Présentation

Ce tutoriel décrit les couches de sécurité des processus d'affaires Cloud EPM et explique comment gérer la sécurité à l'aide du contrôle d'accès et des autorisations d'accès. Les sections s'appuient les unes sur les autres et doivent être terminées séquentiellement.

Contexte

Oracle Cloud Enterprise Performance Management (EPM) met en oeuvre la sécurité en plusieurs couches. Les composants de sécurité de l'infrastructure, qui sont mis en oeuvre et gérés par Oracle, créent des environnements Cloud EPM hautement sécurisés. Cloud EPM assure la sécurité à l'aide des mécanismes suivants qui permettent uniquement aux utilisateurs autorisés d'accéder au service :

  • Authentification unique (SSO)
  • Accès basé sur les rôles aux environnements, y compris les rôles EPM en nuage prédéfinis et les rôles au niveau de l'application
  • Contrôle d'accès
  • Couches de sécurité supplémentaires telles que les autorisations d'accès

L'authentification unique et la sécurité basée sur les rôles sont contrôlées par Oracle Identity Management, qui définit un domaine de sécurité pour chaque environnement. Après une connexion réussie, l'accès au service est déterminé par le rôle affecté à l'utilisateur.

Voici quelques termes et concepts clés de ce tutoriel :

Les nouveaux abonnements Oracle Cloud Enterprise Performance Management (EPM) sont pris en charge sur Oracle Cloud Infrastructure, qui utilise Oracle Identity Cloud Services comme magasin d'identités par défaut.

Oracle Cloud Infrastructure : Cloud EPM est un composant d'Oracle Cloud.

La dernière version d'Oracle Cloud est Oracle Cloud Infrastructure (OCI). OCI offre une puissance informatique et une infrastructure hautement disponibles pour Cloud EPM. Les nouveaux abonnements à Cloud EPM achetés par des clients pour la première fois sont pris en charge sur OCI. OCI peut également être appelé Oracle Cloud Gen 2 ou OCI (Gen 2).

Oracle Cloud version classique : Oracle Cloud version classique est le prédécesseur d'OCI. De nombreux clients Cloud EPM sont pris en charge sur Oracle Cloud version classique.

Note :

Les processus d'affaires Oracle Cloud Enterprise Performance Management fonctionnent de la même manière quelle que soit l'infrastructure Oracle Fusion Cloud Enterprise Performance Management utilisée. Toutefois, il existe des différences entre les opérations EPM Cloud dans les environnements version classique et OCI. Consultez les informations sur les différences entre les environnements classiques et OCI dans la documentation sur Démarrage avec Oracle EPM Cloud et EDM Cloud pour les administrateurs.

Portail infonuagique : Site Web à partir duquel vous configurez et configurez les utilisateurs et la sécurité Cloud EPM. OCI et Oracle Cloud version classique maintiennent des portails en nuage distincts. Ce document fait référence au portail Oracle Cloud version classique sous le nom Mes services (classique) et au portail OCI sous le nom Mes services (OCI).

Domaine d'identité : Tranche de l'infrastructure de gestion des identités partagée où les administrateurs de domaine d'identité créent et gèrent les utilisateurs Cloud EPM et la sécurité dans Oracle Cloud version classique à l'aide de Mes services (classique). Équivalent au nom du compte en nuage dans OCI.

Un administrateur de domaine d'identité crée et gère les comptes d'utilisateur dans un domaine d'identité. L'administrateur de compte accorde le rôle d'administrateur de domaine d'identité à un ou plusieurs utilisateurs pour leur déléguer le processus de configuration de la sécurité.

Par défaut, deux environnements (environnements de test et de production) d'un service sont affectés à chaque client. L'administrateur de domaine d'identité utilise l'application Mes services (OCI et version classique) ou la console d'identité Oracle Cloud (OCI uniquement) pour gérer les utilisateurs qui ont besoin d'accéder à ces environnements. De nombreux services EPM Cloud peuvent être activés dans un compte de client ou un domaine d'identité.

Nom du compte en nuage : Nom du compte qui gère votre abonnement EPM Cloud. Dans OCI (Gen 2), le nom de compte en nuage est utilisé comme nom du domaine d'identité qui sécurise vos environnements EPM Cloud. Les administrateurs de domaine d'identité utilisent Mes services, la console Oracle Cloud Identity et la console Oracle Cloud (IAM) pour configurer et gérer les utilisateurs et la sécurité EPM Cloud. Par défaut, deux environnements (environnements de test et de production) d'un service sont affectés à chaque client.

L'administrateur de compte accorde le rôle d'administrateur de domaine d'identité à un ou plusieurs utilisateurs pour déléguer le processus de configuration de la sécurité. De nombreux services EPM Cloud peuvent être activés sous le nom de compte Cloud.

Console d'identité Oracle Cloud : Autre console utilisée par les administrateurs de domaine d'identité pour configurer et gérer la sécurité dans Identity Cloud Services (IDCS) dans OCI. Vous pouvez accéder à cette console à partir de Mes services (OCI).

Ce tutoriel donne un aperçu de chaque couche de sécurité et explique comment gérer la sécurité à l'aide du contrôle d'accès et des autorisations d'accès.

Préalables

Les tutoriels pratiques Cloud EPM peuvent nécessiter l'importation d'un instantané dans votre instance Cloud EPM Enterprise Service. Avant d'importer un instantané de tutoriel, vous devez demander une autre instance du service Cloud EPM Enterprise ou supprimer l'application et le processus d'affaires courants. L'instantané du tutoriel ne sera pas importé sur votre application ou processus d'affaires existant, et il ne remplacera pas ou ne restaurera pas automatiquement l'application ou le processus d'affaires avec lequel vous travaillez actuellement.

Avant de commencer ce tutoriel, vous devez :

  • Accès de l'administrateur de service à une instance Cloud EPM Enterprise Service.
  • Application chargée pour l'un des processus d'affaires Cloud EPM. Le cas échéant, vous pouvez utiliser les exemples d'applications prédéfinis fournis avec le processus de gestion.
  • Quelques utilisateurs ont été créés et provisionnés dans votre domaine d'identité.

