Assegnazione ruoli (autorizzazione basata sui ruoli)

La funzionalità di sicurezza di Oracle Enterprise Performance Management System determina l'accesso degli utenti alle applicazioni in base al concetto dei ruoli. I ruoli sono autorizzazioni che consentono agli utenti di accedere alle funzioni delle applicazioni. Alcuni componenti di EPM System applicano liste di controllo dell'accesso (ACL) a livello di oggetto per perfezionare il livello di accesso degli utenti agli artifact, ad esempio report e membri.

Ogni componente di EPM System offre ruoli predefiniti diversi, personalizzati in base a esigenze aziendali differenti. Questi ruoli vengono ereditati da tutte le applicazioni appartenenti a un componente di EPM System. Ruoli predefiniti delle applicazioni registrate in Oracle Hyperion Shared Services sono disponibili in Oracle Hyperion Shared Services Console. È inoltre possibile creare ulteriori ruoli in cui aggregare i ruoli predefiniti per soddisfare esigenze specifiche. Questi ruoli vengono utilizzati per l'assegnazione ruoli. Il processo durante il quale vengono concessi agli utenti e ai gruppi ruoli specifici appartenenti ad applicazioni EPM System e alle relative risorse è denominato assegnazione ruoli.

La directory nativa e le directory utenti configurate sono le origini delle informazioni su utenti e gruppi che vengono utilizzate per il processo di assegnazione ruoli. È possibile esplorare e assegnare ruoli a utenti e gruppi di tutte le directory utente configurate da Shared Services Console. È inoltre possibile utilizzare ruoli aggregati specifici di un'applicazione creati nella directory nativa durante il processo di assegnazione ruoli.

La figura che segue mostra una panoramica del processo di autorizzazione:


Ampia panoramica sul processo di autorizzazione

  1. Dopo che un utente è stato autenticato, il componente di EPM System esegue una query sulle directory utenti per determinare i gruppi dell'utente.

  2. Il componente di EPM System utilizza le informazioni sugli utenti e sui gruppi per recuperare i dati di assegnazione ruoli dell'utente da Shared Services e quindi utilizza tali dati per determinare le risorse a cui può accedere un utente.

    Vengono completati per ogni singolo prodotto task di assegnazione ruoli specifici del prodotto, ad esempio l'impostazione del controllo dell'accesso specifico di un prodotto. I dati ottenuti vengono combinati con i dati dell'assegnazione ruoli per determinare l'accesso al prodotto per l'utente.

L'assegnazione ruoli basata sui ruoli dei prodotti di EPM System viene eseguita in base a questi concetti.

Ruoli

Un ruolo è un costrutto, analogo a una lista di controllo dell'accesso (ACL), che definisce le autorizzazioni di accesso concesse a utenti e gruppi per l'esecuzione di funzioni sulle risorse di EPM System. Si tratta di una combinazione di una risorsa o di tipi di risorse (oggetti a cui gli utenti possono accedere, ad esempio un report) e di azioni che gli utenti possono eseguire sulla risorsa (ad esempio visualizzazione e modifica).

L'accesso alle risorse delle applicazioni EPM System è limitato. Un utente può accedervi solo dopo che è stato assegnato all'utente stesso o al gruppo di appartenenza un ruolo che fornisce l'accesso. Le limitazioni dell'accesso basate sui ruoli consentono agli amministratori di controllare e gestire l'accesso alle applicazioni.

Ruoli globali

I ruoli globali, ovvero ruoli di Shared Services che si estendono su più prodotti, consentono agli utenti di eseguire determinati task nei prodotti EPM System. L'amministratore di Shared Services ad esempio può assegnare ruoli agli utenti per tutte le applicazioni EPM System.

Ruoli predefiniti

I ruoli predefiniti sono ruoli built-in nei prodotti di EPM System. Non è possibile eliminarli. Ogni istanza di un'applicazione appartenente a un prodotto EPM System eredita i ruoli predefiniti del prodotto. Questi ruoli vengono registrati con Shared Services per ogni applicazione quando quest'ultima viene creata.

Ruoli aggregati

I ruoli aggregati, denominati anche ruoli custom, aggregano più ruoli predefiniti appartenenti a un'applicazione. Un ruolo aggregato può contenere altri ruoli aggregati. Ad esempio, un utente con il ruolo Gestione assegnazione ruoli o Amministratore di Shared Services può creare un ruolo aggregato che combina i ruoli Responsabile pianificazione e Utente visualizzazione di un'applicazione Oracle Hyperion Planning. L'aggregazione dei ruoli può semplificare l'amministrazione di applicazioni con vari ruoli granulari. I ruoli globali di Shared Services possono essere inclusi in ruoli aggregati. Non è possibile creare un ruolo aggregato che si estende a più applicazioni o prodotti.

