有效地設定存取權限對於確保安全存取和高效管理非常重要。
請遵循以下設計的最佳作法。
設定存取權限
存取權限可在產品啟動後決定使用者的權限。最常見的是,建立群組以協助組織使用者。根據定義,使用者群組是一組具有類似存取權限的使用者。
您可以為群組和個別使用者指派下列應用程式元素的存取權限:
案例
版本
科目
實體
自訂維度成員
表單
商業規則
使用者可以在群組中:
Service Administrator
超級使用者
使用者
檢視者
最佳作法:
對於預設所保護的維度,請視需要修改存取權限。
將存取權指派給應用程式元素,例如維度成員、表單和規則。使用者可以檢視或使用他們有存取權的這些應用程式元素。
設定使用者和群組
在獲得應用程式中任何元素的存取權限之前,必須將您公司的使用者新增至 Oracle Identity Management System。存取權限可在產品啟動後決定使用者的權限。
根據定義,使用者群組是一組具有類似存取權限的使用者。使用群組來組織使用者和指派存取權限,是最佳作法。
新增使用者
您必須將使用者新增至您的環境、指派的權限以及授予的應用程式存取權中。
您必須將使用者的角色定義為以下其中一個類型:
服務管理員:建立及管理應用程式,包括維度、表單、計算等等。服務管理可管理存取權限並起始預算程序
超級使用者:建立和維護表單、Oracle Smart View for Office 工作表,以及財務報告報表。可以執行所有的使用者任務。
使用者:輸入及提交計畫以供核准、執行商業規則、使用其他人建立的報表,以及檢視和使用任務清單。運用智慧型檢視來輸入資料及執行特設分析。
檢視者:透過資料表單,以及已獲授權的任何資料存取工具來檢視和分析資料。檢視者無法在應用程式中修改任何資料。「檢視」使用者通常是需要在預算程序期間與結束時檢視業務計畫的主管階層。
使用者、超級使用者以及檢視者可以根據服務管理員指派的權限來存取表單、任務清單以及商業規則。
建立群組
強烈建議您在指派存取權限給使用者時運用群組。持續建立類似使用者的群組可使安全性維護更輕鬆。將使用者新增至群組時,他們會繼承群組的存取權限。將群組存取權限指派給元素時 (例如維度成員、表單以及任務清單),表示您不必為每個使用者個別指派這些存取權限。
最佳作法:
如果將個別使用者指派給某個群組,而該個別使用者的存取權限與該群組中的使用者衝突,則個別使用者的存取權限具有優先權。
為具有類似存取權限的使用者集合使用群組,應該在實作使用者存取權之前充分定義。
個別的權限會置換群組權限。
如果將個別使用者指派給多個群組,則具有最高存取權限的群組具有優先權。
指派給使用者的存取權限可直接置換從使用者所屬群組所繼承的存取權限。例如,如果您已從群組繼承 Plan 的讀取存取權,但是已直接指派 Plan 的存取權給該群組,則您將獲得 Plan 的寫入存取權。
將使用者指派至群組
運用群組為最佳作法,可減少維護並指派類似的存取權給使用者。提供使用者存取權給適當的群組。
指派維度的存取權
為了讓使用者可以讀取或寫入資料,必須指派下列維度的存取權限:
科目
實體
Scenario
版本
如果在自訂維度上啟用安全性,您必須將使用者的安全性也指派給那些維度。對於預設所保護的維度,請視需要修改安全性存取權。
指派 Account 維度的存取權
僅提供使用者允許查看之科目的讀取或寫入存取權給使用者。您可以將存取權限指派為「讀取」、「寫入」、「無」或是「顯示」。
最佳作法:
只要可以持續減少安全性維護,應該也可以運用關係功能。關係函式為:Member、Children、iChildren、Descendant 及 iDescendant。例如,將寫入存取權指派給某個群組之「淨收入」的子代,可讓該群組的所有使用者擁有「淨收入」子代所有科目的寫入存取權。如此一來,您不需要將存取權個別指派給每個科目。
若要充分利用優先順序與繼承的規則,請使用以例外為基礎的方法來管理安全性。安全性的主要指派應該依群組和關係來進行。將群組權限指派給父項層級成員,然後使用關係將指派向下發送至子項或子代。只有在例外情況下,才會將個別使用者權限指派給子項。
指派 Entity 維度的存取權
僅提供使用者允許查看之實體的讀取或寫入存取權給使用者。您可以將存取權限指派為「讀取」、「寫入」、「無」或是「顯示」。
指派 Scenario 維度的存取權
通常會將對 Scenario 的存取權設定為「讀取」或「寫入」。例如,您可能會指派 Actual 與 Variance 案例的「讀取」存取權,以及指派 Plan 和 Forecast 的「寫入」存取權。
指派 Version 維度的存取權
通常會將對 Version 的存取權設定為「讀取」或「寫入」。例如,您可能會指派 Final Version 的「讀取」存取權,以及指派 Working 的「寫入」存取權。
指派自訂維度的存取權
如果在任何自訂維度上啟用安全性,您必須將安全性指派給維度,使用者才能擁有存取權。
指派表單的存取權
在使用者可以開啟表單之前,他們必須先獲得存取權限的指派。
除非為其指派更具體的存取權,否則已指派表單資料夾存取權的使用者可存取該資料夾中的表單。
使用者與超級使用者只能針對其擁有存取權的表單加以檢視或為其輸入資料。使用者只能與擁有存取權的成員合作。
提示:
若要簡化指派存取權給表單的程序,請將表單組織至資料夾中,並在資料夾層級指派存取權,而非在個別表單層級指派。您可以將存取權設定為「讀取」、「寫入」或「無」。
在您將存取權指派給資料夾時,其中的所有資料夾都會繼承該存取權。
如果您將特定存取權 (例如「無」或「寫入」) 指派給表單資料夾,該存取權限將優先於其父資料夾的存取權限。例如,如果使用者具有 Folder1 的「寫入」存取權,但對於其中包含的 Folder2 只有「無」存取權,該使用者將可以開啟 Folder1,但看不到 Folder2。
如果使用者對稱為 Folder1 的表單資料夾 (含有使用者具有「寫入」存取權的表單 (稱為 Form1)) 具有「無」存取權,該使用者將可看到 Folder1 與 Form1。
指派商業規則的存取權
在使用者啟動商業規則之前,他們必須先獲得規則的存取權限。
最佳作法是將商業規則組織到具有類似使用者權限的資料夾中,以及將安全性套用至資料夾。您也可以提供存取權限給個別的商業規則,雖然這有一點比較耗時。
除非使用者獲指派更具體的存取權,否則,他們對其獲指派存取權之資料夾內的 Calculation Manager 商業規則具有「啟動」存取權
指派任務清單的存取權
為了能夠在應用程式中導覽,使用者必須獲得個別任務清單的存取權指派。
最佳作法是使用群組指派存取權。將存取權套用至個別任務清單,會更有效率。
指派報表的存取權
在使用者可以使用它之前,必須先指派報表的存取權給使用者。
與其他物件一樣,建議您將報表組織成資料夾並在資料夾層級指派存取權。這將可限制維護安全性所需的作業。將報表新增至資料夾時,會從資料夾繼承存取權。