EPM Systemセキュリティでは、役割のコンセプトを使用してアプリケーションへのユーザー・アクセスが判別されます。役割とは、アプリケーション機能へのユーザー・アクセスを判別する権限です。一部のEPM Systemコンポーネントでは、レポートおよびメンバーなどのアーティファクトへのユーザー・アクセスをさらに詳細に制限するために、オブジェクトレベルのACLが使用されます。
各EPM Systemコンポーネントでは、様々な業務上の必要に対して調整された数個のデフォルトの役割が提供されます。EPM Systemコンポーネントに属する各アプリケーションはこの役割を継承します。Shared Servicesに登録されたアプリケーションからの事前定義済役割は、Shared Services Consoleから使用可能です。特定の要件に合うように、デフォルトの役割を集約する追加の役割も作成できます。この役割はプロビジョニングに使用されます。EPM Systemアプリケーションおよびそのリソースに属する固有の役割をユーザーおよびグループに付与するプロセスをプロビジョニングと呼びます。
ネイティブ・ディレクトリおよび構成済ユーザー・ディレクトリは、プロビジョニング・プロセス用のユーザーとグループ情報のソースです。Shared Services Consoleから、すべての構成済ユーザー・ディレクトリのユーザーとグループを参照およびプロビジョニングできます。また、プロビジョニング・プロセスでは、ネイティブ・ディレクトリで作成されたアプリケーション固有の集約役割も使用できます。
承認プロセスの概要図:
ユーザーが認証されたら、EPM Systemコンポーネントにより、ユーザー・ディレクトリへの問合せが行われ、ユーザーのグループが判別されます。
EPM Systemコンポーネントにより、グループ情報とユーザー情報を使用して、Shared Servicesからユーザーのプロビジョニング・データが取得されます。このデータを使用してユーザーがアクセスできるリソースが決定されます。
製品固有のアクセス制御を設定するなどの製品固有のプロビジョニング・タスクは、各製品向けに完成されます。このデータは、プロビジョニング・データと組み合されて、ユーザーの製品アクセスを決定します。
EPM System製品の役割ベースのプロビジョニングでは、これらのコンセプトが使用されます。