EBS五種安全性屏蔽解析

  • http://blog.11equals3.top/2018/02/09/190/

    分類賬集

定義:

分類賬集顧名思義就是分類帳的集合。它是總賬提供的將相同科目表和相同日曆的多個分類賬集合一塊兒用於多分類帳操做的一種功能。例如能夠用分類賬集運行報表、運行常常性日記帳和打開期間等操做。數據庫

 


分配或使用

  • 在職責配置文件GL:數據訪問權限集中使用所定義的分類賬集。
  • 使用報表時選擇已定義的分類賬集。
  • 在日記帳錄入或查詢時選擇分類賬集的各個分類帳。
  • 帳戶查詢中選擇分類賬集的各個分類帳,能夠看到各個分類帳中彙總或明細的數據;或者直接選擇分類賬集,能夠看到全部分類帳的明細數據。

報表使用:
安全


日記帳錄入:
oracle


查詢帳戶:
blog


要點:

  • 分類賬集中的分類帳必須共用相同科目表、日曆和期間類型。
  • 數據訪問權限集

定義:

數據訪問權限集是一種經過授予不一樣職責對分類賬或平衡段值或管理段值只讀權限或讀寫權限來實現職責的查詢或改寫操做。它包括三種數據訪問權限集類型:事務

  • 所有分類賬:授予分類賬中全部數據的訪問權限。例如,在具備兩個分類賬(A 和 B)的數據訪問權限集中,咱們能夠授予對分類賬 A 中全部數據的只讀權限,對分類賬 B 中全部數據的讀寫權限。
  • 平衡段值:授予對全部或特定分類賬/平衡段值 (BSV) 組合的訪問權限。例如,咱們可能使用包含分類賬 A 的數據訪問權限集,授予對平衡段值 01 的只讀權限,授予對平衡段值 02 的讀寫權限,對於相同分類賬中的平衡段值 03 沒有任何權限。
  • 管理段值:授予對全部或特定分類賬/管理段值 (MSV) 組合的訪問權限。例如,咱們可能使用包含分類賬 A 的數據訪問權限集,授予對管理段值 100 的只讀權限,授予對管理段值 200 的讀寫權限,對於相同分類賬中的管理段值 300 沒有任何權限。

分配或使用:

  • 在系統配置文件中,將配置文件GL:數據訪問權限集選擇以前設置的數據訪問權限集分配給職責。
  • 日記帳的錄入和查詢中根據設置的讀寫權限的不一樣而被不一樣使用。如對A賬套的讀寫權限和B賬套的只讀權限定義後,職責能查詢A、B賬套的日記帳,可是隻能新建A賬套的日記帳。若是定義的是平衡段,則系統會報」您無權訪問此帳戶」的錯加以限制。管理段也同理。
  • 賬戶查詢中只能看到定義具備權限的賬套或平衡段或管理段。
  • 在報表運行中,若是數據訪問權限集設設了多個賬套(相同科目表和日曆)
  1. 要點:

  • 分配至數據訪問權限集的分類賬和分類賬集必須共用相同科目表、日曆和期間類型。
  • 只在當咱們在科目表中指定了管理段時(管理段限定詞),才能使用管理段值。
  • 咱們必須爲每一個數據訪問權限集指定三種類型之一。在定義以後,咱們不能更改類型。咱們只能添加或刪除數據訪問權限集中指定的分類賬/分類賬集和段值。

問題:

  • 數據訪問權限集的平衡段權限如何應用?

訪問權限集類型選擇了平衡段後,可對專門的平衡段定義讀或讀寫的權限,在職責配置文件選擇了該平衡段數據訪問權限集後,在此職責下能夠讀或讀寫含該平衡段的帳戶。例如設置了101平衡段只讀權限的訪問權限集後,職責能夠訪問查看包含這個平衡段的帳戶的單據;設置了101平衡段讀寫權限的訪問權限集,職責能夠查看或新建包含這個平衡段的帳戶的單據,新建102平衡段單據時報無權限的錯;產品

  • 數據訪問權限集和分類賬集的聯繫與區別?

