Seguridad de la aplicación

El sistema restringe el acceso a transacciones o servicios explícitos mediante un servicio de aplicación. En los puntos siguientes se resaltan las posibles opciones de seguridad.

  • En los puntos siguientes se detalla la seguridad relativa a la vista y modificación de registros individuales del sistema:

    • Todos los objetos de mantenimiento definen un servicio de aplicación que incluye las acciones básicas disponibles, que normalmente son Añadir, Cambiar, Suprimir y Consultar. El producto base proporciona un servicio de aplicación para cada objeto de mantenimiento. Debe tenerse en cuenta que el servicio de aplicación del objeto de mantenimiento se define en el programa de servicio relacionado.

    • Para aquellos objetos de mantenimiento cuya página de interfaz de usuario no esté basada en portal, el servicio de aplicación controlará también si aparece la entrada de menú. Si un usuario no tiene acceso al servicio de aplicación del objeto de mantenimiento, la opción de menú que corresponda al servicio de aplicación no será visible.

    • Para las interfaces de usuario basadas en portal, cada portal principal (autónomo) definirá un servicio de aplicación explícito con el modo de acceso Consultar, permitiendo que la interfaz de usuario se proteja de forma independiente de la seguridad del objeto subyacente. Si un usuario no tiene acceso al servicio de aplicación del portal, la opción de menú que corresponda con el servicio de aplicación no será visible. El producto base proporciona un servicio de aplicación para cada portal al que se pueda acceder desde el menú. Debe tenerse en cuenta que el servicio de aplicación del portal se define en el programa de servicio relacionado, que se deriva mediante la opción de navegación y la clave de navegación.

    • Las opciones de menú pueden definir un servicio de aplicación/modo de acceso. Por lo general, la seguridad que incluyen los portales y los objetos de mantenimiento ofrece la suficiente granularidad como para suprimir las opciones de menú a las que el usuario no dispone de acceso. Al enlazar un servicio de aplicación/modo de acceso explícito, se suprimirán además las opciones de menú en uno de los escenarios siguientes:

      • Para suprimir una entrada de menú si la seguridad de aplicación subyacente para la transacción no ofrece un control lo suficientemente preciso. Por ejemplo, imaginemos que la implantación crea un script de ayudante de proceso de negocio para añadir una entrada de tarea y desea que los usuarios utilicen el ayudante de proceso de negocio especial, en lugar del cuadro de diálogo base proporcionado para Añadir, en la entrada de tarea. La configuración de seguridad subyacente para la entrada de tarea debe otorgar acceso de tipo Añadir a estos usuarios, ya que el ayudante de proceso de negocio especial seguirá añadiendo un registro. Para suprimir el cuadro de diálogo base Añadir, enlace un servicio de aplicación especial y un modo de acceso para la opción de menú base proporcionada para la entrada de tarea Añadir. A continuación, defina una entrada de menú para que el ayudante de proceso de negocio realice la adición.

      • Suprima la opción de añadir, en caso de que un usuario no disponga del modo de seguridad Añadir para el objeto. El producto no suprimirá por defecto la función Añadir, si el usuario no tiene acceso de adición para el objeto. En su lugar, se impedirá que el usuario añada el registro en backend. Si la implantación desea suprimir la opción de menú, enlace el servicio de aplicación del objeto y el modo de acceso Añadir a la opción de menú Añadir.

      Nota: por lo general, el producto base no incluye opciones de menú con los servicios de aplicación configurados. En caso de que exista uno de los escenarios anteriores, las implantaciones pueden añadir esta configuración.

    • Las zonas definen un servicio de aplicación.

      • Para las zonas enlazadas a un portal, si un usuario no dispone de acceso al servicio de aplicación de la zona, esta no será visible en el portal. En la mayor parte de los casos, la zona se entrega con el mismo servicio de aplicación que el portal. En casos especiales, como, por ejemplo, las zonas del panel de control, el producto proporciona servicios de aplicación independientes para cada zona, permitiendo que las implantaciones determinen en un nivel más granular qué usuarios deben tener acceso a determinadas zonas.

      • Para zonas de consulta que se configuran en una zona multiconsulta, en caso de que un usuario no disponga de acceso al servicio de aplicación de la zona, esta no será visible en la lista desplegable de la zona multiconsulta. En la mayoría de los casos, todas las zonas de una zona multiconsulta definen el mismo servicio de aplicación que la zona multiconsulta. El producto puede ofrecer un servicio de aplicación especial para una o más zonas de una zona multiconsulta, en caso de que la funcionalidad sea especial para determinados mercados o jurisdicciones y no sea aplicable a todas las implantaciones.

      • En el caso de aquellas zonas que los servicios de negocio utilizan para realizar consultas SQL, el producto proporciona un servicio de aplicación por defecto. El producto no comprueba la seguridad de estas zonas ya que se utilizan de forma interna.