Utenti

Nelle directory utente sono memorizzate informazioni sugli utenti che possono accedere ai prodotti di EPM System. Queste informazioni vengono utilizzate sia dal processo di autenticazione sia dal processo di autorizzazione. È possibile creare e gestire gli utenti della directory nativa solo da Shared Services Console.

Gli utenti di tutte le directory utente configurate possono essere visualizzati da Shared Services Console. Sebbene sia possibile assegnare ruoli a singoli utenti per concedere diritti di accesso alle applicazioni EPM System registrate con Shared Services, Oracle sconsiglia l'assegnazione individuale.

Amministratore di EPM System predefinito

Durante il processo di distribuzione viene creato un account amministratore, con nome predefinito admin, nella directory nativa. Si tratta dell'account di EPM System più potente e deve essere utilizzato solo per impostare un amministratore di sistema, ovvero l'esperto IT incaricato della gestione della sicurezza e dell'ambiente di EPM System.

Il nome utente e la password dell'amministratore di EPM System vengono impostati durante la distribuzione di Oracle Hyperion Foundation Services. Poiché questo account non può essere soggetto ai criteri delle password degli account aziendali, Oracle consiglia di disattivarlo dopo la creazione di un account amministratore di sistema.

In genere l'account amministratore di EPM System predefinito viene utilizzato per eseguire i task elencati di seguito.

  • Configurare la directory aziendale come directory utenti esterna. Fare riferimento alla sezione Configurazione delle directory utenti.

  • Creare un account amministratore di sistema assegnando a un esperto IT aziendale il ruolo di amministratore di Shared Services. Fare riferimento alla sezione "Assegnazione di ruoli a utenti e gruppi" nel manuale Oracle Enterprise Performance Management System User Security Administration Guide (in lingua inglese).

Amministratore di sistema

L'amministratore di sistema è in genere un esperto IT aziendale con diritti di accesso in lettura, scrittura ed esecuzione per tutti i server interessati da una distribuzione di EPM System.

L'amministratore di sistema in genere esegue i task descritti di seguito.

  • Disabilitare l'account amministratore di EPM System predefinito

  • Creare almeno un amministratore funzionale

  • Impostare la configurazione della sicurezza per EPM System utilizzando Shared Services Console

  • Configurare facoltativamente le directory utenti come directory utenti esterne

  • Monitorare EPM System eseguendo periodicamente lo strumento di analisi dei log

    I task eseguiti dagli amministratori funzionali sono descritti in questa guida.

Di seguito sono descritte le procedure per la creazione di un amministratore funzionale.

  • Configurare la directory aziendale come directory utenti esterna. Fare riferimento alla sezione Configurazione delle directory utenti.

  • Assegnare a un utente o un gruppo i ruoli necessari per la creazione di un amministratore funzionale. Fare riferimento alla sezione "Assegnazione di ruoli a utenti e gruppi" nel manuale Oracle Enterprise Performance Management System User Security Administration Guide (in lingua inglese).

    All'amministratore funzionale devono essere assegnati i ruoli elencati di seguito.

    • Ruolo Amministratore LCM di Shared Services

    • Ruolo Amministratore e Gestione assegnazione ruoli di ogni componente di EPM System distribuito

Amministratori funzionali

L'amministrazione funzionale è un utente aziendale esperto di EPM System. In genere, questo utente è definito nella directory aziendale configurata in Shared Services come directory di utenti esterni.

L'amministratore funzionale esegue task di amministrazione di EPM System quali la creazione di altri amministratori funzionali, l'impostazione dell'amministrazione delegata, la creazione di applicazioni e artifact con relativa assegnazione ruoli, nonché la configurazione dell'auditing di EPM System. I task eseguiti dagli amministratori funzionali sono descritti nel manuale Oracle Enterprise Performance Management System User Security Administration Guide (in lingua inglese).

Gruppi

I gruppi sono contenitori di utenti o di altri gruppi. È possibile creare e gestire gruppi della directory nativa da Shared Services Console. I gruppi di tutte le directory utente configurate sono visualizzati in Shared Services Console. È possibile assegnare ruoli a questi gruppi per concedere autorizzazioni per i prodotti EPM System registrati con Shared Services.