Добрый день, коллеги!
Я испытываю затруднения с организацией ограничения доступа к объектам APEX.
Для каждого объекта (страницы, региона, поля и т.п.) я могу выбрать только одну Авторизационную схему (или ее отрицание).
Вы тоже?
Тогда как быть, если ролей множество и их права замысловато пересекаются?
Я уже настрогал схем типа "Менеджер_Аудитор_Куратор", "Менеджер_Андеррайтер", "Аналитик_Инспектор" и т.п.
Скоро начну четырехмерные гибриды вводить :)

Разве нельзя, как в некоторых средах разработки, сопоставить объекту набор авторизационных атрибутов (ролей, схем) типа
[auditor, manager, curator], что значило бы право доступа для всех 3-х ролей?..

Petro123вариант:
- делай им Рабочее место (АРМ).
А не солянку-страницу для Буха-уборщицы.

Ага!
Если, например, простому сотруднику нельзя видеть в справочнике сотрудников поле "зарплата", а начальнику - можно, то для них 2 разных АРМа делать?
Конечно, что ты скажешь "нет!".
Но в моей модели доступа всё так переплетено, что выбор однозначен - в пользу одного АРМ.

И по поводу твоего поста "... делать ролями оракла".
Какая радость от того, что ты хардкодишь еще больше моего? :)

irbis_alЯ бы так организовал.
1.Создаю таблицу в виде дерева apexrole
id apex_user,role,parent_id

(Иерархия нудна для того,чтобы высшая роль подхватывала все привиллегии низших)


Спасибо!
Надо обмозговать...
Не всегда наследник должен иметь все права родителя. У меня нет такой явной зависимости (в функциональном доступе).
В разграничении доступа на уровне данных - да. Там начальник может видеть данные всех своих подчиненных и их подчиненных и т.д. Но это достигается не APEX-авторизацией...

Интересно, а в APEX-5 всё так же?..

А если так?

Petro123Курдль,
извини, но разрешения NTFS не будут в APEX.
Он не для этого.

Ты это к чему?
Модель, что я привел, - это чаша грааля для любой системы управления доступом.
Такая модель доступа в основе oracle, IBM Tivoli и мн.др.

Petro123,

Причем здесь "приоритет"?

И почему "в APEX всё сделано не по этой модели"?
Приведенная мною схема позволяет обеспечить разграничение доступа к любому объекту приложения APEX.
А можно даже назначить доступ не к объектам, а к сущностям предметной области.
Только именовать авторизационные схемы надо будет не "Администратор" или "Шеф_Аудитор", а "Зарплата", "Детализация аудита" и т.п.


Petro123Курдль,
не делайте из APEX монстра. Переходите на другой ЯП.
Это и Оракл советует.
APEX это access)) и это отлично!
IMHO

Я думаю, что маркетологи оракла не согласятся с тем, что АРЕХ = это MS Access :)
И я перешел из другой среды на АРЕХ, т.к. того требовали НФТ заказчика.
Кстати, завидую твоему положению - ты сам можешь придумывать, сколько АРМов и для каких ролей...

Petro123Сущность - это таблица в APEX, т.к. тут нет ОРМ.
Т.е.
Сущность -
авторизация -
функция авторизации PL

1 к одному к объекту ГУИ.
Ты же сам сказал - неудобно.
.........

Я под сущностью не объект GUI имел в виду.
Сущность предметной области не совсем то название. Надо обдумать точнее.
Например, вносим в БД сущность "зарплата" как объект доступа.
Даем в БД разрешение на просмотр для Шефа и редактирование - для Бухгалтера.
Делаем схему "ЗАРПЛАТА" и все элементы GUI, которые отображают или управляют "зарплатой", привязываем к этой схеме
(колонки отчета, поля формы, кнопки или целые формы).

Petro123КурдльНапример, вносим в БД сущность "зарплата" как объект доступа.
у меня вносим роль - "зарплата" как объект доступа

Так у тебя пользователи АРЕХ = пользователи оракла!
Говорю - тебе повезло с заказчиками, безопасники которых такое согласовали :)