使用者和使用者群組
使用者群組會定義其使用者可存取的應用服務和存取模式。一個使用者可以與多個使用者群組建立關聯。使用者群組可以有重疊的安全性組態,而使用者的安全性存取權則結合其所有使用者群組所授與的所有安全性。
實作的主要工作是決定如何定義其使用者群組。可建立使用者群組來代表角色或其他職務相關的分類;或是根據組織因素;或兩者的組合。請參考受保護物件與應用服務 以取得相關指導方針,瞭解有哪些安全的應用服務以及提供了哪些工具,可協助安全性管理員識別要授與存取權的應用服務。
下列各區段提供與使用者和使用者群組相關的其他主題,包括與這些物件有關的部分基本功能,以及一些最佳實務。
基準傳遞的使用者/使用者群組
系統隨附一個基準使用者和一或多個基準使用者群組。這是為了讓初始使用者能存取應用程式所提供。
產品提供的所有現用應用服務都連結至基準傳遞的使用者群組。Oracle Utilities Application Framework 提供的支援應用服務與其所有支援的存取模式都連結到使用者群組 ALL_SERVICES。應用程式堆疊中的其他產品可能會將其基準傳遞的應用服務包含在此使用者群組中。此外,特定產品可提供特殊的使用者群組,針對指定的功能區域分組特定應用服務。您無法變更或移除針對基準使用者群組所傳遞的資訊。系統管理員應定義適合其業務需求的使用者群組。
定義唯讀使用者群組
產品不提供「唯讀」的使用者群組,但對於實作而言,這是常見的需求。本區段提供建立這類使用者群組的指導方針。
- 以所需名稱和描述建立使用者群組。
- 導覽至「服務管理程式」頁籤。在「新增應用服務/存取模式」頁籤中,可利用篩選將結果限制為具有「查詢」存取模式的結果。按一下標頭中的核取方塊以選取所有資料列,然後按一下「新增」。系統會提示您輸入失效日期。按一下「儲存」。(請注意,此區域限制為 1000 個服務,因此您可能需要進行多次才能新增所有服務。)
- 此外,您應將此使用者群組的存取權授與預設應用服務 F1-DFLTS (預設應用服務) 的所有存取模式。對於系統基本存取而言,此應用服務被視為所有使用者都應具備的應用服務。
範本使用者
系統支援將一或多個使用者定義為範本使用者。以下是針對使用範本使用者的兩個廣泛使用案例。
繼承偏好設定或常用組態
部分實作希望特定小組的所有使用者都能有相同的入口偏好設定與 (或) 常用連結組態。這會讓該小組中的使用者在其各自顯示上的相同位置有相同的資訊,有助於彼此解決問題。
如果您的組織想要實作這項實務,請使用所需的入口偏好設定和 (或) 常用連結來定義範本使用者。您可使用不同的組態來定義不同的使用者以提高精細程度。
對於其偏好設定或連結應取自範本使用者的每個使用者,請透過前往「使用者」記錄。如果入口偏好設定應繼承自範本使用者,請將所需範本使用者定義為入口設定檔使用者。如果常用連結應繼承自範本使用者,請將所需範本使用者定義為常用項目設定檔使用者。
如果套用,指定使用者的入口偏好設定和 (或) 常用連結將會是範本使用者上定義的項目,因此使用者無法自訂這些偏好設定。
定義範本使用者以協助建立使用者
產品中的使用者物件會擷取與許多產品使用方面有關的組態。它包含應用程式安全性組態,例如其使用者群組;透過其存取權群組的資料列等級安全性組態;定義使用者可處理之待辦事項類型的待辦事項角色,以及其他組態。組織中類似「角色」的許多使用者都會有很多相同的設定。因此,在組態大部分的設定對該角色的使用者而言為通用設定的情況下,這有助於實作定義代表組織中「角色」的範本使用者。建立新使用者時,您可以將範本使用者當作起點,然後複製該記錄來建立新使用者。接著,您只需要調整新建立使用者的唯一資訊即可。
許多實作會先在外部識別管理系統中佈建它們的使用者,然後再使用介面將使用者定義匯入產品中。如需詳細資訊,請參考從外部來源匯入安全性組態 。針對這些介面,外部系統可以定義與產品使用者記錄相關的自訂資訊,不過產品同時還支援參考範本使用者,以便在建立記錄時將範本使用者的資訊複製到新使用者。
從外部來源建立使用者時,如何參考範本使用者?
