访问权限设计注意事项

有效设置访问权限对于确保安全访问和高效管理至关重要。

请遵循以下最佳设计做法。

设置访问权限

访问权限决定产品发布后的用户权限。通常,要建立组来帮助组织用户。依据定义,用户组是一组有类似访问权限的用户。

可以为组和单个用户分配对以下应用程序元素的访问权限:

  • 方案

  • 版本

  • 帐户

  • 实体

  • 自定义维成员

  • 表单

  • 业务规则

可归为一组的用户:

  • 服务管理员

  • 超级用户

  • 用户

  • 查看者

最佳做法:

  • 对于默认情况下受保护的维,根据需要修改访问权限。

  • 对应用程序元素(例如维成员、表单和规则)分配访问权限。用户只能查看或使用他们可以访问的应用程序元素。

设置用户和组

获得应用程序中任何元素的访问权限前,必须先将公司用户添加到 Oracle Identity Management System。访问权限决定产品发布后的用户权限。

依据定义,用户组是一组有类似访问权限的用户。最佳做法是使用组来组织用户和分配访问权限。

添加用户

必须将用户添加到环境、向其分配权限并授予对应用程序的访问权限。

用户角色将被定义为以下类型之一:

  • 服务管理员:创建和管理应用程序,包括维、表单、计算等。服务管理员会管理访问权限并启动预算流程

  • 超级用户:创建和维护表单、Oracle Smart View for Office 工作表和 Financial Reporting 报表。可以执行所有用户任务。

  • 用户:输入规划并提交以供审批、运行业务规则、使用其他人创建的报表,以及查看和使用任务列表。利用 Smart View 输入数据并进行即席分析。

  • 查看者:通过数据表单以及许可使用的任何数据访问工具来查看和分析数据。查看者不能修改应用程序的任何数据。典型的查看用户是期望在预算流程中或预算流程结束时查看业务规划的管理人员。

用户、超级用户和查看者可以基于服务管理员分配的权限访问表单、任务列表和业务规则。

创建组

强烈建议使用组向用户分配访问权限。拥有类似用户的组可以持续减少安全维护。用户添加到组时,它们也继承了组的访问权限。将组访问权限分配给维成员、表单和任务列表等元素意味着您无需再单独地向每个用户分配这些访问权限。

最佳做法:

  • 如果单个用户分配到一个组,而单个用户的访问权限与组的访问权限有冲突,则单个用户的访问权限优先。

  • 实施用户访问前,应明确定义使用一组具有类似访问权限的用户组。

  • 单个权限会覆盖组权限。

  • 如果单个用户分配到多个组,具有最高访问权限的组优先。

分配给用户的访问权限会直接覆盖从用户所在组继承的访问权限。例如,如果您从组继承了规划的读取访问权限,但是直接分配了规划的写入访问权限,您会获得规划的写入访问权限。

向组分配用户

最佳做法是,利用组减少维护并向用户分配类似的访问权限。为合适的组提供用户访问权限。

向维分配访问权限

为使用户读取或写入数据,必须向以下维分配访问权限:

  • 帐户

  • 实体

  • Scenario

  • 版本

如果自定义维启用了安全性,您必须也向这些维的用户分配安全性。对于默认情况下受保护的维,根据需要修改安全访问权限。

向帐户维分配访问权限

只为允许用户查看的帐户提供用户读取或写入访问权限。您可以分配“读取”、“写入”、“无”或“显示”访问权限。

最佳做法:

  • 还应尽可能地利用关系函数来减少持续的安全维护。关系函数包括:成员、子代、iChildren、后代和 iDescendant。例如,向一个组的净收入后代分配写入访问权限,则该组的所有用户对净收入后代的所有帐户都具有写入访问权限。这样的话,您无需再单独地向每个帐户分配访问权限。

  • 要充分利用优先规则和继承规则,请使用基于例外的方法来管理安全性。安全性应该主要是按组和关系来分配。将组权限分配给父级成员,然后使用关系将分配结果推送到子代或后代。基于例外情况将个人用户权限分配给子代。

向实体维分配访问权限

只为允许用户查看的实体提供用户读取或写入访问权限。您可以分配“读取”、“写入”、“无”或“显示”访问权限。

向方案维分配访问权限

方案访问权限通常设置为读取或写入。例如,您可能将实际和差异方案的访问权限分配为读取、将规划和预测方案的访问权限分配为写入。

向版本维分配访问权限

版本访问权限通常设置为读取或写入。例如,您可能将最终版本的访问权限分配为读取,将工作版本的访问权限分配为写入。

向自定义维分配访问权限

如果在任何自定义维上启用了安全性,您必须向维分配安全性以便用户能够访问。

向表单分配访问权限

必须先向用户分配访问权限,他们才能打开表单。

为其分配了表单文件夹访问权限的用户可以访问相应文件夹中的表单,除非为其分配了更加具体的访问权限。

用户和超级用户只能在其有权访问的表单中查看或输入数据。他们只能使用对其拥有访问权限的成员。

提示:

  • 要简化向表单分配访问权限的流程,可在文件夹中组织表单,在文件夹级别而不是单个表单级别分配访问权限。访问权限可以设置为读取、写入或无。

  • 当您对一个文件夹分配访问时,该文件夹下的所有的文件夹继承了对应的访问权。

  • 如果将具体的访问权(如“无”或“写入”)分配给表单文件夹,则该访问权限优先于它的父代文件夹的访问权限。例如,如果某个用户对 Folder1 文件夹拥有“写入”访问权限,而对其中包含的 Folder2 拥有“无”访问权限,则该用户可以打开 Folder1,但不能看到 Folder2。

  • 如果用户对名为 Folder1 的表单文件夹拥有“无”访问权,而对 Folder1 文件夹中的名为 Form1 的表单拥有“写入”访问权,则用户可以看到 Folder1 和 Form1。

向业务规则分配访问权限

必须向用户授予对规则的访问权限,他们才可以发布业务规则。

最佳做法是,将业务规则组织到拥有类似用户访问权限的文件夹中,然后向文件夹应用安全性。您也可以单独向业务规则授予访问权限,不过这样会有一点费时。

用户对为其分配了访问权限的文件夹中的 Calculation Manager 业务规则拥有“启动”访问权限,除非为其分配了更加具体的访问权限

向任务列表分配访问权限

要在应用程序中导航,必须向用户分配对单个任务列表的访问权限。

最佳做法是使用组分配访问权限。这样比单独向任务列表应用访问权限更有效率。

向报表分配访问权限

必须向用户分配对报表的访问权限,才能使用报表。

与其他对象一样,建议将报表划分到文件夹中,然后在文件夹级别分配访问权限。这会限制安全性所需的维护量。向文件夹添加报表时,也会从文件夹继承访问权限。