Aprovisionamiento (autorización basada en roles)

La seguridad de Oracle Enterprise Performance Management System determina el acceso de los usuarios a las aplicaciones mediante el concepto de los roles. Las funciones son permisos que determinan dicho acceso a las funciones de las aplicaciones. Algunos componentes de EPM System aplican listas de control de acceso de nivel de objeto para delimitar aún más el acceso de los usuarios a sus artefactos, como informes y miembros.

Cada componente de EPM System proporciona distintas funciones predeterminadas diseñadas según necesidades empresariales concretas. Cada aplicación perteneciente a un componente de EPM System hereda estos roles. Los roles predefinidos de las aplicaciones registradas con Servicios compartidos de Oracle Hyperion están disponibles en Consola de Servicios compartidos de Oracle Hyperion. También puede crear funciones adicionales que se agregan a las funciones predeterminadas para adaptarse a requisitos específicos. Estas funciones se utilizan para tareas de aprovisionamiento. El proceso de conceder a usuarios y grupos funciones específicas pertenecientes a aplicaciones de EPM System y sus recursos se denomina aprovisionamiento.

El directorio nativo y los directorios de usuario configurados constituyen orígenes de información sobre usuarios y grupos para el proceso de aprovisionamiento. Puede examinar y aprovisionar usuarios y grupos de todos los directorios de usuario configurados en Shared Services Console. También puede utilizar roles agregados específicos para aplicaciones creadas en el directorio nativo durante el proceso de aprovisionamiento.

Una descripción general ilustrada del proceso de autorización:


Amplia descripción general del proceso de autorización

  1. Después de la autentificación de un usuario, el componente de EPM System consulta los directorios de usuario para determinar sus grupos.

  2. El componente de EPM System utiliza la información de grupos y usuarios para recuperar de Servicios compartidos los datos de aprovisionamiento del usuario. El componente utiliza estos datos para determinar a qué recursos puede acceder el usuario.

    Las tareas de aprovisionamiento específicas para productos, como el control de acceso, se completan para cada producto. Estos datos se combinan con los de aprovisionamiento para especificar el tipo de acceso.

El aprovisionamiento basado en funciones de los productos de EPM System utiliza estos conceptos.

Roles

Una función es un elemento (similar a la lista de control de acceso) que define los permisos de acceso que se otorgan a usuarios y grupos para realizar distintas funciones en los recursos de EPM System. Un rol es una combinación de recursos o tipos de recursos (elementos a los que los usuarios pueden acceder, por ejemplo, un informe) y acciones que los usuarios pueden realizar en dichos recursos (por ejemplo, ver y editar).

El acceso a los recursos de aplicación de EPM System se restringe. Los usuarios pueden acceder a ellos solo tras asignar un rol que proporcione acceso al usuario o al grupo al que pertenece el usuario. Las restricciones basadas en funciones permiten a los administradores controlar y administrar el acceso a aplicaciones.

Roles globales

Los roles globales, que son roles de Servicios compartidos válidas para varios productos, permiten a los usuarios realizar determinadas tareas en todos los productos de EPM System. Por ejemplo, el administrador de Servicios compartidos puede aprovisionar a usuarios para todas las aplicaciones de EPM System.

Roles predefinidos

Las funciones predefinidas son funciones integradas en productos de EPM System. No puede suprimirlos. Cada instancia de una aplicación perteneciente a un producto de EPM System hereda todos los roles predefinidos del producto. Para cada una de las aplicaciones, estas funciones se registran con Shared Services al crear la aplicación.

Roles agregados

Las funciones agregadas, también denominadas funciones personalizadas, agregan múltiples funciones predefinidas pertenecientes a una aplicación. Una función agregada puede incluir otras funciones agregadas. Por ejemplo, un gestor de aprovisionamiento o administrador de Servicios compartidos puede crear un rol agregado que combine los roles Planificador y Ver usuario de una aplicación de Oracle Hyperion Planning. Agregar funciones puede simplificar la administración de aplicaciones con varias funciones granulares. Se pueden incluir funciones de Shared Services globales en las funciones agregadas. No se puede crear una función agregada aplicable a varias aplicaciones o productos.