相同點:table

均可以對多個分類帳進行功能控制;都要職責配置文件GL:數據訪問權限集中設置才能應用。模板

不一樣點:登錄

數據訪問權限集能夠對分類帳的控制分爲只讀或讀寫權限;分類帳集沒有具體區分權限,全爲讀寫權限;配置

數據訪問權限集不能對各個分類帳進行整體的控制;分類帳集能夠對全部定義中的分類帳進行整體控制,例如帳戶查詢中一次性查找到全部分類帳的信息。

數據訪問權限集功能更全面,除了對分類帳進行控制,也能夠對平衡段或任意段(設爲管理段)進行控制;分類帳集只能對分類帳進行控制。

例子:

設置了數據訪問權限集(所有分類帳)後:能夠選到不一樣的分類帳,進而對不一樣的分類帳提交請求。

設置了分類帳集後:能夠選到不一樣分類帳和分類帳集,進而對全部分類帳單獨或所有提交請求。

  • 段值安全性

定義:

安全性規則是一種限制彈性域段值訪問的安全性屏蔽功能。咱們可使用安全性規則爲彈性域和報表參數值的範圍定義值進行限定,從而限制訪問。完整操做是先定義安全性規則,再將安全性規則分配給應用產品責任。在定義過程當中,咱們先經過爲段指定包括下限值和上限值在內的值範圍來定義安全性規則要素。安全性規則要素適用於包括在所指定的值範圍內的全部段值。每一個安全性規則要素標識爲 Include 或 Exclude,其中 Include 指包括指定範圍內的全部值;Exclude 指排除指定範圍內的全部值。因爲規則會自動排除全部值(除非特別指定包括這些值),所以每一個規則必須至少有一個Include 規則要素。Exclude 規則要素優先於 Include 規則要素。若是要指定所包括或排除的單個值,則在」下限」和」上限」字段中輸入相同的值。例如,在COA的公司段上,咱們能夠定義僅限A公司的安全性,而後要素選擇Include 自A至A,再分配給A公司各個職責,那麼在這些職責下作賬戶選擇時公司段只能選獲得A.

分配或使用:

  • 在分配界面將定義的安全性規則分配給所需定義的職責,便可以完成安全性規則的使用;

要點:

  • 設置前要先啓用段和值集的安全性設置;
  • 在分配或更改安全性規則以後,爲使更改生效,咱們必須更改責任,或退出應用產品並從新登陸。
  • 安全性定義時,建議使用包含全部段,排除不要的段來定義,而不是直接包含所要的段。後者設置可能會在彙總模板查詢帳戶時不被識別。

問題:

  • 數據訪問權限集的平衡段權限和平衡段段值安全性在應用上有什

麼區分?

平衡段數據訪問權限集控制平衡段的權限(可選只讀、可選讀寫,無權限時可見而不可選),段值安全性控制平衡段的可見選擇(有權限時可見並可選,無權限時不可見)例如設置了101平衡段讀寫權限的訪問權限集,職責能夠查看或新建包含這個平衡段的帳戶的單據,新建102平衡段數據時報無權限;若是設置了101平衡段段值安全性,則職責只能選到該平衡段,具備讀寫權限,看不到其餘平衡段。

  • 交叉驗證規則

定義:

交叉驗證規則是一種限定段值組合的安全性屏蔽功能。鍵彈性域能夠根據自定義鍵彈性域時所定義的規則,執行段值的自動交叉驗證,來嚴密控制新的鍵彈性域組合的建立過程。交叉驗證規則定義了特定段的值是否可與其它段的特定值相互組合,從而控制在輸入鍵彈性域值時可建立的值組合。

咱們可使用交叉驗證規則來防止建立不該存在的組合(即其中的值不該同時存在的組合)。例如,若是不容許部門段和貨幣資金類科目組合的賬戶,咱們就能夠經過排除部門段1001到Z(全部部門段)與科目段10010000到10090505(貨幣資金類科目) 的組合來達到目的。在設置完交叉驗證規則後,咱們在彈性域彈出式窗口中輸入段值後,彈性域會在更新數據庫以前檢查這些段值的組合是否有效。若是用戶輸入的組合無效,則屏幕上會出現一則診斷錯誤消息,同時光標將返回到假定包含無效值的第一個段。

分配或使用:

在定義界面中選擇不一樣的COA結構進行定義,填寫交叉驗證規則的名稱,錄入須要報錯的信息以及驗證規則所包含的要素,則這些規則就會在使用到該COA結構的賬套中生效。當輸入定義中排除的組合就會報出錯誤信息。

要點:

  • 對於在定義交叉驗證規則時就已經存在的組合,交叉驗證規則對其沒有任何做用。
  • 咱們在設置COA彈性域結構時須要勾選 「交叉驗證規則」的框。

問題:

交叉規則中包括和排除的含義?

