Acessar Considerações de Design de Permissões

Configurar as permissões de acesso de forma eficaz é importante para garantir o acesso seguro e o gerenciamento eficiente.

Siga estas melhores práticas de design.

Configurar Permissões de Acesso

As permissões de acesso determinam os privilégios de um usuário depois que o produto é iniciado. Com frequência, os grupos são estabelecidos para ajudar a organizar os usuários. Por definição, um grupo de usuários é um conjunto de usuários com permissões de acesso semelhantes.

É possível atribuir permissões de acesso para grupos e usuários individuais aos seguintes elementos do aplicativo:

  • Cenários

  • Versões

  • Contas

  • Entidades

  • Membros de dimensão personalizados

  • Formulários

  • Regras de negócios

Os usuários podem estar em um grupo:

  • Administrador de Serviço

  • Usuário Avançado

  • Usuário

  • Visualizador

Melhores práticas:

  • Para dimensões protegidas por padrão, modifique as permissões de acesso conforme o necessário.

  • Atribua permissões de acesso a elementos do aplicativo, tais como membros de dimensão, formulários e regras. Os usuários só podem exibir ou usar os elementos do aplicativo a que têm acesso.

Configurar Usuários e Grupos

Os usuários da sua empresa podem ser adicionados ao Oracle Identity Management System antes de obter permissões de acesso a qualquer um dos elementos do seu aplicativo. As permissões de acesso determinam os privilégios de um usuário depois que o produto é iniciado.

Por definição, um grupo de usuários é um conjunto de usuários com permissões de acesso semelhantes. Uma prática recomendada é usar grupos como uma forma de organizar os usuários e designar permissões de acesso.

Adicionar Usuários

Os usuários devem ser adicionados ao seu ambiente, receber privilégios e obter acesso ao aplicativo.

As funções do usuário serão definidas como um destes tipos:

  • Administrador de Serviços: Cria e gerencia aplicativos, incluindo dimensões, formulários, Cálculos e assim por diante. O Administrador de Serviços gerencia as permissões de acesso e inicia o processo de orçamento

  • Usuário Avançado: Cria e mantém formulários, planilhas do Oracle Smart View for Office e relatórios do Financial Reporting. Pode executar todas as tarefas do Usuário.

  • Usuário: Insere e envia planos para aprovação, executa regras de negócios, usa relatórios que outras pessoas criaram, além de exibir e usar listas de tarefas. Utiliza o Smart View para inserir dados e fazer análises ad hoc.

  • Visualizador: Exibe e analisa dados por meio de formulários de dados e de ferramentas de acesso a dados para as quais ele esteja licenciado. Os visualizadores não podem modificar dados do aplicativo. Os usuários de exibição comuns são executivos que desejam visualizar os planos de negócios durante e no fim do processo de orçamento.

Usuários, Usuários Avançados e Visualizadores podem acessar formulários, listas de tarefas e regras de negócios com base em permissões atribuídas pelo Administrador de Serviços.

Criar Grupos

Recomenda-se enfaticamente a utilização de grupos durante a atribuição de permissões de acesso a usuários. A utilização de grupos de usuários semelhantes facilita a manutenção da segurança em uma base contínua. À medida que os usuários são adicionados aos grupos, eles herdam as permissões de acesso do grupo em questão. A atribuição de permissões de acesso de grupo a elementos como membros de dimensão, formulários e listas de tarefa significa que você não precisa designar essas permissões de acesso individualmente a cada usuário.

Melhores práticas:

  • Se um usuário individual for atribuído a um grupo e as permissões de acesso do usuário individual conflitarem com as do grupo, as permissões de acesso do usuário individual terão precedência.

  • O uso de grupos para conjuntos de usuários com permissões de acesso semelhantes deve ser bem definido antes da implementação do acesso do usuário.

  • As permissões de acesso individual substituem as permissões de grupo.

  • Se um indivíduo for designado a diversos grupos, o grupo com a permissão de acesso mais alta terá precedência.

As permissões de acesso designadas diretamente a um usuário substituem as permissões de acesso herdadas de grupos a que o usuário pertence. Por exemplo, se tiver herdado de um grupo o acesso de leitura a um Plano e já tiver recebido diretamente o acesso de gravação a esse Plano, você terá o acesso de gravação ao Plano.

Atribua Usuários a Grupos

Como prática recomendada, utilize grupos como uma forma de reduzir a manutenção e atribuir acesso semelhante aos usuários. Atribua aos usuários acesso aos grupos apropriados.

Atribua Acesso a Dimensões

Para que os usuários leiam ou gravem dados, será necessário atribuir permissões de acesso às seguintes dimensões:

  • Conta

  • Entidade

  • Cenário

  • Versão

Se a segurança estiver ativada nas dimensões personalizadas, você também deverá atribuir aos usuários segurança nessas dimensões. Para dimensões protegidas por padrão, modifique o acesso de segurança conforme o necessário.

