Provisionnement (autorisation basée sur les rôles)

La sécurité d'Oracle Enterprise Performance Management System détermine l'accès utilisateur aux applications via le concept de rôles. Les rôles correspondent à des autorisations qui déterminent l'accès utilisateur aux fonctions de l'application. Certains composants EPM System appliquent des listes ACL de niveau objet pour affiner davantage l'accès des utilisateurs à leurs artefacts, tels que les rapports et les membres.

Chaque composant EPM System fournit plusieurs rôles par défaut adaptés aux différents besoins métier. Chaque application appartenant à un composant EPM System hérite de ces rôles. Les rôles prédéfinis des applications enregistrées auprès d'Oracle Hyperion Shared Services sont disponibles dans Oracle Hyperion Shared Services Console. Vous pouvez aussi créer d'autres rôles qui agrègent les rôles par défaut pour répondre aux exigences spécifiques. Ces rôles sont utilisés pour le provisionnement. Le processus d'attribution de rôles spécifiques des applications EPM System et de leurs ressources aux utilisateurs et aux groupes est appelé provisionnement.

L'annuaire natif et les annuaires des utilisateurs configurés sont des sources d'informations sur les utilisateurs et les groupes pour le processus de provisionnement. Vous pouvez rechercher et provisionner des utilisateurs et des groupes à partir de tous les annuaires configurés sur Shared Services Console. Vous pouvez également utiliser des rôles agrégés spécifiques de l'application créés dans l'annuaire natif lors du processus de provisionnement.

Présentation illustrée du processus d'autorisation :


Présentation détaillée du processus d'autorisation

  1. Une fois l'utilisateur authentifié, le composant EPM System envoie une requête aux annuaires des utilisateurs pour déterminer les groupes de l'utilisateur.

  2. Le composant EPM System utilise les informations sur l'utilisateur et les groupes pour extraire les données de provisionnement de l'utilisateur à partir de Shared Services. Le composant utilise ces données pour déterminer les ressources auxquelles un utilisateur peut accéder.

    Les tâches de provisionnement spécifiques du produit, telles que la configuration du contrôle de l'accès spécifique à un produit, sont effectuées pour chaque produit. Ces données sont combinées avec les données de provisionnement pour déterminer l'accès au produit pour les utilisateurs.

Le provisionnement basé sur les rôles de produits EPM System utilise ces concepts.

Roles

Un rôle est une construction (semblable à la liste des contrôles d'accès) qui définit les autorisations d'accès accordées aux utilisateurs et aux groupes pour effectuer les fonctions sur les ressources EPM System. Un rôle est une combinaison de ressources ou de types de ressource (ce à quoi les utilisateurs ont accès, par exemple, un rapport) et d'actions que les utilisateurs peuvent effectuer sur les ressources (par exemple, afficher et modifier).

L'accès aux ressources d'application EPM System est restreint. Les utilisateurs peuvent y accéder uniquement après qu'un rôle doté de privilèges d'accès a été affecté à l'utilisateur ou au groupe auquel appartient l'utilisateur. La restriction de l'accès basée sur les rôles permet aux administrateurs de contrôler et de gérer l'accès à l'application.

Rôles globaux

Les rôles globaux sont des rôles Shared Services qui couvrent plusieurs produits et permettent d'effectuer certaines tâches dans les produits EPM System. Par exemple, l'administrateur Shared Services peut provisionner les utilisateurs pour toutes les applications EPM System.

Rôles prédéfinis

Les rôles prédéfinis sont des rôles intégrés dans les produits EPM System. Vous ne pouvez pas les supprimer. Chaque instance d'application appartenant à un produit EPM System hérite de tous les rôles prédéfinis du produit. Ces rôles sont enregistrés avec Shared Services lors de la création de chaque application.

Rôles agrégés

Les rôles agrégés, également nommés rôles personnalisés, agrègent plusieurs rôles prédéfinis d'une application. Un rôle agrégé peut contenir d'autres rôles agrégés. Par exemple, un administrateur ou un gestionnaire de profils Shared Services peut créer un rôle agrégé combinant les rôles Planificateur et Utilisateur de la vue d'une application Oracle Hyperion Planning. L'agrégation des rôles permet de simplifier l'administration des applications possédant des rôles granulaires. Les rôles Shared Services globaux peuvent être inclus dans des rôles agrégés. Vous ne pouvez pas créer un rôle agrégé couvrant plusieurs applications ou produits.

