0

我们的 94 个地区有 5 个自定义报告。一项功能授予对这些自定义报告的访问权限。

问题是每个区不应该看到另一个区的报告结果。

目前,唯一的选择是创建 5 * 94 = 470 个自定义报告,为每个区授予一组 5 个。但是,当需要更新报告时,这很麻烦。TaskDefinitions (Reports) 创建TaskResult 对象(报告的结果)。此外,对于 TaskResult 对象,还会创建一个 JasperReport 对象。当您打开任务结果时,TaskResult/JasperResult 对象都不会“重新执行”BeanShell。

有没有办法只有 5 个报告并确定结果范围,以便只有该地区的用户才能看到它们?

我有一个示例,说明当基于下面的代码时如何实现这一点,它将查看运行报告的人的范围。它只会返回与运行报告的身份在同一范围内的身份

// Retrieve Scope of Executor then filter all Identities on that Scope only
import org.apache.commons.logging.Log;
import sailpoint.object.Filter;
import sailpoint.object.Identity;
import sailpoint.object.Scope;
                      

Identity identity = context.getObjectByName(Identity.class, arguments.get("launcher"));
                      
if (identity != null) {
  String scopeName = identity.getAssignedScope().getDisplayableName();
  List roleFilters = new ArrayList();
    
  if (scopeName!= null) {                          
    roleFilters.add(Filter.eq("identity.assignedScope.name", scopeName));
  }
                    
  if (!roleFilters.isEmpty()) {
    queryOptions.addFilter(Filter.or(roleFilters));
  }
} else {
  // When Saving with Preview or Execute the Launcher is empty so all results would be shown.
  // This filter will prevent that (creates empty report, it works when executed from the My Reports 
  queryOptions.addFilter(Filter.eq("identity.name", "xxx"));
}

return queryOptions;

上面代码示例的问题:

这将创建用于 A 组的报告,但 B 组和 C 组也可以查看它。

因此,最终目标是拥有一份任何人都可以运行的报告,但是无论涉及哪个用户组(范围),只有与该范围关联的数据是可见的。因此,即使 A 组运行,B 组也只能查看 B 组。

4

1 回答 1

1

我认为你在这里没有好的选择。

我想到的是以编程方式创建这些报告(例如编写一些脚本来为 TaskDefinition 生成 XML 工件并使用 IIQDA 导入/导出)并以相同的方式维护它们,因此每次您需要更改其中的每一个数百个工件,您可以通过代码重新生成它们。

我唯一会以不同的方式做的事情是为每个 5 组报告使用 94 个范围,而不是使用功能。

于 2021-07-13T21:28:49.017 回答