受保護物件與應用服務

系統會使用應用服務來限制交易或明確服務的存取權。下列各區段提供有關哪些是受保護物件、如何找出每個應用服務所保護項目的詳細資訊,以及與管理應用服務相關的其他資訊。

應用服務保護的項目

  • 下列各點標明與檢視和修改系統中個別記錄相關的安全性:

    • 所有維護物件都會定義包含可用基本動作的應用服務,通常是新增變更刪除查詢。基準產品會提供每個維護物件的應用服務。某些包含固定生命週期的物件可以在維護物件的應用服務中定義額外的存取模式。維護物件的應用服務是在其相關服務程式中定義。

      注意:重要!如果應用服務支援可修改資料庫的動作,但新增變更刪除除外,則除了其他存取權限之外,還必須將變更存取權提供給使用者。例如包含存取模式凍結完成取消的維護物件)。如果您要將其中任何特殊動作的存取權授與使用者,則也必須將變更動作的存取權授與使用者。

    • 針對非入口式之使用者介面頁面的維護物件,應用服務也會控制是否顯示功能表項目。如果使用者無法存取維護物件的應用服務,則不會顯示對應於應用服務的功能表項目。

    • 針對入口式使用者介面,每個主要 (獨立) 入口都會定義具有查詢存取模式的明確應用服務,讓使用者介面獨立於基本物件安全性之外受到保護。如果使用者無法存取入口的應用服務,則不會顯示對應於應用服務的功能表項目。基準產品會為可從功能表存取的每個入口提供應用服務。請注意,入口的應用服務是在其相關服務程式中定義,並透過導覽選項與導覽索引鍵導出。

    • 功能表項目可以定義應用服務/存取模式。通常,提供的入口與維護物件安全性粒度都足以隱藏使用者無法存取的功能表項目。此外,依預設,系統會在與業務處理助理指令檔相關的功能表項目上植入應用服務/存取模式。常見的使用案例是用於維護物件的「新增」功能表項目。在此情況下,維護物件的應用服務通常與新增存取模式一起使用。其他類型的業務處理助理相關功能表項目則有其他適當的組態。

      用戶端可選擇連結明確應用服務/存取模式,以進一步隱藏功能表項目。例如,假設您的實作建立了一個新增待辦事項的特殊業務處理助理指令檔,並希望使用者運用這個特殊業務處理助理,而非基準針對待辦事項提供的新增對話方塊。用於新增待辦事項的基準傳遞功能表項目會使用「待辦事項」維護物件應用服務與「新增」存取權。使用者需要該安全性設定,才能從不同的對話方塊新增待辦事項。若要隱藏基準「新增」對話方塊,請使用特殊應用服務與存取模式來對「待辦事項新增」置換基準提供之功能表項目的設定。然後為用於新增的新特殊業務處理助理定義功能表項目。

    • 區域會定義應用服務。

      • 針對連結至入口的區域,如果使用者無法存取區域的應用服務,則不會在入口顯示該區域。在大部分情況下,區域會與其入口相同的應用服務一起傳遞。在特殊情況下 (例如,側邊欄中的區域),產品會針對每個區域提供個別的應用服務,讓實作能夠以更細緻的方式決定使用者可存取哪些區域。

      • 針對多重查詢區域中設定的查詢區域,如果使用者無法存取區域的應用服務,則不會在多重查詢區域的下拉式列表中顯示該區域。在大部分情況下,多重查詢區域中的所有區域都會定義與多重查詢區域相同的應用服務。如果某功能專用於特定市場或管轄地而不適用於所有實作,則產品可以對多重查詢區域中的一或多個區域提供特殊應用服務。

      • 針對業務服務用於執行 SQL 查詢的區域,產品會提供預設應用服務 (F1-DFLTS)。產品不會檢查這些區域的安全性,因為它們僅供內部使用。

    • 對於入口式頁面,可以在 UI 對應的 HTML 或結構中的 UI 提示中使用 oraHasSecurity 函數,根據安全性顯示或隱藏個別元素。如需詳細資訊,請參考檢查使用者的安全性存取權

    • 業務物件會定義應用服務。如果業務物件定義了生命週期,則應用服務必須包含對應於每個狀態的存取模式。此外,還包含新增變更刪除查詢等標準維護物件存取模式。基準產品業務物件提供適當的應用服務。此外,實作可視需要置換設定的應用服務。