Note :

Si vous rencontrez des erreurs de migration lors de l'importation de l'instantané, réexécutez la migration à l'exclusion du composant HSS-Shared Services, ainsi que des artefacts Security et User Preferences du composant Core. Pour plus d'informations sur le chargement et l'importation d'instantanés, consultez la documentation sur l'administration de la migration pour Oracle Enterprise Performance Management Cloud.

À propos de Cloud EPM Security

À propos de l'authentification unique

Un compte de service Oracle Cloud est un compte client unique qui peut avoir plusieurs services en nuage de différents types de service. Chaque service Oracle Cloud appartient à un domaine d'identité. Un domaine d'identité est une construction permettant de gérer les utilisateurs et les rôles, les normes d'intégration, les identités externes, l'intégration sécurisée des applications au moyen de la configuration d'authentification unique Oracle et de l'administration OAuth. Plusieurs services peuvent être associés à un seul domaine d'identité pour partager les définitions d'utilisateur et l'authentification. Les utilisateurs d'un domaine d'identité peuvent se voir accorder différents niveaux d'accès à chaque service associé au domaine afin d'assurer une séparation des fonctions.

Vous pouvez utiliser l'authentification unique Oracle Cloud EPM (classique) par défaut ou un fournisseur d'identités SAML (Security Assertion Markup Language) 2.0 pour authentifier les utilisateurs de plusieurs services Cloud EPM.

Note :

Cloud EPM prend en charge uniquement l'authentification unique lancée par le fournisseur de services.
Options d'authentification unique

Grâce à l'authentification unique, les utilisateurs Cloud EPM peuvent s'authentifier à l'aide des données d'identification qu'ils utilisent pour accéder aux ressources de réseau de leur organisation lorsqu'ils se connectent à un environnement Cloud EPM.

Dans Identity Cloud Service, pour OCI GEN2, vous pouvez simplifier l'affectation de rôle en affectant plusieurs utilisateurs Cloud EPM à des groupes. Affectez ensuite des rôles prédéfinis à ces groupes. Comme les groupes IDCS peuvent être synchronisés avec les groupes de fournisseurs d'identités (tels que les groupes MSAD), vous pouvez ajouter des utilisateurs individuels aux groupes de fournisseurs d'identités et affecter les rôles prédéfinis à ces groupes dans la console d'identité Oracle Cloud.

Les administrateurs de domaine d'identité peuvent créer des utilisateurs individuellement ou utiliser un fichier de chargement contenant des données d'utilisateur pour créer plusieurs utilisateurs à la fois. Les administrateurs de domaine d'identité doivent maîtriser les concepts de sécurité, notamment les rôles prédéfinis d'Oracle Cloud Enterprise Performance Management qui permettent aux utilisateurs d'accéder à un environnement et de savoir comment utiliser Mes services (classiques) ou Mes services (OCI) et la console d'identité Oracle Cloud (OCI uniquement) pour effectuer des tâches.

À propos des rôles EPM en nuage prédéfinis

L'accès aux environnements de service Cloud EPM est déterminé par des rôles fonctionnels prédéfinis affectés à un utilisateur ou à un groupe. Les rôles fonctionnels prédéfinis lient les utilisateurs et les groupes aux activités commerciales qu'ils sont autorisés à effectuer dans un environnement et aux données auxquelles ils peuvent accéder. Les utilisateurs et les groupes doivent être affectés à des rôles prédéfinis qui leur permettent d'accéder aux fonctions métier et aux données associées.

Affectation du rôle

Les services Oracle Cloud EPM suivants utilisent un ensemble commun de quatre rôles fonctionnels prédéfinis pour contrôler l'accès aux environnements :

  • Planification
  • FreeForm
  • Financial Consolidation and Close
  • Tax Reporting
  • Profitability and Cost Management
  • Profitability and Cost Management d'entreprise
  • Account Reconciliation
  • Strategic Workforce Planning
  • Narrative Reporting
  • Sales Planning

Oracle Enterprise Data Management Cloud (EDMC) utilise uniquement les rôles prédéfinis Administrateur de service et Utilisateur. L'utilisateur expérimenté et le visualiseur sont affichés dans Mes services. N'affectez pas d'utilisateurs à ces rôles. Ils ne sont pas applicables à EDMC.


Rôles EPM prédéfinis

L'accès accordé par un rôle prédéfini dans un environnement dépend du type de service. Par exemple, le rôle Utilisateur expérimenté dans Planning vous permet de gérer la sécurité des règles d'affaires et de contrôler le processus d'approbation, tandis que le même rôle dans Tax Reporting vous permet d'exécuter l'automatisation des taxes et d'importer des données.

Les administrateurs de service effectuent des activités administratives et fonctionnelles telles que la gestion des utilisateurs et de leurs rôles, la configuration de l'authentification unique et l'accès restreint au réseau. Les administrateurs de service sont responsables de la configuration de la sécurité au niveau de l'application.

Si le service est configuré pour l'authentification unique, les noms d'utilisateur et les mots de passe Oracle Cloud EPM, ainsi que les politiques de mot de passe, sont gérés par le serveur d'annuaire de votre organisation.

Les utilisateurs expérimentés peuvent voir et interagir avec les données, ainsi que créer et tenir à jour des formulaires, des grilles ad hoc et des rapports.

Les utilisateurs peuvent entrer et soumettre des données pour approbation, analyser des formulaires à l'aide de fonctions ad hoc et forer jusqu'au système source. Permet à l'utilisateur de voir le contenu de rapport auquel il a accès.

Le visualiseur affiche et analyse les données au moyen de formulaires et de grilles ad hoc. Un visualiseur ne peut pas entrer de données dans le système.

Les rôles sont hiérarchiques. L'accès accordé au moyen de rôles de niveau inférieur est hérité par les rôles de niveau supérieur.

Hiérarchie de rôles

Par exemple, les utilisateurs affectés en tant qu'administrateurs de service héritent également des privilèges d'utilisateur expérimenté, d'utilisateur et de visualiseur. Les utilisateurs expérimentés héritent des privilèges de l'utilisateur et du visualiseur, et les utilisateurs héritent des privilèges du visualiseur.

