Objetos Protegidos e Serviços de Aplicativo

O sistema restringe o acesso a transações ou serviços explícitos usando um serviço de aplicativo. As seções a seguir fornecem mais informações sobre quais objetos são protegidos, como descobrir o que é protegido por cada serviço de aplicativo, bem como informações adicionais relacionadas ao gerenciamento de serviços de aplicativo.

O que é Protegido por um Serviço de Aplicativo

  • Os pontos a seguir destacam a segurança relacionada a visualizar e modificar registros individuais no sistema:

    • Todos os objetos de manutenção definem um serviço de aplicativo que tem as ações básicas disponíveis, geralmente Adicionar, Alterar, Excluir, e Consultar. O produto base fornece um serviço de aplicativo para cada objeto de manutenção. Alguns objetos que incluem um ciclo de vida fixo podem definir modos de acesso adicionais no serviço de aplicativo do objeto de manutenção. O serviço de aplicativo do objeto de manutenção é definido no programa de serviço dele.

      CUIDADO: Importante! Se um serviço de aplicativo oferecer suporte a ações de modificação do banco de dados diferentes de Adicionar, Alterar e Excluir, forneça ao usuário acesso para Alterar, além dos outros direitos de acesso. Considere um objeto de manutenção que inclua os modos de acesso Congelar, Concluir e Cancelar). Se você quiser fornecer acesso para um usuário a qualquer uma dessas ações especiais, permita também seu acesso à ação Alterar.

    • Para objetos de manutenção cuja página de interface do usuário não for baseada no portal, o serviço de aplicativo também controla se a entrada do menu é exibida. Se um usuário não tiver acesso ao serviço de aplicativo do objeto de manutenção, o item de menu que corresponde ao serviço de aplicativo não ficará visível.

    • Para interfaces do usuário com base no portal, cada portal principal (independente) define um serviço de aplicativo explícito com o modo de acesso Consultar, que permite que a interface do usuário seja protegida, independentemente da segurança do objeto subjacente. Se um usuário não tiver acesso ao serviço de aplicativo do portal, o item de menu que corresponde ao serviço de aplicativo não ficará visível. O produto base fornece um serviço de aplicativo para cada portal acessível a partir do menu. Observe que o serviço de aplicativo do portal é definido no programa de serviço dele, que é derivado por meio de suas opções de navegação e chave de navegação.

    • Os itens de menu podem definir um serviço de aplicativo/modo de acesso. Geralmente, a segurança fornecida para portais e objetos de manutenção garante granularidade o bastante para suprimir itens do menu aos quais um usuário não tem acesso. Além disso, por padrão, o sistema preenche os modos de acesso/serviços de aplicativo nos itens de menu relacionados a um script de BPA. Um caso de uso comum é o item de menu "Adicionar" para manutenção de um objeto. Nesse caso, geralmente o serviço de aplicativo do objeto de manutenção é usado junto com o modo de acesso Adicionar. Outros tipos de itens de menu relacionados a BPA podem ter outra configuração apropriada.

      Os clientes podem optar por vincular um serviço de aplicativo/modo de acesso explícito para suprimir ainda mais um item de menu. Por exemplo, imagine que a implementação cria um script de BPA especial para adicionar uma Entrada de Atividade e quer que os usuários usem o BPA especial, em vez da caixa de diálogo Adicionar fornecida para a Entrada de Atividade. O item de menu base fornecido para adicionar uma Entrada de Atividade usa o serviço de aplicativo do objeto de manutenção Entrada de Atividade com o acesso Adicionar. Os usuários precisam dessa configuração de segurança para poder adicionar uma Entrada de Atividade mesmo de um diálogo diferente. Para suprimir a caixa de diálogo base Adicionar, substitua a configuração do item de menu base fornecido para Adição de Entrada de Atividade com um serviço de aplicativo especial e modo de acesso. Em seguida, defina uma entrada de menu para o novo BPA especial para adição.

    • Zonas definem um serviço de aplicativo.

