Provisioning (rollenbasierte Autorisierung)

Die Oracle Enterprise Performance Management System-Sicherheit bestimmt den Benutzerzugriff auf Anwendungen anhand von Rollen. Dabei handelt es sich um Berechtigungen, die den Benutzerzugriff auf die Anwendungsfunktionen bestimmen. Einige EPM System-Komponenten verwenden Objektebenen-Zugriffskontrolllisten (ACLs), um den Benutzerzugriff auf Artefakte wie Berichte und Elemente weiter anzupassen.

Die einzelnen EPM System-Komponenten stellen verschiedene, an die unterschiedlichen geschäftlichen Anforderungen angepasste Standardrollen bereit. Die einzelnen Anwendungen, die zu einer EPM System-Komponente gehören, erben diese Rollen. Vordefinierte Rollen der Anwendungen, die bei Oracle Hyperion Shared Services registriert sind, sind in Oracle Hyperion Shared Services Console verfügbar. Sie können auch zusätzliche Rollen erstellen, die Standardrollen aggregieren, um bestimmten Anforderungen gerecht zu werden. Diese Rollen werden für die Zuweisung von Zugriffsberechtigungen verwendet. Der Vorgang der Zuweisung von bestimmten Rollen für EPM System-Anwendungen und ihre Ressourcen an Benutzer und Gruppen wird auch als Zuweisung von Berechtigungen bezeichnet.

Native Directory und konfigurierte Benutzerverzeichnisse sind die Quellen für Benutzer- und Gruppeninformationen für den Provisioning-Prozess. Sie können sämtliche Benutzer und Gruppen aller konfigurierter Benutzerverzeichnisse in Shared Services Console durchsuchen und Berechtigungen dafür zuweisen. Außerdem können Sie anwendungsspezifische aggregierte Rollen verwenden, die beim Provisioning-Prozess in Native Directory erstellt wurden.

In der folgenden Abbildung erhalten Sie eine Übersicht über den Autorisierungsprozess:


Umfassende Übersicht über den Autorisierungsprozess

  1. Nachdem ein Benutzer authentifiziert wurde, fragt die EPM System-Komponente Benutzerverzeichnisse ab, um die Gruppen des Benutzers zu ermitteln.

  2. Die EPM System-Komponente verwendet die Benutzer- und Gruppeninformationen, um die Provisioning-Daten des Benutzers aus Shared Services abzurufen. Die Komponente verwendet diese Daten, um zu ermitteln, auf welche Ressourcen ein Benutzer zugreifen kann.

    Die produktspezifischen Provisioning-Aufgaben, wie z.B. das Festlegen der produktspezifischen Zugriffskontrolle, werden für jedes Produkt abgeschlossen. Diese Daten werden mit den Berechtigungsdaten kombiniert, um den Produktzugriff für Benutzer festzulegen.

Diese Konzepte werden bei der rollenbasierten Zuweisung der Berechtigungen für EPM System-Produkte verwendet.

Rollen

Eine Rolle ist ein Konstrukt (ähnlich einer Zugriffskontrollliste (ACL)), das die Zugriffsberechtigungen definiert, die Benutzern und Gruppen gewährt werden, damit diese Funktionen für die EPM System-Ressourcen ausführen können. Bei einer Rolle handelt sich um eine Kombination aus Ressourcen bzw. Ressourcentypen (auf die Benutzer zugreifen können, z.B. auf einen Bericht) und Aktionen, die Benutzer für die Ressource ausführen können (z.B. anzeigen und bearbeiten).

Der Zugriff auf EPM System-Anwendungsressourcen ist beschränkt. Benutzer können erst darauf zugreifen, nachdem eine Rolle mit entsprechender Zugriffsberechtigung dem Benutzer oder der Gruppe zugewiesen wurde, der der Benutzer angehört. Mit auf Rollen basierenden Zugriffsbeschränkungen können Administratoren den Zugriff auf Anwendungen steuern und verwalten.

Globale Rollen

Mit globalen Rollen, also Shared Services-Rollen für mehrere Produkte, können Benutzer bestimmte Aufgaben in allen EPM System-Produkten ausführen. Beispiel: Der Shared Services-Administrator kann Benutzern Berechtigungen für alle EPM System-Anwendungen zuweisen.

Vordefinierte Rollen

Vordefinierte Rollen sind Rollen, die in EPM System-Produkte integriert sind. Diese Rollen können nicht gelöscht werden. Die einzelnen Anwendungsinstanzen, die zu einem EPM System-Produkt gehören, erben die vordefinierten Rollen des Produkts. Die jeweiligen Anwendungsrollen werden beim Erstellen der Anwendung in Shared Services registriert.

Aggregierte Rollen

Aggregierte Rollen, die auch als benutzerdefinierte Rollen bezeichnet werden, umfassen mehrere vordefinierte Rollen einer Anwendung. Eine aggregierte Rolle kann andere aggregierte Rollen enthalten. Beispiel: Ein Shared Services-Administrator oder -Provisioning-Manager kann eine aggregierte Rolle erstellen, in der die Rollen "Planer" und "Anzeigebenutzer" einer Oracle Hyperion Planning-Anwendung kombiniert sind. Das Aggregieren von Rollen vereinfacht u.U. die Administration von Produkten, die mehrere spezielle Rollen aufweisen. Globale Shared Services-Rollen können in aggregierte Rollen eingefügt werden. Das Erstellen von anwendungs- oder produktübergreifenden aggregierten Rollen ist jedoch nicht möglich.

