5

我们希望为用户提供来自外部网络的 peoplesoft 门户访问权限。但是..该访问权限必须是只读的并且非常有限。

有没有人做过基于位置的角色启用是peoplesoft ..即禁用所有角色并仅启用基于IP地址或Web服务器的特定角色?

4

4 回答 4

5

我做了类似于使用 DNS 条目来确定内部/外部访问的事情。如果用户在家中登录 PeopleSoft,则用户希望强制所有用户进行自助访问,但如果用户通过 VPN 或在办公桌上登录,则为用户提供完全访问权限。这样,除非通过 VPN 或在工作中进行身份验证,否则高级用户将无法获得完全的安全性。

我们通过自定义 USERMAINT 组件、为“自助服务”安全性创建一个新的安全表、添加自定义 Signon PeopleCode 以及设置公开给外部访问的第二个 DNS 条目来完成。

首先,网络管理员设置了两组指向 PS Web 服务器的 DNS 条目。例如,psoft.company.com 是内部 DNS,仅用于本地网络访问,而 selfservice.company.com 是可用于全球访问的外部 DNS。

接下来,我们定制了 USERMAINT 组件(用户配置文件)。我们隐藏了交付的角色选项卡并用副本替换了它。新页面指向 PSUSERROLE 的副本。我们这样做是因为我们想使用交付的 PSROLEUSER 表作为“当前”安全表。如果安全管理员想要更新用户内部(或日常工作)安全性,我们希望长期存储。(这将在下面更有意义)。因此,新的自定义表(例如 XXROLEUSER)现在是安全主表。

然后,我们为安全管理员添加了记录/页面/组件来定义“自助服务”安全性 (XXSSROLES)。此记录/页面仅存储用户在外部登录时的角色名称。这允许安全管理员针对季节性变化更新自助服务安全性,例如开放注册。管理员可以在开放注册期间添加角色以授予额外访问权限,然后在期限结束时将其删除。

最后,我们创建了一个处理内部/外部安全开关的自定义 Signon PeopleCode 步骤。Signon PeopleCode 获取用于登录的 URL。代码解析 URL 以查看用于访问系统的 DNS 条目。如果 DNS 条目是“selfservice.company.com”,代码将为用户清除我们在 PSROLEUSER 中的行,并从 XXSSROLES 表中插入角色。如果 DNS 条目是“psoft.company.com”,代码将清除 PSROLEUSER 并从 XXROLEUSER 表中插入角色。

此代码更改将 PSROLEUSER 转换为事务表。由于工具系统依赖此表来实现许多不同的安全功能,因此创建一个副本以用作“主表”以在用户配置文件组件中使用非常重要。

如果这是您有兴趣尝试的事情,我很乐意为 Signon PeopleCode 发布一些示例代码。

我将 Signon PeopleCode 函数上传到 GitHub(请参见下面的链接)。您可以创建自定义记录来存储 PeopleCode,然后将其添加到 Signon PeopleCode 页面。如果您需要更多信息,请告诉我。我无法发布整个技术规范,但如果您有任何问题,我很乐意提供帮助。

http://github.com/iversond/PeopleTools-Dynamic-Login

于 2010-06-29T16:11:30.717 回答
2

Recruiting Solutions 使用类似的流程 - 在创建外部候选人网关以允许申请人申请职位时,为具有严格限制权限的特定 Web 服务器创建一个“访客”ID - 基本上只是外部申请人申请对象。

在 PS 9 中,查看安全选项卡下的 PeopleTools > Web Profile > Web Profile Configuration。您绝对可以在 Web 服务器级别保护系统。

高温高压

于 2009-09-28T14:02:36.480 回答
1

免责声明:我为公司工作。

聚会有点晚了,但一个有用的答案:IntraSee已经为这种确切的情况开发了一个解决方案。

关键是您需要能够定义规则(位置),然后将它们与特定角色联系起来。在登录时评估,根据规则和用户位置撤销或授予角色。它可以使用 IP 或其他属性来确定角色。

手动执行此操作有点棘手,因为您需要考虑用户配置文件的版本控制和相关权限。Signon PeopleCode 是评估这些规则的最佳场所,因为您可以在每个会话中执行一次,并且您可以访问业务数据以做出相关决策。例如,如果一个人的批准限制很大,也许他们无法远程批准,但限制较小的人可以。相同的安全访问,但根据位置和数据添加或撤销。

对于您的具体情况:您将拥有对这些用户具有只读访问权限的基本角色,然后是一组提供读/写的“选择加入”角色。当他们从正确的位置进来时,他们得到了读/写。因此,我们只在适当的时候添加额外的访问权限。

于 2017-01-19T01:25:21.913 回答
0

我会创建一个单独的站点(如候选网关建议),它需要与您当前使用的站点类似的网络配置文件,无需进行其他更改。

接下来创建一个自定义菜单,然后附加您希望设为只读的所有组件。

注册这些 custom_menu.components 的内容引用。

创建添加 custom_menu.components 的角色和权限列表,然后选择“仅显示”。然后将角色分配给用户。

通过防火墙公开该站点。

而已。

于 2015-12-17T20:04:19.073 回答