Considerazioni sulla progettazione delle autorizzazioni di accesso

È importante impostare le autorizzazioni di accesso in modo efficace per garantire un accesso sicuro e una gestione efficiente.

Attenersi a queste procedure consigliate per la progettazione.

Impostazione delle autorizzazioni di accesso

Le autorizzazioni di accesso determinano i privilegi dell'utente dopo il lancio del prodotto. Nella maggior parte dei casi vengono stabiliti gruppi per facilitare l'organizzazione degli utenti. Per definizione, un gruppo di utenti è un set di utenti che dispongono di autorizzazioni di accesso simili.

È possibile assegnare autorizzazioni di accesso per gruppi e singoli utenti a questi elementi dell'applicazione:

  • Scenari

  • Versioni

  • Conti

  • Entità

  • Membri di dimensioni custom

  • Form

  • Regole business

Utenti che possono far parte di un gruppo:

  • Amministratore servizi

  • Utente avanzato

  • Utente

  • Visualizzatore

Procedure consigliate:

  • Per le dimensioni protette per impostazione predefinita, modificare le autorizzazioni di accesso in base alle esigenze.

  • Assegnare le autorizzazioni di accesso agli elementi dell'applicazione quali membri dimensione, form e regole. Gli utenti possono visualizzare o utilizzare solo gli elementi dell'applicazione per i quali dispongono delle autorizzazioni di accesso.

Impostazione di utenti e gruppi

Per poter ottenere le autorizzazioni di accesso ai vari elementi dell'applicazione, gli utenti della società devono essere aggiunti al sistema Oracle Identity Management. Le autorizzazioni di accesso determinano i privilegi dell'utente dopo il lancio del prodotto.

Per definizione, un gruppo di utenti è un set di utenti che dispongono di autorizzazioni di accesso simili. L'uso dei gruppi come strumento per organizzare gli utenti e assegnare le autorizzazioni di accesso costituisce una procedura consigliata.

Aggiunta di utenti

Gli utenti devono essere aggiunti all'ambiente in uso con privilegi assegnati e la concessione dell'accesso all'applicazione.

Verranno definiti i ruoli utente descritti di seguito.

  • Amministratore servizi: crea e gestisce le applicazioni, compresi elementi quali dimensioni, form, calcoli e così via. L'amministratore servizi gestisce le autorizzazioni di accesso e avvia il processo budget.

  • Utente avanzato: crea e gestisce form, fogli di lavoro di Oracle Smart View for Office e report di Financial Reporting. Può eseguire tutti i task Utente.

  • Utente: immette e sottomette i piani per l'approvazione, esegue le regole business, utilizza i report creati da altri e visualizza e utilizza gli elenchi task. Si avvale di Smart View per immettere dati ed eseguire analisi ad hoc.

  • Visualizzatore: visualizza e analizza i dati tramite i form e qualsiasi strumento di accesso ai dati, a condizione di possederne la licenza. I visualizzatori non possono modificare i dati nell'applicazione. I tipici Utenti visualizzazione sono dirigenti che desiderano consultare i piani aziendali durante e al termine del processo budget.

Gli utenti con ruolo Utente, Utente avanzato e Visualizzatore possono accedere a form, elenchi di task e regole business in base alle autorizzazioni assegnate dall'amministratore dei servizi.

Creazione di gruppi

È consigliabile basarsi sui gruppi per l'assegnazione delle autorizzazioni di accesso agli utenti. La disponibilità di gruppi di utenti simili facilita la gestione continua della sicurezza. Quando vengono aggiunti ai gruppi, gli utenti ereditano le autorizzazioni di accesso del gruppo. Assegnare le autorizzazioni di accesso di gruppo a elementi quali membri dimensioni, form ed elenchi task significa non doverle assegnare individualmente per ogni utente.

Procedure consigliate:

  • Se le autorizzazioni di accesso di un singolo utente assegnato a un gruppo creano un conflitto con quelle del gruppo, le autorizzazioni di accesso dell'utente avranno la precedenza.

  • È necessario definire con cura l'uso dei gruppi per i set di utenti con autorizzazioni di accesso simili prima di implementare l'accesso degli utenti.

  • Le autorizzazioni individuali prevalgono sulle autorizzazioni di gruppo.

  • Se una persona è assegnata a più gruppi, avrà la precedenza il gruppo con l'autorizzazione di accesso più elevata.

Le autorizzazioni di accesso assegnate in modo diretto a un utente prevalgono sulle autorizzazioni di accesso ereditate dai gruppi ai quali appartiene l'utente. Ad esempio, se si eredita l'accesso in lettura a un piano da un gruppo, ma si è assegnatari diretti dell'accesso in scrittura al piano, si disporrà dell'accesso in scrittura al piano.

Assegnazione di utenti ai gruppi

Come procedura consigliata, utilizzare i gruppi come strumento per ridurre la gestione e assegnare tipi di accesso simili agli utenti. Concedere agli utenti l'accesso ai gruppi appropriati.

Assegnazione dell'accesso a dimensioni

Affinché gli utenti possano leggere o scrivere i dati, è necessario assegnare le autorizzazioni di accesso alle dimensioni seguenti:

  • Conto

  • Entità

  • Scenario

  • Versione

Se la sicurezza è abilitata nelle dimensioni custom, è necessario assegnare la sicurezza anche agli utenti di questo tipo di dimensioni. Per le dimensioni protette per impostazione predefinita, modificare l'accesso di sicurezza in base alle esigenze.