Note :

La rubrique Présentation des rôles prédéfinis de la documentation Introduction à Oracle Enterprise Performance Management Cloud pour les administrateurs comprend des détails de rôle prédéfinis pour chaque processus d'affaires Cloud EPM applicable. Le sujet Affectation de rôles aux utilisateurs couvre les tâches à effectuer lors de l'affectation de rôles à l'aide de Mes services (classiques) et d'Identity Cloud Service.

À propos des rôles au niveau de l'application

Les rôles d'application améliorent les droits d'accès des utilisateurs au-delà des rôles prédéfinis qui leur sont affectés.

Bien que les droits d'accès globaux soient contrôlés par les rôles prédéfinis, les administrateurs de service ou les utilisateurs affectés au rôle d'application Access Control Manager peuvent accorder des rôles et des autorisations d'accès aux données propres à l'application aux utilisateurs et aux groupes créés et gérés dans Access Control. Par exemple, un utilisateur, par défaut, n'a pas le droit de concevoir le processus d'approbation, qui est accordé uniquement aux utilisateurs expérimentés et aux administrateurs de service. À partir du contrôle d'accès, les administrateurs de service peuvent affecter le rôle Administrateur des approbations pour permettre à l'utilisateur d'effectuer des activités liées aux approbations.

Les processus d'affaires d'EPM en nuage qui prennent en charge l'affectation de rôle d'application sont les suivants :

  • Planification
  • FreeForm
  • Financial Consolidation and Close
  • Tax Reporting
  • Narrative Reporting
  • Profitability and Cost Management d'entreprise
  • Oracle Enterprise Data Management Cloud
  • Account Reconciliation

Note :

Pour obtenir la liste complète des rôles d'application disponibles dans chaque processus d'affaires Cloud EPM, reportez-vous aux sous-sujets de processus d'affaires de la section Gestion des affectations de rôle au niveau de l'application de la documentation Administration du contrôle d'accès pour Oracle Enterprise Performance Management Cloud.

Vous gérez les affectations de rôle d'application dans le contrôle d'accès. Les administrateurs de service peuvent accorder des rôles et des autorisations d'accès aux données propres aux applications aux utilisateurs et aux groupes créés et gérés dans le contrôle d'accès.

À propos du contrôle d'accès

Access Control est un composant Cloud EPM disponible dans les processus d'affaires suivants :

  • Planification
  • FreeForm
  • Financial Consolidation and Close
  • Tax Reporting
  • Profitability and Cost Management
  • Profitability and Cost Management d'entreprise
  • Account Reconciliation
  • Oracle Enterprise Data Management Cloud
  • Narrative Reporting
  • Oracle Strategic Workforce Planning Cloud
  • Oracle Sales Planning Cloud

Le contrôle d'accès vous permet d'effectuer les tâches suivantes :

  • Créer des groupes et ajouter des utilisateurs EPM Cloud ou d'autres groupes en tant que membres
  • Ajouter ou supprimer des membres de groupe
  • Affecter des rôles d'application à des groupes ou à des utilisateurs, y compris vous-même
  • Voir la liste des utilisateurs membres d'un groupe

Couches de sécurité supplémentaires

Des fonctionnalités de sécurité supplémentaires peuvent être disponibles dans chaque processus d'affaires Cloud EPM. Ceux-ci fonctionnent conjointement avec le contrôle d'accès pour fournir des autorisations d'accès. Vous pouvez définir des autorisations d'accès aux dimensions, règles, flux de navigation, formulaires et autres artefacts, ainsi que définir des intersections valides et non valides et une sécurité au niveau des cellules.

Autorisations d'accès

Gérer la sécurité dans le contrôle d'accès

Pour ouvrir le contrôle d'accès, à partir de la page d'accueil de votre processus d'affaires Cloud EPM, cliquez sur Outils, puis sur Contrôle d'accès.

Navigation vers le contrôle d'accès

Le contrôle d'accès s'ouvre avec l'affichage Gérer les groupes. Cet exemple montre comment afficher les rôles et les groupes prédéfinis créés dans l'application Planning Sample Vision.

Contrôle d'accès - Gérer les groupes

Gérez le contrôle d'accès dans les onglets suivants, situés au bas de la page :

  • Gérer les groupes
  • Gérer les utilisateurs
  • Gérer les rôles d'application
  • Rapport sur les affectations de rôle
  • Rapport sur la connexion des utilisateurs
  • Rapport sur les groupes d'utilisateurs

Gestion des groupes

Dans Manage Groups of Access Control, les rôles prédéfinis sont répertoriés en tant que groupes.

Note :

Vous ne pouvez pas supprimer, modifier ou affecter des rôles au niveau de l'application à des rôles prédéfinis à partir du contrôle d'accès. De plus, les utilisateurs de Cloud EPM, qui sont affectés à des rôles prédéfinis, sont répertoriés dans le contrôle d'accès afin qu'ils puissent être ajoutés en tant que membres de groupe.

 

Rôles prédéfinis dans Gérer les groupes

Les processus d'affaires de Cloud EPM utilisent un référentiel interne pour prendre en charge les affectations de rôle au niveau de l'application.

Les utilisateurs de Cloud EPM et d'autres groupes peuvent être membres de groupes tenus à jour dans le contrôle d'accès. Les utilisateurs peuvent se voir accorder des rôles d'application en affectant un rôle au groupe.

Conseil :

Importer ou exporter des groupes à l'aide des commandes de migration ou EPM Automate.

Création de groupes

  1. Dans Gérer les groupes, en haut à droite, cliquez sur Créer.
  2. Entrez les informations suivantes :
    • Nom : Entrez un nom de groupe unique (256 caractères au maximum).

