Business Automation Workflow ruoli di protezione

Modifica in linea

IBM® Business Automation Workflow fornisce ruoli di sicurezza sia predefiniti che facoltativi che rappresentano un nome logico per una serie di principi. I ruoli consentono agli utenti di definire il numero di ID utente e password necessari, a seconda del livello di controllo dettagliato richiesto per il proprio ambiente specifico.

È necessario associare ciascun ruolo a un alias di autenticazione. L'alias di autenticazione è un oggetto di configurazione che contiene un singolo ID utente e password. Specificare i valori alias di autenticazione utilizzando una di queste opzioni. Esaminare l'elenco puntato per garantire il metodo migliore per soddisfare i requisiti di sistema.
  • Utilizzare il launchpad del prodotto per un'installazione tipica. Questo metodo crea automaticamente gli alias di autenticazione per i ruoli CellAdmin, DeAdmin, DbUser, e DbUserXAR. Si inseriscono un ID utente e una password sia per il ruolo DbUser che per il ruolo DbUserXAR.
  • Utilizzare il comando BPMConfig . Questo metodo richiede di specificare gli alias di autenticazione per i ruoli CellAdmin, DeAdmin, DbUser, DbUserXAR, e ProcessCenterUser.
    • Il ruolo ProcessCenterUser è utilizzato per i server del flusso di lavoro online.
    • Si specifica l'alias di autenticazione per il ruolo CellAdmin solo se il comando BPMConfig viene utilizzato anche per creare il profilo. Se si utilizza il comando BPMConfig sui profili esistenti, l'alias di autenticazione del ruolo CellAdmin è già configurato.
    • Quando si utilizza questo metodo, è possibile specificare uno qualsiasi degli altri ruoli necessari per il proprio ambiente.
  • Utilizzare la procedura guidata dell'ambiente di distribuzione della console di gestione. Questo metodo richiede di specificare gli alias di autenticazione per i ruoli DeAdmin, DbUser, DbUserXAR, e ProcessCenterUser.
    • Il ruolo ProcessCenterUser è utilizzato per i server del flusso di lavoro online.
    • Si inseriscono un ID utente e una password sia per il ruolo DbUser che per il ruolo DbUserXAR.
    • Quando si utilizza questo metodo, non è possibile specificare altri ruoli come necessario per il proprio ambiente.
  • Utilizzare il programma di utilità della riga comandi manageprofiles .
    • È possibile specificare l'alias di autenticazione del ruolo CellAdmin solo nel parametro manageprofiles -adminAliasName .
    • L'ambiente di distribuzione viene creato dopo la creazione del profilo, quindi non vi sono alias di autenticazione a livello di ambiente di distribuzione da configurare durante la creazione del profilo.
  • Utilizzo di Profile Management Tool.
    • Lo strumento di gestione dei profili associa automaticamente il ruolo CellAdmin all'alias di autenticazione CellAdminAlias. Non consente di specificare un alias di autenticazione diverso.
Il seguente diagramma illustra le relazioni ruolo e alias di autenticazione e come vengono utilizzate in vari scenari.
  • Ogni alias di autenticazione contiene solo un ID utente e una password.
  • Ogni alias di autenticazione può essere associato a uno o più ruoli.
  • Ogni scenario può richiedere più di un ruolo per completare lo scenario.
  • I seguenti ruoli richiedono ulteriori passi quando si aggiorna il ruolo a un'associazione alias di autenticazione:
    • BPMAuthor - L'utente BPMAuthor deve essere un membro dei gruppi tw_admins o tw_author.
    • CellAdmin - Aggiungere l'utente al ruolo di amministratore in WebSphere® Application Server e ai gruppi definiti come gruppi di amministratori e autori in Business Automation Workflow. I gruppi sono quelli predefiniti di tw_admins e tw_authors, oppure i gruppi definiti dalle proprietà di bpmAdminGroup e bpmAuthorGroup se i gruppi sono stati modificati. Per ulteriori informazioni sul ruolo di amministratore in WebSphere Application Server, consultare Panoramica della pianificazione della sicurezza. Se la password viene modificata, assicurarsi di seguire tutti i passi elencati nell'argomento Modifica delle password di IBM Business Automation Workflow.
    • DEAdmin - Aggiungere l'utente ai ruoli di amministratore, distributore e operatore in WebSphere Application Server e ai gruppi definiti come gruppi di amministratori e autori in Business Automation Workflow. I gruppi sono quelli predefiniti di tw_admins e tw_authors, oppure i gruppi definiti dalle proprietà di bpmAdminGroup e bpmAuthorGroup se i gruppi sono stati modificati.
    • SCADeploymentUser - Aggiungere l'utente ai ruoli distributore e operatore in WebSphere Application Server.
    • EmbeddedECMTechnicalUser - L'utente tecnico deve avere il ruolo WebSphere Application Server ruolo di amministratore. A questo ruolo deve essere assegnato un utente autorizzato in ogni punto del processo runtime. L'autorizzazione nell'archivio documenti BPM fa riferimento a ID utenti univoci, quindi un utente con lo stesso nome non viene considerato lo stesso utente. Ciò è importante se si intende eliminare e ricreare un utente o passare a un registro utente differente.

