Hinweise zum Design von Zugriffsberechtigungen

Das effektive Einrichten von Zugriffsberechtigungen ist für sicheren Zugriff und effizientes Management wichtig.

Folgen Sie diesen Best Practices zum Design.

Zugriffsberechtigungen einrichten

Mit Zugriffsberechtigungen wird festgelegt, welche Berechtigungen ein Benutzer hat, nachdem das Produkt gestartet wurde. Meist werden Gruppen zum Organisieren der Benutzer eingerichtet. Per Definition ist eine Benutzergruppe eine Gruppe von Benutzern mit ähnlichen Zugriffsberechtigungen.

Sie können Gruppen und einzelnen Benutzern Zugriffsberechtigungen für diese Anwendungselemente zuweisen:

  • Szenarios

  • Versionen

  • Konten

  • Entitys

  • Elementen von Custom-Dimensionen

  • Formulare

  • Geschäftsregeln

Benutzer können folgenden Gruppen angehören:

  • Service Administrator

  • Poweruser

  • Benutzer

  • Leseberechtigter

Best Practices:

  • Ändern Sie für Dimensionen, die standardmäßig gesichert sind, die Zugriffsberechtigungen nach Bedarf.

  • Weisen Sie Anwendungselementen wie z.B. Dimensionselementen, Formularen und Regeln Zugriffsberechtigungen zu. Benutzer können nur diejenigen Anwendungselemente anzeigen oder verwenden, auf die sie Zugriff haben.

Benutzer und Gruppen einrichten

Die Benutzer Ihres Unternehmens müssen zum Oracle Identity Management-System hinzugefügt werden, bevor sie Berechtigungen zum Zugriff auf Elemente in Ihrer Anwendung erhalten. Mit Zugriffsberechtigungen wird festgelegt, welche Berechtigungen ein Benutzer hat, nachdem das Produkt gestartet wurde.

Per Definition ist eine Benutzergruppe eine Gruppe von Benutzern mit ähnlichen Zugriffsberechtigungen. Die Verwendung von Gruppen als einer Methode zum Organisieren von Benutzern und zum Zuweisen von Zugriffsberechtigungen ist eine Best Practice.

Benutzer hinzufügen

Benutzer müssen zu Ihrer Umgebung hinzugefügt werden, ihnen müssen Berechtigungen zugewiesen werden, und sie müssen Zugriff auf die Anwendung erhalten.

Benutzerrollen werden als einer der folgenden Typen definiert:

  • Serviceadministrator: Erstellt und verwaltet Anwendungen einschließlich Dimensionen, Formularen, Berechnungen usw. Der Serviceadministrator verwaltet Zugriffsberechtigungen und startet den Budgetprozess.

  • Poweruser: Erstellt und verwaltet Formulare, Oracle Smart View for Office-Arbeitsblätter und Financial Reporting-Berichte. Kann alle Benutzeraufgaben ausführen.

  • Benutzer: Gibt Pläne ein und leitet sie zur Genehmigung weiter, führt Geschäftsregeln aus, verwendet von anderen Personen erstellte Berichte und zeigt Aufgabenlisten an und verwendet sie. Nutzt Smart View, um Daten einzugeben und Ad-hoc-Analysen durchzuführen.

  • Leseberechtigter: Zeigt Daten über Eingabeformulare und alle Datenzugriffstools, für die sie lizensiert sind, an und analysiert sie. Leseberechtigte können keine Daten in der Anwendung ändern. Typische Anzeigebenutzer sind Mitglieder der Leitung, die während und am Ende des Budgetprozesses Geschäftspläne einsehen möchten.

Benutzer, Poweruser und Leseberechtigte können basierend auf den vom Serviceadministrator zugewiesenen Berechtigungen auf Formulare, Aufgabenlisten und Geschäftsregeln zugreifen.

Gruppen erstellen

Es wird dringend empfohlen, beim Zuweisen von Zugriffsberechtigungen zu Benutzern Gruppen zu verwenden. Das Gruppieren von ähnlichen Benutzern erleichtert die Sicherheitswartung auf laufender Basis. Wenn Benutzer zu Gruppen hinzugefügt werden, übernehmen sie die Zugriffsberechtigungen der Gruppe. Wenn Sie Gruppenzugriffsberechtigungen auf Elemente wie z.B. Dimensionselemente, Formulare und Aufgabenlisten zuweisen, müssen Sie diese Zugriffsberechtigungen nicht jedem Benutzer einzeln zuweisen.

