Provisionamento (Autorização Baseada em Função)

A segurança do Oracle Enterprise Performance Management System determina o acesso do usuário aos aplicativos usando o conceito de funções. As funções são permissões que determinam o acesso do usuário a funções de aplicativo. Alguns componentes do EPM System impõem as ACLs no nível do objeto para refinar ainda mais o acesso do usuário aos seus artefatos, como relatórios e membros.

Cada componente do EPM System possui várias funções predefinidas adequadas a várias necessidades de negócios. Cada aplicativo que pertence a um componente do EPM System herda essa funções. As funções predefinidas de aplicativos registrados no Oracle Hyperion Shared Services estão disponíveis no Oracle Hyperion Shared Services Console. Também é possível criar funções adicionais que agreguem as funções padrão para atender a requisitos específicos. Essas funções são usadas no provisionamento. O processo de conceder funções específicas pertencentes a aplicativos do EPM System e os seus recursos a usuários e grupos é denominado provisionamento.

O Native Directory e os diretórios de usuários configurados são origens de informações de usuários e grupos no processo de provisionamento. Você pode navegar e provisionar usuários e grupos de todos os diretórios de usuário configurados a partir do Shared Services Console. Também possível usar as funções agregadas específicas do aplicativo criadas no Native Directory no processo de provisionamento.

Uma visão geral ilustrada do processo de autorização:


Uma visão geral abrangente do processo de autorização

  1. Depois que um usuário é autenticado, o componente do EPM System consulta os diretórios de usuários para determinar os grupos do usuário.

  2. O componente do EPM System usa as informações de usuário e do grupo para recuperar os dados de provisionamento do usuário no Shared Services. O componente usa esses dados para determinar quais recursos um usuário pode acessar.

    As tarefas de provisionamento específicas do produto, como definir o controle de acesso específico do produto, são concluídas para cada produto. Estes dados são combinados com os dados de provisionamento para determinar o acesso do produto para os usuários.

O provisionamento com base na função dos produtos EPM System usa esses conceitos.

Funções

Uma função é uma construção (semelhante a uma lista de controle de acesso) que define as permissões de acesso concedidas a usuários e grupos para executar funções nos recursos do EPM System. Uma função é uma combinação de recursos ou tipos de recurso (o que os usuários podem acessar; por exemplo, um relatório) e ações que os usuários podem executar no recurso (por exemplo, exibir e editar).

O acesso aos recursos de aplicativo do EPM System é restrito. Os usuários podem acessá-los somente depois que uma função que fornece acesso completo é atribuída ao usuário ou grupo ao qual o usuário pertence. As restrições de acesso com base nas funções permitem que os administradores controlem e gerenciem acesso ao aplicativo.

Funções Globais

Funções globais, que são funções do Shared Services que abrangem diversos produtos, permitem que usuários realizem certas tarefas nos produtos EPM System. Por exemplo, o Administrador do Shared Services pode provisionar usuários para todos os aplicativos do EPM System.

Funções Predefinidas

As funções predefinidas são funções internas nos produtos EPM System. Não é possível excluí-las. Cada instância do aplicativo que pertence a um produto EPM System herda todas as funções predefinidas do produto. Essas funções, para cada aplicativo, são registradas no Shared Services quando você cria o aplicativo.

Funções Agregadas

As funções agregadas, também conhecidas como funções personalizadas, agregam várias funções predefinidas pertencentes a um aplicativo. Uma função agregada pode conter outras funções agregadas. Por exemplo, um Gerente de Provisionamento ou Administrador do Shared Services pode criar uma função agregada que combine as funções Planejador e Exibir Usuário de um aplicativo do Oracle Hyperion Planning. A agregação de funções pode simplificar a administração de aplicativos que tenham muitas funções granulares. As funções globais do Shared Services podem ser incluídas em funções agregadas. Não é possível criar uma função agregada que abarque aplicativos ou produtos.

