總賬資料訪問安全性控制 1

ebs版本：12.0.0以上

在oracle ebs 12 之前,很多專案中希望按照某些規則進行總賬資料的遮蔽只能通過客戶化開發來實現,如按照ou進行憑證的遮蔽,同時fsg報表的資料也需要按照同樣的規則遮蔽相關資料.這樣的要求需要開發人員修改較多的資料庫檢視定義和pl/sql程式，同時導致ebs的公升級是乙個較麻煩的事情。

在oracle ebs 12之中，oracle對資料安全性的控制作了獨立的設計。

後續文章中，我將結合功能和技術對總賬的資料安全性控制做乙個介紹，由於內容設計系統功能和技術層面，因此會分做多篇文章來描述。

資料訪問許可權集（data access set）介紹

oracle ebs12 中，通過資料訪問許可權集來控制職責能夠訪問哪些分類賬，它可以限制使用者只能夠訪問某些平衡段值或管理段值，或者授權給乙個職責只能讀取或者同時具備讀寫分類賬中資料的許可權。

如果分類賬和分類賬集分配給同乙個資料訪問集，必須保證它們是共享同樣的賬戶結構、會計日曆和期間型別

系統中可以定義如下三種型別的資料訪問許可權集：

全部分類賬

平衡段值(bsv)

管理段值(msv)

全部分類賬（full ledger）：

使用者可以訪問整個分類賬的資料。如：在資料訪問許可權集中包含2個分類賬，a和b，可以設定使用者只能夠讀取a分類賬中的資料，沒有寫資料的許可權；而設定使用者能夠同時讀寫b分類賬中的資料

平衡段值(balancing segment values/bsv)：

授權使用者訪問所有或者某些特定分類賬平衡段值的賬戶組合。譬如，可以定義乙個資料訪問許可權集來控制分類賬a的資料讀取：對平衡段值01只有讀取許可權；對平衡段值02具有讀寫許可權；而對於平衡段值03則沒有讀寫的許可權

管理段值(management segment values/msv)：

授權使用者訪問所有或者某些特定分類賬管理段值的賬戶組合。譬如，可以定義乙個資料訪問許可權集來控制分類賬a的資料讀取：對管理段值100只有讀取許可權；對平衡段值200具有讀寫許可權；而對於平衡段值300則沒有讀寫的許可權。要啟用管理段的控制必須賬戶結構定義中指定了管理段。

滿足下列條件時，oracle general ledger自動生成資料訪問許可權集：

建立乙個分類賬

定義乙個分類賬集

系統為分類賬生成的資料訪問許可權集和分類賬同名，這個許可權集使用了「全部分類賬」的訪問許可權集型別，提供了完全讀寫整個分類賬資料的許可權。

系統為分類賬集生成的資料訪問許可權集和分類賬集同名，這個許可權集使用了「全部分類賬」的訪問許可權集型別，提供了完全讀寫所有分配給分類賬集中分類賬的資料許可權。

如果只需要控制和系統生成資料訪問許可權集一致的許可權控制，直接使用系統生成的資料訪問許可權集，無須而外手工建立資料訪問許可權集。

只有當需要更小粒度的控制分類賬、分類賬集、特定平衡段值或特定管理段值的資料讀取許可權的時候，才需要手工建立資料訪問許可權集。