEM と一緒に使用することをお勧めします。

拡張 AMS を DEM で有効にするには:

  1. AMS パラメータ (ttams0100m000) セッションのDEM 役割の AMS へのエクスポートをサポートチェックボックスをオンにします。これで、DEM が組織と業務活動のモデル化に使用され、AMS が権限の管理に使用されます。
  2. AMS に対する DEM 権限の集計 (tgbrg9298m100) セッションを実行します。このセッションは、選択した DEM バージョンおよびプロジェクトモデルからデータを収集し、そのデータを AMS にエクスポートします。

選択した DEM バージョンおよびプロジェクトモデルで、あるセッションが複数回登場する場合は、データの集約時に最も広い権限が使用されます。この表は、例を示しています。

DEM セッションの登場 1DEM セッションの登場 2集約後
権限なし表示表示
フル表示フル

 

拡張 AMS を使用する場合、DEM サブアプリケーションは、DEM のみを使用する場合とは異なる方法で処理されます。

  • DEM のみを使用する場合、具体的にモデル化されていない (つまり、DEM モジュールで権限レベルを指定されていない) サブアプリケーションはその属するメインセッションと同じ権限レベルを持ちます。つまり、権限レベルは継承されます。
  • 拡張 AMS を使用する場合、具体的にモデル化されていないサブアプリケーションは AMS 権限に含まれません。

プロセスブラウザを使用してユーザ用のメニューが作成されるときには、DEM および AMS の最も限定的な権限が使用されます。この表は、例を示しています。

DEMAMSランタイム
表示フル表示
フル表示表示
なし、または空白フルなし
フルなし、または空白なし

 

サブアプリケーションが DEM で具体的にモデル化されておらず、AMS では権限が与えられていないとします。拡張 AMS を使用している環境では、ユーザにはこのサブアプリケーションを実行する権限がありません。

拡張 AMS を使用すると、DEM 権限を使用する場合より複雑に見えるかもしれませんが、権限のレポートと管理については大きな利点があります。必要な場合、権限のあるセッションとサブアプリケーションがすべて明確に指定されます。この結果、不要な権限設定がはるかに少なくなります。

拡張 AMS は、Infor リスク/コンプライアンス権限インサイト (IRC) との統合に必要です。IRC のみと共有されるデータは AMS をソースとします。

AMS 役割モデラでは、まだ特定の AMS 役割の変更または無効化ができます。拡張 AMS を有効にするには、すべての役割およびすべてのユーザをランタイムに変換する必要があります。

DEM データを実際化し、それを AMS 環境に必要なアクションまたは権限なしに、1 回でランタイムデータに変換することができます。これを行うには、AMS パラメータ (ttams0100m000) セッションのパラメータ設定を使用します。

セッション権限の出力

顧客は、LN アプリケーションに対する一部の従業員の権限を明確に把握する必要があります。これは、Sarbanes - Oxley Act (正式名 Public Company Accounting Reform and Investor Protection Act of 2002) に関連しています。

以下のセッションを使用して、セッション権限を出力できます。

  • DEM
    DEM セッション権限の出力 (tgbrg8441m000)
  • AMS
    ユーザ別セッション権限の出力 (ttams3400m000)
  • 拡張 AMS
    特定の出力セッションは存在しません。推奨される方法は、権限ワークベンチ (ttams4300m000) セッションを使用して、ユーザ、役割、またはセッションごとに AMS 役割を表示することです。