Peoplesoft security

Question

외부 네트워크에서 peoplesoft 포털 액세스를 사용자에게 제공하려고합니다. 하지만 .. 접근은 읽기 전용이어야하고 매우 제한적이어야합니다.

위치 기반 역할 활성화를 수행 한 사람이 peoplesoft ...입니다. 즉, 모든 역할을 사용 중지하고 IP 주소 또는 웹 서버를 기반으로 특정 역할 만 사용할 수 있습니까?

Answer 1

신입 사원 채용 지원자가 위치를 신청할 수 있도록 외부 후보 게이트웨이를 만들 때 사용 권한이 엄격히 제한된 특정 웹 서버에 대해 '게스트'ID가 생성됩니다. 기본적으로 외부 신청자 만 개체를 ​​적용합니다 .

PS 9의 경우 보안 탭에서 PeopleTools> Web Profile> Web Profile Configuration을 확인하십시오. 웹 서버 수준에서 시스템을 확실히 보호 할 수 있습니다.

HTH

내가 내부/외부 액세스를 결정하기 위해 DNS 항목을 사용하는 것과 비슷한 짓을

Answer 2

. 사용자는 집에있는 경우 PeopleSoft에 로그인 할 때 모든 사용자에게 셀프 서비스 액세스 권한을 부여하려고했지만 VPN이나 ​​데스크탑을 통해 로그인 한 경우 사용자에게 전체 액세스 권한을 부여했습니다. 그렇게하면 고급 사용자는 VPN이나 ​​직장을 통해 인증되지 않으면 보안 성이 충분하지 않습니다.

USERMAINT 구성 요소를 사용자 정의하고 "자체 서비스"보안을위한 새로운 보안 테이블을 작성하고 사용자 정의 Signon PeopleCode를 추가하며 외부 액세스를 위해 공개 된 두 번째 DNS 항목을 설정했습니다.

시작하려면 네트워크 관리자가 PS 웹 서버를 가리키는 두 세트의 DNS 항목을 설정합니다. 예를 들어 psoft.company.com은 내부 DNS이며 로컬 네트워크 액세스 용으로 만 설정되었으며 selfservice.company.com은 글로벌 액세스 용 외부 DNS입니다.

다음으로 USERMAINT 구성 요소 (사용자 프로필)를 사용자 지정했습니다. 제공된 역할 탭을 숨기고 복사본으로 대체했습니다. 새 페이지가 PSUSERROLE의 사본을 가리키고있었습니다. 우리는 전달 된 PSROLEUSER 테이블을 "현재"보안 테이블로 사용하기 때문에이 작업을 수행했습니다. 보안 관리자가 사용자 내부 (또는 데이 작업) 보안을 업데이트하려는 경우 장기간 동안 if를 저장하려고합니다. (이것은 아래에서 더 이해할 수 있습니다). 따라서 새로운 사용자 정의 테이블 인 XXROLEUSER가 보안을위한 마스터 테이블이되었습니다.

그런 다음 보안 관리를위한 record/page/component를 추가하여 "self service"보안 (XXSSROLES)을 정의했습니다. 이 기록/페이지는 사용자가 외부에 로그인 할 때 역할 이름 만 저장합니다. 이를 통해 Security Admin은 Open Enrollment와 같은 계절적 변화에 대한 자체 서비스 보안을 업데이트 할 수 있습니다. 관리자는 공개 등록 중에 역할을 추가하여 추가 액세스 권한을 부여한 다음 기간이 끝나면 제거 할 수 있습니다.

마지막으로 우리는 내부/외부 보안 스위치를 처리하는 사용자 정의 Signon PeopleCode 단계를 작성했습니다. Signon PeopleCode는 로그인에 사용 된 URL을 가져옵니다.이 코드는 시스템에 액세스하는 데 사용 된 DNS 항목으로 볼 수 있도록 URL을 구문 분석합니다. DNS 항목이 "selfservice.company.com"이면 코드는 사용자에 대해 PSROLEUSER의 행을 지우고 XXSSROLES 테이블에서 역할을 삽입합니다. DNS 항목이 "psoft.company.com"이면 코드가 PSROLEUSER를 지우고 역할을 XXROLEUSER 테이블에 삽입합니다.

이 코드를 변경하면 PSROLEUSER가 트랜잭션 테이블로 바뀝니다. Tools 시스템은 다양한 보안 기능에 대해이 테이블을 사용하기 때문에 User Profile 구성 요소에서 사용할 "마스터 테이블"로 사용할 복사본을 만드는 것이 중요합니다.

이것이 흥미로울만한 것이라면 Signon PeopleCode에 대한 샘플 코드를 게시 해 드리겠습니다.

Signon PeopleCode 기능을 GitHub에 업로드했습니다 (아래 링크 참조). 사용자 정의 레코드를 작성하여 PeopleCode를 저장 한 다음 Signon PeopleCode 페이지에 추가 할 수 있습니다. 자세한 정보가 필요하면 알려주십시오. 전 기술 사양을 게시 할 수는 없지만 질문이 있으면 기꺼이 도와 드리겠습니다.

http://github.com/iversond/PeopleTools-Dynamic-Login

Answer 3

내가 (후보 게이트웨이 제안 같은) 별도의 사이트를 만들 것, 그것은 현재, 다른 변경이 필요하지 않을 것입니다 사용하는 것과 유사한 웹 프로파일이 필요합니다.

다음으로 사용자 정의 메뉴를 만든 다음 읽기 전용으로 만들려는 모든 구성 요소를 첨부하십시오.

해당 custom_menu.components에 대한 콘텐츠 참조를 등록하십시오.

역할 및 권한 목록 만들기 custom_menu.components를 추가 한 다음 "표시 전용"을 선택하십시오. 그런 다음 사용자에게 역할을 할당하십시오.

방화벽을 통해 해당 사이트를 공개하십시오.

그게 전부입니다.

Answer 4

면책 조항 : 본인은 회사에서 일합니다.

다소 늦었지만 유용한 대답은 IntraSee입니다.이 정확한 상황에 대한 해결책을 개발했습니다.

핵심은 규칙 (위치)을 정의한 다음 특정 역할에 묶을 수 있어야한다는 것입니다. 로그인시 평가 된 규칙과 사용자 위치에 따라 역할이 취소되거나 부여됩니다. 역할을 결정하기 위해 IP 또는 다른 속성을 사용할 수 있습니다.

수동으로 수행하려면 사용자 프로필 및 관련 권한의 버전을 고려해야하므로 약간 까다 롭습니다. Signon PeopleCode는 세션 당 한 번 씩이 규칙을 평가할 수있는 가장 좋은 장소이며 비즈니스 데이터에 액세스하여 상호 관련 결정을 내릴 수 있습니다. E.G. 사람이 거대한 승인 한도를 가지고 있다면 어쩌면 그들은 원격으로 승인 할 수 없지만 한도가 작은 사람은 승인 할 수 있습니다. 동일한 보안 액세스이지만 위치 및 데이터를 기반으로 추가 또는 취소됩니다.

구체적인 경우 : 해당 사용자에 대한 읽기 전용 액세스 권한이있는 기본 역할과 읽기/쓰기 권한을 부여한 '옵트 인 (opt-in)'역할을 갖게됩니다. 그들이 정확한 위치에서 올 때, 그들은 읽기/쓰기를 얻는다. 따라서 적절한 경우에만 추가 액세스 권한을 추가합니다.