在 Cloud EPM 中设置安全性

简介

本教程介绍 Cloud EPM 业务流程中的安全层，并说明如何使用访问控制和访问权限来管理安全性。各节基于彼此构建，应按顺序完成。

背景信息

Oracle Cloud Enterprise Performance Management (EPM) 可在多个层中实现安全性。由 Oracle 实施和管理的基础架构安全组件创建高度安全的 Cloud EPM 环境。Cloud EPM 采用以下机制确保安全性，这些机制仅允许经授权的用户访问该服务：

单点登录 (SSO)
基于角色的环境访问，包括预定义的 Cloud EPM 角色和应用程序级角色
访问控制
其他安全层，例如访问权限

SSO 和基于角色的安全性由 Oracle Identity Management 控制，Oracle Identity Management 为每个环境定义一个安全域。成功登入后，由分配给用户的角色确定对服务的访问权限。

下面是本教程中的几个关键术语和概念：

Oracle Cloud Infrastructure 支持新的 Oracle Cloud Enterprise Performance Management (EPM) 订阅，该服务使用 Oracle Identity Cloud Services 作为默认身份存储库。

Oracle Cloud Infrastructure ：Cloud EPM 是 Oracle Cloud 的一个组件。

Oracle Cloud 的最新版本称为 Oracle Cloud Infrastructure (OCI)。OCI 为 EPM 云提供高度可用的计算能力和基础设施。OCI 支持首次客户购买的新 Cloud EPM 订阅。OCI 也可以称为 Oracle Cloud 第 2 代或 OCI（第 2 代）。

Oracle Cloud Classic ：Oracle Cloud Classic 是 OCI 的前身。Oracle Cloud Classic 支持许多 Cloud EPM 客户。

注意：

无论使用的 Oracle Fusion Cloud Enterprise Performance Management 基础结构如何，Oracle Cloud Enterprise Performance Management 业务流程的运作方式都是相同的。然而，标准与 OCI 环境中的 EPM 云操作之间存在一些差异。查看 Oracle EPM Cloud 和 EDM Cloud for Administrators 入门文档中的经典环境与 OCI 环境之间的差异。

云门户：您在其中设置和配置 Cloud EPM 用户和安全条件的网站。OCI 和 Oracle Cloud Classic 维护单独的云门户。本文档将 Oracle Cloud Classic 门户称为“我的服务”（经典），将 OCI 门户称为“我的服务 (OCI)”。

身份域：共享身份管理基础设施的一部分，其中身份域管理员使用“我的服务”（标准）在 Oracle Cloud Classic 中创建和管理 Cloud EPM 用户和安全性。等效于 OCI 中的云帐户名称。

身份域管理员在身份域中创建并管理用户帐户。帐户管理员将身份域管理员角色授予一个或多个用户，以委派设置安全性的过程。

默认情况下，为每个客户分配两个服务环境（测试环境和生产环境）。身份域管理员使用“我的服务”应用程序（OCI 和标准）或 Oracle Cloud Identity Console（仅 OCI）来管理需要访问这些环境的用户。许多 EPM 云服务可以在一个客户帐户或身份域下激活。

云帐户名称：管理 EPM 云订阅的一个帐户名称。在 OCI（第 2 代）中，云帐户名称用作保护 EPM 云环境的身份域的名称。身份域管理员使用“我的服务”、Oracle Cloud Identity Console 和 Oracle Cloud 控制台 (IAM) 设置并管理 EPM 云用户和安全性。默认情况下，为每个客户分配两个服务环境（测试环境和生产环境）。

帐户管理员将身份域管理员角色授予一个或多个用户，以委派设置安全性的过程。许多 EPM 云服务可以在一个云帐户名称下激活。

Oracle Cloud Identity Console ：身份域管理员用来在 OCI 中的 Identity Cloud Services (IDCS) 中设置和管理安全的另一个控制台。从我的服务 (OCI) 访问此控制台。

本教程将向您展示每个安全层的概述，并向您展示如何使用访问控制和访问权限管理安全性。

先决条件

Cloud EPM 实操教程可能需要您将快照导入 Cloud EPM Enterprise Service 实例。在导入教程快照之前，必须请求另一个 Cloud EPM Enterprise Service 实例或删除当前应用程序和业务流程。教程快照不会通过现有应用程序或业务流程导入，也不会自动替换或恢复您当前使用的应用程序或业务流程。