Usuarios

Los directorios de usuario almacenan información sobre aquellos usuarios que pueden acceder a productos de EPM System. Tanto los procesos de autentificación como los de autorización utilizan este tipo de información. Solo se pueden crear y gestionar usuarios del directorio nativo desde Consola de Servicios compartidos.

Se pueden consultar los usuarios de todos los directorios de usuario configurados desde Shared Services Console. Estos usuarios se pueden aprovisionar de forma individual para concederles derechos de acceso sobre aplicaciones de EPM System registradas en Shared Services. Oracle no recomienda el aprovisionamiento de usuarios individuales.

Administrador predeterminado de EPM System

Una cuenta de administrador, con el nombre predeterminado admin, se crea en el directorio nativo durante el proceso de despliegue. Es la cuenta de EPM System más importante y solo se debe utilizar para configurar un administrador del sistema, que es el experto en tecnología de la información encargado de la gestión de la seguridad de EPM System y el entorno.

El nombre de usuario y la contraseña del administrador de EPM System se establecen durante el despliegue de Oracle Hyperion Foundation Services. Debido a que esta cuenta no puede estar sujeta a políticas de contraseñas de cuentas corporativas, Oracle recomienda que se desactive tras crear la cuenta del administrador del sistema.

Por lo general, la cuenta de administrador de EPM System predeterminada se usa para realizar estas tareas:

  • Configure el directorio corporativo como directorio de usuario externo. Consulte Configuración de directorios de usuario.

  • Para crear una cuenta de administrador del sistema, aprovisione un experto en tecnología de la información corporativo con el rol Administrador de Servicios compartidos. Consulte "Aprovisionamiento de usuarios y grupos" en la Guía de administración de seguridad de usuarios de Oracle Enterprise Performance Management System.

Administrador del sistema

El administrador del sistema es generalmente un experto en tecnología de la información corporativo que tiene derechos de acceso de lectura, escritura y ejecución a todos los servidores implicados en un despliegue de EPM System.

Por lo general, el administrador del sistema realiza estas tareas:

  • Desactive la cuenta del administrador predeterminada de EPM System.

  • Cree al menos un administrador funcional.

  • Establezca la configuración de seguridad para EPM System con Consola de Servicios compartidos.

  • También puede configurar directorio de usuarios como directorio de usuario externo.

  • Para supervisar EPM System, ejecute periódicamente la herramienta Análisis de log.

    En esta guía se describen las tareas que realizan los administradores funcionales.

Procedimientos para crear un administrador funcional:

  • Configure el directorio corporativo como directorio de usuario externo. Consulte Configuración de directorios de usuario.

  • Aprovisione un usuario o grupo con los roles necesarios para crear un administrador funcional. Consulte "Aprovisionamiento de usuarios y grupos" en la Guía de administración de seguridad de usuarios de Oracle Enterprise Performance Management System.

    El administrador funcional se debe aprovisionar con estos roles:

    • Rol Administrador de LCM de Servicios compartidos

    • Rol Administrador y Gestor de aprovisionamiento de cada componente de EPM System desplegado

Administradores funcionales

El administrador funcional es un usuario corporativo experto en EPM System. Normalmente, este usuario está definido en el directorio corporativo configurado en Shared Services como directorio de usuario externo.

El administrador funcional realiza tareas de administración de EPM System tales como crear otros administradores funcionales, configurar la administración delegada, así como crear y aprovisionar aplicaciones y artefactos, y configurar la auditoría de EPM System. En la Guía de administración de seguridad de usuarios de Oracle Enterprise Performance Management System se describen las tareas que realizan los administradores funcionales.

Grupos

Los grupos contienen usuarios y también otros grupos. Puede crear y gestionar grupos del directorio nativo desde Consola de Servicios compartidos. Los grupos de todos los directorios de usuario configurados se muestran en Shared Services Console. Puede aprovisionarlos para concederles permisos de acceso a productos de EPM System registrados en Shared Services.