关于 EPM 云用户和角色管理
Oracle Fusion Cloud EPM 实施多个安全层。由 Oracle 实施和管理的基础结构安全组件创建了高度安全的 Oracle Enterprise Performance Management Cloud 环境。EPM 云采用以下机制来确保安全性,这些机制仅允许经授权的用户访问该服务。
- 单点登录 (SSO)
- 基于角色访问环境
SSO 和基于角色的安全性由 Oracle Identity Management 控制,Oracle Identity Management 为每个环境定义一个安全域。成功登录后,由分配给用户的角色确定对服务的访问权限。
身份域
在标准环境中,身份域是共享身份管理基础结构的一部分,在此基础结构中,由身份域管理员创建和管理 EPM 云用户和安全性。
身份域管理员使用“我的服务”(标准)应用程序来管理需要访问这些环境的用户。默认情况下,为每个客户分配两个服务环境(测试环境和生产环境)。许多 EPM 云服务可以在一个身份域下激活。
云帐户名称
云帐户名称是管理 EPM 云订阅的帐户的名称。在 OCI(第 2 代)中,云帐户名称用作保护 EPM 云环境的身份域的名称。身份域管理员使用我的服务 (OCI)、Oracle Cloud Identity Console 或 Oracle Cloud 控制台 (IAM) 设置并管理 EPM 云用户和安全性。默认情况下,为每个客户分配两个服务环境(测试环境和生产环境)。
帐户管理员将身份域管理员角色授予一个或多个用户,以委派设置安全性的工作。许多 EPM 云服务可以在一个云帐户名称下激活。
用户
需要访问环境的每个用户都必须在与该环境关联的身份域中具有帐户。为用户分配的 EPM 云预定义角色确定用户可以在环境中执行什么操作。
Oracle 身份组(仅限 OCI(第 2 代))
在 OCI(第 2 代)中,可以将多个 EPM 云用户分配给组,然后将这些组分配给预定义角色。这样,就不必为单个用户分配预定义角色,从而简化对预定义角色分配的管理。由于 Oracle 身份组可以与身份提供程序 (IdP) 组(例如 Azure AD 组)同步,因此您甚至可以将单个用户添加到 IdP 组,然后在 Oracle Cloud Identity Console 或 Oracle Cloud 控制台 (IAM) 中为这些组分配预定义角色。
预定义 EPM 云角色
角色将用户与其可以在环境中执行的业务活动及其可以访问的数据关联起来。必须为用户分配预定义的角色,这些角色授予用户访问业务功能和关联数据的权限。“了解预定义角色”中介绍了预定义角色。身份域管理员不是预定义角色。
使用 SYSTEM 作为用户名
如果在内部进行了更改或未记录更改者,EPM 云会将用户名显示为 SYSTEM。环境中没有具有此名称的实际用户。例如,对于以下 Account Reconciliation 对象,可能存在许多修改者用户,或者并不总是记录修改者用户。在这种情况下,将 SYSTEM 标识为修改者用户:
- 所有全局设置
- 所有超级用户安全性
- 快照文件
相关教程
本教程介绍 Cloud EPM 业务流程中的安全层,并说明如何使用访问控制和访问权限来管理安全性。各节基于彼此构建,应按顺序完成。请参阅“Setting Up Security in Cloud EPM Business Processes(设置 Cloud EPM 业务流程中的安全性)”。