액세스 권한 디자인 고려 사항

안전한 액세스와 효율적인 관리를 보장하려면 액세스 권한을 효과적으로 설정하는 것이 중요합니다.

다음 디자인 모범 사례를 따릅니다.

액세스 권한 설정

액세스 권한에 따라 제품 실행 후 사용자 권한이 결정됩니다. 대체로 그룹은 사용자 구성에 도움이 되도록 설정됩니다. 정의상, 사용자 그룹은 유사한 액세스 권한을 가진 사용자 세트입니다.

다음 애플리케이션 요소에 그룹 및 개별 사용자의 액세스 권한을 지정할 수 있습니다.

  • 시나리오

  • 버전

  • 계정

  • 엔티티

  • 사용자정의 차원 멤버

  • 양식

  • 비즈니스 규칙

사용자는 다음 그룹에 속할 수 있습니다.

  • 서비스 관리자

  • 고급 사용자

  • 사용자

  • 조회자

모범 사례:

  • 기본적으로 보안되는 차원의 경우 필요에 따라 액세스 권한을 수정합니다.

  • 차원 멤버, 양식, 규칙 등의 애플리케이션 요소에 액세스 권한을 지정합니다. 사용자는 액세스 권한이 있는 애플리케이션 요소만 보거나 사용할 수 있습니다.

사용자 및 그룹 설정

애플리케이션의 요소에 대한 액세스 권한을 얻기 전에 Oracle Identity Management 시스템에 회사 사용자를 추가해야 합니다. 액세스 권한에 따라 제품 실행 후 사용자 권한이 결정됩니다.

정의상, 사용자 그룹은 유사한 액세스 권한을 가진 사용자 세트입니다. 사용자를 구성하고 액세스 권한을 지정하는 방법으로 그룹을 사용하는 것이 모범 사례입니다.

사용자 추가

사용자를 환경에 추가하고, 권한을 지정하고, 애플리케이션에 대한 액세스 권한을 부여해야 합니다.

사용자 역할은 다음 유형 중 하나로 정의됩니다.

  • 서비스 관리자: 차원, 양식, 계산 등의 애플리케이션을 생성하고 관리합니다. 서비스 관리자는 액세스 권한을 관리하고 예산 프로세스를 시작합니다.

  • 고급 사용자: 양식, Oracle Smart View for Office 워크시트 및 Financial Reporting 보고서를 생성하고 유지관리합니다. 모든 사용자 태스크를 수행할 수 있습니다.

  • 사용자: 승인을 위해 계획을 입력 및 제출하고, 비즈니스 규칙을 실행하고, 다른 사람이 생성한 보고서를 사용하고, 태스크 목록을 보고 사용합니다. Smart View를 활용하여 데이터를 입력하고 임시 분석을 수행합니다.

  • 조회자: 데이터 양식 및 라이센스가 부여된 데이터 액세스 도구를 통해 데이터를 보고 분석합니다. 조회자는 애플리케이션에서 데이터를 수정할 수 없습니다. 일반적인 보기 사용자는 예산 프로세스 도중에 그리고 끝에 비즈니스 계획을 보려고 하는 경영진입니다.

사용자, 고급 사용자 및 조회자는 서비스 관리자가 지정한 권한에 따라 양식, 태스크 목록, 비즈니스 규칙에 액세스할 수 있습니다.

그룹 생성

사용자에게 액세스 권한을 지정할 때 그룹을 활용하는 것이 좋습니다. 유사한 사용자 그룹을 사용하면 지속적으로 보안 유지관리를 쉽게 수행할 수 있습니다. 사용자가 그룹에 추가되면 그룹의 액세스 권한을 상속합니다. 차원 멤버, 양식, 태스크 목록 등의 액세스 권한을 그룹에 지정하면 각 사용자에 대해 해당 액세스 권한을 개별적으로 지정하지 않아도 됩니다.

모범 사례:

  • 개별 사용자가 그룹에 지정되고 개별 사용자의 액세스 권한이 그룹의 액세스 권한과 충돌하는 경우 개별 사용자의 액세스 권한이 우선합니다.

  • 사용자 액세스를 구현하기 전에 유사한 액세스 권한을 가진 사용자 세트에 대한 그룹 사용을 제대로 정의해야 합니다.

  • 개인 권한이 그룹 권한을 대체합니다.

  • 개인이 여러 그룹에 지정된 경우 액세스 권한이 가장 높은 그룹이 우선합니다.

사용자에게 지정된 액세스 권한이 사용자가 속한 그룹에서 상속한 액세스 권한을 직접 대체합니다. 예를 들어 그룹에서 계획에 대한 읽기 액세스 권한을 상속했지만 계획에 대한 쓰기 액세스 권한이 직접 지정된 경우 계획에 대한 쓰기 액세스 권한을 갖게 됩니다.

그룹에 사용자 지정

모범 사례로, 유지관리를 줄이고 사용자에게 유사한 액세스를 지정하는 방법으로 그룹을 활용합니다. 해당 그룹에 대한 액세스 권한을 사용자에게 제공합니다.

차원에 대한 액세스 권한 지정

사용자가 데이터를 읽거나 쓰려면 다음 차원에 대한 액세스 권한을 지정해야 합니다.

  • 계정

  • 엔티티

  • 시나리오

  • 버전

사용자정의 차원에서 보안이 사용으로 설정된 경우 사용자에게 해당 차원에 대한 보안도 지정해야 합니다. 기본적으로 보안되는 차원의 경우 필요에 따라 보안 액세스를 수정합니다.

