EBS五种安全性屏蔽解析

• http://blog.11equals3.top/2018/02/09/190/

  分类帐集

定义：

分类帐集顾名思义就是分类账的集合。它是总帐提供的将相同科目表和相同日历的多个分类帐集合一起用于多分类账操作的一种功能。例如可以用分类帐集运行报表、运行经常性日记账和打开期间等操作。

分配或使用

• 在职责配置文件GL:数据访问权限集中使用所定义的分类帐集。
• 使用报表时选择已定义的分类帐集。
• 在日记账录入或查询时选择分类帐集的各个分类账。
• 账户查询中选择分类帐集的各个分类账，可以看到各个分类账中汇总或明细的数据；或者直接选择分类帐集，可以看到所有分类账的明细数据。
  

报表使用：

日记账录入：

查询账户：

要点：

• 分类帐集中的分类账必须共用相同科目表、日历和期间类型。

• 数据访问权限集

定义：

数据访问权限集是一种通过授予不同职责对分类帐或平衡段值或管理段值只读权限或读写权限来实现职责的查询或改写操作。它包括三种数据访问权限集类型：

• 全部分类帐：授予分类帐中所有数据的访问权限。例如，在具有两个分类帐（A 和 B）的数据访问权限集中，我们可以授予对分类帐 A 中所有数据的只读权限，对分类帐 B 中所有数据的读写权限。
• 平衡段值：授予对所有或特定分类帐/平衡段值 (BSV) 组合的访问权限。例如，我们可能使用包含分类帐 A 的数据访问权限集，授予对平衡段值 01 的只读权限，授予对平衡段值 02 的读写权限，对于相同分类帐中的平衡段值 03 没有任何权限。
• 管理段值：授予对所有或特定分类帐/管理段值 (MSV) 组合的访问权限。例如，我们可能使用包含分类帐 A 的数据访问权限集，授予对管理段值 100 的只读权限，授予对管理段值 200 的读写权限，对于相同分类帐中的管理段值 300 没有任何权限。

  

分配或使用：

• 在系统配置文件中，将配置文件GL:数据访问权限集选择之前设置的数据访问权限集分配给职责。
• 日记账的录入和查询中根据设置的读写权限的不同而被不同使用。如对A帐套的读写权限和B帐套的只读权限定义后，职责能查询A、B帐套的日记账，但是只能新建A帐套的日记账。如果定义的是平衡段，则系统会报”您无权访问此账户”的错加以限制。管理段也同理。
• 帐户查询中只能看到定义具有权限的帐套或平衡段或管理段。
• 在报表运行中，如果数据访问权限集设设了多个帐套（相同科目表和日历）

1. 要点：

• 分配至数据访问权限集的分类帐和分类帐集必须共用相同科目表、日历和期间类型。
• 只在当我们在科目表中指定了管理段时（管理段限定词），才能使用管理段值。
• 我们必须为每个数据访问权限集指定三种类型之一。在定义之后，我们不能更改类型。我们只能添加或删除数据访问权限集中指定的分类帐/分类帐集和段值。

问题：

• 数据访问权限集的平衡段权限如何应用？

访问权限集类型选择了平衡段后，可对专门的平衡段定义读或读写的权限，在职责配置文件选择了该平衡段数据访问权限集后，在此职责下可以读或读写含该平衡段的账户。例如设置了101平衡段只读权限的访问权限集后，职责可以访问查看包含这个平衡段的账户的单据；设置了101平衡段读写权限的访问权限集，职责可以查看或新建包含这个平衡段的账户的单据，新建102平衡段单据时报无权限的错；

