Consideraciones sobre el diseño de permisos de acceso

Una configuración eficaz de los permisos de acceso es importante para asegurar un acceso seguro y una gestión eficiente.

Siga las mejores prácticas de diseño siguientes.

Configurar permisos de acceso

Los permisos de acceso determinan los privilegios del usuario después del lanzamiento de productos. A menudo se crean grupos como ayuda para organizar los usuarios. Por definición, un grupo de usuarios es un conjunto de usuarios con permisos de acceso similares.

Puede asignar permisos de acceso para grupos y usuarios individuales a estos elementos de la aplicación:

  • Escenarios

  • Versiones

  • Cuentas

  • Entidades

  • Miembros de dimensiones personalizadas

  • Formularios

  • Reglas de negocio

Los usuarios pueden estar en un grupo:

  • Administrador de servicio

  • Usuario avanzado

  • Usuario

  • Visor

Prácticas recomendadas:

  • En el caso de dimensiones protegidas de forma predeterminada, modifique los permisos de acceso según sea necesario.

  • Asigne permisos de acceso a elementos de la aplicación como miembros de dimensión, formularios y reglas. Los usuarios solo pueden ver o usar los elementos de la aplicación a los que tienen acceso.

Configurar usuarios y grupos

Es necesario agregar los usuarios de la compañía al sistema de Oracle Identity Management para poder obtener los permisos de acceso a cualquiera de los elementos de la aplicación. Los permisos de acceso determinan los privilegios del usuario después del lanzamiento de productos.

Por definición, un grupo de usuarios es un conjunto de usuarios con permisos de acceso similares. Usar grupos para organizar los usuarios y asignar permisos de acceso es una práctica recomendada.

Agregar usuarios

Es necesario agregar los usuarios al entorno, asignarles privilegios y otorgarles acceso a la aplicación.

Los roles de los usuarios se definen como uno de los tipos siguientes:

  • Administrador de servicio: crea y gestiona las aplicaciones, incluidas dimensiones, formularios, cálculos, etc. El administrador de servicio administra los permisos de acceso e inicia el proceso de presupuesto

  • Usuario avanzado: crea y mantiene formularios, hojas de trabajo de Oracle Smart View for Office e informes de Financial Reporting. Puede realizar todas las tareas del usuario.

  • Usuario: introduce y envía planes para su aprobación, ejecuta reglas de negocio, utiliza los informes que otros usuarios han creado y visualiza y utiliza listas de tareas. Aprovecha Smart View para introducir datos y realizar análisis ad hoc.

  • Visor: puede ver y analizar datos de formularios de datos y cualquier herramienta de acceso a datos para la que tenga licencia. Los visores no pueden modificar datos en la aplicación. Los usuarios de visualización típicos son ejecutivos que desean ver planes de negocio durante el proceso de presupuesto y al final de éste.

Los usuarios, usuarios avanzados y visores pueden acceder a formularios, listas de tareas y reglas de negocio de acuerdo con los permisos asignados por el administrador del servicio.

Crear grupos

Se recomienda usar grupos al asignar permisos de acceso a los usuarios. Contar con grupos de usuarios similares facilita el mantenimiento de seguridad de forma continuada. Al agregar usuarios a grupos, los usuarios heredan los permisos de acceso del grupo. Asignar permisos de acceso de grupo a elementos como miembros de dimensión, formularios y listas de tareas significa que no es necesario asignar dichos permisos de acceso individualmente a cada usuario.

Prácticas recomendadas:

  • Si un usuario individual está asignado a un grupo y los permisos de acceso del usuario individual entran en conflicto con los del grupo, los permisos de acceso del usuario individual tienen prioridad.

  • El uso de grupos para conjuntos de usuarios con permisos de acceso similares debe estar bien definido antes de implementar el acceso de los usuarios.

  • Los permisos individuales reemplazan a los permisos de grupo.

  • Si un individuo está asignado a varios grupos, el grupo con el permiso de acceso más alto tiene prioridad.

Los permisos de acceso asignados directamente a un usuario reemplazan los permisos de acceso heredados de los grupos a los que pertenece. Por ejemplo, si ha heredado acceso de lectura a Plan en un grupo, pero tiene asignado directamente acceso de escritura a Plan, obtiene acceso de escritura a Plan.

Asignar usuarios a grupos

Como práctica recomendada, utilice los grupos como un método para reducir el mantenimiento y asignar un acceso similar a los usuarios. Otorgue a los usuarios acceso a los grupos adecuados.

Asignar acceso a dimensiones

Para que los usuarios puedan leer o escribir datos, es necesario asignar permisos de acceso a las dimensiones siguientes:

  • Cuenta

  • Entidad

  • Escenario

  • Versión

Si la seguridad en dimensiones personalizadas está activada, también debe asignar a los usuarios seguridad en dichas dimensiones. En el caso de dimensiones protegidas de forma predeterminada, modifique el acceso de seguridad según sea necesario.