      • Para zonas vinculadas a um portal, se um usuário não tiver acesso ao serviço do aplicativo da zona, a zona não ficará visível no portal. Na maioria dos casos a zona é entregue com o mesmo serviço de aplicativo de seu portal. Em casos especiais, como as zonas da Barra Lateral, o produto fornece serviços de aplicativo separados para cada zona, permitindo que as implementações determinem, em um nível mais granular, quais usuários devem ter acesso a quais zonas.

      • Para zonas de consulta que estão configuradas em uma zona de várias consultas, se um usuário não tiver acesso ao serviço do aplicativo da zona, a zona não ficará visível na lista suspensa, na zona de várias consultas. Na maioria dos casos, todas as zonas em uma zona de várias consultas definem o mesmo serviço de aplicativo como a zona de várias consultas. O produto pode fornecer um serviço de aplicativo especial para uma ou mais zonas em uma zona de várias consultas, se a funcionalidade for especial para determinados mercados ou jurisdições e não aplicável a todas as implementações.

      • Para zonas que são usadas pelos serviços de negócios para executar consultas SQL, o produto fornece um serviço de aplicativo padrão (F1-DFLTS). A segurança dessas zonas não é verificada pelo produto, pois elas são usadas para fins internos.

    • Para páginas baseadas no portal, elementos individuais podem ser mostrados ou ocultados com base na segurança usando a função oraHasSecurity no HTML de um Mapa da Interface do Usuário ou nas Dicas da Interface do Usuário em um esquema. Para obter mais informações, consulte Verificar Segurança de Acesso do Usuário.

    • Os objetos de negócios definem um serviço de aplicativo. Se o objeto de negócios definir um ciclo de vida, o serviço de aplicativo deve incluir os modos de acesso que correspondem a esse estado. Além disso, os modos de acesso do objeto de manutenção padrão de Adicionar, Alterar, Excluir e Consultar são incluídos. Os objetos de negócios do produto base são fornecidos com os serviços de aplicativo apropriados. Além disso, as implementações podem substituir o serviço de aplicativo configurado, se desejado.

      CUIDADO: Importante! Se um serviço de aplicativo oferecer suporte a ações de modificação do banco de dados diferentes de Adicionar, Alterar e Excluir, forneça ao usuário acesso para Alterar, além dos outros direitos de acesso. Considere um objeto de negócios que inclua os estados do ciclo de vida Congelar, Concluir e Cancelar). Se você quiser fornecer acesso para um usuário a qualquer uma dessas ações especiais, permita também seu acesso à ação Alterar.

    • Os controles de batch definem um serviço de aplicativo que fornece a capacidade de enviar processos em batch individuais. O serviço de aplicativo deve ter um modo de acesso de Executar. Os controles em batch do produto-base são fornecidos com os serviços de aplicativo apropriados. Esses serviços geralmente têm um ID que corresponde ao ID de controle em batch.

    • Registros de Definição de Relatório definem um serviço de aplicativo. O serviço de aplicativo precisa incluir um modo de acesso de Enviar/Visualizar Relatório.

  • Os objetos a seguir podem ser protegidos, mas geralmente são executados por meio de processos internos. A segurança é fornecida para garantir que qualquer acesso aos objetos a partir de uma origem externa seja protegido.

    • Os scripts de BPA definem um serviço de aplicativo com o modo de acesso Executar. Os scripts-base de BPA geralmente não são configurados com nenhum serviço do aplicativo. Uma implementação deve definir um. Observe que, conforme mencionado acima, um item de menu também pode ser configurado com um serviço de aplicativo e modo de acesso. Isso permite que um BPA seja chamado por meio de uma entrada de menu a ser protegida em mais de uma maneira.

    • Os Serviços de Negócios e os Scripts de Serviço definem um serviço de aplicativo com o modo de acesso Executar. É necessário para serviços de negócios que podem ser executados de um sistema externo, por exemplo, um serviço Web de entrada. Os serviços de negócios-base e os scripts de serviço que estão vinculados a serviço Web de entrada são configurados com um serviço de aplicativo especial. Todos os outros serviços de negócios e scripts de serviços são fornecidos com um serviço de aplicativo padrão (F1-DFLTS), que pode ser substituído por uma implementação.