      Note :

      Les noms de groupe ne sont pas sensibles à la casse. Cloud EPM ne vous permet pas de créer des groupes avec des noms identiques aux noms de rôle prédéfinis (administrateur de service, utilisateur expérimenté, utilisateur ou planificateur et visualiseur).
    • Description : (Facultatif) Entrez une description pour le groupe.
  3. (Facultatif) Dans Groupes, ajoutez des groupes pour créer un groupe imbriqué.
    • Cliquez sur Rechercher (Rechercher) pour afficher la liste des groupes disponibles ou filtrer la liste en entrant une chaîne de recherche, puis en cliquant sur Rechercher (Rechercher).
    • Dans Groupes disponibles, sélectionnez les groupes de membres à ajouter au nouveau groupe.
    • Cliquez sur > (Déplacer).

      Les groupes sélectionnés sont répertoriés sous Groupes affectés.

      Note :

      Cliquer sur > (Déplacer), >> (Déplacer tout), < (Supprimer), << (Supprimer tout) vous permet d'ajouter ou de supprimer des affectations.
      Création de groupes
  4. (Facultatif) : Cliquez sur Utilisateurs pour ajouter des utilisateurs du service en tant que membres du groupe.
    • Cliquez sur Rechercher (Rechercher) pour afficher la liste des utilisateurs disponibles ou filtrer la liste en entrant une chaîne de recherche, puis en cliquant sur Rechercher (Rechercher).
    • Dans Utilisateurs disponibles, sélectionnez les utilisateurs à ajouter au nouveau groupe.
    • Cliquez sur > (Déplacer).

      Les utilisateurs sélectionnés sont répertoriés sous Utilisateurs affectés.

      Note :

      Cliquer sur > (Déplacer), >> (Déplacer tout), < (Supprimer), << (Supprimer tout) vous permet d'ajouter ou de supprimer des affectations.
  5. Cliquez sur Enregistrer.
  6. Dans le message d'informations, cliquez sur OK.

    Le groupe nouvellement ajouté est répertorié dans la page.

    Planificateur S.O.

Modification des groupes

  1. Dans Gérer les groupes, localisez le groupe à modifier, cliquez sur Actions (Actions) et sélectionnez Modifier.
    Edit (Modifier)
  2. Dans Modifier le groupe, modifiez le nom, la description, le groupe et la sélection d'utilisateur.

    Conseil :

    Voir les étapes 3 et 4 dans la section Création de groupes de ce tutoriel pour les étapes d'ajout et de suppression d'affectations.
  3. Cliquez sur Enregistrer.
  4. Dans le message d'informations, cliquez sur OK.

Suppression de groupes

  1. Dans Gérer les groupes, localisez le groupe à supprimer, cliquez sur Actions (Actions) et sélectionnez Supprimer.
  2. Dans l'invite d'informations Supprimer le groupe, cliquez sur Oui.
  3. Dans le message d'informations suivant, cliquez sur OK.

Gestion des affectations de groupes d'utilisateurs

  1. Dans les onglets horizontaux, cliquez sur Gérer les utilisateurs.
    Gérer les utilisateurs
  2. Localisez l'utilisateur auquel vous voulez affecter des rôles, cliquez sur Actions (Actions), puis sélectionnez Modifier.
  3. Dans Member Of - Available Groups, ajoutez des groupes pour créer un groupe imbriqué.
    • Cliquez sur Rechercher (Rechercher) pour afficher la liste des groupes disponibles ou filtrer la liste en entrant une chaîne de recherche, puis en cliquant sur Rechercher (Rechercher).
    • Dans Groupes disponibles, sélectionnez les groupes de membres à affecter.
    • Cliquez sur > (Déplacer).

      Les groupes sélectionnés sont répertoriés sous Groupes affectés.

      Note :

      Cliquer sur > (Déplacer), >> (Déplacer tout), < (Supprimer), << (Supprimer tout) vous permet d'ajouter ou de supprimer des affectations.
  4. Cliquez sur Enregistrer.
  5. Dans le message d'informations, cliquez sur OK.

Affectation et annulation de l'affectation des rôles d'application Cloud EPM

Les administrateurs de service peuvent accorder des rôles et des autorisations d'accès aux données propres aux applications aux utilisateurs et aux groupes créés et gérés dans le contrôle d'accès.

La meilleure pratique recommandée consiste à affecter le rôle de niveau inférieur qui convient aux privilèges supplémentaires si nécessaire.

Affectation de rôles d'application aux utilisateurs

  1. Dans les onglets horizontaux, allez à Gérer les rôles d'application.
    Rôles d'application
  2. Dans la liste déroulante, vérifiez que l'option Utilisateurs est sélectionnée.
    Sélectionner les utilisateurs

    Conseil :

    Vous pouvez filtrer la liste en entrant une chaîne de recherche, puis en cliquant sur (Rechercher).
  3. Localisez l'utilisateur auquel vous voulez affecter des rôles, cliquez sur Actions (Actions), puis sélectionnez Gérer les rôles.
  4. Pour affecter un rôle d'application :
    • Dans Rôles d'application disponibles, sélectionnez un rôle d'application.

      Conseil :

      Les techniques de navigateur standard suivantes pour sélectionner plusieurs éléments d'une liste sont prises en charge :
      • Maj + clic : Sélectionne deux éléments consécutifs ou plus. Pour sélectionner des éléments consécutifs, sélectionnez le premier élément, puis appuyez sur Maj et cliquez sur le dernier élément pour sélectionner à la fois les éléments et tous les éléments compris entre les deux.
      • Contrôle + clic : Sélectionne deux éléments non consécutifs ou plus. Pour sélectionner plusieurs éléments non consécutifs, appuyez sur la touche Contrôle lorsque vous cliquez sur chaque élément.
    • Cliquez sur > (Déplacer).

      Les rôles sélectionnés sont listés sous Rôles d'application affectés.

      Note :

      Cliquer sur > (Déplacer), >> (Déplacer tout), < (Supprimer), << (Supprimer tout) vous permet d'ajouter ou de supprimer des affectations.

    Dans cet exemple, les rôles d'application Planning sont affectés à un utilisateur.

    Affectation de rôle d'application Planning
  5. Pour supprimer un rôle d'application :
    • Dans Rôles d'application affectés, sélectionnez un rôle affecté.

