关于用户和角色管理

环境受到多层安全机制的保护。Oracle 会实施并管理基础结构安全组件,以创建高度安全的 Oracle Fusion Cloud Enterprise Performance ManagementOracle Fusion Cloud Enterprise Data Management 环境。通过各种机制来限制只有授权的用户具有访问权限,包括:

  • 单点登录 (SSO)
  • 基于角色访问环境

SSO 和基于角色的安全性由 Oracle Identity Management 监管,Oracle Identity Management 为每个环境建立一个安全域。成功登录后,由分配给用户的角色确定对服务的访问权限。

云帐户名称

云帐户名称是管理订阅的 Oracle 帐户。在 OCI(第 2 代)中,身份域管理员使用 Oracle Cloud 控制台中的 IAM 界面来设置和管理用户与安全性。

帐户管理员将身份域管理员角色授予一个或多个用户,以委派安全设置责任。默认情况下,为每个客户分配两个环境,一个用于测试,一个用于生产。可以在一个云帐户下激活多个服务。

用户

需要访问环境的每个用户都必须在与该环境关联的身份域中具有帐户。为用户分配的预定义角色确定用户可以在环境中执行什么操作。

预定义云 EPM 角色

角色将用户与其可以在环境中执行的业务活动及其可以访问的数据关联起来。必须为用户分配预定义的角色,这些角色授予用户访问业务功能和关联数据的权限。“了解预定义角色”中介绍了预定义角色。身份域管理员不是预定义角色。

有三种类型的组:

  • 预定义:这些组是为每个预定义角色自动创建的。系统会根据用户的预定义角色(例如“超级用户”)将所有用户分配到 PREDEFINED 组。您可以在访问控制中查看这些组。
  • EPM:这些是您在访问控制中创建的组。无法在 Oracle Cloud 控制台中创建它们。
  • IDCS:在 OCI(第 2 代)中,可以将多个用户分配给组,然后为组分配预定义角色。这样,就不必为单个用户分配预定义角色,从而简化了角色管理。由于 Oracle 身份组可以与身份提供程序 (IdP) 组(例如 Microsoft Entra ID)同步,您可以将单个用户添加到 IdP 组,然后在 Oracle Cloud 控制台IAM 界面中为这些组分配预定义角色。这些组还可以与身份提供程序(例如 Okta 或 Microsoft Entra ID)进行同步。尽管它们显示在访问控制中,但无法直接通过此界面创建。

使用 SYSTEM 作为用户名

如果在内部进行了更改或未记录更改者,环境会将用户名显示为 SYSTEM。环境中没有具有此名称的实际用户。例如,对于以下 Account Reconciliation 对象,可能存在许多修改者用户,或者并不总是记录修改者用户。在这种情况下,将 SYSTEM 标识为修改者用户:

  • 快照
  • 帐龄配置文件
  • 货币组
  • 全局设置
  • 超级用户安全性
  • 汇率类型
对象更新报表示例

相关教程

本教程介绍业务流程中的安全层,并说明如何使用访问控制和访问权限来管理安全性。各节基于彼此构建,应按顺序完成。请参阅“Setting Up Security in Cloud EPM Business Processes(设置 Cloud EPM 业务流程中的安全性)”。