设置(基于角色的授权)

Oracle Enterprise Performance Management System 安全性使用角色这一概念来确定用户对应用程序的访问权限。角色是确定用户能否访问应用程序功能的权限。某些 EPM System 组件会强制实施对象级 ACL,以进一步细化用户对其对象(例如报表和成员)的访问权限。

每个 EPM System 组件都提供了若干针对不同业务需求定制的默认角色。属于 EPM System 组件的每个应用程序都继承了这些角色。已注册到 Oracle Hyperion Shared Services 的应用程序中的预定义角色均可从 Oracle Hyperion Shared Services Console 获得。您还可以创建另外一些聚合了默认角色的角色,以满足特定需求。这些角色可用于设置。向属于 EPM System 应用程序及其资源的用户和组授予特定角色的过程称为设置

Native Directory 和已配置的用户目录是设置过程中使用的用户和组信息的源。您可以在 Shared Services Console 中浏览和设置所有配置的用户目录中的用户和组。您还可以使用在设置过程中在 Native Directory 中创建的特定于应用程序的聚合角色。

授权过程如下图概述:


授权过程的全面概述

  1. 对用户进行身份验证后,EPM System 组件将查询用户目录以确定用户所在的组。

  2. EPM System 组件使用组和用户信息从 Shared Services 中检索用户的设置数据。该组件使用此数据来确定用户可访问哪些资源。

    为每个产品完成特定于产品的设置任务,例如,设置特定于产品的访问控制。将结合此数据和设置数据来确定用户的产品访问权限。

EPM System 产品基于角色的设置使用这些概念。

角色

角色是一种结构(类似于访问控制列表),它定义了授予用户和组的访问权限,使其可以在 EPM System 资源上执行各项功能。角色由资源或资源类型(用户可访问的内容,例如报表)与用户可对资源执行的操作(例如,查看和编辑)组合而成。

EPM System 应用程序资源的访问受到限制。只有在为用户或用户所属的组分配了提供访问权限的角色之后,用户才能访问这些资源。利用基于角色的访问限制,管理员可以控制和管理应用程序访问。

全局角色

全局角色是跨多个产品的 Shared Services 角色,使用户可以跨多个 EPM System 产品执行某些任务。例如,Shared Services 管理员可以为所有 EPM System 应用程序设置用户。

预定义角色

预定义角色是 EPM System 产品中的内置角色。不能删除它们。属于 EPM System 产品的每个应用程序实例都继承了该产品的预定义角色。对于每个应用程序,这些角色在应用程序创建时就注册到 Shared Services 中。

聚合角色

聚合角色,亦称自定义角色,它聚合属于一个应用程序的多个预定义角色。聚合角色可以包含其他聚合角色。例如,Shared Services 管理员或设置管理员可以创建一个聚合角色,其中同时包含 Oracle Hyperion Planning 应用程序的“规划者”和“查看用户”角色。聚合角色可以简化包括若干精细角色的应用程序的管理。聚合角色中可以包括全局 Shared Services 角色。您无法创建跨多个应用程序或产品的聚合角色。

用户

用户目录存储有关可访问 EPM System 产品的用户的信息。身份验证和授权过程都使用用户信息。您只能从 Shared Services Console 中创建和管理 Native Directory 用户。

可以在 Shared Services Console 中查看所有已配置的用户目录中的用户。可以单独设置这些用户,以便授予其对 Shared Services 中注册的 EPM System 应用程序的访问权限。Oracle 不建议分别设置各个用户。

默认 EPM System 管理员

部署过程中,会在 Native Directory 中创建一个管理员帐户,默认名称为 admin。这是权限最高的 EPM System 帐户,只应用来设置系统管理员,后者是负责管理 EPM System 安全性和环境的信息技术专家。

EPM System 管理员的用户名和密码在 Oracle Hyperion Foundation Services 部署期间设置。由于此帐户不受企业帐户密码策略限制,因此 Oracle 建议在创建系统管理员帐户后禁用它。

通常,默认 EPM System 管理员帐户用于执行以下任务:

  • 将企业目录配置为外部用户目录。请参阅“配置用户目录”。

  • 为企业信息技术专家设置 Shared Services 管理员角色,以创建系统管理员帐户。请参阅《Oracle Enterprise Performance Management System 用户安全管理指南》中的“设置用户和组”。

系统管理员

系统管理员通常是对 EPM System 部署中涉及的所有服务器均具有读取、写入和执行访问权限的企业信息技术专家。

通常,系统管理员执行以下任务:

  • 禁用默认 EPM System 管理员帐户。

  • 至少创建一个功能管理员。

  • 使用 Shared Services ConsoleEPM System 设置安全配置。

  • (可选)将用户目录配置为外部用户目录。

  • 通过定期运行日志分析工具来监控 EPM System

    本指南中介绍了功能管理员执行的任务。

创建功能管理员的过程如下:

  • 将企业目录配置为外部用户目录。请参阅“配置用户目录”。

  • 为用户或组设置所需的角色,以创建功能管理员。请参阅《Oracle Enterprise Performance Management System 用户安全管理指南》中的“设置用户和组”。

    必须为功能管理员设置以下角色:

    • Shared Services 的 LCM 管理员角色

    • 部署的每个 EPM System 组件的管理员和设置管理员角色

功能管理员

功能管理员是一个企业用户,并且是 EPM System 专家。该用户通常在企业目录中定义,企业目录在 Shared Services 中被配置为外部用户目录。

功能管理员执行 EPM System 管理任务,例如,创建其他功能管理员、设置授权管理、创建和设置应用程序及对象,以及设置 EPM System 审核。《Oracle Enterprise Performance Management System 用户安全管理指南》中介绍了功能管理员执行的任务。

组是包含用户或其他组的容器。您可以从 Shared Services Console 中创建和管理 Native Directory 组。所有已配置用户目录中的组都显示在 Shared Services Console 中。您可以设置这些组,以便授予针对向 Shared Services 注册的 EPM System 产品的权限。