Atribua Acesso à Dimensão de Conta

Conceda aos usuários acesso de leitura ou gravação somente às contas que eles têm permissão de ver. Você pode atribuir privilégios de acesso como Leitura, Gravação, Nenhum ou Exibição.

Melhores práticas:

  • As funções de relação também deverão ser utilizadas, sempre que possível, para reduzir a manutenção de segurança necessária. As funções de relação são: Member, Children, iChildren, Descendant e iDescendant. Por exemplo, quando atribui o acesso de Gravação a Descendentes de Renda Líquida em relação a um grupo, você permite que todos os usuários desse grupo tenham acesso de Gravação a todas as contas descendentes de Renda Líquida. Dessa forma, você não precisa atribuir acesso individualmente a cada conta.

  • Para se beneficiar totalmente das regras de precedência e herança, utilize um método baseado em exceções para gerenciar a segurança. A atribuição primária da segurança deve ser feita por grupo e relação. Atribua direitos de grupo a membros de nível pai e utilize relações para especificar as atribuições até valores filhos ou descendentes. Atribua direitos de usuários individuais a valores filhos por exceção.

Atribua Acesso à Dimensão de Entidade

Conceda aos usuários acesso de leitura ou gravação somente às entidades que eles têm permissão de ver. Você pode atribuir privilégios de acesso como Leitura, Gravação, Nenhum ou Exibição.

Atribua Acesso à Dimensão Cenário

Em geral, o acesso ao Cenário é definido como Leitura ou Gravação. Por exemplo, talvez você queira atribuir acesso aos cenários Real e Variação como Leitura e aos cenários Plano e Previsão como Gravação.

Atribua Acesso à Dimensão Versão

Em geral, o acesso à Versão é definido como Leitura ou Gravação. Por exemplo, talvez você queira atribuir acesso à Versão Final como Leitura e à Versão Em Andamento como Gravação.

Atribua Acesso a Dimensões Personalizadas

Se a segurança estiver ativada nas dimensões personalizadas, você também deverá atribuir segurança à dimensão para que os usuários tenham acesso.

Atribuir Acesso a Formulários

Para que os usuários possam abrir formulários, eles deverão receber permissões de acesso.

Os usuários que tiverem acesso a uma pasta de formulários podem acessar os formulários dessa pasta, a menos que tenham recebido direitos de acesso mais específicos.

Os Usuários e Usuários Avançados só podem exibir ou inserir dados em formulários a que eles têm acesso. Eles podem trabalhar com membros aos quais têm acesso.

Dicas:

  • Para simplificar a atribuição de acesso a formulários, organizar formulários em pastas e atribuir o acesso no nível da pasta, em vez de no nível individual do formulário. As permissões de acesso podem ser definidas como Leitura, Gravação ou Nenhum.

  • Quando você atribuir direitos de acesso a uma pasta, todas as pastas que estiverem sob ela herdarão esse direito de acesso.

  • Se você atribuir um direito de acesso específico (como Nenhum ou Gravação) a uma pasta de formulários, esse direito terá precedência sobre as permissões de acesso da pasta pai. Por exemplo, se um usuário tiver o acesso de Gravação em Folder1 que contêm Folder2, para a qual o usuário tem o acesso Nenhum, ele poderá abrir Folder1, mas não verá Folder2.

  • Se o acesso do usuário for Nenhum em uma pasta de formulários chamada Folder1, que contém um formulário chamado Form1 ao qual o usuário tem o direito de acesso de Gravação, o usuário poderá ver Folder1 e Form1.

Atribua Acesso a Regras de Negócios

Para que os usuários possam iniciar regras de negócios, eles deverão ter permissões de acesso às regras.

Como prática recomendada, organize as regras de negócios em pastas que tenham acesso de usuário semelhante e aplique segurança às pastas. Você também pode atribuir permissões de acesso a regras de negócios individuais, embora essa estratégia seja um pouco mais demorada.

Os usuários têm o acesso Iniciar às regras de negócios do Calculation Manager em pastas às quais têm permissão de acesso, a menos que tenham recebido direitos de acesso mais específicos

Atribuir Acesso a Listas de Tarefas

Para navegar no aplicativo, os usuários devem ter acesso a listas de tarefas individuais.

Como prática recomendada, atribua acesso usando grupos. Essa solução é mais eficiente que aplicar o acesso a listas de tarefas individuais.

Atribua Acesso a Relatórios

Para que possam usar um relatório, os usuários já deverão ter direito de acesso a ele.

Da mesma forma que acontece com outros artefatos, recomendamos que você organize os relatórios em pastas e atribua o acesso no nível da pasta. Isso limita a manutenção necessária para a segurança. À medida que os relatórios são adicionados à pasta, o acesso é herdado da pasta.