Benutzer

In Benutzerverzeichnissen sind Informationen zu den Benutzern gespeichert, die auf EPM System-Produkte zugreifen können. Sowohl bei der Authentifizierung als auch während des Autorisierungsprozesses werden Benutzerinformationen verwendet. Sie können Native Directory-Benutzer nur über Shared Services Console erstellen und verwalten.

In Shared Services Console können Sie die Benutzer aller konfigurierten Benutzerverzeichnisse anzeigen. Sie können diesen Benutzern individuell Berechtigungen zuweisen, um die Zugriffsrechte für die EPM System-Anwendungen zu gewähren, die unter Shared Services registriert sind. Oracle empfiehlt die Zuweisung von Berechtigungen für einzelne Benutzer jedoch nicht.

Standardmäßiger EPM System-Administrator

Während des Deployment-Prozesses wird in Native Directory ein Administratoraccount mit dem Standardnamen admin erstellt. Dies ist der umfassendste EPM System-Account. Dieser Account sollte nur zum Einrichten eines Systemadministrators verwendet werden, der als Informationstechnologieexperte für die Verwaltung der Sicherheit und der Umgebung von EPM System verantwortlich ist.

Der Benutzername und das Kennwort des EPM System-Administrators werden während des Deployments von Oracle Hyperion Foundation Services festgelegt. Da dieser Account keinen Unternehmens-Policys für Accountkennwörter unterliegt, empfiehlt Oracle, diesen Account nach der Erstellung des Systemadministratoraccounts zu deaktivieren.

Der EPM System-Standardadministratoraccount wird in der Regel zum Ausführen dieser Aufgaben verwendet:

  • Unternehmensverzeichnis als externes Benutzerverzeichnis konfigurieren. Informationen hierzu finden Sie unter Benutzerverzeichnisse konfigurieren.

  • Systemadministratoraccount erstellen, indem einem Informationstechnologieexperten des Unternehmens die Shared Services-Administratorrolle zugewiesen wird. Informationen hierzu finden Sie im Abschnitt zum Provisioning für Benutzer und Gruppen in der Oracle Enterprise Performance Management - Administrationsdokumentation für Benutzersicherheit.

Systemadministrator

Der Systemadministrator ist normalerweise ein Informationstechnologieexperte des Unternehmens, der für alle Server in einem EPM System-Deployment über Zugriffsrechte zum Lesen, Schreiben und Ausführen verfügt.

Der Systemadministrator führt in der Regel folgende Aufgaben aus:

  • EPM System-Standardadministratoraccount deaktivieren.

  • Mindestens einen funktionalen Administrator erstellen.

  • Sicherheitskonfiguration für EPM System über Shared Services Console festlegen.

  • Optional Benutzerverzeichnisse als externe Benutzerverzeichnisse konfigurieren.

  • EPM System durch regelmäßige Ausführung des Loganalysetools überwachen.

    Die Aufgaben, die funktionale Administratoren ausführen, sind in dieser Dokumentation beschrieben.

Schritte zum Erstellen eines funktionalen Administrators:

  • Unternehmensverzeichnis als externes Benutzerverzeichnis konfigurieren. Informationen hierzu finden Sie unter Benutzerverzeichnisse konfigurieren.

  • Einem Benutzer oder eine Gruppe die erforderlichen Rollen zum Erstellen eines funktionalen Administrators zuweisen. Informationen hierzu finden Sie im Abschnitt zum Provisioning für Benutzer und Gruppen in der Oracle Enterprise Performance Management - Administrationsdokumentation für Benutzersicherheit.

    Dem funktionalen Administrator müssen folgende Rollen zugewiesen werden:

    • Rolle "LCM-Administrator" von Shared Services

    • Rolle "Administrator" und Rolle "Provisioning-Manager" jeder bereitgestellten EPM System-Komponente

Funktionale Administratoren

Der funktionale Administrator ist ein Unternehmensbenutzer und ein EPM System-Experte. Dieser Benutzer ist meistens im Unternehmensverzeichnis definiert, dass in Shared Services als ein externes Benutzerverzeichnis konfiguriert ist.

Der funktionale Administrator führt EPM System-Administrationsaufgaben aus, wie z.B. das Erstellen anderer funktionaler Administratoren, das Einrichten der delegierten Administration, das Erstellen von Anwendungen und Artefakten und das Zuweisen der entsprechenden Berechtigungen sowie das Einrichten des EPM System-Auditings. Die Aufgaben, die funktionale Administratoren ausführen, sind in der Oracle Enterprise Performance Management - Administrationsdokumentation für Benutzersicherheit beschrieben.

Gruppen

Gruppen sind Container für Benutzer und andere Gruppen. Sie können Native Directory-Gruppen über Shared Services Console erstellen und verwalten. Gruppen aus allen konfigurierten Benutzerverzeichnissen werden in Shared Services Console angezeigt. Sie können diesen Gruppen Berechtigungen zuweisen, um Zugriffsberechtigungen für die EPM System-Produkte zu gewähren, die unter Shared Services registriert sind.