      Conseil :

      Les techniques de navigateur standard suivantes pour sélectionner plusieurs éléments d'une liste sont prises en charge :
      • Maj + clic : Sélectionne deux éléments consécutifs ou plus. Pour sélectionner des éléments consécutifs, sélectionnez le premier élément, puis appuyez sur Maj et cliquez sur le dernier élément pour sélectionner à la fois les éléments et tous les éléments compris entre les deux.
      • Contrôle + clic : Sélectionne deux éléments non consécutifs ou plus. Pour sélectionner plusieurs éléments non consécutifs, appuyez sur la touche Contrôle lorsque vous cliquez sur chaque élément.
    • Cliquez sur < (Supprimer).

      Note :

      Cliquer sur > (Déplacer), >> (Déplacer tout), < (Supprimer), << (Supprimer tout) vous permet d'ajouter ou de supprimer des affectations.
  6. Cliquez sur OK.
  7. Dans le message d'informations, cliquez sur OK.

Affectation de rôles d'application à des groupes

  1. Dans la liste déroulante Gérer les rôles d'application, sélectionnez Groupes et cliquez sur Rechercher (Rechercher).

    Conseil :

    Vous pouvez filtrer la liste en entrant une chaîne de recherche, puis en cliquant sur (Rechercher).
  2. Localisez le groupe auquel vous voulez affecter des rôles, cliquez sur Actions (Actions), puis sélectionnez Gérer les rôles.
  3. Pour affecter un rôle d'application :
    • Dans Rôles d'application disponibles, sélectionnez un rôle d'application.

      Conseil :

      Les techniques de navigateur standard suivantes pour sélectionner plusieurs éléments d'une liste sont prises en charge :
      • Maj + clic : Sélectionne deux éléments consécutifs ou plus. Pour sélectionner des éléments consécutifs, sélectionnez le premier élément, puis appuyez sur Maj et cliquez sur le dernier élément pour sélectionner à la fois les éléments et tous les éléments compris entre les deux.
      • Contrôle + clic : Sélectionne deux éléments non consécutifs ou plus. Pour sélectionner plusieurs éléments non consécutifs, appuyez sur la touche Contrôle lorsque vous cliquez sur chaque élément.
    • Cliquez sur > (Déplacer).

      Les rôles sélectionnés sont listés sous Rôles d'application affectés.

      Note :

      Cliquer sur > (Déplacer), >> (Déplacer tout), < (Supprimer), << (Supprimer tout) vous permet d'ajouter ou de supprimer des affectations.

    Dans cet exemple, les rôles d'application Planning sont affectés à un groupe.

    Affecter des rôles aux groupes
  4. Pour supprimer un rôle d'application :
    • Dans Rôles d'application affectés, sélectionnez un rôle affecté.

      Conseil :

      Les techniques de navigateur standard suivantes pour sélectionner plusieurs éléments d'une liste sont prises en charge :
      • Maj + clic : Sélectionne deux éléments consécutifs ou plus. Pour sélectionner des éléments consécutifs, sélectionnez le premier élément, puis appuyez sur Maj et cliquez sur le dernier élément pour sélectionner à la fois les éléments et tous les éléments compris entre les deux.
      • Contrôle + clic : Sélectionne deux éléments non consécutifs ou plus. Pour sélectionner plusieurs éléments non consécutifs, appuyez sur la touche Contrôle lorsque vous cliquez sur chaque élément.
    • Cliquez sur < (Supprimer).

      Note :

      Cliquer sur > (Déplacer), >> (Déplacer tout), < (Supprimer), << (Supprimer tout) vous permet d'ajouter ou de supprimer des affectations.
  5. Cliquez sur OK.
  6. Dans le message d'informations, cliquez sur OK.

Génération des rapports

Les administrateurs de service ou les utilisateurs affectés au rôle d'application Gestionnaire du contrôle d'accès peuvent générer des rapports pour analyser et gérer les affectations de rôle. Vous pouvez exporter un rapport pour créer une version CSV (valeurs séparées par des virgules) du rapport.

Consultation du rapport sur l'affectation des rôles d'un groupe

Vous pouvez vérifier les rôles prédéfinis affectés et les rôles d'application d'un utilisateur ou d'un groupe. Les groupes auxquels un utilisateur appartient ne sont pas répertoriés si les groupes ne sont pas utilisés pour affecter des rôles d'application à l'utilisateur. Ce rapport vous permet de suivre l'accès des utilisateurs aux rapports de conformité.

  1. Dans la liste déroulante Gérer les rôles d'application, vérifiez que l'option Groupes est sélectionnée.

    Conseil :

    Vous pouvez voir les rôles d'affectation de rôle pour les utilisateurs ou les groupes. Pour passer aux utilisateurs, dans la liste déroulante, sélectionnez Utilisateurs et cliquez sur Rechercher (Rechercher).
  2. Localisez le groupe pour lequel vous voulez produire un rapport, cliquez sur Actions (Actions), puis sélectionnez Rapport Affectation de rôle.
  3. Consultez le rapport sur l'affectation de rôles pour le groupe sélectionné.

    Dans cet exemple, le rapport sur l'affectation de rôles pour le groupe Analyst s'affiche.

    Rapport sur les affectations de rôle
  4. (Facultatif) Cliquez sur Exporter dans un fichier CSV, puis enregistrez le fichier dans un dossier local.
  5. Cliquez sur Fermer.

Consultation du rapport sur l'affectation de rôles

Vous pouvez vérifier l'accès, affecté au moyen de rôles prédéfinis et de rôles au niveau de l'application, de tous les utilisateurs. Le rapport répertorie les rôles prédéfinis (en gras) et les rôles d'application (non en gras) affectés à l'utilisateur.

  1. Dans les onglets horizontaux, cliquez sur Rapport Affectation de rôle.
  2. Dans la liste déroulante, vérifiez que l'option Utilisateurs est sélectionnée.

    Conseil :

    Vous pouvez filtrer la liste en entrant une chaîne de recherche, puis en cliquant sur (Rechercher).
  3. Vérifiez les détails de l'utilisateur, y compris les rôles affectés à chaque utilisateur.

    Note :

    Selon la configuration de votre application, les utilisateurs peuvent être différents de ceux affichés ici.

    Les rôles hérités, ainsi que les informations sur l'héritage, sont affichés sur une ligne pour chaque utilisateur.

