EBS五种安全性屏蔽解析

• http://blog.11equals3.top/2018/02/09/190/

  分类账集

定义：

分类账集顾名思义就是分类帐的集合。它是总账提供的将相同科目表和相同日历的多个分类账集合一块儿用于多分类帐操做的一种功能。例如能够用分类账集运行报表、运行常常性日记帐和打开期间等操做。

 

分配或使用

• 在职责配置文件GL:数据访问权限集中使用所定义的分类账集。
• 使用报表时选择已定义的分类账集。
• 在日记帐录入或查询时选择分类账集的各个分类帐。
• 帐户查询中选择分类账集的各个分类帐，能够看到各个分类帐中汇总或明细的数据；或者直接选择分类账集，能够看到全部分类帐的明细数据。
  

报表使用：

日记帐录入：

查询帐户：

要点：

• 分类账集中的分类帐必须共用相同科目表、日历和期间类型。

• 数据访问权限集

定义：

数据访问权限集是一种经过授予不一样职责对分类账或平衡段值或管理段值只读权限或读写权限来实现职责的查询或改写操做。它包括三种数据访问权限集类型：

• 所有分类账：授予分类账中全部数据的访问权限。例如，在具备两个分类账（A 和 B）的数据访问权限集中，咱们能够授予对分类账 A 中全部数据的只读权限，对分类账 B 中全部数据的读写权限。
• 平衡段值：授予对全部或特定分类账/平衡段值 (BSV) 组合的访问权限。例如，咱们可能使用包含分类账 A 的数据访问权限集，授予对平衡段值 01 的只读权限，授予对平衡段值 02 的读写权限，对于相同分类账中的平衡段值 03 没有任何权限。
• 管理段值：授予对全部或特定分类账/管理段值 (MSV) 组合的访问权限。例如，咱们可能使用包含分类账 A 的数据访问权限集，授予对管理段值 100 的只读权限，授予对管理段值 200 的读写权限，对于相同分类账中的管理段值 300 没有任何权限。

分配或使用：

• 在系统配置文件中，将配置文件GL:数据访问权限集选择以前设置的数据访问权限集分配给职责。
• 日记帐的录入和查询中根据设置的读写权限的不一样而被不一样使用。如对A账套的读写权限和B账套的只读权限定义后，职责能查询A、B账套的日记帐，可是只能新建A账套的日记帐。若是定义的是平衡段，则系统会报”您无权访问此帐户”的错加以限制。管理段也同理。
• 账户查询中只能看到定义具备权限的账套或平衡段或管理段。
• 在报表运行中，若是数据访问权限集设设了多个账套（相同科目表和日历）

1. 要点：

• 分配至数据访问权限集的分类账和分类账集必须共用相同科目表、日历和期间类型。
• 只在当咱们在科目表中指定了管理段时（管理段限定词），才能使用管理段值。
• 咱们必须为每一个数据访问权限集指定三种类型之一。在定义以后，咱们不能更改类型。咱们只能添加或删除数据访问权限集中指定的分类账/分类账集和段值。

问题：

• 数据访问权限集的平衡段权限如何应用？

访问权限集类型选择了平衡段后，可对专门的平衡段定义读或读写的权限，在职责配置文件选择了该平衡段数据访问权限集后，在此职责下能够读或读写含该平衡段的帐户。例如设置了101平衡段只读权限的访问权限集后，职责能够访问查看包含这个平衡段的帐户的单据；设置了101平衡段读写权限的访问权限集，职责能够查看或新建包含这个平衡段的帐户的单据，新建102平衡段单据时报无权限的错；