在开始本教程之前，您必须：

服务管理员对 Cloud EPM Enterprise Service 实例的访问权限。
为任何 Cloud EPM 业务流程加载的应用程序。如果可用，您可以使用业务流程附带的预构建示例应用程序。
在您的身份域中创建和预配了几个用户。

注意：

如果导入快照时遇到迁移错误，请重新运行迁移（不包括 HSS-Shared Services 组件），以及核心组件中的“安全性”和“用户首选项”对象。有关上载和导入快照的更多信息，请参阅 Administering Migration for Oracle Enterprise Performance Management Cloud 文档。

关于 Cloud EPM Security

关于单点登录

Oracle Cloud 服务账户是可具有不同服务类型的多个云服务的唯一客户账户。每个 Oracle Cloud 服务都属于一个身份域。身份域是用于通过 Oracle 单点登录 (SSO) 配置和 OAuth 管理来管理用户和角色、集成标准、外部身份、安全应用集成的结构。多个服务可以关联到单个身份域以共享用户定义和验证。可以向身份域中的用户授予对与该域关联的每个服务的不同访问级别，以确保职责分离。

您可以使用默认的 Oracle Cloud EPM Single Sign-On（经典）或使用符合安全断言标记语言 (Security Assertion Markup Language，SAML) 2.0 的身份提供者向多个 Cloud EPM 服务验证用户。

注意：

Cloud EPM 仅支持服务提供者 (Service Provider，SP) 启动的 SSO。

通过 SSO，Cloud EPM 用户可以在连接到 Cloud EPM 环境时使用他们用于访问组织内网络资源的相同凭据进行身份验证。

在 Identity Cloud Service 中，对于 OCI GEN2，您可以通过将多个 Cloud EPM 用户分配给组来简化角色分配。然后，为这些组分配预定义角色。由于 IDCS 组可以与身份提供程序组（例如 MSAD 组），因此您也可以将单个用户添加到身份提供程序组，然后在 Oracle Cloud Identity Console 中为这些组分配预定义角色。

身份域管理员可以分别创建多个用户，也可以使用包含用户数据的上传文件一次创建多个用户。身份域管理员必须熟练掌握安全概念，包括允许用户访问环境的预定义 Oracle Cloud Enterprise Performance Management 角色，并知道如何使用“我的服务”（经典）或“我的服务”(OCI) 和 Oracle Cloud Identity Console（仅限 OCI）来完成任务。

关于预定义的 Cloud EPM 角色

对 Cloud EPM 服务环境的访问由分配给用户或组的预定义功能角色确定。预定义的功能角色将用户和组与允许他们在环境中执行的业务活动以及可以访问的数据关联在一起。必须为用户分配预定义的角色，这些用户和组授予他们访问业务功能和关联数据的访问权限。

以下 Oracle Cloud EPM 服务使用一组通用的预定义功能角色来控制对环境的访问：

Planning
自由形式
Financial Consolidation and Close
Tax Reporting
Profitability and Cost Management
Enterprise Profitability and Cost Management
Account Reconciliation
战略性人员规划
Narrative Reporting
销售规划

Oracle Enterprise Data Management Cloud (EDMC) 仅使用“服务管理员”和“用户”预定义角色。“超级用户”和“查看器”显示在“我的服务”中。请勿将用户分配给这些角色。它们不适用于 EDMC。

预定义角色在环境中授予的具体访问权限取决于服务类型。例如，Planning 中的超级用户角色允许管理业务规则安全性以及控制审批流程，而 Tax Reporting 中的相同角色允许运行税务自动化以及导入数据。

服务管理员执行管理和功能活动，例如管理用户及其角色、配置单点登录以及设置网络限制访问。服务管理员负责配置应用程序级别的安全性。

如果服务配置了 SSO，那么 Oracle Cloud EPM 用户名、密码和密码策略将由组织的目录服务器进行管理。

超级用户可以查看数据并与数据交互，以及创建和维护表单、即席网格和报表。

用户可以输入和提交数据进行审批，使用即席功能分析表单，以及穿透钻取到源系统。用户可以查看他们有权访问的报告内容。

查看器通过表单和即席网格查看和分析数据。查看者无法在系统中输入数据。

角色是分层的。较高级别的角色会继承通过较低级别的角色授予的访问权限。

例如，指定为服务管理员的用户也会继承 Power User、User 和 Viewer 的特权。Power Users 继承 User 和 Viewer 的权限，Users 继承 Viewer 的权限。