Usuários

Os diretórios de usuários armazenam informações sobre os usuários que podem acessar os produtos do EPM System. Os processos de autenticação e de autorização utilizam as informações do usuário. Você pode criar e gerenciar os usuários do Native Directory somente no Shared Services Console.

Os usuários de todos os diretórios de usuário configurados estão visíveis no Shared Services Console. Esses usuários podem ser provisionados individualmente para conceder diretos de acesso nos aplicativos do EPM System registrados no Shared Services. A Oracle não recomenda o provisionamento de usuários individuais.

Administrador Padrão do EPM System

Uma conta de administrador, com o nome padrão de admin, é criada no Native Directory durante o processo de implantação. Essa é a conta mais poderosa do EPM System e deverá ser usada somente para configurar um Administrador do Sistema, que é o especialista da Tecnologia da Informação com a tarefa de gerenciar a segurança e o ambiente do EPM System.

O nome de usuário e a senha do Administrador do EPM System são definidos durante a implantação do Oracle Hyperion Foundation Services. Como essa conta não pode ser sujeitada a políticas de senha de conta corporativa, a Oracle recomenda que ela seja desativada após a criação de uma conta do Administrador de Sistema.

De modo geral, a conta do Administrador padrão do EPM System é usada para executar estas tarefas:

  • Configure o diretório corporativo como um diretório de usuários externo. Consulte Configuração de Diretórios de Usuário.

  • Crie uma conta de Administrador de Sistema provisionando um especialista corporativo em Tecnologia da Informação com a função de Administrador do Shared Services. Consulte "Provisionamento de Usuários e Grupos" no Guia de Administração da Segurança de Usuário do Sistema Oracle Enterprise Performance Management.

Administrador do Sistema

O Administrador de Sistema normalmente é um especialista corporativo em Tecnologia da Informação que tem direitos de acesso de leitura, gravação e execução para todos os servidores envolvidos em uma implantação do EPM System.

De modo geral, o Administrador de Sistema executa estas tarefas:

  • Desabilitar a conta do Administrador do EPM System padrão.

  • Criar pelo menos um Administrador Funcional.

  • Definir a configuração de segurança para o EPM System usando o Shared Services Console.

  • Se desejar, configurar diretórios de usuários como um diretório de usuários externo.

  • Monitorar o EPM System executando periodicamente a ferramenta Análise de Log.

    As tarefas que os Administradores Funcionais executam são descritas neste guia.

Procedimentos para criar um Administrador Funcional:

  • Configure o diretório corporativo como um diretório de usuários externo. Consulte Configuração de Diretórios de Usuário.

  • Provisione um usuário ou grupo com as funções necessárias para criar um Administrador Funcional. Consulte "Provisionamento de Usuários e Grupos" no Guia de Administração da Segurança de Usuário do Sistema Oracle Enterprise Performance Management.

    O Administrador Funcional deve ser provisionado com estas funções:

    • Função de Administrador do LCM do Shared Services

    • Função de Administrador e Gerente de Provisionamento de cada componente do EPM System implantado

Administradores Funcionais

O Administrador Funcional é um usuário corporativo que é um especialista do EPM System. Normalmente, esse usuário é definido no diretório corporativo que é configurado no Shared Services como um diretório de usuários externos.

O Administrador Funcional executa tarefas de administração do EPM System, como criar outros Administradores Funcionais, configurar a administração delegada, criar e provisionar aplicativos e artefatos, e configurar a auditoria do EPM System. As tarefas que os Administradores Funcionais executam são descritas no Guia de Administração da Segurança de Usuário do Sistema Oracle Enterprise Performance Management.

Grupos

Grupos são recipientes de usuários ou outros grupos. Você pode criar e gerenciar grupos do Native Directory no Shared Services Console. Grupos de todos os diretórios configurados de usuários são exibidos no Shared Services Console. Você pode provisionar estes grupos para conceder permissões aos produtos EPM System registrados com o Shared Services.