Controle de Acesso

Com o controle de acesso, sua organização pode limitar ou classificar informações de registro por "fábrica", locais de trabalho variados ou funções de trabalho. Por exemplo, você pode ter tipos de ativos que são usados apenas na sua localidade norte, portanto, você designaria esses tipos de ativos como restritos a essa localidade. Da mesma forma, você pode aproveitar o controle de acesso para impedir que os usuários da localidade sul acessem ordens de serviço relacionadas à localidade norte (e vice-versa). Isso é chamado de "segurança no nível da linha" na estrutura do aplicativo.

Cada local representa um grupo de acesso, e os objetos no aplicativo podem pertencer a um grupo de acesso específico. Os grupos de acesso são definidos no portal Grupo de Acesso e são atribuídos aos registros como uma Organização Responsável.

Consulte Segurança de Linha na documentação do Oracle Utilities Application Framework para ver mais informações sobre funções de acesso a dados e como elas funcionam com grupos de acesso.

Observação: Essa funcionalidade é opcional e não é ativada por padrão. Se sua implementação precisar restringir o acesso por organização responsável, você terá que ativar a restrição explicitamente, conforme descrito abaixo.

Os pontos a seguir descrevem a funcionalidade em um nível superior.

  • Algumas entidades são protegidas diretamente por serem atribuídas a um valor de organização responsável na entidade em si. Por exemplo, a entidade da ordem de serviço é diretamente protegida e, portanto, seu campo de organização responsável é preenchido.

  • Algumas entidades são protegidas indiretamente devido a uma associação a outra entidade relacionada que é protegida diretamente. Uma organização proprietária não é atribuída a entidades protegidas dessa forma. Por exemplo, as atividades de trabalho são protegidas indiretamente por associação à ordem de serviço. Se um usuário tiver permissão para visualizar uma ordem de serviço, ele também poderá ver todas as suas atividades de trabalho. Não há segurança de dados da organização responsável para atividades individuais.

  • Todas as outras entidades não têm suporte a este tipo de segurança. Por exemplo, as entidades operacionais e técnicas não são usadas por usuários empresariais e, como tal, não devem estar sujeitas a restrições de dados. Um administrador do sistema precisa ser capaz de revisar todos os dados nessas entidades, sem filtrar por organização responsável, para tratar problemas e exceções adequadamente. 

As seções a seguir descrevem os conceitos relacionados à segurança de dados por organização responsável.

Quais entidades são protegidas?

Nem todas as entidades oferecem suporte a esse tipo de segurança de dados. As entidades de negócios a seguir diretamente oferecem suporte à segurança por organização responsável:

  • Ativo

  • Unidade Compatível

  • Equipe

  • Local. Isso inclui todas as classes de locais armazenados no objeto de manutenção "Nó", por exemplo, locais de ativos, almoxarifados e assim por diante.

  • Cabeçalho de Ordem de Compra

  • Cabeçalho de Requisição de Compra

  • Modelo de Ordem de Serviço

  • Desenho de Trabalho

  • Local de Trabalho

  • Ordem de Serviço

  • Solicitação de Serviço

As entidades de negócios a seguir indiretamente oferecem suporte à segurança por organização responsável:

  • Atividade de Trabalho. Protegido por meio de associação à ordem de serviço

  • Reconciliação de Atividade. Protegido por meio de associação à ordem de serviço

  • Elemento de Desenho. Protegido por meio de associação ao desenho de trabalho.

  • Acelerar Ordem de Compra. Protegido por meio de associação ao Cabeçalho da Ordem de Compra.

  • Cabeçalho da Fatura. Protegido por meio de associação ao Cabeçalho da Ordem de Compra.

  • Cabeçalho de Solicitação de Material. Protegido por meio de associação ao Almoxarifado (Nó).

  • Cabeçalho de Devolução de Material. Protegido por meio de associação ao Almoxarifado (Nó).

  • Medição. Protegido por meio de associação ao Ativo.

  • Cabeçalho de Estoque Físico. Protegido por meio de associação ao Almoxarifado (Nó).

  • Garantia. Protegido por meio de associação ao Ativo.

