Прошу прощения за множество ссылок, но иначе долго объяснять!

Итак, имеем Apex, т.к. Oracle и простая-быстрая система разработки (девелоперов мало, а пишущих только на уроне SQL хватит).

Необходимо организовать разграничение прав - причем использовать избирательное (дискреционное) управление доступом .
В Apex предполагается использование принудительное (мандаторное) управление доступом .
Немного поковырявшись можно привести к чисто ролевому управлению доступом без примеси избирательного.

Варианты пришедшие в голову:
1. Выродить ролевой вариант доступа к избирательному. Для каждой страницы, элемента (возможно групп) создать соответствующую схему авторизации и раздавать как в избирательном.
При достаточном количестве страниц и элементов, сопровождать проблематично.
2. Можно параметром передавать номер страницы в схему авторизации и реализовать избирательный доступ. Но навигацию при этом нормально не прицепишь.
3. Создать схему, по примеру Menu FrameWork . Летят к черту все плюшки навигации апекса - соответственно писать свою.
4. Ждать апекс 4.0, где то на оракловом форуме проскакивало, что там будет что-то (ссылку потерял, искать лень). Но если судить по Направлению развития , там только новые схемы аутентификации, про авторизацию ни слова.
5. Попытаться опрокинуть избирательный доступ на ролевой. Т.е. администратор оперирует избирательным методом, а некий компонент анализируя все права пытается вычленить набор ролей, как можно ближе к уже существующей и править мандаты в сооветсвии с правами. Задача в общем интересная, но сомневаюсь что в общем случае реализуемая.

Все варианты не очень удобны, т.к. хотелось бы по возможности остаться в стандартных плюшках апекса и иметь избирательный контроль доступа. Если подозрения, что я просто чего-то не замечаю, и это реализуется элементарно.

ossv,
Да правильно, забыл указать 6-ой вариант через Condition - что не очень удобно, но реализуемо. Хотелось бы нормально делать через authorization sheme, а через него не прокатят списки или матрицы.

Правильно сформулированный вопрос содержит половину ответа :)
Ответ:
- Доктор, если я делаю так, то там что-то щелкает.
- Так не делайте так.
:)

А по серьезному, продходит вроде только такой вариант:
На уровне страниц использовать Page Sentry Function из Authentication Scheme.
На уровне навигации используем Condition с передачей параметра, номера страницы куда.

Получаем избирательный контроль, дополнительно к нему можно использовать Authorization Scheme для ролевого или мандатного контроля доступа.

Спасибо за внимание.