• 数据访问权限集和分类账集的联系与区别？

相同点：

均可以对多个分类帐进行功能控制；都要职责配置文件GL：数据访问权限集中设置才能应用。

不一样点：

数据访问权限集能够对分类帐的控制分为只读或读写权限；分类帐集没有具体区分权限，全为读写权限；

数据访问权限集不能对各个分类帐进行整体的控制；分类帐集能够对全部定义中的分类帐进行整体控制，例如帐户查询中一次性查找到全部分类帐的信息。

数据访问权限集功能更全面，除了对分类帐进行控制，也能够对平衡段或任意段（设为管理段）进行控制；分类帐集只能对分类帐进行控制。

例子：

设置了数据访问权限集（所有分类帐）后：能够选到不一样的分类帐，进而对不一样的分类帐提交请求。

设置了分类帐集后:能够选到不一样分类帐和分类帐集，进而对全部分类帐单独或所有提交请求。

• 段值安全性

定义：

安全性规则是一种限制弹性域段值访问的安全性屏蔽功能。咱们可使用安全性规则为弹性域和报表参数值的范围定义值进行限定，从而限制访问。完整操做是先定义安全性规则，再将安全性规则分配给应用产品责任。在定义过程当中，咱们先经过为段指定包括下限值和上限值在内的值范围来定义安全性规则要素。安全性规则要素适用于包括在所指定的值范围内的全部段值。每一个安全性规则要素标识为 Include 或 Exclude，其中 Include 指包括指定范围内的全部值；Exclude 指排除指定范围内的全部值。因为规则会自动排除全部值（除非特别指定包括这些值），所以每一个规则必须至少有一个Include 规则要素。Exclude 规则要素优先于 Include 规则要素。若是要指定所包括或排除的单个值，则在”下限”和”上限”字段中输入相同的值。例如，在COA的公司段上，咱们能够定义仅限A公司的安全性，而后要素选择Include 自A至A，再分配给A公司各个职责，那么在这些职责下作账户选择时公司段只能选获得A.

分配或使用：

• 在分配界面将定义的安全性规则分配给所需定义的职责，便可以完成安全性规则的使用；

要点：

• 设置前要先启用段和值集的安全性设置；
• 在分配或更改安全性规则以后，为使更改生效，咱们必须更改责任，或退出应用产品并从新登陆。
• 安全性定义时，建议使用包含全部段，排除不要的段来定义，而不是直接包含所要的段。后者设置可能会在汇总模板查询帐户时不被识别。

问题：

• 数据访问权限集的平衡段权限和平衡段段值安全性在应用上有什

么区分？

平衡段数据访问权限集控制平衡段的权限（可选只读、可选读写，无权限时可见而不可选），段值安全性控制平衡段的可见选择（有权限时可见并可选，无权限时不可见）例如设置了101平衡段读写权限的访问权限集，职责能够查看或新建包含这个平衡段的帐户的单据，新建102平衡段数据时报无权限；若是设置了101平衡段段值安全性，则职责只能选到该平衡段，具备读写权限，看不到其余平衡段。

• 交叉验证规则

定义：

交叉验证规则是一种限定段值组合的安全性屏蔽功能。键弹性域能够根据自定义键弹性域时所定义的规则，执行段值的自动交叉验证，来严密控制新的键弹性域组合的建立过程。交叉验证规则定义了特定段的值是否可与其它段的特定值相互组合，从而控制在输入键弹性域值时可建立的值组合。

咱们可使用交叉验证规则来防止建立不该存在的组合（即其中的值不该同时存在的组合）。例如，若是不容许部门段和货币资金类科目组合的账户，咱们就能够经过排除部门段1001到Z（全部部门段）与科目段10010000到10090505（货币资金类科目） 的组合来达到目的。在设置完交叉验证规则后，咱们在弹性域弹出式窗口中输入段值后，弹性域会在更新数据库以前检查这些段值的组合是否有效。若是用户输入的组合无效，则屏幕上会出现一则诊断错误消息，同时光标将返回到假定包含无效值的第一个段。

分配或使用：

在定义界面中选择不一样的COA结构进行定义，填写交叉验证规则的名称，录入须要报错的信息以及验证规则所包含的要素，则这些规则就会在使用到该COA结构的账套中生效。当输入定义中排除的组合就会报出错误信息。

