Remarques concernant la conception d'autorisations d'accès

Il est important de configurer correctement les autorisations afin de garantir un accès sécurisé et une gestion efficace.

Suivez les meilleures pratiques en matière de conception indiquées ci-dessous.

Configuration des autorisations d'accès

Les autorisations d'accès déterminent les privilèges d'un utilisateur après le lancement du produit. La plupart du temps, des groupes sont établis pour faciliter l'organisation des utilisateurs. Par définition, un groupe d'utilisateurs est un ensemble d'utilisateurs bénéficiant d'autorisations d'accès similaires.

Vous pouvez affecter des autorisations d'accès pour les groupes et les utilisateurs individuels sur ces éléments de l'application :

  • Scénarios

  • Versions

  • Comptes

  • Entités

  • Membres de dimension libre

  • Formulaires

  • Règles métier

Les utilisateurs peuvent appartenir à un groupe :

  • Administrateur de service

  • Super utilisateur

  • Utilisateur

  • Visualiseur

Meilleures pratiques :

  • Pour les dimensions sécurisées par défaut, modifiez les autorisations d'accès selon les besoins.

  • Affectez des autorisations d'accès aux éléments des applications tels que les membres de dimension, les formulaires et les règles. Les utilisateurs peuvent afficher ou utiliser uniquement les éléments d'application auxquels ils ont accès.

Configuration d'utilisateurs et de groupes

Les utilisateurs de votre société doivent être ajoutés au système Oracle Identity Management avant d'obtenir des autorisations d'accès aux éléments de votre application. Les autorisations d'accès déterminent les privilèges d'un utilisateur après le lancement du produit.

Par définition, un groupe d'utilisateurs est un ensemble d'utilisateurs bénéficiant d'autorisations d'accès similaires. Il est recommandé d'utiliser des groupes pour organiser les utilisateurs et leur affecter des autorisations d'accès.

Ajout d'utilisateurs

Les utilisateurs doivent être ajoutés à votre environnement, recevoir des privilèges, puis obtenir l'accès à l'application.

Les rôles définis pour les utilisateurs doivent être de l'un des types suivants :

  • Administrateur de service : crée et gère les applications et leurs dimensions, formulaires, calculs, etc. L'administrateur de service gère les autorisations d'accès et lance le processus budgétaire.

  • Super utilisateur : crée et gère des formulaires, des feuilles de calcul Oracle Smart View for Office et des rapports Financial Reporting Peut effectuer toutes les tâches utilisateur.

  • Utilisateur : saisit et soumet les plans pour approbation, exécute les règles métier, utilise les rapports que d'autres ont créés, et affiche et utilise les listes de tâches. Utilise Smart View pour saisir des données et effectuer des analyses ad hoc.

  • Visualiseur : consulte et analyse les données via les formulaires et tout outil d'accès aux données pour lequel il dispose d'une licence Les visualiseurs ne peuvent modifier aucune donnée dans l'application. En général, les utilisateurs en lecture seule sont des cadres qui souhaitent consulter les plans d'affaires au cours et à la fin du processus budgétaire.

Les utilisateurs, les super utilisateurs et les visualiseurs peuvent accéder aux formulaires, aux listes de tâches et aux règles métier en fonction des autorisations affectées par l'administrateur de service.

Création de groupes

Il est vivement recommandé d'utiliser des groupes en vue d'attribuer des autorisations d'accès aux utilisateurs. En effet, le fait de disposer de groupes d'utilisateurs similaires facilite la maintenance de la sécurité en continu. Lorsque des utilisateurs sont ajoutés à des groupes, ils héritent de leurs autorisations d'accès. En affectant des autorisations d'accès de groupe sur des éléments tels que des membres de dimension, des formulaires et des listes de tâches, vous n'avez pas à affecter ces autorisations individuellement à chaque utilisateur.

Meilleures pratiques :

  • Si un utilisateur individuel est attribué à un groupe et que les autorisations d'accès de l'utilisateur entrent en conflit avec ceux du groupe, les autorisations d'accès de l'utilisateur prévalent.

  • L'utilisation de groupes pour des ensembles d'utilisateurs bénéficiant d'autorisations d'accès similaires doit être bien définie avant l'implémentation des accès des utilisateurs.

  • Les autorisations individuelles ont la priorité sur les autorisations de groupe.

  • Si un utilisateur appartient à plusieurs groupes, c'est le groupe bénéficiant de l'autorisation d'accès la plus élevée qui prend la priorité.

Les autorisations d'accès affectées directement à un utilisateur remplacent celles héritées des groupes auxquels celui-ci appartient. Par exemple, si vous avez hérité d'un accès en lecture au plan par l'intermédiaire d'un groupe mais que vous recevez directement une autorisation en écriture sur le plan, vous bénéficiez alors de l'autorisation en écriture.

Affectation d'utilisateurs à des groupes

Il est recommandé d'utiliser des groupes pour réduire la maintenance et affecter des accès similaires aux utilisateurs. Attribuez aux utilisateurs un accès aux groupes appropriés.

Affectation d'accès aux dimensions

Pour permettre aux utilisateurs de lire ou d'écrire des données, des autorisations d'accès doivent être affectées aux dimensions suivantes :

  • Compte

  • Entité

  • Scénario

  • Version

Si la sécurité est activée sur les dimensions libres, vous devez également affecter la sécurité aux utilisateurs de ces dimensions. Pour les dimensions sécurisées par défaut, modifiez les accès de sécurité selon les besoins.