    Dans cet exemple, les rôles prédéfinis et d'application sont affichés pour chaque utilisateur.

    Rapport sur les affectations de rôle - Utilisateurs
  4. (Facultatif) Cliquez sur Exporter dans un fichier CSV, puis enregistrez le fichier dans un dossier local.

Consultation du rapport sur la connexion des utilisateurs

Le rapport de connexion des utilisateurs, par défaut, contient des informations sur les utilisateurs qui se sont connectés à l'environnement au cours des 24 dernières heures. Il répertorie l'adresse IP de l'ordinateur à partir duquel l'utilisateur s'est connecté et la date et l'heure (UTC) auxquelles l'utilisateur a accédé à l'environnement.

Les administrateurs de service ou les utilisateurs affectés au rôle Gestionnaire du contrôle d'accès peuvent régénérer ce rapport pour un intervalle de dates personnalisé ou pour les 1er, 30 derniers jours, 90 derniers jours et 120 derniers jours. Ils peuvent également filtrer le rapport pour afficher uniquement les informations d'utilisateurs spécifiques en utilisant une chaîne partielle du prénom, du nom de famille ou de l'ID utilisateur des utilisateurs comme chaîne de recherche.

  1. Dans les onglets horizontaux, cliquez sur Rapport de connexion des utilisateurs.
  2. Dans la liste déroulante, sélectionnez un intervalle de dates.

    Conseil :

    Vous pouvez filtrer la liste en entrant une chaîne de recherche, puis en cliquant sur Rechercher (Rechercher).
  3. Vérifiez les détails de connexion.
    Rapport sur la connexion des utilisateurs
  4. (Facultatif) Cliquez sur Exporter dans un fichier CSV, puis enregistrez le fichier dans un dossier local.

Consultation du rapport sur les groupes d'utilisateurs

Le rapport sur les groupes d'utilisateurs répertorie l'appartenance directe ou indirecte des utilisateurs affectés aux groupes dans le contrôle d'accès. Les administrateurs de service ou les utilisateurs affectés au rôle Gestionnaire du contrôle d'accès peuvent générer ce rapport.

Les utilisateurs sont considérés comme des membres directs d'un groupe s'ils sont affectés au groupe. Les utilisateurs sont considérés comme des membres indirects s'ils sont affectés à un groupe qui est un enfant d'un autre groupe. Pour chaque utilisateur affecté à un groupe, le rapport répertorie des informations telles que l'ID connexion, le prénom et le nom de famille, l'ID courriel et une liste de groupes séparés par des virgules auxquels l'utilisateur est affecté directement ou indirectement. Les groupes directs sont affichés en caractères gras, tandis que les groupes indirects sont en caractères non gras. La version CSV du rapport indique si l'utilisateur est affecté directement ou indirectement à un groupe à l'aide de Oui ou de Non.

  1. Dans les onglets horizontaux, cliquez sur Rapport sur les groupes d'utilisateurs.
  2. Dans la liste déroulante, vérifiez que l'option Utilisateurs est sélectionnée.

    Conseil :

    Vous pouvez voir les rôles d'affectation de rôle pour les utilisateurs ou les groupes. Pour passer à des groupes, dans la liste déroulante, sélectionnez Groupes et cliquez sur Rechercher (Rechercher).
  3. Vérifiez les informations de provisionnement des utilisateurs, notamment les groupes affectés et les rôles d'application.
    Rapport sur la connexion des utilisateurs
  4. (Facultatif) Cliquez sur Exporter dans un fichier CSV, puis enregistrez le fichier dans un dossier local.

Importation des affectations de groupes d'utilisateurs (facultatif)

Les administrateurs de service ou les utilisateurs affectés au rôle d'application Gestionnaire du contrôle d'accès peuvent importer des affectations de groupe d'utilisateurs à partir d'un fichier CSV (valeurs séparées par des virgules) pour créer de nouvelles affectations dans un groupe de contrôle d'accès existant. Cloud EPM applique les affectations de sécurité au niveau de l'application et des artefacts en fonction des nouvelles affectations de groupe.

Note :

Toutes les connexions d'utilisateur identifiées dans le fichier d'importation doivent exister dans le domaine d'identité; tous les noms de groupe inclus dans le fichier doivent exister dans le contrôle d'accès. Vous ne pouvez pas créer un groupe à l'aide de ce processus d'importation. Vous ne pouvez créer que de nouvelles affectations de groupe; vous ne pouvez pas supprimer les affectations de groupe courantes des utilisateurs.

Voici quelques exemples de fichier CSV utilisé pour importer des affectations de groupe :

User Login,Group
jdoe,Grp1
jane.doe@example.com,Grp2

User Login,First Name,Last Name,Email,DirectGroup
jdoe,John,Doe,jdoe@example.com,Yes,Grp1
jane.doe@example.com,Jane,Doe,jane.doe@example.com,No,Grp2

Conseil :

Exportez le rapport Groupe d'utilisateurs et utilisez-le comme modèle.

Note :

Vous aurez besoin d'un fichier d'importation contenant des affectations de groupe pour effectuer les tâches de cette section.
  1. Dans le rapport Groupe d'utilisateurs, cliquez sur Importer à partir d'un fichier CSV.
  2. Dans le fichier CSV d'importation d'affectation de groupe d'utilisateurs, cliquez sur Sélectionner un fichier ou sur Parcourir.

    Note :

    Selon votre navigateur, l'étiquette du bouton peut afficher Sélectionner un fichier ou Parcourir.
  3. Sélectionnez votre fichier d'importation.
  4. Dans le fichier CSV d'importation d'affectation de groupe d'utilisateurs, cliquez sur Importer.
  5. À l'invite, cliquez sur Oui.
  6. À l'invite suivante, cliquez sur OK.

Consultation des rapports du système de contrôle d'accès

Vous pouvez créer un rapport qui répertorie les autorisations d'accès courantes pour les utilisateurs et les groupes dans l'application.

