E-Business Suite Berechtigungen direkt an ein Benutzerkonto zuweisen
Um auf Sonderanforderungen schnell zu reagieren, können Sie einem Benutzerkonto die Berechtigungen direkt zuweisen. Berechtigungen, die mit der Option Verwendung nur im IT Shop gekennzeichnet sind, können nicht direkt zugewiesen werden.
Um Berechtigungen direkt an ein Benutzerkonto zuzuweisen
-
Wählen Sie im Manager die Kategorie Oracle E-Business Suite | Benutzerkonten.
-
Wählen Sie in der Ergebnisliste das Benutzerkonto.
-
Wählen Sie die Aufgabe Berechtigungen zuweisen.
Im oberen Bereich des Formulars werden alle bereits zugewiesenen Berechtigungen mit ihren Gültigkeitszeiträumen angezeigt. Die Übersicht zeigt sowohl die direkt als auch die indirekt zugewiesenen Berechtigungen. Für Direktzuweisungen ist ein Aktiv von (direkt) Datum gesetzt; indirekte Zuweisungen haben kein direktes Gültigkeitsdatum.
Um eine Berechtigung an das Benutzerkonto zuzuweisen
-
Klicken Sie Hinzufügen.
-
Wählen Sie aus der Auswahlliste E-Business Suite Berechtigung die zuzuweisende Berechtigung.
-
Erfassen Sie im Eingabefeld Aktiv von (direkt) den ersten Gültigkeitstag der direkten Berechtigungszuweisung.
-
(Optional) Erfassen Sie im Eingabefeld Aktiv bis (direkt) den letzten Gültigkeitstag der direkten Berechtigungszuweisung.
-
(Optional) Fügen Sie weitere Berechtigungen hinzu.
- Speichern Sie die Änderungen.
Um eine direkte Berechtigungszuweisung zu bearbeiten
-
Wählen Sie in der Übersicht die direkte Berechtigungszuweisung, die Sie bearbeiten möchten.
-
Ändern Sie die Werte in den Eingabefeldern Aktiv von (direkt), Aktiv bis (direkt) oder Beschreibung.
- Speichern Sie die Änderungen.
Es können nur Direktzuweisungen bearbeitet werden. Wenn Sie in der Übersicht eine indirekte Zuweisungen auswählen und bearbeiten, wird dafür zusätzlich eine Direktzuweisung angelegt.
Berechtigungszuweisungen können nicht gelöscht werden. Es gibt stattdessen zwei Möglichkeiten, um zu kennzeichnen, dass eine Direktzuweisung nicht mehr gültig ist.
-
Tragen Sie ein Datum als Ablaufdatum der Zuweisung ein.
Wählen Sie diese Möglichkeit beispielsweise dann, wenn eine Berechtigungszuweisung an einem festgelegten Datum in der Zukunft ungültig werden soll.
- ODER -
-
Entfernen Sie die Berechtigungszuweisung.
Wählen Sie diese Möglichkeit beispielsweise dann, wenn neben der Direktzuweisung auch eine vererbte Berechtigungszuweisung existiert und die Direktzuweisung durch die vererbte Berechtigungszuweisung ersetzt werden soll.
Um das Ablaufdatum für eine direkte Berechtigungszuweisung zu setzen
-
Wählen Sie in der Übersicht die direkte Berechtigungszuweisung, die nicht mehr wirksam sein soll.
-
Neben dem Eingabefeld Aktiv bis (direkt) klicken Sie ....
-
Klicken Sie Heute oder legen Sie an anderes Ablaufdatum fest.
- Speichern Sie die Änderungen.
Um eine direkte Berechtigungszuweisung zu entfernen
-
Wählen Sie in der Übersicht die direkte Berechtigungszuweisung, die nicht mehr wirksam sein soll.
-
Klicken Sie Entfernen.
- Speichern Sie die Änderungen.