注意：

Oracle Enterprise Performance Management Cloud 管理员入门文档的了解预定义角色主题包括每个适用的 Cloud EPM 业务流程的预定义角色详细信息。为用户分配角色主题涵盖在使用“我的服务”（经典）和 Identity Cloud Service 分配角色时需要完成的任务。

关于应用程序级别角色

除了分配给用户的预定义角色之外，应用程序角色还增强了用户的访问权限。

虽然整体访问权限由预定义角色控制，但分配有 Access Control Manager 应用程序角色的服务管理员或用户可以将特定于应用程序的角色和数据授权授予在 Access Control 中创建和管理的用户和组，例如，默认情况下用户没有设计审批流程的权限，该权限仅授予超级用户和服务管理员。在访问控制中，服务管理员可以分配审批管理员角色，以允许用户执行和审批相关的活动。

支持应用程序角色分配的 Cloud EPM 业务流程包括：

Planning
自由形式
Financial Consolidation and Close
Tax Reporting
Narrative Reporting
Enterprise Profitability and Cost Management
Oracle 企业数据管理云
Account Reconciliation

注意：

有关每个 Cloud EPM 业务流程中可用的应用程序角色的完整列表，请参阅 Administering Access Control for Oracle Enterprise Performance Management Cloud 文档的 Managing Role Assignments at the Application Level 部分的业务流程子主题。

您可以在访问控制中管理应用程序角色分配。服务管理员可以将特定于应用程序的角色和数据授权授予在访问控制中创建和管理的用户和组。

关于访问控制

Access Control 是以下业务流程中提供的 Cloud EPM 组件：

Planning
自由形式
Financial Consolidation and Close
Tax Reporting
Profitability and Cost Management
Enterprise Profitability and Cost Management
Account Reconciliation
Oracle 企业数据管理云
Narrative Reporting
Oracle Strategic Workforce Planning Cloud
Oracle Sales Planning Cloud

通过访问控制，您可以执行以下任务：

创建组并将 EPM 云用户或其他组添加为成员
添加或删除组成员
向组或用户（包括您自己）分配应用程序角色
查看属于组成员的用户列表

其他安全层

每个 Cloud EPM 业务流程中都可能提供其他安全功能。这些功能与访问控制结合使用，以提供访问权限。您可以定义对维、规则、导航流、表单和其他对象的访问权限，以及设置有效和无效的交叉点和单元格级别安全性。

管理访问控制中的安全性

要打开访问控制，请从 Cloud EPM 业务流程的主页中依次单击工具和访问控制。

此时将打开访问控制，其中显示“管理组”。此示例显示在 Planning 示例 Vision 应用程序中创建的预定义角色和组。

在页面底部的以下选项卡式页面中管理访问控制：

管理组
管理用户
管理应用程序角色
角色分配报表
用户登录报告
用户组报表

管理组

在“Manage Groups of Access Control（管理访问控制组）”中，预定义角色作为组列出。

注意：

您无法从访问控制中删除、修改或将应用程序级别角色分配给预定义的角色。此外，分配给预定义角色的 Cloud EPM 用户在访问控制中列出，以便他们可以添加为组成员。

Cloud EPM 业务流程使用内部存储库来支持应用程序级角色分配。

Cloud EPM 用户和其他组可以是使用访问控制维护的组的成员。通过将角色分配给组，可以向用户授予应用程序角色。

提示：

使用迁移或 EPM Automate 命令导入或导出组。

创建组

在“管理组”中，在右上角单击创建。
输入以下信息:
- 名称：输入唯一的组名称（最多不超过 256 个字符）。
  
  注意：
  组名不区分大小写。Cloud EPM 不允许创建名称与预定义角色名称相同的组（服务管理员、超级用户、用户或规划者以及查看者）。
- 说明：（可选）输入组的说明。
（可选）在“组”中，添加组以创建嵌套组。
- 单击（搜索）以显示可用组的列表，或者通过输入搜索字符串来筛选列表，然后单击（搜索）。
- 从可用组中选择要添加到新组的成员组。
- 单击 >（移动）。
  选定的组将在“分配的组”下列出。
  
