Sécurité - Infor Ming.le
Il est recommandé d'adopter les meilleures pratiques suivantes :
- Ne pas accorder de privilèges dont les utilisateurs n'ont pas besoin. Affecter le nombre minimum de rôles requis.
- Si un utilisateur doit disposer de tous les privilèges, créer et accorder un rôle qui fournit tous les privilèges. Ne pas affecter l'utilisateur à tous les rôles.
- Conserver au minimum le nombre de rôles IFS assignés à un utilisateur IFS. Plus un utilisateur IFS a de rôles, plus la quantité de données à communiquer et à mettre en cache lorsque l'utilisateur se connecte augmente.
Il existe deux types de rôle : les rôles d'application et les rôles de données.
Les rôles d'application permettent de définir des autorisations pour les trois niveaux d'autorisation (Global, Objet, Données). En règle générale, les rôles d'application sont utilisés pour les rôles d'entreprise, tels que Responsable des ventes, Contrôleur, etc.
Les rôles de données permettent de définir des autorisations uniquement au niveau des données.
Les utilisateurs peuvent être affectés à plusieurs rôles. L'affectation peut être directe ou indirecte via des groupes affectés à des rôles.
Les rôles sont des ensembles d'autorisations pouvant être attribués aux utilisateurs et aux groupes. Les autorisations déterminent quelles actions peuvent être effectuées par les utilisateurs dans des rôles spécifiques, sur différents types d'objet. Il existe les types suivants d'autorisations et de rôles :
- Rôles OLAP : ce sont des ensembles d'autorisations OLAP.
- Autorisations OLAP : elles permettent de restreindre l'accès aux cubes de données OLAP, aux éléments et aux cellules.
- Rôles de référentiel (Repository) : ce sont des ensembles d'autorisations de référentiel.
- Autorisations de référentiel : elles fournissent des autorisations globales de batterie de serveurs.
- Rôles d'application Les rôles d'application contrôlent qui peut afficher ou modifier des rapports, des tableaux de bord et des autorisations au sein d'une application.
- Autorisation d'application : elles fournissent des autorisations d'application globales telles que l'autorisation de modifier des rapports ou des tableaux de bord ou l'autorisation d'administrer des autorisations. Les autorisations d'application sont également accordées au niveau des objets individuels. Par exemple, ils déterminent qui peut voir quels rapports, tableaux de bord et dossiers. Les autorisations d'objet sont définies dans les rapports et les tableaux de bord Application Studio.
Chaque application, y compris celles créées, possède des rôles d'application système prédéfinis destinés aux administrateurs du système.
Les rôles d'application système comprennent :
- AdministratorRole
- DesignerRole
- MasterRole
- ViewRole
Chaque rôle d'application système dispose d'autorisations d'application prédéfinies. Les rôles système et les autorisations qui leur sont attribués ne peuvent pas être modifiés ou supprimés. Par conséquent, il est impossible, par exemple, de supprimer l'accès à un rapport particulier par un membre d'un rôle autorisé à parcourir tous les rapports et dossiers. Il est donc recommandé de ne pas affecter d'utilisateurs aux rôles système.
Outre les rôles système, les applications fournies par Infor ont des rôles prédéfinis, spécifiques aux applications. Comme les rôles système, ces rôles prédéfinis ne peuvent pas être modifiés ou supprimés. Toutefois, contrairement aux rôles système, les rôles prédéfinis sont destinés à être utilisés. Ces rôles ainsi que les autorisations associées sont conçus pour éviter autant que possible la création de rôles et d'autorisations.
Si Infor EPM s'exécute dans Infor Ming.le, l'authentification s'effectue via Infor Federation Services. Trois rôles d'application de sécurité IFS sont automatiquement affectés en tant que Groupes d'utilisateurs dans chaque application Infor EPM provisionnée dans Infor Ming.le. Ainsi, pour une application qui s'exécute dans Infor Ming.le, il n'est généralement pas nécessaire d'administrer les autorisations utilisateur dans EPM Administration. Les trois groupes sont BI-Viewers, BI-PowerUsers et BI-Administrators.