Der erste und letzte Gültigkeitstag der Direktzuweisung (Aktiv von (direkt) und Aktiv bis (direkt)) werden gelöscht. Der letzte Gültigkeitstag (Aktiv bis (effektiv)) wird neu berechnet. Wenn es keine gültige Zuweisung mehr gibt, wird der letzte Gültigkeitstag auf ein Datum in der Vergangenheit gesetzt und XOrigin erhält den Wert 16.
Detaillierte Informationen zum Thema
Verwandte Themen
Gültigkeitszeitraum von Berechtigungszuweisungen
Berechtigungszuweisungen können zeitlich befristet sein. Ein Benutzerkonto kann seine Berechtigungen sowohl durch Direktzuweisung als auch über verschiedene Vererbungswege erhalten. Jede dieser Zuweisungen kann einen anderen Gültigkeitszeitraum haben. Der One Identity Manager ermittelt aus allen Gültigkeitszeiträumen den zum aktuellen Zeitpunkt effektiv wirksamen Gültigkeitszeitraum. Bei dieser Berechnung werden alle Zuweisungen mit OriginIndirect = 0 berücksichtigt.
Tabelle 25: Eigenschaften einer Berechtigungszuweisung
Aktiv von (effektiv) |
Erster Gültigkeitstag der Zuweisung. Das Datum wird aus allen Zuweisungen (direkten und indirekten) berechnet. |
Aktiv bis (effektiv) |
Letzter Gültigkeitstag der Zuweisung. Das Datum wird aus allen Zuweisungen (direkten und indirekten) berechnet. Wenn kein Datum angegeben ist, ist die Zuweisung unbefristet. |
Aktiv von (direkt) |
Erster Gültigkeitstag der Direktzuweisung. |
Aktiv bis (direkt) |
Letzter Gültigkeitstag der Direktzuweisung. Wenn kein Datum angegeben ist, ist die Zuweisung unbefristet. |
Indirekt |
Gibt an, ob diese Zuweisung eine indirekte Berechtigung aus dem Zielsystem abbildet. Indirekte Zuweisungen können im One Identity Manager nicht bearbeitet werden. |
Beschreibung |
Freitextfeld für zusätzliche Erläuterungen. |
Berechnung des effektiven Gültigkeitszeitraums
Zu einer Benutzerkonto-Berechtigungs-Kombination kann es im One Identity Manager mehrere Zuweisungen mit unterschiedlichen Gültigkeitszeiträumen geben. In die Oracle E-Business Suite wird jedoch nur die wirksame Zuweisung provisioniert. Dafür berechnet der One Identity Manager aus allen Zuweisungen den effektiven Gültigkeitszeitraum. Die verschiedenen Zuweisungsarten gehen folgendermaßen in die Berechnung ein:
Tabelle 26: Gültigkeitszeitraum ermitteln
Direktzuweisung |
Aktiv von (direkt) und Aktiv bis (direkt) |
Bestellung |
Gültigkeitszeitraum der Bestellung, wenn das Gültig von Datum der Bestellung erreicht oder überschritten ist.
Bei unbefristeten Bestellungen wird der 01.01.1900 als erster Gültigkeitstag gesetzt. |
Zuweisungsbestellung |
Gültigkeitszeitraum der Bestellung, wenn das Gültig von Datum der Bestellung erreicht oder überschritten ist.
Bei unbefristeten Bestellungen wird der 01.01.1900 als erster Gültigkeitstag gesetzt. |
Vererbung über Abteilung, Standort, Kostenstelle oder Geschäftsrolle (keine Zuweisungsbestellung) |
nur unbefristet
Das Datum der Zuweisung wird als erster Gültigkeitstag gesetzt. |
Vererbung über dynamische Rolle |
nur unbefristet
Das Datum der Zuweisung wird als erster Gültigkeitstag gesetzt. |
Vererbung über Systemrolle |
nur unbefristet
Das Datum der Zuweisung wird als erster Gültigkeitstag gesetzt. |
Die Berechnung der effektiven Zuweisung wird über einen Zeitplan gesteuert.