Affectation d'accès à la dimension Compte

Affectez aux utilisateurs un accès en lecture ou en écriture uniquement sur les comptes qu'ils sont autorisés à voir. Vous pouvez affecter les privilèges d'accès suivants : Lecture, Ecriture, Aucun ou Affichage.

Meilleures pratiques :

  • Les fonctions relationnelles doivent également être utilisées dès que possible afin de réduire la maintenance de sécurité en continu. Les fonctions relationnelles sont Membre, Enfant, iEnfant, Descendant et iDescendant. Par exemple, l'affectation d'un accès en écriture aux descendants de Résultat net pour un groupe permet à tous les utilisateurs de ce groupe de disposer d'un accès en écriture sur tous les comptes descendants de Résultat net. Ainsi, vous n'avez pas à affecter d'accès individuels sur chaque compte.

  • Pour exploiter pleinement les règles de priorité et d'héritage, utilisez une méthode fondée sur les exceptions pour gérer la sécurité. L'affectation de sécurité principale est à effectuer par groupe et relation. Affectez les droits de groupe aux membres de niveau parent et utilisez des relations pour transmettre les affectations aux enfants ou aux descendants. N'affectez qu'exceptionnellement des droits utilisateur individuels aux enfants.

Affectation d'accès à la dimension Entité

Affectez aux utilisateurs un accès en lecture ou en écriture uniquement sur les entités qu'ils sont autorisés à voir. Vous pouvez affecter les privilèges d'accès suivants : Lecture, Ecriture, Aucun ou Affichage.

Affectation d'accès à la dimension Scénario

L'accès à un scénario est généralement défini sur Lecture ou Ecriture. Par exemple, vous pouvez affecter un accès en lecture aux scénarios Réel et Variance, et un accès en écriture aux scénarios Plan et Prévision.

Affectation d'accès à la dimension Version

L'accès à une version est généralement défini sur Lecture ou Ecriture. Par exemple, vous pouvez affecter un accès en lecture à la version finale et un accès en écriture à la version de travail.

Affectation d'accès aux dimensions libres

Si la sécurité est activée sur une dimension libre, vous devez affecter la sécurité à la dimension pour que les utilisateurs puissent y accéder.

Affectation d'accès aux formulaires

Avant de pouvoir ouvrir des formulaires, les utilisateurs doivent obtenir les autorisations d'accès.

Les utilisateurs qui possèdent un accès à un dossier de formulaires peuvent accéder aux formulaires de ce dossier, sauf s'ils bénéficient d'un accès plus spécifique.

Les utilisateurs et les super utilisateurs peuvent uniquement afficher ou saisir des données dans les formulaires auxquels ils ont accès. Ils peuvent uniquement travailler avec les membres auxquels ils ont accès.

Conseils :

  • Pour simplifier l'affectation d'accès aux formulaires, organisez-les dans des dossiers et affectez les accès au niveau des dossiers et non au niveau des formulaires individuels. Vous pouvez définir les autorisations d'accès Lecture, Ecriture ou Aucune.

  • Lorsque vous affectez un accès à un dossier, tous les dossiers qui y figurent héritent de cet accès.

  • Si vous affectez un accès spécifique (comme Aucun ou Ecriture) à un dossier de formulaires, cette autorisation d'accès est prioritaire sur les autorisations d'accès de son dossier parent. Par exemple, si un utilisateur dispose d'un accès en écriture pour Dossier1 et que ce dossier contient Dossier2, pour lequel l'utilisateur dispose de l'accès Aucun, l'utilisateur peut ouvrir Dossier1, mais ne voit pas Dossier2.

  • Si un utilisateur a un accès Aucun au dossier de formulaires nommé Dossier1 qui contient un formulaire nommé Formulaire1 pour lequel l'utilisateur dispose d'un accès Ecriture, l'utilisateur peut visualiser Dossier1 et Formulaire1.

Affectation d'accès aux règles métier

Pour lancer des règles métier, les utilisateurs doivent obtenir des autorisations d'accès aux règles.

Il est recommandé d'organiser les règles métier dans des dossiers bénéficiant d'accès utilisateur similaires, puis d'appliquer la sécurité aux dossiers. Vous pouvez également attribuer des autorisations d'accès à des règles métier individuelles, mais cette méthode demande un peu plus de temps.

Les utilisateurs ont un accès de lancement aux règles métier Calculation Manager dans les dossiers pour lesquels ils disposent d'un accès, sauf s'ils bénéficient d'un accès plus spécifique.

Affectation d'accès aux listes de tâches

Pour être en mesure de naviguer au sein de l'application, les utilisateurs doivent recevoir des autorisations d'accès aux listes de tâches individuelles.

Au titre de meilleure pratique, affectez les accès par l'intermédiaire de groupes. Cette méthode est plus efficace que l'application d'accès à des listes de tâches individuelles.

Affectation d'accès aux rapports

Avant de pouvoir utiliser un rapport, les utilisateurs doivent être autorisés à y accéder.

Comme avec d'autres artefacts, il est recommandé d'organiser les rapports dans des dossiers et d'affecter les accès au niveau du dossier. Ceci permet de limiter la maintenance requise pour la sécurité. Lorsque des rapports sont ajoutés au dossier, ils héritent des autorisations d'accès du dossier.