    • Os scripts também podem verificar a segurança em um tipo de etapa Editar Dados se houver alguma funcionalidade que deva ou não ser executada com base no acesso de segurança de um usuário. A etapa Editar Dados incluiria uma chamada para o serviço de negócios F1-CheckApplicationSecurity.

    • Os Programas de Serviço definem um serviço de aplicativo. Conforme mencionado acima, para Portais e Objetos de Manutenção, o serviço de aplicativo correspondente é obtido do programa de serviço relacionado. Na base, serviços de aplicativo específicos são lançados para cada um desses tipos de programas de serviço. Todos os outros programas de serviço geralmente são enviados com um serviço de aplicativo padrão(F1-DFLTS), que pode ser substituído por uma implementação. Observe que, para programas de serviço vinculados a um Serviço de Negócios, o serviço de aplicativo no serviço de negócios assume precedência ao chamar o serviço de negócios.

Determinando o que um Serviço de Aplicativo Protege

Como o produto deseja fornecer o máximo de granularidade possível para que as implementações possam ter o maior controle sobre o que os usuários podem fazer, há um grande número de serviços de aplicativo fornecidos prontos para uso e pode ser assustador entender quem precisa ter acesso a quais serviços de aplicativo para realizar seu trabalho. O produto fornece várias ferramentas on-line para ajudar os administradores de segurança a entender quais serviços de aplicativo existem e para que servem.

  • Na própria página do serviço de aplicativo, há uma zona de Objetos Protegidos que indica todos os metadados relacionados a esse serviço de aplicativo. Há um pequeno número de serviços de aplicativo que estão protegendo a funcionalidade que não pode ser descoberta pela zona de Objetos Protegidos. Para esses serviços, a descrição detalhada do serviço de aplicativo deve indicar para que serve.

  • Um grande percentual de segurança está relacionado a uma página específica no sistema acessível por meio do menu. Devido às diferentes camadas de segurança, para poder exibir um registro, você pode precisar acessar vários serviços de aplicativo: o associado ao portal de consulta, o associado ao portal de manutenção, o associado ao objeto de manutenção do registro e o associado ao objeto de negócios que controla o registro. Ao exibir um menu, há uma guia Segurança do Aplicativo, que permite revisar cada linha de menu e ver uma lista de todos os serviços de aplicativo aos quais um usuário pode precisar acessar para visualizar ou manter dados nessa página relacionada.

  • O portal Consulta de Segurança do Aplicativo fornece vários filtros para exibir quais objetos estão sendo protegidos por quais serviços. Além dos itens de menu, ela mostra controles de batch, relatórios, serviços da Web e outras funcionalidades. Além disso, permite exibir quais usuários e quais grupos de usuários têm atualmente acesso a quais serviços de aplicativo e permite comparar a segurança de dois usuários.
  • O portal Grupo de Usuários inclui várias zonas que ajudam os administradores de segurança a configurar as opções de segurança ou revisar a configuração de segurança. A guia principal inclui uma zona para Adicionar Serviços de Aplicativo. Essa zona só mostra os serviços de aplicativo que ainda não estão vinculados e fornece várias maneiras de restringir a lista de serviços de aplicativo. A guia Gerenciador de Serviço tem uma zona semelhante, mas divide as informações em uma combinação de serviço de aplicativo e modo de acesso. Por fim, a guia Componentes Protegidos é semelhante à Consulta de Segurança do Aplicativo. Permite consultar os objetos protegidos pelos serviços de aplicativo neste grupo de usuários.

Serviços de Aplicativo Introduzidos em uma Versão

Quando uma nova funcionalidade é fornecida que inclui qualquer objeto associado a um serviço de aplicativo, é possível introduzir novos serviços de aplicativo. As notas de versão do produto indicam os novos serviços de aplicativo incluídos na versão. Além disso, o produto inclui uma Tag de Entidade especial que inclui uma lista dos novos serviços de aplicativo. A descrição da tag usa a referência da versão da nuvem em vez da referência da versão local para se identificar.