-
Aktiv von (effektiv): kleinster erster Gültigkeitstag aus allen Zuweisungen
-
Aktiv bis (effektiv): größter letzter Gültigkeitstag aus allen befristeten Zuweisungen
Wenn es eine unbefristete Zuweisung gibt, bleibt Aktiv bis (effektiv) leer.
Detaillierte Informationen zum Thema
Verwandte Themen
Wirksamkeit von Berechtigungszuweisungen
Bei der Zuweisung von E-Business Suite Berechtigungen an Benutzerkonten kann es vorkommen, dass eine Person zwei oder mehr Berechtigungen erhält, die in dieser Kombination nicht auftreten dürfen. Um das zu verhindern, geben Sie die sich ausschließenden Berechtigungen bekannt. Dabei legen Sie für zwei Berechtigungen fest, welche der beiden Berechtigungen an Benutzerkonten wirksam werden soll, wenn beide zugewiesen sind.
Die Zuweisung einer ausgeschlossenen Berechtigungen ist jederzeit direkt, indirekt oder per IT Shop-Bestellung möglich. Anschließend ermittelt der One Identity Manager, ob diese Zuweisung wirksam ist.
HINWEIS:
- Ein wechselseitiger Ausschluss zweier Berechtigungen kann nicht definiert werden. Das heißt, die Festlegung "Berechtigung A schließt Berechtigung B aus" UND "Berechtigung B schließt Berechtigung A aus" ist nicht zulässig.
- Für eine Berechtigung muss jede auszuschließende Berechtigung einzeln bekannt gegeben werden. Ausschlussdefinitionen werden nicht vererbt.
Die Wirksamkeit der Zuweisungen wird in der Tabelle EBSUserInResp über die Spalten ValidTo und XOrigin und in der Tabelle BaseTreeHasEBSResp über die Spalte XIsInEffect abgebildet.
Beispiel für die Wirksamkeit von Berechtigungen
- In einem E-Business Suite System sind die Berechtigungen A, B und C definiert.
- Berechtigung A wird über die Abteilung "Marketing", Berechtigung B über die Abteilung "Finanzen" und Berechtigung C wird über die Geschäftsrolle "Kontrollgruppe" zugewiesen.
Clara Harris hat ein Benutzerkonto in diesem System. Sie gehört primär der Abteilung "Marketing" an. Sekundär sind ihr die Geschäftsrolle "Kontrollgruppe" und die Abteilung "Finanzen" zugewiesen. Ohne Ausschlussdefinition erhält das Benutzerkonto alle Berechtigungen A, B und C.
Durch geeignete Maßnahmen soll verhindert werden, dass eine Person gleichzeitig die Berechtigungen A und B erhält. Das heißt, die Berechtigungen A und B schließen sich aus. Ein Benutzer, der die Berechtigung C besitzt, darf ebenfalls nicht gleichzeitig die Berechtigung B besitzen. Das heißt, die Berechtigungen B und C schließen sich aus.
Tabelle 27: Festlegen der ausgeschlossenen Berechtigungen (Tabelle EBSRespExclusion)
Berechtigung A |
|
Berechtigung B |
Berechtigung A |
Berechtigung C |
Berechtigung B |
Tabelle 28: Wirksame Zuweisungen
Ben King |
Marketing |
Berechtigung A |
Jan Bloggs |
Marketing, Finanzen |
Berechtigung B |
Clara Harris |
Marketing, Finanzen, Kontrollgruppe |
Berechtigung C |
Jenny Basset |
Marketing, Kontrollgruppe |
Berechtigung A
Berechtigung C |
Für Clara Harris ist nur die Zuweisung der Berechtigung C wirksam und wird ins Zielsystem publiziert. Verlässt Clara Harris die Geschäftsrolle "Kontrollgruppe" zu einem späteren Zeitpunkt, wird die Berechtigung B wirksam.
