Segurança do Aplicativo

O sistema restringe o acesso a transações ou serviços explícitos usando um serviço de aplicativo. Os pontos a seguir destacam o que pode ser protegido.

  • Os pontos a seguir destacam a segurança relacionada a visualizar e modificar registros individuais no sistema:

    • Todos os objetos de manutenção definem um serviço de aplicativo que tem as ações básicas disponíveis, geralmente Adicionar, Alterar, Excluir, e Consultar. O produto base fornece um serviço de aplicativo para cada objeto de manutenção. Observe que o serviço de aplicativo do objeto de manutenção é definido no programa de serviço dele.

    • Para objetos de manutenção cuja página de interface do usuário não for baseada no portal, o serviço de aplicativo também controla se a entrada do menu é exibida. Se um usuário não tiver acesso ao serviço de aplicativo do objeto de manutenção, o item de menu que corresponde ao serviço de aplicativo não ficará visível.

    • Para interfaces do usuário com base no portal, cada portal principal (independente) define um serviço de aplicativo explícito com o modo de acesso Consultar, que permite que a interface do usuário seja protegida, independentemente da segurança do objeto subjacente. Se um usuário não tiver acesso ao serviço de aplicativo do portal, o item de menu que corresponde ao serviço de aplicativo não ficará visível. O produto base fornece um serviço de aplicativo para cada portal acessível a partir do menu. Observe que o serviço de aplicativo do portal é definido no programa de serviço dele, que é derivado por meio de suas opções de navegação e chave de navegação.

    • Os itens de menu podem definir um serviço de aplicativo/modo de acesso. Geralmente, a segurança fornecida para portais e objetos de manutenção garante granularidade o bastante para suprimir itens do menu aos quais um usuário não tem acesso. Vincular um serviço de aplicativo explícito/modo de acesso suprimirá ainda mais o item do menu sob um dos cenários a seguir:

      • Suprima um item de menu, se a segurança do aplicativo subjacente da transação não fornecer controle detalhado. Por exemplo, imagine que a implementação cria um script de BPA especial para adicionar uma Entrada de Atividade e quer que os usuários usem o BPA especial, em vez da caixa de diálogo Adicionar fornecida para a Entrada de Atividade. As configurações de segurança subjacente da Entrada de Atividade deve conceder o acesso Adicionar a esses usuários, considerando que o BPA especial ainda adicionará um registro. Para suprimir a caixa de diálogo base Adicionar, vincule um serviço de aplicativo especial e o modo de acesso para o item de menu base fornecido para Adição de Entrada de Atividade. Em seguida, defina uma entrada de menu para o novo BPA especial para adição.

      • Suprima a opção de adição se um usuário não tiver que adicionar segurança para o objeto. Por padrão, o produto não suprime a função adicionar se o usuário não tiver que adicionar acesso ao objeto. Em vez disso, o usuário é impedido de adicionar o registro no back-end. Se a implementação quiser suprimir a opção do menu, vincule o serviço de aplicativo do objeto e o modo de acesso Adicionar ao item de menu Adicionar.

      Observação: Geralmente, o produto base não disponibiliza itens do menu com serviços de aplicativo configurados. As implementações podem adicionar essa configuração se um dos cenários acima existir.

    • Zonas definem um serviço de aplicativo.

      • Para zonas vinculadas a um portal, se um usuário não tiver acesso ao serviço do aplicativo da zona, a zona não ficará visível no portal. Na maioria dos casos a zona é entregue com o mesmo serviço de aplicativo de seu portal. Em casos especiais, tais como as zonas do Painel, o produto fornece serviços de aplicativo separados para cada zona, permitindo que as implementações determinem em um nível mais granular, quais usuários devem ter acesso a quais zonas.

      • Para zonas de consulta que estão configuradas em uma zona de várias consultas, se um usuário não tiver acesso ao serviço do aplicativo da zona, a zona não ficará visível na lista suspensa, na zona de várias consultas. Na maioria dos casos, todas as zonas em uma zona de várias consultas definem o mesmo serviço de aplicativo como a zona de várias consultas. O produto pode fornecer um serviço de aplicativo especial para uma ou mais zonas em uma zona de várias consultas, se a funcionalidade for especial para determinados mercados ou jurisdições e não aplicável a todas as implementações.

      • Para zonas que são usadas pelos serviços de negócios para executar consultas SQL, o produto fornece um serviço de aplicativo padrão. A segurança dessas zonas não é verificada pelo produto, pois elas são usadas para fins internos.

