方案: 跨 GRC 域共享的对象
适用于: 
贵公司实施了财务管理和运营风险解决方案。 由于使用这些解决方案的团队共享公共组织层次结构,因此他们共享一些公共对象实例,例如流程。 但他们不希望共享其他对象实例,例如风险和控制。
基于角色的安全性意味着财务管理和运营风险团队中的所有用户都有权访问文件夹中的所有对象和对象实例。 需要为每个域设置访问控制,以便用户仅使用他们负责的对象。 除了保护对象,您还在提高用户的易用性。
例如,财务管理团队和运营风险团队都使用 "控制" 对象类型,但它们使用 "控制" 对象类型的不同实例。 您希望使操作风险团队中的用户能够更新其控制对象类型的实例。 您还希望阻止财务管理团队中的用户查看属于操作风险团队的实例。
您有两个用户组负责财务管理和运营风险。 已定义基于角色的安全性,以将 读 和 写 访问控制授予两个团队中的所有用户。 例如, SOXUsers 组中的用户可以更新属于操作风险团队的控件。
| 域 | 用户组 | 允许使用 | 不允许使用 |
|---|---|---|---|
| 财务管理 | SOXUsers | 合规性控制 | 操作控制 |
| 运营风险 | ORMUsers | 操作控制 | 合规性控制 |
为满足这两个用户组的安全性需求,不会更改基于角色的安全性。 添加进一步限制已为文件夹定义的安全性的安全规则。
使用以下信息在 "控制" 对象类型上定义安全规则:
- 公式为:
[SOXControl].[OPSS-Ctl].[Domain] IN ('Financial Management') AND END_USER IN GROUP('SOXUsers')
当 "安全性" 属性设置为 限制时,将应用基于角色的安全性和安全性规则,并且 "访问" 控件设置为 读取 和 更新。
过程
- 单击 打开管理菜单
> 用户和安全性 > 安全规则。 - 单击控制对象类型。
- 在记录级别安全规则部分中,单击添加。
- 为该安全规则添加名称和描述。
- 在 安全性 属性中,选择 限制 以使基于角色的安全性和安全规则都适用。 限制 使合规性用户无法查看或使用 "操作控制"。
- 选中 读取 和 更新 访问控制复选框。
- 添加公式:
- 单击 添加字段 ,然后选择 控制 (SOXControl) 对象。
- 选择 域 字段,然后选择合规团队的财务管理域。
- 点击插入。
- 单击 添加术语 ,然后选择
AND,然后选择END_USER,然后选择IN GROUP。 - 输入
'SOXUsers'。[SOXControl].[OPSS-Ctl].[Domain] IN ('Financial Management') AND END_USER IN GROUP('SOXUsers') - 对 "操作风险" 域重复此操作。
- 单击 添加。