Seguridad de Aplicación

El sistema restringe el acceso a transacciones o servicios explícitos mediante un servicio de aplicación. Los siguientes puntos resaltan qué se puede proteger.

  • Los siguientes puntos resaltan la seguridad relacionada con la visualización y modificación de registros individuales en el sistema:

    • Todos los objetos de mantenimiento definen un servicio de aplicación que incluye las acciones básicas disponibles, generalmente, Agregar, Cambiar, Suprimir y Consultar. El producto base proporciona un servicio de aplicación para cada objeto de mantenimiento. Tenga en cuenta que el servicio de aplicación para el objeto de mantenimiento se define en el programa de servicio relacionado.

    • Para los objetos de mantenimiento cuya página de interface de usuario no está basada en portal, el servicio de aplicación también controla si aparece la entrada del menú. Si un usuario no tiene acceso a un servicio de aplicación del objeto de mantenimiento, el elemento de menú que corresponde al servicio de aplicación no estará visible.

    • Para interfaces de usuario basadas en portal, cada portal principal (independiente) define un servicio de aplicación explícito con el modo de acceso Consultar, lo que permite proteger la interface de usuario independientemente de la seguridad del objeto subyacente. Si un usuario no tiene acceso a un servicio de aplicación del portal, el elemento de menú que corresponde al servicio de aplicación no estará visible. El producto base proporciona un servicio de aplicación para todos los portales accesibles desde el menú. Tenga en cuenta que el servicio de aplicación para el portal se define en el programa de servicio relacionado, que se deriva de la opción de navegación y la tecla de navegación.

    • Los Elementos de Menú pueden definir un servicio de aplicación o un modo de acceso. Generalmente, la seguridad suministrada para portales y objetos de mantenimiento proporciona suficiente granularidad para suprimir los elementos de menú a los que un usuario no tiene acceso. Si se enlaza un servicio de aplicación o modo de acceso explícitos, se suprimirá el elemento de menú también en uno de los siguientes escenarios:

      • Suprima un elemento de menú si la seguridad de la aplicación subyacente de la transacción no proporciona suficiente control sobre los registros. Por ejemplo, supongamos que su implementación crea un script de Asistente de Proceso de Negocios para agregar una Tarea y desea que los usuarios usen el Asistente de Proceso de Negocios especial en lugar del cuadro de diálogo base Agregar suministrado para Tarea. La configuración de seguridad subyacente para Tarea debe otorgar a estos usuarios acceso para Agregar, dado que el Asistente de Proceso de Negocios especial agregará un registro. Para suprimir el cuadro de diálogo base Agregar, enlace un servicio de aplicación especial y un modo de acceso para el elemento de menú base suministrado para Agregar Tarea. A continuación, defina una entrada de menú para el Asistente de Proceso de Negocios para agregar.

      • Suprima la opción de adición si un usuario no tiene seguridad para agregar para el objeto. Por defecto, el producto no suprime la función de adición si un usuario no tiene acceso de adición para el objeto. En su lugar, se evita que el usuario agregue el registro al back-end. Si la implementación desea suprimir la opción de menú, enlace el servicio de aplicación del objeto y el modo de acceso Agregar al elemento de menú Agregar.

      Nota: El producto base normalmente no proporciona elementos de menú con los servicios de aplicación configurados. Las implementaciones pueden agregar esta configuración si existe uno de los escenarios anteriores.

    • Zonas define un servicio de aplicación.

      • Para las zonas enlazadas a un portal, si el usuario no tiene acceso al servicio de aplicación de la zona, la zona no estará visible en el portal. En la mayoría de los casos, la zona se entrega con el mismo servicio de aplicación que el portal. En casos especiales, como las zonas del Panel de Control, el producto suministra servicios de aplicación separados para cada zona, lo que permite determinar las implementaciones en un nivel más granular, cuáles usuarios deben tener acceso a cuáles zonas.

      • Para las zonas de consultas que están configuradas en una zona de múltiples consultas, si un usuario no tiene acceso al servicio de aplicación de la zona, la zona no estará visible desde el menú desplegable de la zona de múltiples consultas. En la mayoría de los casos, todas las zonas de una zona de múltiples consultas definen el mismo servicio de aplicación que la zona de múltiples consultas. El producto puede suministrar un servicio de aplicación especial para una o más zonas de una zona de múltiples consultas si la funcionalidad es especial para determinados mercados o jurisdicciones, y no se aplica a todas las implementaciones.

      • Para las zonas usadas por servicios de negocios para realizar consultas SQL, el producto suministra un servicio de aplicación por defecto. El producto no controla la seguridad de estas zonas, ya que se usan para propósitos internos.