      Un utente assegnato a questo ruolo è configurato con le seguenti autorizzazioni per un ambiente integrato:

      • Amministratore di dominio per l'archivio documenti integrato
      • Amministratore archivio oggetti per l'archivio oggetti di destinazione
      • Amministratore per Content Navigator integrato

      Per una configurazione esterna a Content Platform Engine, assicurarsi che l'utente assegnato al ruolo EmbeddedECMTechnicalUser sia configurato come

      • Amministratore di dominio o amministratore GCD
      • Amministratore archivio oggetti per l'archivio oggetti di destinazione

      Per una configurazione esterna a Content Navigator, assicurarsi che l'utente assegnato al ruolo EmbeddedECMTechnicalUser sia configurato come

      • Amministratore per Content Navigator
      Consultare Amministrazione dell'utente tecnico per l'archivio documenti BPM.

Una panoramica della relazione ruolo e alias di autenticazione

Per aggiornare il ruolo a un'associazione di alias di autenticazione:
  1. Accedere alla console di gestione.
  2. Fare clic su Server > Ambienti di distribuzione > Nome ambiente di distribuzione > Elementi correlati > Alias di autenticazione.

Per apportare modifiche all'alias di autenticazione, consultare Modifica degli alias di autenticazione.

La Tabella 1 elenca i ruoli richiesti per Business Automation Workflow. È necessario fornire i valori per questi ruoli durante l'installazione e la configurazione. Qualsiasi software aggiuntivo installato sul workflow server potrebbe avere ruoli aggiuntivi.
Tabella 1. Ruoli obbligatori
IBM Business Automation Workflow Ruoli obbligatori Descrizione
CellAdmin
L'amministratore della cella è l'amministratore principale al livello WebSphere Application Server . Un utente assegnato a questo ruolo durante l'installazione e la configurazione ha le seguenti caratteristiche e funzionalità:
  • Ha l'autorizzazione in tutti gli ambienti di distribuzione
  • Può assegnare altri ruoli di amministratore
  • È responsabile della gestione della cella e della topologia
  • Ha accesso a tutte le interfacce, consentendo agli utenti di modificare o eliminare tutti i tipi di risorse e elementi della libreria disponibili, incluse le applicazioni del processo e i toolkit
  • Questo ruolo consente anche la gestione di server del flusso di lavoro, data warehouse delle prestazioni e utenti e gruppi interni
Nota: se si modificano l'ID utente e la password nell'alias di autenticazione associato al ruolo CellAdmin , sono necessarie ulteriori operazioni quando si aggiorna l'associazione del ruolo a un alias di autenticazione. Vedere CellAdmin.
I seguenti caratteri sono supportati quando si specifica il nome utente e la password dell'amministratore della cella:
  • Caratteri nome utente: a-zA-Z0-9!()-._`~@
  • Caratteri password: a-zA-Z0-9!()-._`~@
DeAdmin
L'amministratore dell'ambiente di distribuzione è l'amministratore principale a livello Business Automation Workflow . Un utente assegnato a questo ruolo:
  • Ha l'autorizzazione nei relativi ambienti di distribuzione assegnati
  • Ha accesso amministrativo a Workflow Center e Process Admin Console
  • Ha accesso a tutte le interfacce, consentendo agli utenti di modificare o eliminare tutti i tipi di risorse e elementi della libreria disponibili, incluse le applicazioni del processo e i toolkit
  • Questo ruolo consente anche la gestione di server del flusso di lavoro, data warehouse delle prestazioni e utenti e gruppi interni
Nota: se si modificano l'ID utente e la password nell'alias di autenticazione associato al ruolo DeAdmin , sono necessarie ulteriori operazioni quando si aggiorna l'associazione del ruolo a un alias di autenticazione. Vedere DeAdmin.
I seguenti caratteri sono supportati quando si specifica il nome utente e password dell'amministratore dell'ambiente di distribuzione:
  • Caratteri nome utente: a-zA-Z0-9!()-._`~@
  • Caratteri password: a-zA-Z0-9!()-._`~@
DbUser

