セキュリティ アーキテクチャを理解する
財務と運用アプリのセキュリティ アーキテクチャを理解すると、ビジネスの要件に合わせてセキュリティをより簡単にカスタマイズすることができます。
このレッスンでは、次の点について説明します。
- セキュリティ アーキテクチャ
- ロールベース セキュリティ
- 職務
- 権限
- アクセス許可
- 認証
- 認可
- 監査
財務と運用アプリのシステム アーキテクチャでは、Microsoft Azure 内の機能のスタックが使用されます。 これにより、財務と運用アプリが機能し、さまざまな Web 対応デバイスと通信できるようになります。
セキュリティ モデルは階層型であり、階層内の各要素は異なる詳細レベルを表します。 セキュリティに関しては、次の点を考慮してください。
- 財務と運用アプリでは、ロールベース セキュリティが使用されます。
- アクセスは、個々のユーザーではなく、セキュリティ ロールにのみ許可されます。
- ユーザーはロールに割り当てられます。 セキュリティ ロールに割り当てられているユーザーは、そのロールに関連付けられている一連の権限にアクセスできます。
- ロールに割り当てられていないユーザーには権限はありません。
次の図は、セキュリティ アーキテクチャの概要を示したものです。
ロールベース セキュリティ
ロールベース セキュリティは、ビジネスの構造に合わせて調整されます。 ユーザーは、組織内での職責とビジネス プロセスへの参加状況に基づいて、セキュリティ ロールに割り当てられます。 管理者は、ユーザーが使用する必要のあるプログラム要素ではなく、ロール内のユーザーが実行する職務へのアクセス権を付与します。
ロールベース セキュリティでは、アクセス権は個々のユーザーに付与されるのではなく、セキュリティ ロールにのみ付与されます。 ユーザーはロールに割り当てられます。 セキュリティ ロールに割り当てられているユーザーは、そのロールに関連付けられている一連の権限にアクセスできます。 ロールに割り当てられていないユーザーには権限はありません。
すべてのユーザーは、財務と運用アプリにアクセスできるように、少なくとも 1 つのセキュリティ ロールに割り当てられている必要があります。 ユーザーに割り当てられているセキュリティ ロールによって、そのユーザーが実行できる職務と、表示できるユーザー インターフェイスの部分が決まります。
ユーザーをロールに割り当てるには、システム管理 > セキュリティ > ユーザーをロールに割り当てるを使用します。
自動ロール割り当てのルールを設定できるため、ユーザーの職責が変わるたびに管理者が関与する必要はありません。 セキュリティ ロールとルールが設定されると、ビジネス マネージャーはビジネス データに基づいて日々のユーザー アクセスを制御できます。
既定では、サンプル セキュリティ ロールが用意されています。 財務と運用アプリのすべての機能は、サンプル セキュリティ ロールの少なくとも 1 つに関連付けられています。 管理者は、サンプル セキュリティ ロールにユーザーを割り当てたり、ビジネス ニーズに合わせてサンプル セキュリティ ロールを変更したり、新しいセキュリティ ロールを作成したりすることができます。 既定では、サンプル ロールは階層に配置されません。
職務
職務は、ビジネス プロセスの各部分に対応しています。 管理者は、セキュリティ ロールに職務を割り当てます。 1 つの職務を複数のロールに割り当てることができます。 財務と運用アプリでは、職務に権限が含まれています。 たとえば、銀行トランザクションの管理職務には、入金伝票の生成権限と支払のキャンセル権限が含まれています。 職務と権限はどちらもセキュリティ ロールに割り当てることができます。 ただし、財務と運用アプリへのアクセス権を付与するには、職務を使用することをお勧めします。
権限
権限はロールに直接割り当てることができます。 ただし、メンテナンスしやすいように、ロールには職務のみを割り当てることをお勧めします。 権限は、ジョブの実行、問題の解決、または割り当ての完了に必要なアクセス レベルを指定します。 権限には、ユーザー インターフェイスの要素やテーブルなど、個々のアプリケーション オブジェクトへのアクセス許可も含まれています。
たとえば、支払のキャンセル権限には、支払をキャンセルするために必要なメニュー項目、フィールド、テーブルへのアクセス許可が含まれています。
既定では、財務と運用アプリのすべての機能に権限が用意されています。 管理者は、権限に関連付けられているアクセス許可を変更するか、新しい権限を作成することができます。
アクセス許可
アクセス許可は、メニュー項目やテーブルなど、セキュリティ保護が可能な個々のオブジェクトへのアクセスを表します。 権限はアクセス許可で構成され、仕訳の転記や貸方および取立の処理などのタスクへのアクセス権を表します。 職務は権限で構成され、現金や銀行トランザクションの管理などのビジネス プロセスの各部分を表します。 職務と権限の両方をロールに割り当てて、財務と運用アプリへのアクセス権を付与することができます。
財務と運用アプリの各機能 (フォームやサービスなど) には、エントリ ポイントを介してアクセスします。 メニュー項目、Web コンテンツ項目、サービス工程をまとめてエントリ ポイントと呼びます。
認証
財務と運用アプリでユーザー権限を持つ、認証されたユーザーのみが接続を確立できます。 財務と運用アプリでは、Microsoft Entra ID がプライマリ ID プロバイダーとして使用されます。 システムにアクセスするには、ユーザーが財務と運用アプリのインスタンスにプロビジョニングされていて、承認済みのテナントにおける有効な Microsoft Entra ID アカウントを持っている必要があります。
認可
認可とは、財務と運用アプリのプログラムへのアクセスを制御することです。 プログラムの個々の要素へのアクセスを制御するには、セキュリティ アクセス許可を使用します。プログラムの要素には、財務と運用アプリのクライアントのメニュー、メニュー項目、アクション ボタンとコマンド ボタン、レポート、サービス工程、Web URL メニュー項目、Web コントロール、フィールドなどがあります。
財務と運用アプリでは、個々のセキュリティ アクセス許可を組み合わせて権限とし、権限を組み合わせて職務とします。 管理者は、セキュリティ ロールに職務と権限を割り当てることにより、これらのロールにプログラムへのアクセスを許可します。
財務と運用アプリでは、コンテキストベースのセキュリティを使用して、セキュリティ保護可能なオブジェクトへのアクセスを判断します。 エントリ ポイント (メニュー項目やサービス工程など) に権限が関連付けられている場合は、読み取りや削除などのアクセス レベルが指定されます。 そのエントリ ポイントがアクセスされると、財務と運用アプリの認可サブシステムが実行時にアクセスを検出し、エントリ ポイントの先にあるセキュリティ保護可能なオブジェクトに、指定されたアクセス レベルを適用します。 この機能により、ユーザーに必要以上のアクセス許可が割り当てられないようにすることができます。
監査
現在、財務と運用アプリでは、ユーザーのサインインとサインアウトの監査が有効になっています。 ユーザーがアプリケーションにサインインまたはサインアウトすると、システムログが記録されます。 ユーザーのセッションが期限切れになったか、終了した場合にも、サインアウトがログに記録されます。
システム管理者またはセキュリティ管理者は、ユーザー ログ ページ (システム管理>照会>ユーザー ログ) から監査ログにアクセスできます。
追加の考慮事項:
- 外部ロール フォームでは、管理者が顧客、仕入先、見込顧客、見込み仕入先、作業者などの外部関係者のロールにセキュリティ ロールを割り当てることができます。
- 休止ユーザー セキュリティ アカウントを使用すると、アイドル状態のアカウントを特定して、そのアカウントが有効か無効かを確認できます。