• 数据访问权限集和分类帐集的联系与区别？

相同点：

都可以对多个分类账进行功能控制；都要职责配置文件GL：数据访问权限集中设置才能应用。

不同点：

数据访问权限集可以对分类账的控制分为只读或读写权限；分类账集没有具体区分权限，全为读写权限；

数据访问权限集不能对各个分类账进行总体的控制；分类账集可以对所有定义中的分类账进行总体控制，例如账户查询中一次性查找到所有分类账的信息。

数据访问权限集功能更全面，除了对分类账进行控制，也可以对平衡段或任意段（设为管理段）进行控制；分类账集只能对分类账进行控制。

例子：

设置了数据访问权限集（全部分类账）后：可以选到不同的分类账，进而对不同的分类账提交请求。

设置了分类账集后:可以选到不同分类账和分类账集，进而对所有分类账单独或全部提交请求。

• 段值安全性

定义：

安全性规则是一种限制弹性域段值访问的安全性屏蔽功能。我们可以使用安全性规则为弹性域和报表参数值的范围定义值进行限定，从而限制访问。完整操作是先定义安全性规则，再将安全性规则分配给应用产品责任。在定义过程中，我们先通过为段指定包括下限值和上限值在内的值范围来定义安全性规则要素。安全性规则要素适用于包括在所指定的值范围内的所有段值。每个安全性规则要素标识为 Include 或 Exclude，其中 Include 指包括指定范围内的所有值；Exclude 指排除指定范围内的所有值。由于规则会自动排除所有值（除非特别指定包括这些值），因此每个规则必须至少有一个Include 规则要素。Exclude 规则要素优先于 Include 规则要素。如果要指定所包括或排除的单个值，则在”下限”和”上限”字段中输入相同的值。例如，在COA的公司段上，我们可以定义仅限A公司的安全性，然后要素选择Include 自A至A，再分配给A公司各个职责，那么在这些职责下做帐户选择时公司段只能选得到A.

分配或使用：

• 在分配界面将定义的安全性规则分配给所需定义的职责，即可以完成安全性规则的使用；

  

要点：

• 设置前要先启用段和值集的安全性设置；
• 在分配或更改安全性规则之后，为使更改生效，我们必须更改责任，或退出应用产品并重新登录。
• 安全性定义时，建议使用包含所有段，排除不要的段来定义，而不是直接包含所要的段。后者设置可能会在汇总模板查询账户时不被识别。

问题：

• 数据访问权限集的平衡段权限和平衡段段值安全性在应用上有什

么区分？

平衡段数据访问权限集控制平衡段的权限（可选只读、可选读写，无权限时可见而不可选），段值安全性控制平衡段的可见选择（有权限时可见并可选，无权限时不可见）例如设置了101平衡段读写权限的访问权限集，职责可以查看或新建包含这个平衡段的账户的单据，新建102平衡段数据时报无权限；如果设置了101平衡段段值安全性，则职责只能选到该平衡段，具有读写权限，看不到其他平衡段。

• 交叉验证规则

定义：

交叉验证规则是一种限定段值组合的安全性屏蔽功能。键弹性域可以根据自定义键弹性域时所定义的规则，执行段值的自动交叉验证，来严密控制新的键弹性域组合的创建过程。交叉验证规则定义了特定段的值是否可与其它段的特定值相互组合，从而控制在输入键弹性域值时可创建的值组合。

我们可以使用交叉验证规则来防止创建不应存在的组合（即其中的值不应同时存在的组合）。例如，如果不允许部门段和货币资金类科目组合的帐户，我们就可以通过排除部门段1001到Z（所有部门段）与科目段10010000到10090505（货币资金类科目） 的组合来达到目的。在设置完交叉验证规则后，我们在弹性域弹出式窗口中输入段值后，弹性域会在更新数据库之前检查这些段值的组合是否有效。如果用户输入的组合无效，则屏幕上会出现一则诊断错误消息，同时光标将返回到假定包含无效值的第一个段。

分配或使用：

在定义界面中选择不同的COA结构进行定义，填写交叉验证规则的名称，录入需要报错的信息以及验证规则所包含的要素，则这些规则就会在使用到该COA结构的帐套中生效。当输入定义中排除的组合就会报出错误信息。

