提供 (角色式授權)

Oracle Enterprise Performance Management System 安全性利用角色的概念,來決定使用者的應用程式存取權限。角色是決定使用者對於應用程式功能存取的權限,某些 EPM System 元件會強制執行物件層級的 ACL,以便進一步限制使用者對其人工因素 (例如報表和成員) 的存取。

每項 EPM System 元件皆會針對各種不同的業務需求,量身訂做數種預設角色。屬於某個 EPM System 元件的每個應用程式,都會繼承這些角色。在 Oracle Hyperion Shared Services 中登錄之應用程式的預先定義角色,都會出現在 Oracle Hyperion Shared Services Console 中。您也可以根據特定需求建立其他角色來彙總預設角色。這些角色會用於提供。將特定角色授予 EPM System 應用程式及其資源所屬使用者與群組的程序,即稱為提供

原生目錄和已設定使用者目錄是提供程序的使用者和群組資訊來源。您可以在 Shared Services Console 中,巡覽並提供所有經過設定之使用者目錄下的使用者與群組。您也可以在提供程序中,使用建立在原生目錄中的應用程式專有彙總角色。

下列圖例是授權程序的概觀:


授權程序的全面概觀

  1. 當使用者通過驗證之後,EPM System 元件會向使用者目錄查詢,以判斷該使用者的群組。

  2. EPM System 元件會使用群組和使用者資訊,從 Shared Services 擷取使用者的提供資料。元件會利用此資料,判斷使用者能存取哪些資源。

    系統會分別完成每個產品的產品特有提供工作,例如設定產品專有的存取控制。此資料會與提供資料合併,用於判別使用者的產品存取權。

EPM System 產品即是利用這些概念依角色進行提供。

角色

角色是一種構造 (類似於存取控制清單),可定義授予使用者與群組的存取權限,讓其對 EPM System 資源執行功能。角色是資源或資源類型 (使用者能存取的內容,例如報表) 與使用者可對資源執行之動作 (例如檢視及編輯) 的組合。

EPM System 應用程式資源的存取是受到限制的。而只有該使用者或該使用者所屬的群組獲得提供該資源存取權的角色之後,該使用者才能夠存取這些資源。依角色限制存取可讓管理員控制及管理應用程式存取權。

全域角色

全域角色 (能跨多個產品使用的 Shared Services 角色) 可讓使用者能夠跨 EPM System 產品執行特定工作。例如,Shared Services 管理員可以為所有 EPM System 應用程式提供使用者。

預先定義的角色

預先定義的角色是 EPM System 產品的內建角色。您無法刪除這些角色。屬於某個 EPM System 產品的每個應用程式例項都會繼承該產品所有的預先定義角色。當您建立應用程式時,會針對每個應用程式透過 Shared Services 來登錄這些角色。

彙總角色

彙總角色 (又稱為自訂角色) 可彙總應用程式中的多個產品角色。彙總角色可包含其他彙總角色。例如,Shared Services 管理員或佈建管理員可以建立一個彙總角色,結合了某個 Oracle Hyperion Planning 應用程式的「計劃人員」與「檢視使用者」角色。彙總角色可簡化涵括數個精細角色之產品的管理。全域 Shared Services 角色也可包含在彙總角色中。您無法建立跨應用程式或產品的彙總角色。

使用者

使用者目錄可儲存能存取 EPM System 產品之使用者的相關資訊。驗證及授權程序皆會使用使用者資訊。您只能從 Shared Services Console 建立及管理原生目錄使用者。

Shared Services Console 會顯示所有已設定之使用者目錄中的使用者。這些使用者可個別提供,以授予已在 Shared Services 上登錄之 EPM System 應用程式的存取權。Oracle 不建議提供個別使用者。

預設的 EPM System 管理員

管理員帳戶 (預設名稱為 admin) 是在部署期間於原生目錄中建立的。這是權限最高的 EPM System 帳戶,只應該用來設定系統管理員,也就是受指派來管理 EPM System 安全性和環境的資訊技術專家。

EPM System 管理員的使用者名稱和密碼,是在 Oracle Hyperion Foundation Services 部署期間設定的。由於這個帳戶不受公司密碼原則的限制,Oracle 建議您,請在建立系統管理員帳戶之後停用這個帳戶。

預設的 EPM System 管理員帳戶通常會用來執行下列工作:

  • 將公司目錄設定成外部使用者目錄。請參閱設定使用者目錄

  • 建立系統管理員,方法是將 Shared Services 管理員角色提供給某位公司資訊技術專家。請參閱 Oracle Enterprise Performance Management System User Security 管理手冊中的「提供使用者與群組」。

系統管理員

系統管理員通常是公司的資訊技術專家,負責讀取、寫入及執行與 EPM System 部署作業相關之所有伺服器的存取權限。

系統管理員通常會執行下列工作:

  • 停用預設的 EPM System 管理員帳戶。

  • 至少建立一個功能管理員。

  • 使用 Shared Services Console 建立 EPM System 的安全性組態。

  • (選用) 將使用者目錄設定成外部使用者目錄。

  • 定期執行 Log Analysis 工具來監控 EPM System

    我們已經在本指南中說明功能管理員要執行的工作。

建立功能管理員的程序。

  • 將公司目錄設定成外部使用者目錄。請參閱 設定使用者目錄

  • 將建立功能管理員所需的角色提供給某個使用者或群組。請參閱 Oracle Enterprise Performance Management System User Security 管理手冊中的「提供使用者與群組」。

    您必須將下列角色提供給功能管理員:

    • Shared Services 的 LCM 管理員

    • 每個已部署 EPM System 元件的管理員和佈建管理員角色

功能管理員

功能管理員是身為 EPM System 專家的公司使用者。此使用者通常會在 Shared Services 中所設定之公司目錄中定義為外部使用者目錄。

功能管理員會執行 EPM System 管理工作,例如建立其他功能管理員、設定委派管理員、建立及提供應用程式和物件,以及設定 EPM System 稽核機制。我們已經在 Oracle Enterprise Performance Management System User Security 管理手冊中說明功能管理員要執行的工作。

群組

群組是使用者或其他群組的容器。您可以從 Shared Services Console 建立及管理原生目錄群組。Shared Services Console 中會顯示所有已設定之使用者目錄下的群組。您可以提供這些群組,以授予已在 Shared Services 上登錄之 EPM System 產品的權限。