大多数 Oracle Enterprise Performance Management Cloud 服务使用一组公用的预定义功能角色来控制对环境的访问。您迁移到 EPM 云后,您的旧角色将映射到相应预定义角色。
通过将用户分配给预定义角色来授予对环境的访问权限。例如,要允许用户 John Doe 查看属于 Planning and Budgeting 测试环境的报表,应为其分配该环境的查看者角色。
除 Oracle Enterprise Data Management Cloud 以外,其他所有 EPM 云服务都使用一组公用的预定义功能角色来控制对服务环境的访问,其中包含以下四个角色:
预定义角色在环境中授予的具体访问权限取决于服务类型。例如,Planning 中的超级用户角色允许管理业务规则安全性以及控制审批流程,而 Tax Reporting 中的相同角色允许运行税务自动化以及导入数据。
注:
除服务管理员之外的所有预定义角色的行为都受到业务流程中在维级别定义的应用安全设置选项的影响。禁用应用安全设置选项会使维不受保护,从而允许分配给预定义角色的所有用户访问维成员并将数据写入维成员。Oracle 建议在维级别选择应用安全设置选项以强制安全保护。预定义功能服务角色是分层的。较高级别的角色会继承通过较低级别的角色授予的访问权限。例如,服务管理员除了他们独有的访问权限之外,还会继承通过超级用户、用户和查看者角色授予的访问权限。
注:
在身份域(仅标准)中,通过将 -test 附加到实例名称来区分属于测试环境的角色;例如 Planning1-test User,其中 Planning1 是实例名称。
关于身份域管理员角色
除了预定义角色,EPM 云服务还使用身份域管理员角色来执行身份域管理任务。
身份域管理员使用我的服务(标准)或我的服务 (OCI)、Oracle Cloud Identity Console(仅限 OCI)或 Oracle Cloud 控制台 (IAM) 来执行身份域管理任务,例如管理用户及其角色,配置单点登录。有关此角色的详细说明,请参阅《Getting Started with Oracle Cloud》中的 "Identity Domain Administrator role description"。
身份域管理员不是预定义角色;它不会继承通过预定义角色授予的访问权限。要访问服务功能,必须向身份域管理员授予四个预定义角色之一。
分配到身份域管理员角色的任何 EPM 云用户都可以在 EPM 云中管理用户和预定义角色分配。此类用户还可以查看用户登录报表以及角色分配审核报表。
在 OCI 环境中,服务管理员可以分配或取消分配预定义角色,无需为其分配身份域管理员角色。如果您希望只允许身份域管理员分配预定义角色,则可以向 Oracle 发送请求。有关详细信息,请参阅《Oracle Enterprise Performance Management Cloud 运维指南》中的“阻止服务管理员授予预定义角色”,
注:
身份域管理员可以创建其他身份域管理员以分担管理工作量。拥有多个身份域管理员还可以确保在某个身份域管理员不可用时,服务能够继续顺畅运行。