Sécurité de niveau données

La troisième couche de sécurité se situe au niveau des données, niveau auquel les autorisations d'accès aux données peuvent être accordées aux utilisateurs. La sécurité de niveau données peut être définie de la manière suivante :

• Vous pouvez adopter une approche globale et accorder les accès dimension par dimension, soit en modifiant l'accès par défaut à une dimension de AUCUN à LIRE, soit en accordant l'accès à une dimension particulière à des utilisateurs et/ou des groupes.

• A un niveau granulaire, vous pouvez créer des autorisations d'accès aux données pour accorder l'accès à certaines parties des données d'un modèle. Cette autorisation d'accès peut s'appliquer à des dimensions particulières ou à des combinaisons/croisements de dimensions.

Accès dimension par dimension

Vous pouvez accorder un accès dimension par dimension aux utilisateurs. Lorsque vous créez la dimension, vous pouvez modifier la valeur d'accès par défaut AUCUN en LIRE de sorte que tous les utilisateurs puissent la voir.

L'inconvénient majeur de cette solution au cas par cas réside dans le fait que, très souvent, vous voulez restreindre l'accès à un niveau de granularité plus fin. Prenons l'exemple d'une personne de votre société en charge du budget des ressources humaines. A ce titre, elle a besoin d'un accès à tous les comptes de charges : salaires, avantages sociaux, fournitures de bureau, déplacements, loisirs, etc. pour l'ensemble de la société. Cette même personne RH est également responsable du compte d'avantages sociaux de chaque centre de coûts. Un accès dimension par dimension vous obligerait à lui donner un droit d'accès à tous les centres de coûts, ce qui n'est pas souhaitable. Idéalement, vous souhaitez que chaque utilisateur n'ait accès qu'à son propre centre de coûts, et non à l'ensemble des centres de coûts, et qu'au seul compte dont il a besoin, tel que "Avantages sociaux". Une autorisation d'accès aux données répondra à ce besoin et permettra de donner un accès aux croisements des dimensions.

Créer des autorisations d'accès aux données

Une autorisation d'accès aux données permet de spécifier les parties des données du modèle auxquelles les utilisateurs et/ou les groupes pourront accéder. Lorsque l'icône correspondante est affichée, vous pouvez créer et gérer les autorisations d'accès aux données. Pour créer une autorisation d'accès aux données, sélectionnez un modèle et spécifiez, pour chaque dimension, l'accès que vous réservez aux utilisateurs et aux groupes membres. Vous hiérarchisez chaque ligne, la ligne 1 étant la couche de base et chacune des lignes suivantes affinant l'accès donné.

Les lignes d'une autorisation d'accès aux données déterminent le résultat en termes de sécurité (autorisations effectives). La ligne supérieure (couche de base) est évaluée en premier. Voici quelques recommandations :

• Appliquez les règles générales dans la plupart des cas, puis créez des exceptions. Vous pouvez accorder l'accès le plus élevé à la couche de base ou, à l'inverse, donner un accès restrictif à la couche de base, puis élargir les accès.

• Essayez de sécuriser les autorisations d'accès aux données en limitant le nombre d'étapes de manière à en faciliter la maintenance.

Lors de la création d'autorisations d'accès aux données, il est essentiel de comprendre l'incidence de l'ordre des lignes sur les autorisations effectives afin d'éviter de créer des règles conflictuelles entre les lignes. En cas de conflit, les règles d'accès les moins restrictives prévalent. Reportez-vous à Paramétrer les autorisations d'accès aux données pour plus de détails sur les règles et la logique appliquée à la création des autorisations d'accès aux données dans Oracle Narrative Reporting Cloud Service. Ce chapitre inclut des exemples d'autorisations d'accès aux données pour une meilleure interprétation.