    • Para páginas baseadas no portal, elementos individuais podem ser mostrados ou ocultados com base na segurança usando a função oraHasSecurity no HTML de um Mapa da Interface do Usuário ou nas Dicas da Interface do Usuário em um esquema. Para obter mais informações, consulte Verificar Segurança de Acesso do Usuário.

    • Os objetos de negócios definem um serviço de aplicativo. Se o objeto de negócios definir um ciclo de vida, o serviço de aplicativo deve incluir os modos de acesso que correspondem a esse estado. Além disso, os modos de acesso do objeto de manutenção padrão de Adicionar, Alterar, Excluir e Consultar são incluídos. Os objetos de negócios do produto base são fornecidos com os serviços de aplicativo apropriados. Além disso, as implementações podem substituir o serviço de aplicativo configurado, se desejado.

    • Os controles de batch definem um serviço de aplicativo que fornece a capacidade de enviar processos em batch individuais. O serviço de aplicativo deve ter um modo de acesso de Executar. Os controles em batch do produto-base são fornecidos com os serviços de aplicativo apropriados. Esses serviços geralmente têm um ID que corresponde ao ID de controle em batch.

    • Registros de Definição de Relatório definem um serviço de aplicativo. O serviço de aplicativo precisa incluir um modo de acesso de Enviar/Visualizar Relatório.

  • Os objetos a seguir podem ser protegidos, mas geralmente são executados por meio de processos internos. A segurança é fornecida para garantir que qualquer acesso aos objetos a partir de uma origem externa seja protegido.

    • Os scripts de BPA definem um serviço de aplicativo com o modo de acesso Executar. Os scripts-base de BPA geralmente não são configurados com nenhum serviço do aplicativo. Uma implementação deve definir um. Observe que, conforme mencionado acima, um item de menu também pode ser configurado com um serviço de aplicativo e modo de acesso. Isso permite que um BPA seja chamado por meio de uma entrada de menu a ser protegida em mais de uma maneira.

    • Os Serviços de Negócios e os Scripts de Serviço definem um serviço de aplicativo com o modo de acesso Executar. É necessário para serviços de negócios que podem ser executados de um sistema externo, por exemplo, um serviço Web de entrada. Os serviços de negócios-base e os scripts de serviço que estão vinculados a serviço Web de entrada são configurados com um serviço de aplicativo especial. Todos os outros serviços de negócios e scripts de serviços são enviados com um serviço de aplicativo padrão, que pode ser substituído por uma implementação.

    • Os scripts também podem verificar a segurança em um tipo de etapa Editar Dados se houver alguma funcionalidade que deva ou não ser executada com base no acesso de segurança de um usuário. A etapa Editar Dados incluiria uma chamada para o serviço de negócios F1-CheckApplicationSecurity.

    • Os Programas de Serviço definem um serviço de aplicativo. Conforme mencionado acima, para Portais e Objetos de Manutenção, o serviço de aplicativo correspondente é obtido do programa de serviço relacionado. Na base, serviços de aplicativo específicos são lançados para cada um desses tipos de programas de serviço. Todos os outros programas de serviço geralmente são enviados com um serviço de aplicativo padrão, que pode ser substituído por uma implementação. Observe que, para programas de serviço vinculados a um Serviço de Negócios, o serviço de aplicativo no serviço de negócios assume precedência ao chamar o serviço de negócios.

Os usuários recebem acesso aos serviços de aplicativo, por meio de grupos de usuários. Por exemplo, você pode criar um grupo de usuários denominado Alta Direção e fornecer a ele acesso a páginas e portais orientados a diretores.

  • Quando você conceder acesso a um grupo de usuários a um serviço de aplicativo com vários modos de acesso, você também deve definir os modos de acesso que são permitidos. Geralmente, os modos de acesso correspondem a uma ação em uma interface do usuário. Por exemplo, você pode indicar que um determinado grupo de usuários tenha acesso somente de consulta a um serviço de aplicativos, enquanto outro grupo de usuários tenha acesso ao mesmo serviço para adicionar, alterar, cancelar, e concluir. Para obter mais informações, consulte Segurança no Nível da Ação.

  • Se o serviço de aplicativo tiver a opção segurança no nível de campo ativada, defina também o nível de segurança do grupo para cada campo protegido na transação.

  • E, finalmente, vincule usuários individuais aos grupos aos quais eles pertencem. Quando você vincula um usuário a um grupo, ele herda todos os direitos de acesso desse grupo de usuários.