Assegnazione dell'accesso alla dimensione Conto

Concedere agli utenti l'accesso in lettura o in scrittura solo per i conti che sono autorizzati a visualizzare. È possibile assegnare i privilegi di accesso Leggi, Scrivi, Nessuno o Visualizza.

Procedure consigliate:

  • Quando è possibile, utilizzare anche le funzioni di relazione per ridurre la gestione continua della sicurezza. Le funzioni di relazione disponibili sono: Membro, Figli, Figli (incl.), Discendente e Discendenti (incl.). Ad esempio, l'assegnazione dell'accesso in scrittura ai discendenti di Entrate nette per un gruppo consente a tutti gli utenti di tale gruppo di disporre dell'accesso in scrittura a tutti i conti discendenti di Entrate nette. In questo modo non è necessario assegnare individualmente l'accesso a ogni conto.

  • Per trarre il massimo vantaggio possibile dalle regole di precedenza ed ereditarietà, utilizzare un metodo basato su eccezioni per gestire la sicurezza. L'assegnazione principale della sicurezza deve essere basata sul gruppo e sulle relazioni. Assegnare al gruppo i diritti per i membri di livello padre, quindi utilizzare le relazioni per propagare le assegnazioni verso il basso ai figli o ai discendenti. Assegnare ai singoli utenti i diritti per i figli con eccezioni.

Assegnazione dell'accesso alla dimensione Entità

Concedere agli utenti l'accesso in lettura o in scrittura solo per le entità che sono autorizzati a visualizzare. È possibile assegnare i privilegi di accesso Leggi, Scrivi, Nessuno o Visualizza.

Assegnazione dell'accesso alla dimensione Scenario

L'accesso alla dimensione Scenario è in genere impostato su Leggi o Scrivi. Ad esempio, è possibile assegnare l'accesso Leggi agli scenari Effettivo e Varianza e l'accesso Scrivi a Piano e Previsione.

Assegnazione dell'accesso alla dimensione Versione

L'accesso alla dimensione Versione è in genere impostato su Leggi o Scrivi. Ad esempio, è possibile assegnare l'accesso Leggi alla versione Finale e l'accesso Scrivi alla versione Di lavoro.

Assegnazione dell'accesso alle dimensioni custom

Se la sicurezza è abilitata in una dimensione custom qualsiasi, è necessario assegnare la sicurezza alla dimensione per consentire l'accesso agli utenti.

Assegnazione dell'accesso ai form

Per poter aprire i form, gli utenti devono essere assegnatari di autorizzazioni di accesso specifiche.

Gli utenti a cui è assegnato l'accesso a una cartella di form possono accedere ai form di tale cartella, a meno che non sia stato loro assegnato un accesso più specifico.

Gli utenti e gli utenti avanzati possono visualizzare o immettere dati solo nei form a cui hanno accesso. Possono inoltre utilizzare solo i membri ai quali hanno accesso.

Suggerimenti:

  • Per semplificare l'assegnazione dell'accesso ai form, organizzare i form in cartelle e assegnare l'accesso a livello di cartella anziché a livello di singolo form. Le autorizzazioni di accesso possono essere impostate su Leggi, Scrivi o Nessuno.

  • Quando si assegna l'accesso a una cartella, tutte le cartelle sotto di essa ereditano lo stesso accesso.

  • Se si assegna un accesso specifico, ad esempio Nessuno o Scrivi, a una cartella di form, tale autorizzazione di accesso ha la priorità sulle autorizzazioni di accesso della cartella padre. Ad esempio, se un utente ha accesso in scrittura alla Cartella1 che contiene la Cartella2 per cui l'utente ha un accesso Nessuno, l'utente potrà aprire la Cartella1 ma non la Cartella2.

  • Se un utente ha un accesso di tipo Nessuno a una cartella di form denominata Cartella1 che contiene un form denominato Form1 per cui l'utente ha accesso in scrittura, l'utente potrà vedere sia Cartella1 che Form1.

Assegnazione dell'accesso alle regole business

Per poter eseguire le regole business, gli utenti devono essere assegnatari delle autorizzazioni di accesso alle regole.

È consigliabile organizzare le regole business in cartelle con tipi di accesso utente simili e applicare la sicurezza alle cartelle. È inoltre possibile assegnare le autorizzazioni di accesso alle singole regole business, sebbene si tratti di un'operazione che richiede un po' più di tempo.

Gli utenti hanno un accesso di tipo Esegui per le regole business di Calculation Manager nelle cartelle per le quali dispongono dell'accesso, a meno che non sia stato loro assegnato un accesso più specifico.

Assegnazione dell'accesso agli elenchi di task

Per poter navigare nell'applicazione, gli utenti devono ottenere l'accesso ai singoli elenchi di task.

È consigliabile assegnare l'accesso utilizzando i gruppi. Questo metodo è più efficace rispetto all'applicazione dell'accesso a singoli elenchi di task.

Assegnazione dell'accesso ai report

Gli utenti devono disporre dell'autorizzazione di accesso a un report per poterlo utilizzare.

Come ricordato per gli altri artifact, è consigliabile organizzare in cartelle anche i report e assegnare l'accesso a livello di cartella. In questo modo si limita il numero delle operazioni di gestione richieste per la sicurezza. Quando i report vengono aggiunti alla cartella, le autorizzazioni di accesso vengono ereditate dalla cartella.