要点：

• 对于在定义交叉验证规则时就已经存在的组合，交叉验证规则对其没有任何作用。
• 我们在设置COA弹性域结构时需要勾选 “交叉验证规则”的框。

问题：

交叉规则中包括和排除的含义？

包括指规则允许的账户组合，排除指规则不允许的账户组合。两者结合是属于全集包含不属于集合排除的账户组成的集合，也是排除对包含的补集。如下例：

包括：0.0.0.0.0.0.0至z.z.z.z.z.z.z

排除：0.0.0.0.0.0.0至110.z.z.z.z.z.z

排除：112.0.0.0.0.0至112.z.z.z.z.z.z

则此规则只允许下列组合：

111.0.0.0.0.0.0至111.z.z.z.z.z.z

从上例中，我们知道使用交叉验证规则同样能限制平衡段的选择，与平衡段数据访问权限集和平衡段段值安全性有着异曲同工之妙。但交叉验证规则是限制其他平衡段账户组合的生成，数据访问权限集是限制其他平衡段账户的访问权限，平衡段段值安全性是限制其他平衡段账户的是否可见。

• 访问权限集

定义：

访问权限集是一种赋予用户对FSG报表、经常性日记账和重估等操作权限限制的功能。如下图，定义类型包含所能限制的总帐功能，如FSG内容集、FSG报表集、成批日记账、科目表映射和预算组织等，定义名称是指系统存在的用这些功能定义的单据名称，如经常性日记账的名称等。访问权限集的权限包括使用、查询和修改，即允许用户在流程或报表中使用定义、允许用户查看定义和允许用户查看和修改定义。

分配或使用：

• 在分配界面将定义好的访问权限集分配给职责，则职责受该访问权限集限制。在该职责用到定义中的报表或经常性日记账等时，职责受所定义的访问权限集定义。如果只有使用权限时，可以在生成的复选框中选到报表或经常性日记账等，其他地方看不到；如果只有查看权限，可以在报表或经常性日记账定义界面看到定义的功能，但所有字段被锁定，不能修改，在生成界面无法选到；如果只有修改权限（默认有查看权限），可以在定义界面中看到报表或经常性日记账并且能改动，但在生成界面无法选到。

要点：

• 在设置FSG报表等功能时选择’启用安全性’的复选框
• 在分配界面中有自动分配和自动权限，当勾选自动分配后，必须选择一个或多个自动权限，但最终权限还是以访问权限集定义界面的权限为主。

• 小结

五种功能具体联系与区别见下表。这五种功能赋予了用户或职责不同的权限做处理某些事务，这就形成了屏蔽作用，让不同的用户做不同的事务。这五种安全性屏蔽是分别处于不同层级上的，分别是多分类帐，单一分类帐，段值、段值组合和总帐功能使用上。我们可以根据不同安全性需求来选择不同屏蔽功能。这是因为五种功能上的屏蔽，加上业务实体、帐套、法人主体、经营组织、库存组织和子库等组织上的区分，使得oracle系统实现精细分工的作用。

	分类账集	数据访问权限集	段值安全性	交叉验证规则	访问权限集
应用层次	多个分类账	分类账、平衡段、管理段	段值	段值组合	报表等
所起作用	能对多个分类账同时控制	能限制分类账、平衡度和管理段的选择和查看	能限制各个段 的选择	能限制段值与段值之间组合的选择	能限制报表等功能的查看、使用和修改
权限区分	无	只读、读写	无	无	查看、使用、修改
应用逻辑	定义后，在职责配置文件”GL:数据访问权限集”下配置给各个职责	定义后，在职责配置文件”GL:数据访问权限集”下配置给各个职责	定义后，将安全性规则在分配界面根据不同COA结构分配给各个职责	根据不同COA结构定义后生效。	定义后，将安全性规则在分配界面分配给各个职责
界面体现	查看、新建和修改时选不到未定义的分类账。	查看、新建和修改时选不到未定义的分类账。新建或修改选到未定义段时会报没有权限的错误	看不到且选不到未定义的段。	选到定义不能组合在一起的段值组合时会报错。	使用权限，可以在生成复选框中选到；查看权限，可以定义界面看到定义但不能修改；修改权限（默认有查看权限），可以在定义界面中看到定义并改动，