As entidades administrativas a seguir oferecem suporte diretamente a segurança por organização responsável:

  • Tipo de Atividade

  • Perfil de Aprovação

  • Tipo de Ativo

  • Unidade de Negócios

  • Tipo de Lista de Verificação

  • Tipo de Ajuste de Custo

  • Centro de Custo

  • Código de Distribuição

  • Código de Despesa

  • Tipo de Ganhos da mão de obra

  • Tipo de Local. Inclui todas as classes de tipos de local armazenados no objeto de manutenção "Tipo de Nó", por exemplo, tipos de local de ativo, tipos de local de estoque e assim por diante.

  • Planejador

  • Categoria de Serviço

  • Classe de Serviço

  • Código de Serviço

  • Pergunta de Histórico de Serviço

  • Tipo de Histórico de Serviço

  • Especificação

  • Categoria de Trabalho

  • Classe de Trabalho

Acesso Compartilhado

A segurança por organização responsável é opcional, mas quando ela é ativada, o aplicativo pressupõe que um valor de organização responsável é atribuído a todos os registros de uma entidade diretamente protegida.

Quando um valor está faltando nos registros, o aplicativo não pode impor a restrição de dados e, portanto, permite que esses registros sejam acessíveis a todos. Embora o aplicativo trate esses registros como irrestritos, ele pressupõe que sejam apenas temporariamente irrestritos até que um usuário ou alguma regra padrão atribua um valor a eles.

A abordagem correta para compartilhar registros intencionalmente entre organizações proprietárias é designar um ou mais grupos de acesso compartilhado e atribuí-los aos usuários apropriados. Por exemplo, se algumas entidades tiverem que ser compartilhadas entre as organizações responsáveis norte e sul, talvez você queira designar uma organização responsável "norte e sul", atribuir entidades compartilhadas a essa organização responsável e permitir que os usuários de ambos os locais tenham acesso a ela.

Regras de Atribuição da Organização Responsável Padrão

Quando a segurança da organização responsável estiver ativada, as entidades diretamente protegidas precisarão ter o campo da organização proprietária preenchido pelo usuário ou pelo processo que as criou ou se não houver um valor explícito por uma regra padrão. O aplicativo utiliza um algoritmo de Auditoria configurado no objeto de negócios da entidade para atribuir um valor padrão ao objeto. Embora uma regra padrão comum para entidades administrativas seja padronizar a organização responsável do grupo de acesso padrão do usuário, regras mais complexas são chamadas ao atribuir valores para entidades principais e transacionais. Para encontrar a regra usada para uma entidade diretamente protegida, localize o algoritmo de auditoria correspondente configurado no seu objeto de negócios.

Ao criar uma nova entidade administrativa que é diretamente protegida pela organização responsável, o grupo de acesso padrão do usuário é apresentado na interface do usuário antes de salvar o registro, permitindo que o usuário altere o valor antes de criar o registro, se necessário. Observe que se o usuário deliberadamente limpar o valor padrão, o aplicativo ainda aplicará a regra padrão e o registro será salvo com o grupo de acesso padrão do usuário.

As regras padrão para objetos principais e transacionais são mais complexas e, como tal, precisam oferecer suporte a uma forma da sua organização personalizá-las para atender às suas necessidades de negócios. Portanto, o grupo de acesso padrão do usuário não é intencionalmente padronizado na interface do usuário antes de criar tal entidade, permitindo que a regra de auditoria do objeto de negócios preencha o valor conforme necessário.

Por padrão, os algoritmos fornecidos pelo produto para padronizar uma organização responsável da entidade só recorrem a usar o grupo de acesso padrão do usuário quando um registro é criado. No entanto, todos eles oferecem suporte a um parâmetro de algoritmo que você pode configurar para impor o padrão do grupo de acesso padrão do usuário também quando os registros existentes sem valor de organização responsável preenchido são atualizados.

Observação: Se, após a aplicação das regras padrão de qualquer objeto, uma atribuição não tiver sido feita, ou seja, o registro ainda tiver um campo de organização responsável vazio, o aplicativo não poderá restringir o acesso a esse registro e, portanto, o deixará permitido a todos. Não deve ser confundida com uma configuração que associa intencionalmente entidades a uma organização proprietária compartilhada.