Best Practices:

  • Wenn ein einzelner Benutzer einer Gruppe zugewiesen wird und die Zugriffsberechtigungen des Benutzers zu denen der Gruppe in Widerspruch stehen, haben die Berechtigungen des einzelnen Benutzers Vorrang.

  • Die Verwendung von Gruppen für mehrere Benutzer mit ähnlichen Zugriffsberechtigungen sollte vor der Implementierung des Benutzerzugriffs gut definiert werden.

  • Einzelberechtigungen haben Vorrang vor Gruppenberechtigungen.

  • Wenn eine Einzelperson mehreren Gruppen zugeordnet ist, hat die Gruppe mit der höchsten Zugriffsberechtigung Vorrang.

Einem Benutzer direkt zugewiesene Zugriffsberechtigungen haben Vorrang vor Zugriffsberechtigungen, die aus Gruppen übernommen werden, zu denen der Benutzer gehört. Beispiel: Wenn Sie von einer Gruppe die Leseberechtigung für einen Plan übernommen haben, aber Ihnen direkt der Schreibzugriff auf den Plan zugewiesen wird, haben Sie Schreibzugriff auf den Plan.

Benutzer Gruppen zuordnen

Nutzen Sie als Best Practice Gruppen als eine Möglichkeit, den Wartungsaufwand zu reduzieren und Benutzern ähnliche Zugriffsrechte zuzuweisen. Gewähren Sie Benutzern Zugriff auf die entsprechenden Gruppen.

Zugriff auf Dimensionen zuweisen

Damit Benutzer Daten lesen oder schreiben können, benötigen Sie Zugriffsberechtigungen für die folgenden Dimensionen:

  • Account

  • Entity

  • Scenario

  • Version

Wenn die Sicherheitsfunktion für Custom-Dimensionen aktiviert ist, müssen Sie sie auch für Benutzer für diese Dimensionen zuweisen. Ändern Sie für Dimensionen, die standardmäßig gesichert sind, den Sicherheitszugriff nach Bedarf.

Zugriff auf die Account-Dimension zuweisen

Gewähren Sie Benutzern Lese- und Schreibzugriff nur für die Konten, die sie anzeigen dürfen. Sie können die Zugriffsrechte "Lesen", "Schreiben", "Keine" oder "Anzeigen" zuweisen.

Best Practices:

  • Beziehungsfunktionen sollten ebenfalls nach Möglichkeit verwendet werden, um den laufenden Sicherheitswartungsaufwand zu reduzieren. Die Beziehungsfunktionen sind: Element, Untergeordnete Elemente, IUntergeordnete Elemente, Abhängiges Element und IAbhängiges Element. Wenn Sie z.B. einer Gruppe Schreibzugriff auf die abhängigen Elemente von "Nettoeinkommen" gewähren, haben alle Benutzer dieser Gruppe Schreibzugriff auf alle Konten, die abhängige Elemente von "Nettoeinkommen" sind. So müssen Sie den Zugriff nicht auf jedes Konto einzeln gewähren.

  • Um alle Vorteile von Vorrangs- und Übernahmeregeln zu nutzen, verwenden Sie eine ausnahmebasierte Methode zum Verwalten der Sicherheit. Die primäre Zuweisung von Sicherheitsfunktionen sollte nach Gruppe und Beziehung erfolgen. Weisen Sie Elementen auf übergeordneter Ebene Gruppenrechte zu, und verwenden Sie Beziehungen, um die Zuweisungen auf die untergeordneten oder abhängigen Elemente zu übertragen. Weisen Sie in Ausnahmefällen Einzelbenutzerrechte auf untergeordnete Elemente zu.

Zugriff auf die Entity-Dimension zuweisen

Gewähren Sie Benutzern Lese- und Schreibzugriff nur für die Entitys, die sie anzeigen dürfen. Sie können die Zugriffsrechte "Lesen", "Schreiben", "Keine" oder "Anzeigen" zuweisen.