      注意:重要!如果應用服務支援可修改資料庫的動作,但新增變更刪除除外,則除了其他存取權限之外,還必須將變更存取權提供給使用者。例如包含生命週期狀態凍結完成取消的業務物件)。如果您要將其中任何特殊動作的存取權授與使用者,則也必須將變更動作的存取權授與使用者。

    • 批次控制會定義提供保護個別批次處理提交之功能的應用服務。應用服務必須包含執行存取模式。基準產品批次控制提供適當的應用服務。這些服務的 ID 通常與批次控制 ID 相符。

    • 報表定義記錄會定義應用服務。應用服務必須包含提交/檢視報表的存取模式。

  • 下列安全物件通常透過內部處理執行。提供安全性是為了確保任何外部來源對物件的存取都受到保護。

    • 業務處理助理指令檔可以定義具有執行存取模式的應用服務。基準業務處理助理指令檔通常未設定任何應用服務。實作可以定義一個應用服務。請注意,如上所述,功能表項目也可以設定應用服務與存取模式。如此便可以有多種方式來保護透過功能表項目叫用的業務處理助理。

    • 業務服務服務指令檔會定義具有執行存取模式的應用服務。對於可能從外部系統 (例如透過內送 Web 服務) 執行的服務就需要此作業。連結至內送 Web 服務的基準業務服務與服務指令檔已設定特殊應用服務。所有其他業務服務與服務指令檔則與預設應用服務 (F1-DFLTS) 一起傳遞,且可由實作置換。

    • 如果有些功能的執行與否是根據使用者的安全性存取權,則指令檔也可以檢查「編輯資料」步驟類型內的安全性。「編輯資料」步驟會包含對業務服務 F1-CheckApplicationSecurity 的呼叫

    • 服務程式會定義應用服務。如上所述,入口與維護物件的應用服務取自相關服務程式。基本上,會針對每種服務程式類型核發特定應用服務。所有其他服務程式通常與預設應用服務 (F1-DFLTS) 一起傳遞,且可由實作置換。請注意,如果是連結至業務服務的服務程式,叫用業務服務時,以該業務服務的應用服務優先。

決定應用服務保護的項目

由於產品想要盡可能提供精細程度,讓實作對使用者可執行的作業擁有最大的控制權,因此提供了大量立即可用的應用服務,而這可能會讓人難以瞭解哪些使用者需要存取何種應用服務才能執行其工作。本產品提供數種線上工具,協助安全性管理員瞭解應用服務的存在與適用範圍。

  • 應用服務頁面上,有一個「受保護物件」區域,其中指出與此應用服務相關的所有中繼資料。有少數應用服務所保護的功能不在「受保護物件」區域中。對於這些服務,應用服務的詳細描述應該指出其適用範圍。

  • 很大比例的安全性是與系統中可透過功能表存取的特定頁面有關。由於安全層的不同,若要能夠檢視記錄,您可能需要存取數個應用服務:與查詢入口、維護入口、記錄維護物件及管理記錄之業務物件關聯的應用服務。檢視功能表時會有一個「應用程式安全性」頁籤,可讓您複查每個功能表明細行,並查看使用者可能需要存取以檢視或維護該相關頁面上資料的所有應用服務列表。

  • 應用程式安全性查詢入口提供各種篩選,用於檢視哪些物件目前受哪些服務保護。除了功能表項目之外,它還顯示批次控制、報表、Web 服務及其他功能。此外,它可讓您檢視目前哪些使用者和哪些使用者群組可存取哪些應用服務,並可讓您比較兩個使用者的安全性。
  • 使用者群組入口包含數個區域,可協助安全性管理員設定安全性選項或複查安全性組態。主要頁籤包含一個「新增應用服務」區域。此區域只顯示尚未連結的應用服務,並提供幾種方式來縮減應用服務列表。「服務管理程式」頁籤有一個類似區域,不過它將資訊細分成應用服務與存取模式的組合。最後,「受保護元件」頁籤與「應用程式安全性查詢」類似。它可讓您查詢此使用者群組中受應用服務保護的物件。

在發行版本中引進應用服務

提供的新功能若包含任何與應用服務相關的物件,此時便會引進新的應用服務。產品版本注意事項會指出版本中所含的新應用服務。此外,產品還包括特殊的實體標記,其中包含了新應用服務列表。標記的描述使用雲端版本參考而非內部部署版本參考來識別其本身。