  注意：
  单击 >（移动）、 >>（全部移动）、<（删除）、<（全部删除）允许您添加或删除分配。
（可选）：单击用户以将服务用户添加为组的成员。
- 单击（搜索）可显示可用用户列表，或者通过输入搜索字符串来筛选列表，然后单击（搜索）。
- 从“可用用户”中，选择要添加到新组中的用户。
- 单击 >（移动）。
  选定的用户列在“Assigned Users（分配的用户）”下。
  
  注意：
  单击 >（移动）、 >>（全部移动）、<（删除）、<（全部删除）允许您添加或删除分配。
单击保存。
在信息消息中，单击确定。
新添加的组将列在页面上。

修改群组

在“管理组”中，找到要修改的组，单击（操作），然后选择编辑。
在“编辑组”中，修改名称、说明、组和用户选择。

提示：
有关添加和删除分配的步骤，请参阅本教程的创建组部分中的步骤 3 和步骤 4。
单击保存。
在信息消息中，单击确定。

删除组

在“管理组”中，找到要删除的组，单击（操作），然后选择删除。
在 "Delete Group" 信息提示中，单击 Yes 。
在下一个信息消息中，单击确定。

管理用户组分配

从水平选项卡中，单击管理用户。
找到要分配角色的用户，单击（操作），然后选择编辑。
在“成员 - 可用组”中，添加组以创建嵌套组。
- 单击（搜索）以显示可用组的列表，或者通过输入搜索字符串来筛选列表，然后单击（搜索）。
- 从“可用组”中，选择要分配的成员组。
- 单击 >（移动）。
  选定的组将在“分配的组”下列出。
  
  注意：
  单击 >（移动）、 >>（全部移动）、<（删除）、<（全部删除）允许您添加或删除分配。
单击保存。
在信息消息中，单击 OK 。

分配和取消分配 Cloud EPM 应用程序角色

服务管理员可以将特定于应用程序的角色和数据授权授予在访问控制中创建和管理的用户和组。

建议的最佳做法是分配适合的最低级别角色，并根据需要授予额外权限。

为用户分配应用程序角色

从水平选项卡中，转至管理应用程序角色。
从下拉列表中，验证是否选择了用户。

提示：
您可以通过输入搜索字符串，然后单击（搜索）来筛选列表。
找到要分配角色的用户，单击（操作），然后选择管理角色。
要分配应用程序角色，请执行以下操作：
- 在“Available Application Roles（可用应用程序角色）”中，选择一个应用程序角色。
  提示：
  支持以下从列表中选择多个项目的标准浏览器技术：
  - Shift + 单击：选择两个或多个连续项。要选择连续项目，请选择第一个项目，然后按 Shift 键并单击最后一个项目，以同时选择项目和介于两者之间的所有项目。
  - 控件 + 单击：选择两个或多个非连续项。要选择多个非连续项，请在单击每一项时按住 Control 键。
- 单击 >（移动）。
  选定的角色列在“Assigned Application Roles（分配的应用程序角色）”下。
  
  注意：
  单击 >（移动）、 >>（全部移动）、<（删除）、<（全部删除）允许您添加或删除分配。
在此示例中，将 Planning 应用程序角色分配给用户。
要删除应用程序角色，请执行以下操作：
- 在“Assigned Application Roles（分配的应用程序角色）”中，选择分配的角色。
  提示：
  支持以下从列表中选择多个项目的标准浏览器技术：
  - Shift + 单击：选择两个或多个连续项。要选择连续项目，请选择第一个项目，然后按 Shift 键并单击最后一个项目，以同时选择项目和介于两者之间的所有项目。
  - 控件 + 单击：选择两个或多个非连续项。要选择多个非连续项，请在单击每一项时按住 Control 键。
- 单击 <（删除）。
  
  注意：
  单击 >（移动）、 >>（全部移动）、<（删除）、<（全部删除）允许您添加或删除分配。
单击确定。
在信息消息中，单击 OK 。

将应用程序角色分配到组

在“管理应用程序角色”的下拉列表中，选择组，然后单击（搜索）。

提示：
您可以通过输入搜索字符串，然后单击（搜索）来筛选列表。
找到要分配角色的组，单击（操作），然后选择管理角色。
要分配应用程序角色，请执行以下操作：
- 在“Available Application Roles（可用应用程序角色）”中，选择一个应用程序角色。
  提示：
  支持以下从列表中选择多个项目的标准浏览器技术：
  - Shift + 单击：选择两个或多个连续项。要选择连续项目，请选择第一个项目，然后按 Shift 键并单击最后一个项目，以同时选择项目和介于两者之间的所有项目。
  - 控件 + 单击：选择两个或多个非连续项。要选择多个非连续项，请在单击每一项时按住 Control 键。
- 单击 >（移动）。
  选定的角色列在“Assigned Application Roles（分配的应用程序角色）”下。
  