  1. En haut à gauche, cliquez sur Navigateur (Navigateur).
  2. Puis, sous Surveiller et explorer, cliquez sur Rapports système.
    Naviguer jusqu'aux rapports du système
  3. Dans les onglets, cliquez sur Contrôle de l'accès.
    Onglet Contrôle d'accès
  4. Dans Select User a Group, sélectionnez une option :
    • Utilisateurs disponibles
    • Groupes disponibles
    • Utilisateurs et groupes disponibles
    Sélectionner des utilisateurs ou des groupes

    Le panneau Disponible est mis à jour en fonction de l'option que vous avez sélectionnée.

  5. Dans le panneau Available (Disponible) de gauche, sélectionnez des utilisateurs et des groupes, puis déplacez les utilisateurs et les groupes sur lesquels porter le rapport vers le panneau Selected (Sélectionnés).

    Dans cet exemple, des groupes ont été sélectionnés.

    Sélection d'utilisateurs et de groupes

    Conseil :

    Utilisez les icônes Déplacer et Supprimer pour déplacer les sélections entre les panneaux.
  6. Dans le panneau Available Objects (Objets disponibles) de gauche, sélectionnez et déplacez les objets sur lesquels porter le rapport vers le panneau Selected Objects (Objets sélectionnés).
  7. Sélectionnez les options de production de rapports :
    • Pour Afficher l'accès correspondant de type, sélectionnez l'accès à la vue : Lecture, Écrire ou Aucun.
    • Pour Regrouper les résultats par, sélectionnez le mode de consultation du rapport : Utilisateurs ou Objets.
    • Dans les sections Type de rapport, sélectionnez Accès affecté ou Accès en vigueur :
      • Si vous avez sélectionné Accès affecté, spécifiez si les autorisations d'accès sont affectées par la relation de sélection de membres ou l'appartenance à un groupe :
        • Dans Afficher l'accès correspondant à la relation, sélectionnez : Membre, Enfants, Enfants (inclus), Descendants ou Descendants (inclus).
        • Sélectionnez Afficher les autorisations d'accès héritées du groupe pour afficher les autorisations d'accès héritées par les utilisateurs d'un groupe.
      • Si vous avez sélectionné Accès en vigueur, sélectionnez Afficher l'origine de l'accès en vigueur pour inclure une description de l'origine des autorisations d'accès en vigueur dans le rapport.
  8. Indiquez si vous voulez créer un rapport au format Délimité par des virgules ou PDF.
  9. Vérifiez vos sélections.

    Voici un exemple de sélection d'options de rapport :

    Exemples d'options de rapport sélectionnées
  10. Cliquez sur Créer un rapport, puis enregistrez le rapport dans un dossier local.

Gestion des autorisations d'accès

Affecter la sécurité des dimensions et des membres

Vous pouvez affecter des autorisations aux membres en sélectionnant la propriété de dimension Appliquer la sécurité. Voir le tutoriel Gestion des dimensions dans les processus d'affaires Cloud EPM pour les étapes sous Modification des propriétés de dimension.

Le comportement de tous les rôles prédéfinis autres que l'administrateur de service est affecté par l'option Appliquer la sécurité définie au niveau de la dimension dans le processus d'affaires. La désactivation de l'option Apply Security laisse les dimensions non sécurisées, ce qui permet à tous les utilisateurs affectés à des rôles prédéfinis d'accéder et d'écrire des données dans les membres de dimension. Oracle recommande de sélectionner l'option Apply Security au niveau dimension pour appliquer la sécurité.

  1. Retour à la page d'accueil. En haut à droite, cliquez sur Accueil (Accueil).
  2. Cliquez sur Application, puis sur Aperçu.
    Application - Aperçu
  3. Cliquez sur Dimensions.
    Onglet Dimensions
  4. Filtrer la vue de dimension en sélectionnant un cube dans la liste déroulante Cube.

    Dans cet exemple, le cube Plan1 est sélectionné.

    Sélection d'un cube
  5. Après avoir sélectionné un cube, cliquez sur le nom d'une dimension à laquelle vous souhaitez appliquer la sécurité.

    Dans cet exemple, la dimension Produit du cube Plan1 est ouverte dans Modifier les propriétés de membre. Vous pouvez développer la hiérarchie des membres en cliquant sur Zoom sur tous les membres (Zoom All Members).

    Sélectionnez un membre et cliquez sur Affecter une autorisation

    Note :

    Pour que vous puissiez affecter des autorisations d'accès, l'option Appliquer la sécurité doit être activée pour la dimension avec laquelle vous travaillez.
  6. À gauche, cliquez sur Modifier les propriétés de dimension (Modifier les propriétés de dimension).
  7. Sélectionnez Appliquer la sécurité.
    Appliquer la sécurité
  8. Cliquez sur Terminé.
  9. Cliquez sur le nom de la dimension à modifier.
  10. Dans la grille de modification des propriétés de membre, sélectionnez un membre, puis cliquez sur Affecter une autorisation (Affecter une autorisation).
    Affectation d'autorisations
  11. Dans Affecter une autorisation, cliquez sur Autorisations.
    Boîte de dialogue Assign Permission
  12. Exécuter une tâche :
    • Pour ajouter des autorisations, cliquez sur Ajouter un utilisateur/groupe, puis sur Utilisateurs ou Groupes et sélectionnez-les dans la liste des utilisateurs et groupes disponibles.
    • Cliquez sur OK, puis sur Fermer.
    • Pour modifier le type d'autorisation, sélectionnez une option pour l'utilisateur ou le groupe que vous avez ajouté :
      • Cliquez sur Lecture pour permettre aux utilisateurs et aux groupes sélectionnés de voir l'artefact ou le dossier dans la liste, mais pas pour créer, modifier ou supprimer les informations sur l'artefact ou le dossier.
      • Cliquez sur Rédiger pour permettre aux utilisateurs et aux groupes sélectionnés de voir l'artefact ou le dossier dans la liste et de créer, modifier ou supprimer les informations sur l'artefact ou le dossier.
      • Cliquez sur Aucun si vous ne voulez pas que les utilisateurs ou les groupes sélectionnés voient l'artefact ou le dossier dans la liste.
    • Facultatif : Sélectionnez une relation.