Regras de Atribuição da Organização Responsável Explícita

Há momentos em que o valor apropriado da organização responsável não pode ser determinado pela regra padrão da entidade. Nessas situações exclusivas, o processo que cria a entidade protegida a preenche previamente com o valor da organização responsável apropriado ao adicioná-la. Veja a seguir exemplos de tais processos:

  • Ao gerar ordens de serviço de manutenção preventiva, o aplicativo herda a organização responsável do ativo para o qual foi criado. O ativo é referenciado na atividade e, portanto, uma regra padrão para a ordem de serviço não teria acesso ao ativo no momento da criação.

  • Ao gerar ou fazer interface com outras cobranças diretas, o aplicativo herda sua organização responsável da ordem de serviço da atividade. Aqui também, a atividade só é referenciada no registro de detalhes e não está disponível quando o registro de cabeçalho de cobrança é criado.

  • Ao gerar ordens de serviço de acompanhamento com base na configuração do tipo de histórico de serviço, o aplicativo herda sua organização responsável da ordem de serviço da atividade do histórico de serviço.

Para mais informações, consulte os algoritmos relevantes associados a esses processos.

Criando Entidades por Integração ou em Lote

Normalmente, o usuário usado para processar chamadas de serviço da Web ou executar processos em batch é um registro de usuário comum que não é afiliado a nenhuma organização responsável. Dessa forma, as entidades criadas por esse usuário comum não devem depender do grupo de acesso padrão do registro do usuário para uma atribuição de organização responsável adequada. Por esse motivo, esses usuários comuns não devem ter nenhum grupo de acesso padrão definido para eles, mas devem ter acesso a todas as funções de acesso.

Objetos protegidos diretamente criados via web services ou em batch são projetados para ter seu valor explicitamente fornecido e não dependem do valor padrão do usuário. Por exemplo, um usuário cria um ativo on-line e pode preencher explicitamente a organização responsável do ativo ou permitir que o aplicativo o padronize para o grupo de acesso padrão do usuário. No entanto, quando os ativos são interfaceados de um sistema externo, sua organização responsável deve ser preenchida explicitamente.

Filtrando por Organização Responsável

As entidades protegidas direta ou indiretamente podem oferecer suporte a um filtro de organização responsável em seus respectivos portais de consulta. O filtro permite que o usuário revise os dados que pertencem a uma organização responsável específica, mas isso não deve ser confundido com restrição de dados. Quando a segurança por organização responsável está ativada, o aplicativo restringe os dados aos quais o usuário pode acessar, independentemente de ter usado ou não o filtro. Se o usuário tiver acesso a mais de uma organização responsável, um filtro poderá ser útil para restringir os resultados a um grupo selecionado. No entanto, quando a segurança por organização responsável não está ativada, os dados são irrestritos e o usuário pode acessar qualquer registro.

Ativando Segurança de Dados pela Organização Responsável

Os pontos a seguir destacam as etapas gerais necessárias para ativar a segurança de dados por clientes da organização responsável:

  • Projete e configure grupos de acesso e funções de acesso para atender aos seus requisitos de negócios. Se algumas entidades tiverem que ser compartilhadas entre todas as organizações responsáveis, defina um grupo de acesso compartilhado do cliente vinculado a todas as funções de acesso. 

  • Associe usuários a grupos de acesso e funções:

    • Todos os registros de usuário para indivíduos que acessam o aplicativo devem ser atribuídos a um grupo de acesso padrão e podem pertencer a uma ou mais funções de acesso. Este grupo de acesso é usado como o valor padrão atribuído a objetos protegidos por várias regras de negócios.

    • Todos os registros de usuário usados para processos de integração e batch não devem ser associados a um grupo de acesso padrão, mas devem ter acesso a todas as funções de acesso. Dessa forma, os dados criados por esses registros de usuário compartilhados não são marcados com uma organização responsável arbitrária, mas todos os dados são acessíveis a esses processos.   

  • Para atualizar clientes, certifique-se de que os registros existentes nas tabelas principais de entidades diretamente protegidas têm o valor correto no campo da organização responsável. Dependendo do volume de cada tabela e do número de registros que podem precisar de correção em cada tabela, você pode optar por fazer essas atualizações on-line ou por meio de um processo em batch orientado por plug-in personalizado.

  • Execute o processo em batch Aplicar Política de VPD do Grupo de Acesso (W1APLVPD) para impor a segurança no nível da linha nos objetos principais e transacionais que são protegidos diretamente pela organização responsável. Para mais informações sobre esse processamento em batch, consulte a definição de controle de batch.