セキュリティ アークテクチャ

この記事では、財務と運用のセキュリティ アーキテクチャの概要を示します。

セキュリティ アーキテクチャを理解すると、業務の要件に合わせてセキュリティを容易にカスタマイズできます。 次の図は、セキュリティ アーキテクチャの高レベルな概要を示しています。

認証

既定では、ユーザー権利を持つ認証済みユーザーのみが接続を確立できます。

Microsoft Entra ID は主要な ID プロバイダーです。 システムにアクセスするには、ユーザーは財務と運用のインスタンスにプロビジョニングされ、認可されたテナントに有効な Microsoft Entra アカウントが必要です。

承認

承認は、財務と運用アプリケーションへのアクセスをコントロールします。 セキュリティ アクセス許可は、プログラムの個々の要素へのアクセスを制御するために使用されます: メニュー、メニュー項目、アクションおよびコマンド ボタン、レポート、サービス操作、Web URL のメニュー項目、Web コントロール、および財務と運用のクライアントのフィールド。

個別のセキュリティ アクセス許可は特権に、特権は職務に組み込まれています。 管理者は、セキュリティ ロールに職務権限と権限を割り当てることにより、これらのセキュリティ ロールへのアクセス許可をプログラムに付与します。

コンテキスト ベースのセキュリティは、セキュリティ設定が可能なオブジェクトへのアクセスをコントロールします。 特権がエントリ ポイント (メニュー項目またはサービス操作など) に関連付けられているとき、読み取りまたは 削除などのアクセス レベルが指定されます。 承認サブシステムは、そのエントリ ポイントにアクセスがあると実行時にアクセスを検出し、エントリ ポイントが導かれるセキュリティ保護可能なオブジェクトに指定したレベルのアクセスを適用します。 この機能は、過剰なアクセス権がないことを保証し、開発者が意図したアクセス権を取得するのに役立ちます。

詳細については、ロールベース セキュリティを参照してください。

データ セキュリティ

承認はプログラムの要素へのアクセスを許可するために使用されます。 対照的に、データ セキュリティはデータベース内のテーブル、フィールド、および行へのアクセスを拒否するために使用されます。

拡張可能なデータ セキュリティ フレームワークを使用してセキュリティ ポリシーに基づいてテーブル レコードへのアクセスを制限することにより、ロールベースのセキュリティを補うことができます。 セキュリティ アクセス許可がユーザー ロールの一部である場合、ユーザーがデータにアクセスできる割合が高くなりますが、セキュリティ ポリシーによってデータへのアクセスが減少します。

詳細については、拡張可能なデータ セキュリティ ポリシー を参照してください。

また、テーブル アクセス許可フレームワークは、一部のデータを保護するのに役立ちます。 特定のテーブルのデータ セキュリティは、Application Object Server (AOS) によって適用されます。

ユーザー ログインの監査

システム管理者またはセキュリティ管理者は、ユーザー ログイン ログにアクセスできます。 詳細については、ユーザー サインインの追跡 を参照してください。