基于角色的安全模型

典型的安全点是业务实体，流程或子流程 (如果需要，也可以在较低安全点级别设置)。

图 1 显示了各种用户和组如何具有不同的许可权集来访问特定层次结构下的业务实体 (对象层次结构中定义的安全点) 和对象。

根据安全模型中定义的安全上下文点类型 (例如 "业务实体" ， "流程" ， "控制目标" 或 "风险评估") ，您可以使用角色模板为一组对象类型定义一组许可权。

对于您定义的每个角色模板，可以设置以下内容:

• 该角色中包含的每种对象类型的访问控制 (读，写，删除，关联)。 有关详细信息，请参阅 基于角色的访问控制许可权。
• 角色的应用程序许可权。 有关各种应用程序许可权的信息，请参阅 定义应用程序许可权。
  重要信息: 这些应用程序许可权不包含管理组和用户安全管理许可权，例如重置密码，分配角色和添加用户等。 要了解有关向管理员分配组和用户安全管理许可权的更多信息，请参阅 委派管理员许可权。

通过在对象层次结构中的特定安全上下文点将角色 (角色模板的实例) 分配给用户或组，可以控制对对象的访问权。 角色 表示用户或组在组织中执行的常规或预期功能。 角色的一些示例包括: 财务复审者，测试者，外部审计员，系统管理员，控制所有者和风险评估者。

将角色分配给组或用户时，该组或用户将获取该角色模板的安全设置，并且将根据角色模板定义向指定安全点以下的所有对象自动授予许可权。

例如，如果为业务单位 (安全上下文点) 的用户分配了角色，那么将在对象层次结构中设置该安全点下特定对象类型的访问控制。 从角色中排除的对象类型将从视图中隐藏，包含的对象类型将可视，并且可以由分配给该角色的用户和组访问。

为了清晰准确地了解哪些用户和组有权访问哪些许可权，以及在系统中进行了哪些访问控制修改，您可以运行各种报告来查看这些数据。 有关可供您使用的配置审计和安全报告类型的详细信息，请参阅 "审计报告" 文件夹一节。