包括指規則容許的帳戶組合,排除指規則不容許的帳戶組合。二者結合是屬於全集包含不屬於集合排除的帳戶組成的集合,也是排除對包含的補集。以下例:

包括:0.0.0.0.0.0.0至z.z.z.z.z.z.z

排除:0.0.0.0.0.0.0至110.z.z.z.z.z.z

排除:112.0.0.0.0.0至112.z.z.z.z.z.z

則此規則只容許下列組合:

111.0.0.0.0.0.0至111.z.z.z.z.z.z

從上例中,咱們知道使用交叉驗證規則一樣能限制平衡段的選擇,與平衡段數據訪問權限集和平衡段段值安全性有着殊途同歸之妙。但交叉驗證規則是限制其餘平衡段帳戶組合的生成,數據訪問權限集是限制其餘平衡段帳戶的訪問權限,平衡段段值安全性是限制其餘平衡段帳戶的是否可見。

  • 訪問權限集

定義:

訪問權限集是一種賦予用戶對FSG報表、常常性日記帳和重估等操做權限限制的功能。以下圖,定義類型包含所能限制的總賬功能,如FSG內容集、FSG報表集、成批日記帳、科目表映射和預算組織等,定義名稱是指系統存在的用這些功能定義的單據名稱,如常常性日記帳的名稱等。訪問權限集的權限包括使用、查詢和修改,即容許用戶在流程或報表中使用定義、容許用戶查看定義和容許用戶查看和修改定義。

分配或使用:

  • 在分配界面將定義好的訪問權限集分配給職責,則職責受該訪問權限集限制。在該職責用到定義中的報表或常常性日記帳等時,職責受所定義的訪問權限集定義。若是隻有使用權限時,能夠在生成的複選框中選到報表或常常性日記帳等,其餘地方看不到;若是隻有查看權限,能夠在報表或常常性日記帳定義界面看到定義的功能,但全部字段被鎖定,不能修改,在生成界面沒法選到;若是隻有修改權限(默認有查看權限),能夠在定義界面中看到報表或常常性日記帳而且能改動,但在生成界面沒法選到。

要點:

  • 在設置FSG報表等功能時選擇’啓用安全性’的複選框
  • 在分配界面中有自動分配和自動權限,當勾選自動分配後,必須選擇一個或多個自動權限,但最終權限仍是以訪問權限集定義界面的權限爲主。
  • 小結

五種功能具體聯繫與區別見下表。這五種功能賦予了用戶或職責不一樣的權限作處理某些事務,這就造成了屏蔽做用,讓不一樣的用戶作不一樣的事務。這五種安全性屏蔽是分別處於不一樣層級上的,分別是多分類賬,單一分類賬,段值、段值組合和總賬功能使用上。咱們能夠根據不一樣安全性需求來選擇不一樣屏蔽功能。這是由於五種功能上的屏蔽,加上業務實體、賬套、法人主體、經營組織、庫存組織和子庫等組織上的區分,使得oracle系統實現精細分工的做用。

  分類帳集 數據訪問權限集 段值安全性 交叉驗證規則 訪問權限集
應用層次 多個分類帳 分類帳、平衡段、管理段 段值 段值組合 報表等
所起做用 能對多個分類帳同時控制 能限制分類帳、平衡度和管理段的選擇和查看 能限制各個段
的選擇
能限制段值與段值之間組合的選擇 能限制報表等功能的查看、使用和修改
權限區分 只讀、讀寫 查看、使用、修改
應用邏輯 定義後,在職責配置文件」GL:數據訪問權限集」下配置給各個職責 定義後,在職責配置文件」GL:數據訪問權限集」下配置給各個職責 定義後,將安全性規則在分配界面根據不一樣COA結構分配給各個職責 根據不一樣COA結構定義後生效。 定義後,將安全性規則在分配界面分配給各個職責
界面體現 查看、新建和修改時選不到未定義的分類帳。 查看、新建和修改時選不到未定義的分類帳。新建或修改選到未定義段時會報沒有權限的錯誤 看不到且選不到未定義的段。 選到定義不能組合在一塊兒的段值組合時會報錯。 使用權限,能夠在生成複選框中選到;查看權限,能夠定義界面看到定義但不能修改;修改權限(默認有查看權限),能夠在定義界面中看到定義並改動,
相關文章
相關標籤/搜索