EBS在数据安全的管理方面,主要包括核心安全控制和管理性控制,前者是对于数据安全的具体实现机制,后者则提供一种管理特性。如下图所示:
功能安全(Function Security)
这一级别是最基础的,主要是指通过对用户可访问的功能(菜单、按钮、Form等)进行分配和指定,但是并不对数据本身进行控制。比如用户有权看订单信息,但是却没有控制到允许看哪些订单。
数据安全(Data Security)
这更多的表现为一种数据屏蔽,比如不同业务组织的数据仅针对相应的用户允许访问。
基于角色的访问控制(Role Based Access Control)
所谓角色是指企业中拥有特定授权和责任的岗位职能的那些人(详细定义可以参考ANSI INCITS 359-2004)。通过给某角色配置一系列的菜单、Form、权限,可以大大简化用户的管理。对于大型企业而言,角色的定义往往是非常费力的一件事,尤其是那些没有清晰JD的、管理随意的企业而言更是如此。
在设计角色时,往往要将角色进行归类,同时,还需要区分各类角色之间的承继关系。等这些理清晰了,可以避免具体职责定义的混乱。
委派管理(Delegated Administration)
举个例子来说,集团IT部门授权子公司IT部门管理用户信息,这样一来,子公司新员工的账号创建,或者业务变更需要调整用户/角色权限时,完全可以由子公司自己进行。如果EBS和Oracle Application Server 10g的单点登录(Single Sign-On)集成了,这种权限委派是全局的,而不是每个应用的权限单独委派。
服务提供(Provision Services)
这可以简单的理解为一个注册流程,最终用户需要某功能或某角色时可以自行提交申请,对于管理员而言,也可以通过该服务简化用户注册流程。该功能利用了工作流,可以在流程中,要求提供相关信息、自动分配角色、定制业务规则等。
员工自助(Self-Service and Approvals)
当注册流程配置完毕后,独立用户接下来可以自行提交额外的申请流程,比如申请分配一个特定的角色或者要求某项权限等,此时,可以通过AME设置特定的审批流程。一个非常常用的自助流程就是密码找回。
以上层次中,管理特性更多的是面向集团应用,关注的是一种管理理念和手段而不是功能特性,比如委派管理和服务申请。