Un utente assegnato a questo ruolo ha accesso al database specificato.
DbUserXAR

Un utente assegnato a questo ruolo dispone dell'autorizzazione per eseguire il ripristino XA. Questo utente può anche essere assegnato al ruolo DbUser .
La Tabella 2 elenca i ruoli facoltativi per Business Automation Workflow. Se non si specificano questi ruoli durante la configurazione, lo stesso alias di autenticazione associato al ruolo DeAdmin verrà associato a questi.
Tabella 2. Ruoli facoltativi
IBM Business Automation Workflow Ruoli facoltativi Descrizione
PerformanceAdmins Ruolo richiesto per visualizzare il Performance Dashboard in Process Admin Console.
PerformanceDWUser Utente richiesto per eseguire Performance Data Warehouse.
ProcessServerUser L'utente del server del flusso di lavoro per code JMS utilizzato per l'autenticazione con una connessione JMS.
ProcessCenterUser Questo ruolo è associato a un alias di autenticazione per un utente Workflow Center autorizzato a connettersi dal workflow server al Workflow Center. Questo utente non ha bisogno di alcuna autorizzazione speciale in Workflow Center.
BPMAdminJobUser Un utente assegnato a questo ruolo dispone dell'autorità per eseguire le azioni sul codice di gestione PAL (product activity log).
Autore BPM Questo ruolo si associa a un alias di autenticazione per un utente che richiede l'autorità per accedere e distribuire le snapshot sul workflow server di runtime e accedere a quel workflow server da Process Inspector, che si trova in IBM Process Designer.
Utente BPM Alias di autenticazione per BPM UserBPC_Auth_Alias.
BPMWebserviceUser L'alias di autenticazione per l'utente del servizio Web Anyononimo.
EventManagerUser Questo ruolo viene associato a un alias di autenticazione per un utente utilizzato come utente run - as per il Gestore eventi.
Utente RAL L'alias di autenticazione per l'utente RAL.
SCADeploymentUser Alias di autenticazione utilizzato per distribuire le applicazioni SCA
Nota: se si modificano ID utente e password nell'alias di autenticazione associato al ruolo SCADeploymentUser , sono necessari ulteriori passi quando si aggiorna l'associazione del ruolo a un alias di autenticazione. Vedere SCADeploymentUser.
SCAUser Alias di autenticazione utilizzato da SCA per accedere ad un SIBus protetto.
Utente BPC Alias di autenticazione JMS di Business Process Choreographer .
EmbeddedECMTechnicalUser Se l'utente non specifica, questo ruolo viene predefinito durante l'installazione.
Nota: Se si modificano l'ID utente e la password nell'alias di autenticazione mappato al ruolo EmbeddedECMTechnicalUser, sono necessari ulteriori passaggi quando si aggiorna il ruolo in un alias di autenticazione. Vedi EmbeddedECMTechnicalUser.