      Par exemple, sélectionnez Children pour affecter l'accès aux enfants du membre sélectionné.

    • Pour supprimer des autorisations, pour l'utilisateur ou le groupe sélectionné, cliquez sur X (Supprimer).
  13. Lorsque vous avez terminé d'ajouter des autorisations aux utilisateurs et aux groupes, cliquez sur Enregistrer.
  14. Si un message d'informations vous est demandé, cliquez sur OK.
  15. Cliquez sur Annuler pour fermer Affecter des autorisations.
  16. Dans Modifier les propriétés de membre, cliquez sur Enregistrer.
  17. Cliquez sur Annuler pour fermer Modifier les propriétés de membre.
  18. Retour à la page d'accueil. En haut à droite, cliquez sur Accueil (Accueil).

Affectation d'autorisations aux flux de navigation

Les flux de navigation permettent aux administrateurs de contrôler la façon dont les rôles ou les groupes interagissent avec le processus d'affaires. Le processus de gestion est livré avec un flux de navigation prédéfini, appelé Default.

Les flux de navigation sont classés comme suit pour la personnalisation :

  1. Global : Les flux de navigation sont visibles par tous les utilisateurs.
  2. Rôle : Les flux de navigation ne sont visibles que par les utilisateurs d'un rôle spécifique, par exemple Utilisateur ou Utilisateur expérimenté.
  3. Groupe : Les flux de navigation ne sont visibles que par les utilisateurs appartenant à un groupe spécifique.

Les flux de navigation peuvent être définis à n'importe lequel de ces niveaux. Dans les cas où les flux de navigation existent à plusieurs niveaux, les mises à jour sont appliquées dans l'ordre du plus élevé (global) au plus bas (groupes).

  1. Dans la page d'accueil, cliquez sur Outils, puis sur Flux de navigation.
    Aller aux flux de navigation

    Si des flux de navigation sont créés dans votre processus d'affaires, ils sont répertoriés dans la page. Voici les flux de navigation de liste disponibles dans l'application Planning Sample Vision.

    Flux de navigation dans Vision (Planification)
  2. Sélectionnez un flux de navigation inactif auquel affecter les autorisations. Cliquez sur son nom pour le modifier.
  3. Dans Assign To, effectuez l'une des opérations suivantes :
    • Entrez un rôle ou un groupe prédéfini.
    • Cliquez sur Rechercher (Rechercher), puis dans la boîte de dialogue Affecter un flux de navigation, sélectionnez un groupe ou un rôle et cliquez sur OK.
  4. Cliquez sur Enregistrer et fermer.

    Le rôle ou le groupe affecté au flux de navigation s'affiche. Dans cet exemple, le rôle Utilisateur expérimenté a été affecté au flux de navigation Financials.

    Flux de navigation avec autorisations affectées

    Le processus de gestion offre trois niveaux d'autorisation pour les flux de navigation :

    • Basé sur les rôles : Les autorisations sont accordées aux utilisateurs ou aux groupes affectés à un rôle spécifique. Par exemple, un utilisateur verra différentes cartes affichées dans la page d'accueil qu'un administrateur de service
    • Basé sur des artefacts : Les autorisations sont accordées aux utilisateurs ou aux groupes qui peuvent voir certains artefacts. Par exemple, un utilisateur ne verra que les formulaires auxquels il a reçu une autorisation.
    • Global : Les autorisations sont accordées à tous les utilisateurs
  5. Retour à la page d'accueil. En haut à droite, cliquez sur Accueil (Accueil).

Affecter des autorisations aux tableaux de bord, aux infolets, aux formulaires et aux règles

  1. Dans la page d'accueil, cliquez sur l'un des éléments suivants : Tableaux de bord, Infolets, Données ou Règles.
    Naviguer jusqu'aux tableaux de bord, infolets, formulaires ou règles

    Pour les tableaux de bord, les infolets, les formulaires (données) et les règles, les dossiers et artefacts répertoriés comportent chacun un menu Actions.

    Menu Actions
  2. Pour l'artefact auquel vous voulez appliquer des autorisations, cliquez sur Actions (Actions), puis sélectionnez Affecter une autorisation.
  3. Dans Affecter une autorisation, cliquez sur +(Ajouter un utilisateur/groupe).
  4. Dans Ajouter un utilisateur/groupe, cliquez sur Utilisateurs ou Groupes.
  5. Sélectionnez dans la liste des utilisateurs et groupes disponibles, puis cliquez sur >.
  6. Pour modifier le type d'autorisation, sélectionnez un utilisateur ou un groupe, puis sélectionnez une option :
    • Tableaux de bord, infolets, formulaires :
      • Cliquez sur Lecture pour permettre aux utilisateurs et aux groupes sélectionnés de voir l'artefact ou le dossier dans la liste, mais pas pour créer, modifier ou supprimer les informations sur l'artefact ou le dossier.
      • Cliquez sur Rédiger pour permettre aux utilisateurs et aux groupes sélectionnés de voir l'artefact ou le dossier dans la liste et de créer, modifier ou supprimer les informations sur l'artefact ou le dossier.
      • Cliquez sur Aucun si vous ne voulez pas que les utilisateurs ou les groupes sélectionnés voient l'artefact ou le dossier dans la liste.
      • Pour supprimer les autorisations, pour l'utilisateur ou le groupe sélectionné, cliquez sur Supprimer (Supprimer).
        • Définir les autorisations
    • Règles :
      • Cliquez sur Lancer pour permettre aux utilisateurs et aux groupes sélectionnés de lancer les règles sélectionnées.
      • Cliquez sur Aucun lancement pour empêcher les utilisateurs et les groupes sélectionnés de lancer les règles sélectionnées.
      • Pour supprimer les autorisations, pour l'utilisateur ou le groupe sélectionné, cliquez sur Supprimer (Supprimer).
        • Autorisation de règle à lancer
  7. Cliquez sur Ajouter.
  8. Cliquez sur Enregistrer.

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur le site docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal Oracle Learning YouTube. De plus, visitez Oracle University pour voir les ressources de formation disponibles.

Pour obtenir la documentation sur le produit, visitez Oracle Help Center.