Authentifizierungsszenarios

Sie können den Zugriff auf einen ECM-Server (Enterprise Content Management) auf verschiedene Arten erteilen. Sie können eine Benutzer-ID und ein Kennwort für die Workflowautomation festlegen, die vom ECM-System erkannt wird. Sie können einen Prozess für die Verwendung persönlicher Berechtigungsnachweise entwerfen, um den Zugriff auf bestimmte Dokumente und Ordner auf dem ECM-Server zu steuern. Oder Sie können einen Prozess entwerfen, der jede Authentifizierungsmethode für verschiedene Schritte verwendet.

Das Workflowsystem und das Enterprise Content Management-System sind separate Systeme. Wenn die gemeinsame Sicherheit nicht konfiguriert ist, erkennt das Workflowsystem Enterprise Content Management-Benutzer nicht und umgekehrt. Wenn ein Benutzer bzw. eine Benutzergruppe auf einem der beiden Systeme authentifiziert ist, bedeutet dies nicht, dass der Benutzer bzw. die Benutzergruppe auch auf dem anderen System authentifiziert ist. Überlegen Sie, wie Sie Enterprise Content Management-Informationen mit Workflowbenutzern gemeinsam nutzen möchten, bevor Sie Ihre Anwendung entwerfen.

In einigen Szenarios möchten Sie die Benutzeridentität des aktuell aktiven Benutzers vom Workflowsystem auf das ECM-System projizieren. Dieser Ansatz ermöglicht das Erstellen und Aufrufen persönlicher Dokumente durch Benutzer, das Bereitstellen von Prüfdatensätzen sowie eine differenzierte Zugriffssteuerung auf dem Enterprise Content Management-Server. In anderen Szenarios spielt die tatsächliche Benutzeridentität des Benutzers im Workflowsystem keine Rolle im Enterprise Content Management-System. In solchen Fällen kann es ausreichen, eine statische Systemidentität zu verwenden, die das Workflowsystem darstellt. Der Prozess kann beispielsweise öffentliche Dokumente generieren oder alle Workflowbenutzer müssen dieselbe Sammlung von Dokumenten in einer Benutzerschnittstelle anzeigen.

Wenn Sie den Zugriff auf einen Enterprise Content Management-Server im Designer konfigurieren, legen Sie eine Benutzer-ID und ein Kennwort fest (weitere Informationen hierzu finden Sie unter den zugehörigen Links). Wenn Sie die Standardeinstellung verwenden, müssen die ID und das Kennwort auf dem Workflowsystem nicht gültig sein, aber sie müssen für den Enterprise Content Management-Server gültig sein. Am Ende der Einstellungen befindet sich das Kontrollkästchen Immer Verbindungsinformationen verwenden, die hier angegeben sind. Wenn dieses Kontrollkästchen ausgewählt ist (dies ist standardmäßig der Fall), werden die Benutzer-ID und das Kennwort an alle Aufrufe angehängt, die von dieser Workflowautomation an den ECM-Server abgesetzt wurden. Der Vorteil dieser Methode besteht darin, dass der Enterprise Content Management-Server sofort für die Aktionen in der Workflowautomatisierungverfügbar ist. Verwenden Sie diese Option jedoch nicht, wenn Sie Einschränkungen dafür festlegen möchten, welche Dokumente oder Ordner bestimmte Benutzer anzeigen und verwenden können. Bei dieser Methode sind ein statischer Benutzername und ein Kennwort, wie in den Einstellungen für die Workflowautomatisierung definiert, der einzige Berechtigungsnachweis, der vom Workflowsystem an den Enterprise Content Management-Server übergeben werden kann. Es gibt keine Möglichkeit, dem ECM-System mitzuteilen, welcher Benutzer momentan der aktuelle (echte) Benutzer ist. In diesem Fall ist, selbst wenn Sie die einmalige Anmeldung (SSO) einrichten, keine differenzierte Zugriffssteuerung und keine Erfassung von Protokolldaten für einzelne Benutzer möglich.

Wichtig : Unabhängig davon, ob die Prozess-App in on-premise oder in SaaS tenant bereitgestellt wird, muss jeder externe CMIS -Dienst, der auf SaaS tenant verweist – Business Automation Content Services on Cloud, Business Automation Workflow on Cloud oder IBM Cloud Pak for Business Automation as a Service – Folgendes sicherstellen:
  1. Die Option "Immer diese Verbindungsinformationen verwenden" ist aktiviert.
  2. Ein Serviceberechtigungsnachweis in SaaS tenant wird erstellt und angegeben. Weitere Informationen über die Erstellung von Dienstanmeldeinformationen auf SaaS tenant finden Sie unter: Erstellen und Verwalten von Dienstkonten Externer Link öffnet ein neues Fenster oder eine neue Registerkarte.
  3. Der neu erstellte Serviceberechtigungsnachweis in SaaS tenant erhält die entsprechenden Rollen und Berechtigungen. Weitere Informationen über die Zuweisung von Rollen und Berechtigungen für die Dienstberechtigung finden Sie unter: Zuweisung von Rollen und Berechtigungen Externer Link öffnet ein neues Fenster oder eine neue Registerkarte.

Wählen Sie das Kontrollkästchen Immer diese Verbindungsinformationen verwenden ab, wenn Sie Einschränkungen dafür festlegen möchten, welche Dokumente oder Ordner bestimmte Benutzer bzw. Benutzergruppen anzeigen und verwenden können. Wenn dieses Kontrollkästchen abgewählt ist, verwendet das Workflowsystem einzelne Benutzernamen und IDs für die Authentifizierung und projiziert die Identität auf dem Enterprise Content Management-Server. Sie können nun bestimmte Tasks bestimmten Benutzern zuweisen, damit diese Benutzer nur diejenigen Dokumente und Ordner anzeigen können, die sie zum Ausführen dieser Tasks benötigen. Ein Service, der von einer Benutzertask in einem Prozess gestartet wird, wird im Sicherheitskontext des Benutzers ausgeführt, der die Task angefordert und gestartet hat.

Je nach Kontext können Sie einen Prozess so entwerfen, dass er beide Authentifizierungsmethoden verwendet. Wenn das Kontrollkästchen Immer hier angegebene Verbindungsinformationen verwenden nicht ausgewählt ist, hängt die Autorisierung davon ab, wie Sie Ihren Prozess modellieren. Wenn Sie den Kontext auswählen, über den der Aufruf erfolgt, können Sie den Zugriff auf den Enterprise Content Management-Server auf eine Benutzer-ID beschränken, die in den Servereinstellungen der Workflowautomatisierung angegeben ist, oder auf einen Taskeigner. Wenn der Enterprise Content Management-Service von einer Systemtask in einem Prozess aufgerufen wird, wird der Benutzer verwendet, der in den Einstellungen für die Workflowautomation angegeben ist. Wenn der Enterprise Content Management-Service durch eine Benutzertask, durch einen Coach oder durch einen Integrationsservice innerhalb einer Benutzertask aufgerufen wird, wird die Identität des Taskeigners an das ECM-System weitergegeben. Im letzteren Fall werden die Benutzer-ID und das Kennwort, die in der Workflowautomatisierung festgelegt wurden, ignoriert. Aufrufe, die die Identität des Taskeigners verwenden, schlagen fehl, wenn der Workflow und die ECM-Systeme nicht über gemeinsame Sicherheit verfügen.