Für Jenny Basset sind die Berechtigungen A und C wirksam, da zwischen beiden Berechtigungen kein Ausschluss definiert wurde. Soll das verhindert werden, definieren Sie einen weiteren Ausschluss für die Berechtigung C.
Tabelle 29: Ausgeschlossene Berechtigungen und wirksame Zuweisungen
Jenny Basset
|
Marketing |
Berechtigung A |
|
Berechtigung C
|
Kontrollgruppe |
Berechtigung C |
Berechtigung B
Berechtigung A |
Voraussetzungen
-
Der Konfigurationsparameter QER | Structures | Inherite | GroupExclusion ist aktiviert.
Aktivieren Sie im Designer den Konfigurationsparameter und kompilieren Sie die Datenbank.
HINWEIS: Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.
-
Sich ausschließende Berechtigungen gehören zum selben E-Business Suite System.
Um Berechtigungen auszuschließen
-
Wählen Sie im Manager die Kategorie Oracle E-Business Suite | Berechtigungen.
-
Wählen Sie in der Ergebnisliste eine Berechtigung.
-
Wählen Sie die Aufgabe E-Business Suite Berechtigungen ausschließen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die Berechtigungen zu, die sich mit der gewählten Berechtigung ausschließen.
- ODER -
Entfernen Sie im Bereich Zuordnungen entfernen die Berechtigungen, die sich nicht länger ausschließen.
- Speichern Sie die Änderungen.
Verwandte Themen
Vererbung von E-Business Suite Berechtigungen anhand von Kategorien
Im One Identity Manager können Berechtigungen selektiv an die Benutzerkonten vererbt werden. Dazu werden die Berechtigungen und die Benutzerkonten in Kategorien eingeteilt. Die Kategorien sind frei wählbar und werden über eine Abbildungsvorschrift festgelegt. Jede der Kategorien erhält innerhalb dieser Abbildungsvorschrift eine bestimmte Position. Die Abbildungsvorschrift enthält verschiedene Tabellen. In der Benutzerkontentabelle legen Sie Ihre Kategorien für die zielsystemabhängigen Benutzerkonten fest. In den übrigen Tabellen geben Sie Ihre Kategorien für die Berechtigungen an. Jede Tabelle enthält die Kategoriepositionen Position 1 bis Position 63.
Jedes Benutzerkonto kann einer oder mehreren Kategorien zugeordnet werden. Jede Berechtigung kann ebenfalls einer oder mehreren Kategorien zugeteilt werden. Stimmt mindestens eine der Kategoriepositionen zwischen Benutzerkonto und zugewiesener Berechtigung überein, wird die Berechtigung an das Benutzerkonto vererbt. Ist die Berechtigung oder das Benutzerkonto nicht in Kategorien eingestuft, dann wird die Berechtigung ebenfalls an das Benutzerkonto vererbt.
HINWEIS: Die Vererbung über Kategorien wird nur bei der indirekten Zuweisung von Berechtigungen über hierarchische Rollen berücksichtigt. Bei der direkten Zuweisung von Berechtigungen an Benutzerkonten werden die Kategorien nicht berücksichtigt.
Tabelle 30: Beispiele für Kategorien
1 |
Standardbenutzer |
Standardberechtigung |
2 |
Systembenutzer |
Systembenutzerberechtigung |
3 |
Systemadministrator |
Systemadministratorberechtigung |
Abbildung 2: Beispiel für die Vererbung über Kategorien
Um die Vererbung über Kategorien zu nutzen
- Definieren Sie am E-Business Suite System die Kategorien.
- Weisen Sie die Kategorien den Benutzerkonten über ihre Stammdaten zu.
- Weisen Sie die Kategorien den Berechtigungen über ihre Stammdaten zu.
Verwandte Themen