계정 차원에 대한 액세스 권한 지정

볼 수 있는 계정만 읽거나 쓸 수 있는 액세스 권한을 사용자에게 제공합니다. 읽기, 쓰기, 없음 또는 표시로 액세스 권한을 지정할 수 있습니다.

모범 사례:

  • 가능한 경우 지속적인 보안 유지관리를 줄이기 위해 관계 함수도 활용해야 합니다. 관계 함수는 멤버, 1차 하위, 1차 하위(포함), 하위, 하위(포함)입니다. 예를 들어 그룹에 순이익의 하위에 대한 쓰기 액세스 권한을 지정하면 해당 그룹의 모든 사용자가 순이익의 하위인 모든 계정에 대한 쓰기 액세스 권한을 갖게 됩니다. 이렇게 하면 각 계정에 액세스 권한을 개별적으로 지정하지 않아도 됩니다.

  • 우선순위 및 상속 규칙을 활용하려면 보안 관리를 위해 예외 기반 방법을 사용합니다. 기본 보안 지정은 그룹 및 관계를 기반으로 합니다. 상위 레벨 멤버에게 그룹 권한을 지정하고, 관계를 사용하여 1차 하위 또는 하위까지 지정을 푸시합니다. 예외 기준에 따라 개별 사용자 권한을 1차 하위에 지정합니다.

엔티티 차원에 대한 액세스 권한 지정

볼 수 있는 엔티티만 읽거나 쓸 수 있는 액세스 권한을 사용자에게 제공합니다. 읽기, 쓰기, 없음 또는 표시로 액세스 권한을 지정할 수 있습니다.

시나리오 차원에 대한 액세스 권한 지정

시나리오에 대한 액세스 권한은 일반적으로 읽기 또는 쓰기로 설정됩니다. 예를 들어 실제 및 차이 시나리오에 대한 액세스 권한을 읽기로 지정하고 계획 및 예측에 대한 액세스 권한을 쓰기로 지정할 수 있습니다.

버전 차원에 대한 액세스 권한 지정

버전에 대한 액세스 권한은 일반적으로 읽기 또는 쓰기로 설정됩니다. 예를 들어 최종 버전에 대한 액세스 권한을 읽기로 지정하고 작업 중에 대한 액세스 권한을 쓰기로 지정할 수 있습니다.

사용자정의 차원에 대한 액세스 권한 지정

사용자정의 차원에서 보안이 사용으로 설정된 경우 사용자가 액세스 권한을 가지려면 해당 차원에 대한 보안을 지정해야 합니다.

양식에 대한 액세스 권한 지정

사용자가 양식을 열려면 먼저 액세스 권한을 지정해야 합니다.

더 구체적인 액세스 권한이 지정되지 않는 한 양식 폴더에 대한 액세스 권한이 지정된 사용자는 해당 폴더의 양식에 액세스할 수 있습니다.

사용자 및 고급 사용자는 액세스 권한이 있는 양식에 대해서만 데이터를 보거나 입력할 수 있습니다. 액세스 권한을 가진 멤버에 대해서만 작업할 수 있습니다.

팁:

  • 양식에 대한 액세스 권한 지정을 간소화하려면 양식을 폴더로 구성하고 개별 양식 레벨 대신 폴더 레벨에서 액세스 권한을 지정합니다. 액세스 권한을 읽기, 쓰기 또는 없음으로 설정할 수 있습니다.

  • 폴더에 액세스 권한을 지정할 경우 그 아래 모든 폴더가 해당 액세스 권한을 상속합니다.

  • 양식 폴더에 대한 특정 액세스 권한(예: 없음 또는 쓰기)을 지정할 경우 해당 액세스 권한이 상위 폴더의 액세스 권한보다 우선합니다. 예들 들어 사용자가 [없음] 액세스 권한을 가진 Folder2를 포함하는 Folder1에 대해 [쓰기] 액세스 권한이 있는 경우 사용자는 Folder1을 열 수 있지만 Folder2를 보지 못합니다.

  • 사용자가 쓰기 액세스 권한을 가진 Form1이라는 양식을 포함하는 Folder1이라는 양식 폴더에 대해 액세스 권한이 [없음]인 경우, 사용자는 Folder1 및 Form1을 볼 수 있습니다.

비즈니스 규칙에 대한 액세스 권한 지정

사용자가 비즈니스 규칙을 실행하려면 먼저 규칙에 대한 액세스 권한을 제공해야 합니다.

모범 사례로, 유사한 사용자 액세스 권한을 가진 비즈니스 규칙을 폴더로 구성하고 폴더에 보안을 적용합니다. 시간이 좀 더 걸리지만 개별 비즈니스 규칙에 대한 액세스 권한을 제공할 수도 있습니다.

더 구체적인 액세스 권한이 지정되지 않는 한 사용자는 액세스 권한이 지정된 폴더에서 Calculation Manager 비즈니스 규칙에 대한 실행 액세스 권한이 있습니다.

태스크 목록에 대한 액세스 권한 지정

애플리케이션을 탐색하려면 사용자에게 개별 태스크 목록에 대한 액세스 권한을 지정해야 합니다.

모범 사례로, 그룹을 사용하여 액세스 권한을 지정합니다. 개별 태스크 목록에 액세스 권한을 적용하는 것보다 더 효율적입니다.

보고서에 대한 액세스 권한 지정

사용자에게 보고서에 대한 액세스 권한을 지정해야 보고서를 사용할 수 있습니다.

다른 아티팩트와 마찬가지로, 보고서를 폴더로 구성하고 폴더 레벨에서 액세스 권한을 지정하는 것이 좋습니다. 이렇게 하면 보안을 위해 필요한 유지관리가 제한됩니다. 폴더에 보고서를 추가하면 폴더에서 액세스 권한이 상속됩니다.