    • Para las páginas basadas en portales, se pueden mostrar u ocultar elementos individuales según la seguridad mediante la función oraHasSecurity en el HTML de un mapa de UI o en las indicaciones de UI de un esquema. Consulte Control de Acceso de Seguridad de Usuario para obtener más información.

    • Objetos de Negocio define un servicio de aplicación. Si el objeto de negocios define un ciclo de vida, el servicio de aplicación debe incluir modos de acceso que correspondan a cada estado. Además, se incluyen los modos de acceso de objeto de mantenimiento standard de Agregar, Cambiar, Suprimir y Consultar. Los objetos de negocios de productos base se suministrar con los servicios de aplicación adecuados. Además, las implementaciones pueden sustituir el servicio de aplicación configurado si así lo desea.

    • Controles de Lote define un servicio de aplicación que proporciona la capacidad de proteger la ejecución de procesos de lote individuales. El servicio de aplicación debe incluir un modo de acceso de Ejecutar. Los controles de lote del producto base se suministran con los servicios de aplicación adecuados. Estos servicios normalmente tienen una ID que coincide con la ID de control de lote.

    • Los registros de Definición de Informe definen un servicio de aplicación. El servicio de aplicación debe incluir un modo de acceso de Ejecutar/Visualizar Informe.

  • Los siguientes objetos son asegurables pero generalmente se ejecutan mediante procesos internos. La seguridad se proporciona para garantizar que todos los accesos a los objetos desde una fuente externa estén protegidos.

    • Los Scripts de Asistentes de Proceso de Negocio pueden definir un servicio de aplicación con el modo de acceso Ejecutar. Generalmente, los scripts base de Asistente de Proceso de Negocios no se configuran con ningún servicio de aplicación. Una implementación puede definir uno. Tenga en cuenta que, como se mencionó anteriormente, también se puede configurar un elemento de menú con un servicio de aplicación y un modo de acceso. Esto permite proteger de varias maneras a un Asistente de Proceso de Negocios invocado mediante una entrada de menú.

    • Servicios de Negocio y Script de Servicio definen un servicio de aplicación con el modo de acceso Ejecutar. Esto es necesario para los servicios que se pueden ejecutar desde un sistema externo, por ejemplo, mediante un servicio web de entrada. Los servicios de negocio y scripts de servicio base enlazados a un servicio web de entrada están configurados con un servicio de aplicación especial. El resto de los servicios de negocio y scripts de servicio se entregan con un servicio de aplicación por defecto, que se puede sustituir mediante una implementación.

    • Los scripts también pueden controlar la seguridad en un tipo de paso de Edición de Datos si hay alguna funcionalidad que debe o no ejecutarse según el acceso de seguridad de un usuario. El paso de Edición de Datos incluiría una llamada al servicio de negocio F1-CheckApplicationSecurity

    • Programas de Servicio define un servicio de aplicación. Como se mencionó anteriormente, para Portales y Objetos de Mantenimiento, el servicio de aplicación se toma del programa de servicio relacionado. Básicamente, se liberan servicios de aplicación específicos para cada uno de estos tipos de programas de servicio. El resto de los programas de servicio generalmente se entregan con un servicio de aplicación por defecto, que se puede sustituir mediante una implementación. Tenga en cuenta que, para los programas enlazados a un Servicio de Negocio, el servicio de aplicación del servicio de negocio tiene prioridad cuando se invoca el servicio de negocio.

A los usuarios se les otorga acceso a los servicios de aplicación mediante grupos de usuarios. Por ejemplo, puede crear un grupo de usuarios denominado Administración Senior y darle acceso a páginas y portales orientados a administradores senior.

  • Cuando otorga acceso de grupo de usuarios a un servicio de aplicación con múltiples modos de acceso, también debe definir los modos de acceso permitidos. A menudo, los modos de acceso corresponden a una acción de la interface de usuario. Por ejemplo, puede indicar que un determinado grupo de usuarios tiene acceso de sólo consulta a un servicio de aplicación, mientras que otro tiene acceso de adición, cambio, anulación, finalización al mismo servicio. Para obtener más información, consulte seguridad a nivel de acción.

  • Si el servicio de aplicación tiene activada la seguridad a nivel de campo, también debe definir el nivel de seguridad del grupo de usuarios para cada campo asegurado en la transacción.

  • Y, finalmente, debe enlazar usuarios individuales a los grupos de usuarios a los que pertenecen. Cuando enlaza un usuario a un grupo de usuarios, éste hereda todos los derechos de acceso del grupo de usuarios.