要点：

• 对于在定义交叉验证规则时就已经存在的组合，交叉验证规则对其没有任何做用。
• 咱们在设置COA弹性域结构时须要勾选 “交叉验证规则”的框。

问题：

交叉规则中包括和排除的含义？

包括指规则容许的帐户组合，排除指规则不容许的帐户组合。二者结合是属于全集包含不属于集合排除的帐户组成的集合，也是排除对包含的补集。以下例：

包括：0.0.0.0.0.0.0至z.z.z.z.z.z.z

排除：0.0.0.0.0.0.0至110.z.z.z.z.z.z

排除：112.0.0.0.0.0至112.z.z.z.z.z.z

则此规则只容许下列组合：

111.0.0.0.0.0.0至111.z.z.z.z.z.z

从上例中，咱们知道使用交叉验证规则一样能限制平衡段的选择，与平衡段数据访问权限集和平衡段段值安全性有着殊途同归之妙。但交叉验证规则是限制其余平衡段帐户组合的生成，数据访问权限集是限制其余平衡段帐户的访问权限，平衡段段值安全性是限制其余平衡段帐户的是否可见。

• 访问权限集

定义：

访问权限集是一种赋予用户对FSG报表、常常性日记帐和重估等操做权限限制的功能。以下图，定义类型包含所能限制的总账功能，如FSG内容集、FSG报表集、成批日记帐、科目表映射和预算组织等，定义名称是指系统存在的用这些功能定义的单据名称，如常常性日记帐的名称等。访问权限集的权限包括使用、查询和修改，即容许用户在流程或报表中使用定义、容许用户查看定义和容许用户查看和修改定义。

分配或使用：

• 在分配界面将定义好的访问权限集分配给职责，则职责受该访问权限集限制。在该职责用到定义中的报表或常常性日记帐等时，职责受所定义的访问权限集定义。若是只有使用权限时，能够在生成的复选框中选到报表或常常性日记帐等，其余地方看不到；若是只有查看权限，能够在报表或常常性日记帐定义界面看到定义的功能，但全部字段被锁定，不能修改，在生成界面没法选到；若是只有修改权限（默认有查看权限），能够在定义界面中看到报表或常常性日记帐而且能改动，但在生成界面没法选到。

要点：

• 在设置FSG报表等功能时选择’启用安全性’的复选框
• 在分配界面中有自动分配和自动权限，当勾选自动分配后，必须选择一个或多个自动权限，但最终权限仍是以访问权限集定义界面的权限为主。

• 小结

五种功能具体联系与区别见下表。这五种功能赋予了用户或职责不一样的权限作处理某些事务，这就造成了屏蔽做用，让不一样的用户作不一样的事务。这五种安全性屏蔽是分别处于不一样层级上的，分别是多分类账，单一分类账，段值、段值组合和总账功能使用上。咱们能够根据不一样安全性需求来选择不一样屏蔽功能。这是由于五种功能上的屏蔽，加上业务实体、账套、法人主体、经营组织、库存组织和子库等组织上的区分，使得oracle系统实现精细分工的做用。

	分类帐集	数据访问权限集	段值安全性	交叉验证规则	访问权限集
应用层次	多个分类帐	分类帐、平衡段、管理段	段值	段值组合	报表等
所起做用	能对多个分类帐同时控制	能限制分类帐、平衡度和管理段的选择和查看	能限制各个段 的选择	能限制段值与段值之间组合的选择	能限制报表等功能的查看、使用和修改
权限区分	无	只读、读写	无	无	查看、使用、修改
应用逻辑	定义后，在职责配置文件”GL:数据访问权限集”下配置给各个职责	定义后，在职责配置文件”GL:数据访问权限集”下配置给各个职责	定义后，将安全性规则在分配界面根据不一样COA结构分配给各个职责	根据不一样COA结构定义后生效。	定义后，将安全性规则在分配界面分配给各个职责
界面体现	查看、新建和修改时选不到未定义的分类帐。	查看、新建和修改时选不到未定义的分类帐。新建或修改选到未定义段时会报没有权限的错误	看不到且选不到未定义的段。	选到定义不能组合在一块儿的段值组合时会报错。	使用权限，能够在生成复选框中选到；查看权限，能够定义界面看到定义但不能修改；修改权限（默认有查看权限），能够在定义界面中看到定义并改动，