  注意：
  单击 >（移动）、 >>（全部移动）、<（删除）、<（全部删除）允许您添加或删除分配。
在此示例中，将 Planning 应用程序角色分配给组。
要删除应用程序角色，请执行以下操作：
- 在“Assigned Application Roles（分配的应用程序角色）”中，选择分配的角色。
  提示：
  支持以下从列表中选择多个项目的标准浏览器技术：
  - Shift + 单击：选择两个或多个连续项。要选择连续项目，请选择第一个项目，然后按 Shift 键并单击最后一个项目，以同时选择项目和介于两者之间的所有项目。
  - 控件 + 单击：选择两个或多个非连续项。要选择多个非连续项，请在单击每一项时按住 Control 键。
- 单击 <（删除）。
  
  注意：
  单击 >（移动）、 >>（全部移动）、<（删除）、<（全部删除）允许您添加或删除分配。
单击确定。
在信息消息中，单击 OK 。

生成报告

服务管理员或分配有“访问控制管理员”应用程序角色的用户可以生成报表来分析和管理角色分配。可以导出报表来创建该报表的逗号分隔值 (CSV) 版本。

查看组的角色分配报告

您可以查看用户或组的已分配预定义角色和应用程序角色。如果用户所属的组未用于将应用程序角色分配给用户，将不列出这些组。使用此报表，您可以跟踪用户访问权限以进行合规性报告。

在“管理应用程序角色”的下拉列表中，验证是否选择了组。

提示：
您可以查看用户或组的角色分配角色。要切换到用户，请从下拉列表中选择用户，然后单击（搜索）。
找到要报告的组，单击（操作），然后选择角色分配报告。
查看所选组的角色分配报告。
在此示例中，将显示分析专家组的角色分配报表。
（可选）单击导出到 CSV ，然后将文件保存到本地文件夹。
单击关闭。

查看适合您的角色分配报表

您可以查看通过预定义角色和应用程序级角色分配给所有用户的访问权限。报表列出分配给用户的预定义角色（以粗体表示）和应用程序角色（以非粗体表示）。

从水平选项卡中，单击角色分配报表。
从下拉列表中，验证是否选择了用户。

提示：
您可以通过输入搜索字符串，然后单击（搜索）来筛选列表。
查看用户详细信息，包括分配给每个用户的角色。

注意：
根据您的应用程序设置，用户可能与此处显示的不同。

对于每个用户，继承的角色以及有关继承的信息将显示在一行中。

在此示例中，显示了每个用户的预定义角色和应用程序角色。
（可选）单击导出到 CSV ，然后将文件保存到本地文件夹。

查看用户登录报表

用户登录报表默认情况下包含有关过去 24 小时内登录过环境的用户的相关信息。该报表列出用户从中登录的计算机的 IP 地址以及用户访问环境的日期和时间 (UTC)。

服务管理员或具有“访问控制 - 管理”角色的用户可以针对自定义日期范围或系统提供时间段（过去 30 天、过去 90 天和过去 120 天）重新生成此报表。他们还可以通过使用用户的名字、姓氏或用户标识的部分字符串作为搜索字符串来筛选报表，以仅查看特定用户的资料。

从水平选项卡中，单击 User Login Report（用户登录报表）。
从下拉列表中选择一个日期范围。

提示：
您可以通过输入搜索字符串，然后单击（搜索）来筛选列表。
查看登录详细信息。
（可选）单击导出到 CSV ，然后将文件保存到本地文件夹。

查看用户组报表

用户组报表列出在访问控制中分配到组的用户的直接或间接成员身份。服务管理员或具有访问控制管理员角色的用户可以生成此报表。

如果将用户分配到组，则他们被认为是该组的直接成员。用户被认为是间接成员；如果将他们分配到另一个组，则他们被认为是间接成员。对于分配到组的每个用户，报表将列出以下信息：登录 ID、名字和姓氏、电子邮件 ID、将用户直接或间接分配到的组的逗号分隔列表等等。直接组以粗体显示，而间接组以非粗体显示。此报告的 CSV 版本通过使用是还是否指明用户是直接还是间接分配给组。