-
將新使用者上傳至系統時,介面會利用使用者業務物件 F1–IDMUser 來建立使用者。此業務物件包含前處理演算法。此演算法會尋找範本使用者 (以 F1-TMUSR 類型的特性傳送) 是否存在於新使用者的結構中。如果找到此特性,則會使用該範本使用者。如果找不到,演算法則支援將範本使用者定義為演算法參數。如果找到了範本使用者,來自該範本使用者的所有資訊都會複製到新使用者記錄,但從外部來源傳入的資訊除外。透過特性可從新建立的使用者擷取範本使用者供參考/稽核用。
備註:從範本使用者複製的資料不包含書籤。 - 建立新使用者之後,就能夠調整其組態 (如果適用的話)。請注意,範本使用者只是新增使用者時所使用的一種工具。更新範本使用者不會「擴散」至根據此範本所建立的所有其他使用者。
- 並非所有外部來源都可以定義範本使用者並將其當作特性或透過另一個欄位傳送。對於這些整合而言,將單一範本使用者當作演算法參數的這種方式,可用來定義適用於大部分新使用者的基本組態。(詳細資訊如下)。那些能夠將新使用者與外部系統中的範本使用者建立關聯並提供該範本使用者與新使用者資訊的整合,可讓您將新使用者與更符合其角色的範本使用者建立關聯。如需有關每個整合如何支援範本使用者定義的詳細資訊,請參考從外部來源匯入安全性組態。
設計範本使用者以協助建立使用者
設定範本使用者之前,必須定義屬於使用者組態的所有管理控制資料表,包含時區、顯示設定檔、待辦事項角色、資料存取權角色及使用者群組。
如果您的整合將使用定義為演算法參數的單一範本使用者,則您需要定義一個基本資訊適用於所有或至少大多數使用者的範本使用者。如需有關將此範本使用者當作演算法參數加以參考的指引,請參閱下方。
如果您建立使用者的方式允許您將使用者與更特定的範本使用者建立關聯,下一步就是為系統使用者定義使用者組態。在此作業期間,您會發現您具有廣泛的使用者類目。但您也會注意到在指定的使用者類目中,使用者權限與偏好設定可能會有不同。例如,「客戶服務」角色內可能有比一般客戶服務使用者更具有安全權限的主管。此外,根據使用者本身的屬性可能會有所不同。例如,您的組織可能位於多個時區,其中有部分工作者在某個時區,有部分工作者則在另一個時區。
此時,設計其使用者佈建程序的安全性使用者必須決定下列幾項:
-
要在識別系統 (除了名稱、電子郵件及使用者 ID 等預期資訊之外) 擷取哪些新使用者相關資訊?例如,在多個時區的情況下,定義使用者時擷取時區可能是最好的處理方法。
要在範本使用者中定義哪些資訊,以及應建立多少範本使用者,才能減少手動步驟或在識別管理系統中擷取的其他資料?若有多個時區,大量增加範本使用者並分別對各個時區提供一組範本使用者可能沒有意義,因為這是不同的範圍。不過,若不同類目工作者的權限等級中有分層,建立其他範本就很合理。因此與其建立調度員、行動工作者、系統管理員及承包商的範本使用者,您的組織可能會建立調度員、行動工作者、行動工作者 (監督員)、系統管理員、承包商 (短期) 及承包商 (長期) 的範本使用者。
新增使用者之後,必須在應用程式的使用者記錄中設定哪些資訊?如果只有少數使用者與其他使用者不同,直接手動更新這些使用者記錄可能是處理這些差異最簡單的方法。使用上方範例:
-
如果您的組織涵蓋 2 個時區,在其中一個時區工作的人佔少數,大部分使用者都在另一個時區,最簡單的程序可能是對主要時區定義範本使用者,並使用它來建立所有使用者。然後針對另一個單獨時區的小部分使用者,瀏覽至使用者頁面,在新增記錄之後調整時區。
-
如果只有少數行動工作者是擁有個別權限的監督員,與其對這些類型的工作者定義特殊範本使用者,較簡單的程序可能是使用行動工作者範本,然後瀏覽至使用者頁面,以在新增記錄之後將其他權限新增至監督員使用者。
-
定義範本使用者
不論您的組織適用的使用案例為何,定義範本使用者的程序都相同。
使用進行導覽。
-
定義使用者 ID。如果您使用範本使用者協助從外部系統建立使用者,而且外部系統能夠擷取該範本使用者以傳入新使用者資訊,則此為外部系統中所應參考的 ID。
-
使用者類型務必選擇範本使用者。
-
根據使用案例定義所有適當的資訊。
- 對於作為「入口設定檔」使用者的範本使用者,請務必定義適當的入口設定檔資訊。
- 對於作為「常用項目設定檔」使用者的範本使用者,請務必定義適當的常用連結。
- 對於作為某類型「角色」以協助建立使用者的範本使用者,請定義應複製到新使用者的所有資訊,新使用者會將此使用者參考為其範本使用者。(請注意,從範本使用者複製的資料不包含書籤。)
定義整合的預設範本使用者
以此使用者的預設值資料來定義演算法中的預設範本使用者,如下所示。
- 使用進行導覽。
- 搜尋並選取演算法 F1-OIMUSR (根據「範本」使用者植入使用者資料)。
- 編輯記錄。在「演算法版本」集合中新增資料列。輸入適當的日期 (晚於現有項目的日期,但等於或早於目前日期)。植入您要作為預設值使用的範本使用者。