Zugriff auf die Scenario-Dimension zuweisen

Der Zugriff auf "Scenario" ist in der Regel auf "Lesen" oder "Schreiben" gesetzt. Beispiel: Sie möchten Lesezugriff auf die Ist- und Abweichungsszenarios und Schreibzugriff auf "Plan" und "Prognose" zuweisen.

Zugriff auf die Version-Dimension zuweisen

Der Zugriff auf "Version" ist in der Regel auf "Lesen" oder "Schreiben" gesetzt. Beispiel: Sie möchten Lesezugriff auf die endgültige Version und Schreibzugriff auf die Arbeitsversion zuweisen.

Zugriff auf Custom-Dimensionen zuweisen

Wenn die Sicherheitsfunktion für eine Custom-Dimension aktiviert ist, müssen Sie die Sicherheitsfunktion auch der Dimension zuweisen, damit Benutzer darauf zugreifen können.

Zugriff auf Formulare zuweisen

Damit Benutzer Formulare öffnen können, müssen ihnen Zugriffsrechte zugewiesen werden.

Benutzer, denen Zugriff auf einen Formularordner zugewiesen wurde, können auf die Formulare in diesem Ordner zugreifen, sofern ihnen nicht näher definierter Zugriff zugewiesen wurde.

Benutzer und Poweruser können Daten nur in Formularen anzeigen oder in Formulare eingeben, auf die sie Zugriff haben. Sie können nur mit Elementen arbeiten, auf die sie Zugriff haben.

Tipps:

  • Um das Zuweisen de Zugriffs auf Formulare zu vereinfachen, organisieren Sie Formulare in Ordnern und weisen Sie Zugriff auf der Ordnerebene statt auf der Ebene einzelner Formulare zu. Zugriffsberechtigungen können auf "Lesen", "Schreiben" oder "Keine" gesetzt werden.

  • Wenn Sie Zugriff auf einen Ordner zuweisen, übernehmen alle Unterordner dieses Ordners diesen Zugriff.

  • Wenn Sie näher definierten Zugriff (z.B. "Keine" oder "Schreiben") auf einen Formularordner zuweisen, hat dieser Zugriff Vorrang vor den Zugriffsberechtigungen für den übergeordneten Ordner. Beispiel: Wenn ein Benutzer Schreibzugriff auf Ordner1 hat, der Ordner2 enthält, auf den der Benutzer keinen Zugriff hat, kann der Benutzer Ordner1 öffnen, sieht jedoch Ordner2 nicht.

  • Wenn ein Benutzer keinen Zugriff auf einen Formularordner "Ordner1" hat, der das Formular "Formular1" enthält, für das der Benutzer Schreibzugriff hat, kann der Benutzer Ordner1 und Formular1 anzeigen.

Zugriff auf Geschäftsregeln zuweisen

Damit Benutzer Geschäftsregeln starten können, müssen ihnen Zugriffsberechtigungen für die Regeln gewährt werden.

Als Best Practice wird empfohlen, Geschäftsregeln in Ordnern mit ähnlichem Benutzerzugriff zu organisieren, und die Sicherheitsfunktion auf die Ordner anzuwenden. Sie können auch Zugriffsrechte auf einzelne Geschäftsregeln gewähren. Dies ist jedoch etwas zeitaufwendiger.

Benutzer haben Startzugriff auf Calculation Manager-Geschäftsregeln in Ordnern, für die ihnen Zugriff zugewiesen wurde, sofern ihnen nicht näher definierter Zugriff zugewiesen wurde.

Zugriff auf Aufgabenlisten zuweisen

Damit sie durch die Anwendung navigieren können, muss Benutzern der Zugriff auf einzelne Aufgabenlisten zugewiesen werden.

Weisen Sie den Zugriff als Best Practice mithilfe von Gruppen zu. Diese Methode ist effizienter als das Anwenden des Zugriffs auf einzelne Aufgabenlisten.

Zugriff auf Berichte zuweisen

Benutzern muss der Zugriff auf einen Bericht zugewiesen werden, damit sie diesen verwenden können.

Wie bei anderen Artefakten wird empfohlen, Berichte in Ordnern zu organisieren und den Zugriff auf Ordnerebene zuzuweisen. Dadurch wird der für die Sicherheit erforderliche Wartungsaufwand eingeschränkt. Wenn Berichte zum Ordner hinzugefügt werden, übernehmen Sie die Zugriffsrechte vom Ordner.