从水平选项卡中，单击 User Group Report（用户组报表）。
从下拉列表中，验证是否选择了用户。

提示：
您可以查看用户或组的角色分配角色。要切换到组，请从下拉列表中选择组，然后单击（搜索）。
查看用户设置信息，包括分配的组和应用程序角色。
（可选）单击导出到 CSV ，然后将文件保存到本地文件夹。

导入用户组分配（可选）

服务管理员或分配有“访问控制管理者”应用程序角色的用户可以从逗号分隔值 (CSV) 文件导入用户组分配，以在现有访问控制组中创建新指定。Cloud EPM 基于新的组分配强制实施应用程序级别和对象级别的安全分配。

注意：

在导入文件中标识的所有用户登录必须在身份域中存在；该文件中包括的所有组的名称必须在访问控制中存在。不能使用此导入过程创建组。您只能创建新的组分配，而不能删除用户的当前组分配。

下面是用于导入组分配的 CSV 文件的几个示例：

User Login,Group
jdoe,Grp1
jane.doe@example.com,Grp2

User Login,First Name,Last Name,Email,DirectGroup
jdoe,John,Doe,jdoe@example.com,Yes,Grp1
jane.doe@example.com,Jane,Doe,jane.doe@example.com,No,Grp2

提示：

导出“用户组”报表并将其用作模板。

注意：

您将需要一个包含组分配的导入文件来完成本节中的任务。

在“用户组报表”中，单击从 CSV 导入。
在“导入用户组分配 CSV”中，单击选择文件或浏览。

注意：
按钮标签可能会显示 Choose File 或 Browse ，具体取决于浏览器。
选择您的导入文件。
在“导入用户组分配 CSV”中，单击导入。
出现提示时，单击 Yes 。
在下一个提示符下，单击确定。

查看访问控制系统报告

您可以创建报告，列出应用程序中各用户和组的当前访问权限。

在左上角，单击（导航器）。
然后，在 "Monitor and Explore" 下，单击 System Reports 。
从选项卡中，单击访问控制。
在“Select User a Group（选择用户组）”中，选择一个选项：
- 可用用户
- 可用组
- 可用用户和组
“可用”面板将根据您选择的选项进行更新。
从左侧的“可用”面板中选择要报告的用户或组，然后将要报告的用户和/或组移动到“已选中”面板。
在此示例中，选择了组。

提示：
使用“移动”和“删除”图标在面板之间移动选择。
从左侧的 "Available Objects"（可用对象）面板中选择并移动要报告给 "Selected Objects"（选定的对象）面板的对象。
选择报表选项：
- 对于“显示匹配的类型的访问”，选择要查看的访问权限：读取、写入或无。
- 对于结果分组依据，选择查看报表的方式：用户或对象。
- 从“报表类型”部分中，选择已分配的访问或有效访问：
  - 如果选择了“Assigned Access（分配访问权限）”，请指定是按成员选择关系还是按组成员身份分配访问权限：
    - 从“显示匹配的对关系的访问”中，选择：成员、子代、子代（包含）、子代或后代（包含）。
    - 选择 Show Inherited From Group 以显示组中用户继承的访问权限。
  - 如果选择了“有效访问”，请选择显示有效访问源以在报告中包含有效访问权限的源的说明。
选择是要以逗号分隔还是 PDF 格式创建报告。
验证您的选择。
下面是报表选项选择的示例：
单击创建报表，然后将报表保存到本地文件夹。

管理访问权限

分配维和成员安全性

通过选择维属性“应用安全性”，可以为成员分配权限。有关编辑维属性中的步骤，请参阅在 Cloud EPM 业务流程中管理维教程。

除服务管理员之外的所有预定义角色的行为都受到业务流程中维级别定义的“应用安全设置”选项影响。禁用“应用安全设置”选项会使维不受保护，从而允许分配给预定义角色的所有用户访问维组件并将数据写入维成员。Oracle 建议在维级别选择“Apply Security（应用安全设置）”选项以强制安全保护。

返回至主页。在右上角，单击（主页）。
依次单击应用程序和概览。
单击维。
通过从“多维数据集”下拉列表中选择多维数据集来筛选维视图。
在此示例中，选择了 Plan1 多维数据集。
选择多维数据集后，单击要应用安全性的维的名称。
在此示例中，在“编辑成员属性”中打开 Plan1 多维数据集中的“产品”维。您可以通过单击（缩放所有成员）展开成员层次。