    • En el caso de las páginas basadas en portal, podrán mostrarse u ocultarse los elementos individuales según la seguridad, utilizando la función oraHasSecurity del HTML del mapa de UI en las sugerencias de UI de un esquema. Para obtener más información, consulte Comprobación del acceso de seguridad del usuario.

    • Los objetos de negocio definen un servicio de aplicación. Si el objeto de negocio define un ciclo de vida útil, el servicio de aplicación deberá incluir modos de acceso que correspondan a cada estado. Además, se incluirán los modos de acceso estándar del objeto de mantenimiento: Añadir, Cambiar, Suprimir y Consultar. Los objetos de negocio de producto base se incluyen con los servicios de aplicación correspondientes. Además, las implantaciones pueden sustituir el servicio de aplicación configurado, si se desea.

    • Los controles de lotes definen un servicio de aplicación que incluye la posibilidad de proteger la ejecución de procesos por lotes individuales. El servicio de aplicación debe incluir un modo de acceso Ejecutar. Los controles de lotes de producto base se incluyen con los servicios de aplicación correspondientes. Por lo general, estos servicios incluyen un ID que coincide con el de control de lote.

    • Los registros de definición de informe definen un servicio de aplicación. El servicio de aplicación debe incluir un modo de acceso Ejecutar/consultar informe.

  • Los objetos siguientes se pueden proteger, aunque por lo general se ejecutan mediante procesos internos. Se incluye seguridad para garantizar la protección en cualquier acceso a los objetos por parte de un origen externo.

    • Los scripts de ayudante de proceso de negocio pueden definir un servicio de aplicación con el modo de acceso Ejecutar. Por lo general, los scripts de ayudante de servicio de negocio base no se configuran con ningún servicio de aplicación. Una implantación puede definir una. Debe tenerse en cuenta que, como ya se ha mencionado con anterioridad, también se puede configurar una entrada de menú con un servicio de aplicación y un modo de acceso. Esto permite proteger de más de una forma el ayudante de servicio de negocio al que se llama mediante una entrada de menú.

    • Los servicios de negocio y los scripts de servicio definen un servicio de aplicación con el modo de acceso Ejecutar. Esto será necesario para servicios que se pueden ejecutar desde un sistema externo; por ejemplo, a través de un servicio web entrante. Los servicios de negocio y los scripts de servicio base que se enlazan a un servicio web entrante se configuran con un servicio de aplicación especial. Todos los demás servicios de negocio y scripts de servicio se entregan con un servicio de aplicación por defecto, que se puede sustituir con una implantación.

    • Los scripts también pueden comprobar la seguridad en un tipo de paso de edición de datos en caso de que exista alguna funcionalidad que pueda ejecutarse o no según el acceso de seguridad del usuario. El paso Editar datos incluirá una llamada al servicio de negocio F1-CheckApplicationSecurity.

    • Los programas de servicio definen un servicio de aplicación. Como se ha indicado con anterioridad, en el caso de portales y objetos de mantenimiento, el servicio de aplicación se obtendrá a partir del programa de servicio relacionado. En la base, los servicios de aplicación específicos se liberarán para cada uno de estos tipos de programa de servicio. Por lo general, todos los demás programas de servicio se entregarán con un servicio de aplicación por defecto, que se puede sustituir con una implantación. Debe tenerse en cuenta que, en el caso de los programas de servicio enlazados a un servicio de negocio, el servicio de aplicación de este último tendrá prioridad al llamar al servicio de negocio.

Se otorga acceso a los usuarios a los servicios de aplicación mediante grupos de usuarios. Por ejemplo, puede crear un grupo de usuarios denominado Directores ejecutivos y otorgarles acceso a las páginas y los portales dirigidos a los directores ejecutivos.

  • Cuando se otorga a un grupo de usuarios el acceso a un servicio de aplicación con varios modos de acceso, deberán definirse también los modos de acceso que se permiten. Con frecuencia, los modos de acceso corresponden a una acción de una interfaz de usuario. Por ejemplo, podría indicar que un grupo de usuarios determinado tiene solo el acceso Consultar para un servicio de aplicación mientras que otro grupo cuenta con el acceso Añadir, Cambiar, Cancelar y Finalizar para el mismo servicio.  Consulte Seguridad de nivel de acción para obtener más información.

  • Si el servicio de la aplicación tiene activada la seguridad de nivel de campo, debe definir también el nivel de seguridad del grupo de usuarios para cada campo asegurado de la transacción.

  • Por último, se enlazan los usuarios individuales al grupo de usuarios al que pertenecen. Cuando se enlaza un usuario a un grupo de usuarios, dicho usuario hereda todos los derechos de acceso del grupo.