Asignar acceso a la dimensión Cuenta

Otorgue a los usuarios acceso de lectura o escritura solo a las cuentas que se les permite ver. Puede asignar los privilegios de acceso Lectura, Escritura, Ninguno o Visualizar.

Prácticas recomendadas:

  • Siempre que sea posible, también se deben utilizar las funciones de relación para reducir el mantenimiento de seguridad en curso. Las funciones de relación son: Miembro, Hijos, Hijos (incluir), Descendientes y Descendientes (incluir). Por ejemplo, asignar acceso de escritura a los descendientes de ingresos netos para un grupo permite a todos los usuarios de ese grupo tener acceso de escritura a todas las cuentas que son descendientes de ingresos netos. De esta forma, no es necesario asignar individualmente acceso a cada cuenta.

  • Para aprovechar todas las ventajas de las reglas de prioridad y herencia, utilice un método basado en excepciones para administrar la seguridad. La asignación principal de seguridad debe ser por grupo y relación. Asigne derechos de grupo a los miembros del nivel padre, y utilice las relaciones para transferir las asignaciones a los hijos o descendientes. Asigne derechos de usuario individual a los hijos de manera excepcional.

Asignar acceso a la dimensión Entidad

Otorgue a los usuarios acceso de lectura o escritura solo a las entidades que se les permite ver. Puede asignar los privilegios de acceso Lectura, Escritura, Ninguno o Visualizar.

Asignar acceso a la dimensión Escenario

El acceso a la dimensión Escenario se define normalmente como lectura o escritura. Por ejemplo, puede que desee asignar acceso de lectura a los escenarios Real y Varianza, y de escritura a los escenarios Plan y Previsión.

Asignar acceso a la dimensión Versión

El acceso a la dimensión Versión se define normalmente como lectura o escritura. Por ejemplo, puede que desee asignar acceso de lectura a la versión Final, y de escritura a la versión Activo.

Asignar acceso a dimensiones personalizadas

Si la seguridad en una dimensión personalizada está activada, debe asignar seguridad a la dimensión para que los usuarios tengan acceso.

Asignar acceso a formularios

Para que los usuarios puedan abrir formularios, se les debe asignar permisos de acceso.

Los usuarios que tienen asignado acceso a una carpeta de formularios podrán acceder a los formularios de esa carpeta, a menos que se les asignen derechos de acceso más específicos.

Los usuarios y los usuarios avanzados solo pueden ver o introducir datos en los formularios a los que tienen acceso. Solo pueden trabajar con miembros a los que tienen acceso.

Sugerencias:

  • Para simplificar la asignación de acceso a los formularios, organice los formularios en carpetas y asigne acceso a nivel de carpeta en lugar de hacerlo a nivel de formulario individual. Los permisos de acceso se pueden definir como Lectura, Escritura o Ninguno.

  • Al asignar acceso a una carpeta, todas las carpetas incluidas en ella heredarán dicho acceso.

  • Si asigna un acceso específico (por ejemplo, Ninguno o Escritura) a una carpeta de formularios, ese permiso de acceso tendrá prioridad sobre los permisos de acceso de su carpeta padre. Por ejemplo, si un usuario tiene el acceso Escritura en Folder1, la cual contiene Folder2, para la cual el usuario tiene el acceso Ninguno, el usuario podrá abrir Folder1 pero no verá Folder2.

  • Si un usuario tiene acceso Ninguno a una carpeta de formularios llamada Carpeta1, la cual contiene un formulario llamado Formulario1 a la cual el usuario tiene acceso Escritura, éste podrá ver tanto Carpeta1 como Formulario1.

Asignar acceso a reglas de negocio

Para que los usuarios puedan iniciar reglas de negocio, se les debe asignar permisos de acceso a las reglas.

Como práctica recomendada, organice las reglas de negocio en carpetas que tengan un acceso de usuario similares y aplique seguridad a las carpetas. También puede otorgar permisos de acceso a reglas de negocio individuales, aunque esto requiere más tiempo.

Los usuarios tendrán acceso de inicio a las reglas de negocio de Calculation Manager dentro de las carpetas a las que tengan asignado acceso, a menos que se les asignen derechos de acceso más específicos

Asignar acceso a listas de tareas

Para navegar por la aplicación, los usuarios deben tener asignado acceso a listas de tareas individuales.

Como práctica recomendada, asigne acceso mediante grupos. Esto es más eficaz que aplicar acceso a cada lista de tareas.

Asignar acceso a informes

Para que los usuarios puedan utilizar un informe, se les debe asignar acceso al mismo.

Al igual que con otros artefactos, se recomienda organizar los informes en carpetas y asignar acceso en el nivel de carpeta. Esto limita la cantidad de mantenimiento necesario de la seguridad. A medida que se agregan informes a la carpeta, el acceso se hereda de la carpeta.