注意：
必须先为您正在使用的维启用“应用安全性”，然后才能分配访问权限。
在左侧，单击（编辑维属性）。
选择应用安全设置。
单击完成。
单击维的名称以编辑该维。
在“编辑成员属性”网格中，选择一个成员，然后单击（分配权限）。
在“分配权限”中，单击权限。
执行任务：
- 要添加权限，请单击添加用户/组，然后单击用户或组，然后从可用用户和组的列表中进行选择。
- 单击 OK ，然后单击 Close（关闭）。
- 要编辑权限的类型，请为您添加的用户或组选择一个选项：
  - 单击读取以允许选定的用户和组查看列表中的对象或文件夹，并允许他们创建、编辑或删除对象或文件夹信息。
  - 单击写入以允许选定的用户和组查看列表中的对象或文件夹，并允许他们创建、编辑或删除对象或文件夹信息。
  - 如果您不想让选定的用户或组查看列表中对象或文件夹，则单击无。
- 可选：选择一个关系。
  例如，选择“子代”，为选定成员的子代分配访问。
- 要删除权限，对于所选用户或组，请单击 X （删除）。
向用户和组添加权限后，单击保存。
如果系统提示显示信息消息，请单击确定。
单击取消以关闭“分配权限”。
在“编辑成员属性”中，单击保存。
单击取消以关闭“编辑成员属性”。
返回至主页。在右上角，单击（主页）。

为导航流分配权限

通过导航流，管理员可以控制角色或组与业务流程的交互方式。业务流程附带有一个预定义的导航流，称为默认。

自定义导航流时，可按如下方式进行分类：

全局：所有用户都能看到导航流。
角色：只有具有特定角色的用户（例如，用户或超级用户）才能看到导航流。
组：只有属于特定组的用户才能看到导航流。

可以在上述任意级别定义导航流。如果多个级别存在导航流，则将按照从最高级别（全局）到最低级别的（组）的顺序应用更新。

在主页中，依次单击工具和导航流。

如果您在业务流程中创建了导航流，则它们将列在页面上。下面是 Planning 示例 Vision 应用程序中可用的列表导航流。
选择要为其分配权限的非活动导航流。单击其名称进行修改。
在“Assign To（分配给）”中，执行以下操作之一：

输入预定义的角色或组。
单击（搜索），然后在“分配导航流”对话框中，选择一个组或角色，然后单击确定。

单击保存和关闭。
将显示分配给导航流的角色或组。在此示例中，Power User 角色已分配给 Financials 导航流。

业务流程为导航流提供了三个级别的权限：
- 基于角色：为分配给特定角色的用户或组授予权限；例如，用户在主页上看到的卡与服务管理员看到的卡不同
- 基于对象：为可以看到某些对象的用户或组授予权限；例如，用户只能看到为其分配了权限的表单
- 全局：为所有用户授予权限
返回至主页。在右上角，单击（主页）。

将权限分配给仪表盘、 Infolet、表单和规则

在主页上，单击以下项之一：仪表盘、 Infolets 、数据或规则。

对于“Dashboards（仪表盘）”、“Infolets( Infolet)”、“Forms（表单）”（数据）和“Rules（规则）”，列出的文件夹和对象各有一个“Actions（操作）”菜单。
对于要应用权限的对象，单击（操作），然后选择分配权限。
在“分配权限”中，单击 + （添加用户/组）。
在“添加用户/组”中，单击用户或组。
从可用用户和组列表中进行选择，然后单击 > 。
要编辑权限的类型，请选择用户或组，然后选择一个选项：
- 仪表盘、 Infolet 和表单：
  - 单击读取以允许选定的用户和组查看列表中的对象或文件夹，并允许他们创建、编辑或删除对象或文件夹信息。
  - 单击写入以允许选定的用户和组查看列表中的对象或文件夹，并允许他们创建、编辑或删除对象或文件夹信息。
  - 如果您不想让选定的用户或组查看列表中对象或文件夹，则单击无。
  - 要删除权限，对于所选用户或组，请单击（删除）。
- 规则：
  - 单击启动以允许选定的用户和组启动选定的规则。
  - 单击禁止启动以防止选定的用户和组启动选定的规则。
  - 要删除权限，对于所选用户或组，请单击（删除）。
单击添加。
单击保存。

简介