Enterprise Profitability and Cost Management 实施多个安全层来确保用户对功能和数据具有适当访问权限。由 Oracle 实施和管理的基础结构安全组件为服务创建了高度安全的环境。
使用以下机制确保业务流程级别安全性,这些机制仅允许授权用户访问应用程序:
- 单点登录 (Single Sign-on, SSO)
- 对数据和对象的基于角色的访问权限
Enterprise Profitability and Cost Management 中的用户访问和数据安全使用以下过程进行分配:
- 创建用户:身份域管理员使用“我的服务”创建或导入用户。请参阅《Oracle Enterprise Performance Management Cloud 管理员入门》中的“使用 Oracle Cloud Identity Console 创建用户”。
- 分配预定义角色:身份域管理员在“我的服务”中将用户分配到四个预定义角色之一,以便为其提供访问服务环境的权限。请参阅《Oracle Enterprise Performance Management Cloud 管理员入门》中的“使用 Identity Cloud Service 分配角色”。
每个预定义角色提供对业务功能和关联数据的不同级别的访问权限。请参阅“关于预定义角色”。
- 创建组:在“我的服务”中分配预定义角色后,服务管理员可以在“访问控制”中创建组。通过将角色分配给组,服务管理员可以将角色一次授予许多用户,从而减少管理开销。请参阅《管理 Oracle Enterprise Performance Management Cloud 访问控制》中的“管理组”。
- 分配应用程序角色:服务管理员可以通过为用户和组分配应用程序角色来扩展其功能。请参阅《管理 Oracle Enterprise Performance Management Cloud 访问控制》中的“将角色分配给组或用户”。
可以为用户分配应用程序角色,以允许其执行预定义角色授予的访问权限范围以外的功能。请参阅“关于应用程序角色”。
- 分配访问权限:访问权限确定您与为您分配的预定义角色和应用程序角色允许您访问的对象内容的交互方式。服务管理员使用访问权限为用户或组分配对特定应用程序对象(例如维成员、报表和表单)的“读取”、“写入”或“无”权限。服务管理员还通过实施单元格级别安全来限制对特定单元格交叉点的访问。请参阅“使用访问权限”。
如何评估权限和数据访问权限
按以下顺序评估权限和数据访问权限:
- 预定义角色。具有服务管理员角色的用户对所有应用程序对象具有权限。
- 应用程序角色。
- 专门为用户或用户所属组分配的访问权限。
Note:
如果一个成员属于两个组且这两个组为组成员分配了不同的权限,则限制最少的权限优先。例如,如果一个组为成员分配了“读取”权限且另一个组为同一成员分配了“写入”权限,则“写入”优先。不过,如果其中一个组为其成员分配了无权限(“无”),则“无”优先于“读取”和“写入”。
- 父级别的分配(例如,对父代成员或文件夹的分配)。