Escenarios de autenticación
El sistema de flujo de trabajo y el sistema Enterprise Content Management son sistemas separados. Si la seguridad compartida no está configurada, el sistema de flujo de trabajo no reconoce a los usuarios de Enterprise Content Management y viceversa. Ser autenticado en un servicio no significa que el usuario o grupo de usuarios esté autenticado en el otro sistema. Tenga en cuenta la forma en que desea compartir la información de Enterprise Content Management con los usuarios de flujo de trabajo antes de diseñar la aplicación.
En algunos escenarios, desea proyectar la identidad de usuario del usuario que actúa actualmente desde el sistema de flujo de trabajo al sistema ECM. Este enfoque le permite a los usuarios crear y acceder a documentos privados, proporciona registros para auditorías y permite el estricto control de acceso en el servidor de Enterprise Content Management. En otros escenarios, la identidad de usuario real del usuario humano en el sistema de flujo de trabajo no importa en el sistema Enterprise Content Management. En tales casos, puede ser suficiente utilizar una identidad de sistema estática que represente el sistema de flujo de trabajo. Por ejemplo, el proceso puede generar documentos públicos o quizás todos los usuarios de flujo de trabajo necesitan ver la misma colección de documentos en una interfaz de usuario.
Cuando configura el acceso a un servidor Enterprise Content Management en el diseñador, establece un ID de usuario y una contraseña (consulte los enlaces relacionados para obtener más información sobre esta tarea). Si utiliza el valor predeterminado, no es necesario que el ID y la contraseña sean válidos en el sistema de flujo de trabajo, pero deben ser válidos para el servidor de Enterprise Content Management. Al final de los valores, hay un recuadro de selección con la etiqueta Utilizar siempre la información de conexión especificada aquí. Cuando ese recuadro de selección está seleccionado, que es de forma predeterminada, ese ID de usuario y contraseña se adjuntan a todas las llamadas realizadas desde esa automatización de flujo de trabajo al servidor ECM. La ventaja de este método es que el servidor Enterprise Content Management está disponible inmediatamente para que lo utilicen las acciones en la automatización de flujo de trabajo. Sin embargo, no utilice esta opción si desea restringir los documentos o carpetas que usuarios individuales pueden ver y utilizar. Utilizando este método, un nombre de usuario estático y una contraseña tal como se definen en los valores de automatización de flujo de trabajo es la única credencial que se puede enviar desde el sistema de flujo de trabajo al servidor de Enterprise Content Management. No hay forma de indicarle al sistema ECM quién es el usuario "real" actual. Por lo tanto, incluso si configura el inicio de sesión único (SSO), no hay forma de realizar un control de acceso preciso y recopilar datos de auditoría por usuario individual.
- La opción "Utilizar siempre esta información de conexión" está seleccionada.
- Se crea y se especifica una credencial de servicio en SaaS tenant . Para más información sobre cómo crear una credencial de servicio en SaaS tenant, consulte: Creación y gestión de cuentas de servicio
. - A la credencial de servicio recién creada en SaaS tenant se le otorgan los roles y permisos adecuados. Para obtener más información sobre cómo asignar funciones y permisos para la credencial de servicio, consulte: Asignación de funciones y permisos .
Desmarque el recuadro de selección Utilizar siempre la información especificada aquí si desea restringir los documentos o carpetas que usuarios individuales o grupos de usuarios específicos pueden ver y utilizar. Cuando este recuadro de selección no está marcado, el sistema de flujo utiliza nombres e ID de usuario individuales para la autenticación y proyecta la identidad en el servidor de Enterprise Content Management. Ahora puede asignar tareas específicas a usuarios que sólo pueden ver documentos y carpetas necesarias para completar esas tareas. Un servicio iniciado por una tarea de usuario en un proceso se ejecuta bajo el contexto de seguridad del usuario que ha reclamado e iniciado la tarea.
Puede diseñar un proceso para utilizar ambos métodos de autenticación, en función del contexto. Si el recuadro de selección Utilizar siempre la información de conexión especificada aquí no está seleccionado, la autorización depende de cómo modele el proceso. Al elegir el contexto desde el que se realiza la llamada, puede restringir el acceso al servidor de Enterprise Content Management a un ID de usuario especificado en los valores del servidor de automatización de flujos de trabajo o a un propietario de tarea. Si una tarea del sistema llama al servicio Enterprise Content Management en un proceso, se utiliza el usuario identificado en los valores de automatización de flujo de trabajo . Si el servicio de Enterprise Content Management es llamado por una tarea de usuario, un coach o un servicio de integración dentro de una tarea de usuario, la identidad de propietario de tarea se propaga al sistema ECM. En este último caso, el ID de usuario y la contraseña establecidos en la automatización del flujo de trabajo se ignoran. Las llamadas que utilizan la identidad de propietario de tarea fallan si el flujo de trabajo y los sistemas ECM no tienen seguridad compartida.