Users

Les annuaires des utilisateurs stockent des informations sur les utilisateurs qui ont accès aux produits EPM System. Les processus d'authentification et d'autorisation utilisent les informations d'utilisateur. Vous pouvez créer et gérer des utilisateurs d'annuaire natif uniquement à partir de Shared Services Console.

Les utilisateurs de tous les annuaires configurés sont visibles à partir de Shared Services Console. Des privilèges d'accès peuvent être attribués individuellement à ces utilisateurs pour les applications EPM System enregistrées avec Shared Services. Oracle déconseille le provisionnement d'utilisateurs individuels.

Administrateur EPM System par défaut

Un compte d'administrateur, avec le nom par défaut admin, est créé dans l'annuaire natif lors du processus de déploiement. Il s'agit du compte EPM System offrant le plus de contrôle et il doit être utilisé uniquement pour configurer un administrateur système, qui est l'expert en informatique chargé de gérer la sécurité et l'environnement EPM System.

Le nom d'utilisateur et le mot de passe de l'administrateur EPM System sont définis lors du déploiement d'Oracle Hyperion Foundation Services. Etant donné que ce compte ne peut pas être soumis à des stratégies de mot de passe de compte d'entreprise, Oracle recommande de le désactiver après la création d'un compte d'administrateur système.

En règle générale, le compte d'administrateur EPM System par défaut est utilisé pour effectuer les tâches suivantes :

  • Configurer l'annuaire de l'entreprise en tant qu'annuaire des utilisateurs externe. Reportez-vous à Configuration des annuaires des utilisateurs.

  • Créer un compte d'administrateur système en provisionnant un expert en informatique d'entreprise avec le rôle d'administrateur Shared Services. Reportez-vous à la section "Provisionnement des utilisateurs et des groupes" dans le Guide d'administration de la sécurité utilisateur d'Oracle Enterprise Performance Management System.

Administrateur système

L'administrateur système est généralement un expert en informatique d'entreprise qui dispose de droits d'accès en lecture, en écriture et en exécution sur tous les serveurs d'un déploiement EPM System.

En règle générale, l'administrateur système effectue les tâches suivantes :

  • Désactiver le compte d'administrateur EPM System par défaut.

  • Créer au moins un administrateur fonctionnel.

  • Définir la configuration de la sécurité pour EPM System à l'aide de Shared Services Console.

  • Eventuellement, configurer les annuaires des utilisateurs en tant qu'annuaire des utilisateurs externe.

  • Surveiller EPM System en exécutant régulièrement l'outil d'analyse de journal.

    Les tâches effectuées par l'administrateur fonctionnel sont décrites dans ce guide.

Procédures pour créer un administrateur fonctionnel :

  • Configurer l'annuaire de l'entreprise en tant qu'annuaire des utilisateurs externe. Reportez-vous à la section Configuration des annuaires des utilisateurs.

  • Provisionnez un utilisateur ou un groupe avec les rôles requis pour créer un administrateur fonctionnel. Reportez-vous à la section "Provisionnement des utilisateurs et des groupes" dans le Guide d'administration de la sécurité utilisateur d'Oracle Enterprise Performance Management System.

    L'administrateur fonctionnel doit être provisionné avec les rôles suivants :

    • Rôle d'administrateur LCM de Shared Services

    • Rôle d'administrateur et de gestionnaire de profils de chaque composant EPM System

Administrateurs fonctionnels

L'administrateur fonctionnel est un utilisateur d'entreprise qui est un expert EPM System. En général, il est défini dans l'annuaire d'entreprise qui est configuré dans Shared Services en tant qu'annuaire des utilisateurs externe.

L'administrateur fonctionnel exécute des tâches d'administration EPM System comme la création d'autres administrateurs fonctionnels, la configuration de l'administration déléguée, la création et le provisionnement d'applications et d'artefacts, et la configuration de l'audit d'EPM System. Les tâches effectuées par l'administrateur fonctionnel sont décrites dans le Guide d'administration de la sécurité utilisateur d'Oracle Enterprise Performance Management System.

Groups

Les groupes sont des conteneurs pour les utilisateurs ou les autres groupes. Vous pouvez créer et gérer des groupes d'annuaire natif à partir de Shared Services Console. Les groupes de tous les annuaires d'utilisateurs configurés sont affichés dans Shared Services Console. Vous pouvez provisionner ces groupes afin de donner les autorisations d'accès aux produits EPM System enregistrés auprès de Shared Services.