IBM® Business Process Manager では、1 セットの原則の論理名を表すデフォルトのセキュリティー・ロールとオプションのセキュリティー・ロールを提供しています。ロールを使用することで、ユーザーは自身の環境に必要な詳細制御のレベルに応じて必要な数のユーザー ID とパスワードを定義できます。
各ロールは、認証別名に関連付ける必要があります。認証別名は、単一のユーザー ID とパスワードを含む構成オブジェクトです。次のいずれかのオプションで認証別名を指定します。以下の箇条書きに示す各オプションを検討して、ご使用のシステムの要件に最も適した方法を確認してください。
- 標準インストールで製品ランチパッドを使用する。この方法では、CellAdmin、DeAdmin、DbUser、DbUserXAR の各ロールに対して自動的に認証別名が作成されます。DbUser ロールと DbUserXAR ロールの両方に 1 つのユーザー ID とパスワードを入力します。
- BPMConfig コマンドを使用する。この方法では、CellAdmin、DeAdmin、DbUser、DbUserXAR、ProcessCenterUser の各ロールに対して手動で認証別名を指定する必要があります。
- ProcessCenterUser ロールは、オンラインのプロセス・サーバーに使用されます。
- BPMConfig コマンドを使用してプロファイルの作成も行う場合は、CellAdmin ロールにのみ認証別名を指定します。既存のプロファイルで BPMConfig コマンドを使用する場合は、CellAdmin ロールの認証別名が既に構成されています。
- この方法を使用する場合、ご使用の環境に必要な他の任意のロールを指定できます。
- 管理コンソールのデプロイメント環境ウィザードを使用する。この方法では、DeAdmin、DbUser、DbUserXAR、ProcessCenterUser の各ロールに対して手動で認証別名を指定する必要があります。
- ProcessCenterUser ロールは、オンラインのプロセス・サーバーに使用されます。
- DbUser ロールと DbUserXAR ロールの両方に 1 つのユーザー ID とパスワードを入力します。
- この方法を使用する場合、ご使用の環境に必要な他のロールを指定できません。
- manageprofiles コマンド行ユーティリティーを使用する。
- CellAdmin ロールの認証別名のみを、manageprofiles -adminAliasName パラメーターで指定できます。
- デプロイメント環境はプロファイル作成後に作成されるため、プロファイル作成時にはデプロイメント環境レベルの認証別名を構成しません。
- プロファイル管理ツールの使用。
- プロファイル管理ツールによって、CellAdmin ロールが CellAdminAlias 認証別名に自動的に関連付けられます。別の認証別名を指定することはできません
以下の図は、ロールと認証別名の関係と、IBM Business Process Manager の各種シナリオでそれらがどのように使用されるかを示しています。
- 各認証別名には、1 つのユーザー ID とパスワードのみが含まれます。
- 各認証別名は、1 つ以上のロールにマップすることができます。
- 各シナリオを完了するために複数のロールが必要となる場合があります。
- ロールから認証別名へのマッピングを更新する場合、以下のロールでは追加のステップが必要です。
- BPMAuthor - ユーザーを、IBM Business Process Manager 内で作成者グループとして定義されているグループに追加します。このグループは、デフォルトでは tw_authors グループです。グループが変更されている場合は、bpmAuthorGroup プロパティーで定義されているグループです。
- CellAdmin - ユーザーを、WebSphere® Application Server 内の管理者ロールに追加し、IBM Business Process Manager 内で管理者グループおよび作成者グループとして定義されているグループに追加します。このグループは、デフォルトでは tw_admins と tw_authors です。グループが変更されている場合は、bpmAdminGroup プロパティーと bpmAuthorGroup プロパティーで定義されているグループです。WebSphere Application Server の管理者ロールについて詳しくは、セキュリティー計画の概要を参照してください。
- DEAdmin - ユーザーを、WebSphere Application Server 内の管理者、デプロイヤー、およびオペレーターのロールに追加し、IBM Business Process Manager 内で管理者グループおよび作成者グループとして定義されているグループに追加します。このグループは、デフォルトでは tw_admins と tw_authors です。グループが変更されている場合は、bpmAdminGroup プロパティーと bpmAuthorGroup プロパティーで定義されているグループです。
- SCADeploymentUser - ユーザーを、WebSphere Application Server 内のデプロイヤーおよびオペレーターのロールに追加します。
- EmbeddedECMTechnicalUser - 技術ユーザーには、WebSphere Application Server 管理者ロールが必要です。ランタイム・プロセスのすべてのポイントで、このロールに許可ユーザーが割り当てられている必要があります。IBM BPM 文書ストアでの許可は固有のユーザー ID を参照するため、同じ名前を持つユーザーでも同じユーザーとはみなされません。これは、ユーザーを削除してから再作成する場合や、別のユーザー・レジストリーに切り替える場合に重要です。IBM BPM 文書ストアの技術ユーザーの管理を参照してください。
ロールを認証別名マッピングへと更新するには、以下の手順を実行します。
- 管理コンソールにログインします。
- をクリックします。
認証別名を変更するには、『認証別名の変更』を参照してください。
表 1 には、IBM Business Process Manager の必須ロールがリストされています。
これらのロールには、インストールと構成を実行する際に値を指定する必要があります。Process Server に追加のソフトウェアがインストールされている場合、それらに追加のロールがあることがあります。
| IBM Business Process Manager の必須ロール | 説明 |
|---|---|
| CellAdmin | セル管理者は、WebSphere Application
Server レベルでの 1 次管理者です。
インストールおよび構成時にこのロールに割り当てられたユーザーには、以下の特性と能力があります。
注: CellAdmin ロールにマップされている認証別名内のユーザー ID とパスワードを変更した場合は、ロールと認証別名のマッピングを更新する際に追加のステップが必要となります。CellAdmin を参照してください。
セル管理者のユーザー名とパスワードを指定する際にサポートされる文字は以下のとおりです。
|
| DeAdmin | デプロイメント環境管理者は、IBM Business Process Manager レベルでの 1 次管理者です。
このロールに割り当てられたユーザーには、以下のことが許可されます。
注: DeAdmin ロールにマップされている認証別名内のユーザー ID とパスワードを変更した場合は、ロールと認証別名のマッピングを更新する際に追加のステップが必要となります。DeAdmin を参照してください。
デプロイメント環境管理者のユーザー名およびパスワードを指定するときには、次の文字がサポートされます。
|
| DbUser | このロールに割り当てられたユーザーは、指定されたデータベースへのアクセス権限を持ちます。 |
| DbUserXAR | このロールに割り当てられたユーザーは、XA リカバリーを実行するための許可を持ちます。このユーザーは、DbUser ロールに割り当てることもできます。 |
表 2 には、IBM Business Process Manager の任意指定のロールがリストされています。
構成時にこれらのロールを指定しない場合は、DeAdmin ロールにマップされている認証別名がこれらのロールにマップされます。
| IBM Business Process Manager の任意指定のロール | 説明 |
|---|---|
| PerformanceDWUser | Performance Data Warehouse を実行するための必須ユーザー。 |
| ProcessServerUser | JMS 接続で認証するために使用される JMS キューの Process Server ユーザー。 |
| ProcessCenterUser | このロールは、Process Server から Process Center への接続を行う権限がある Process Center ユーザーの認証別名にマップされます。このユーザーに Process Center での特別な権限は必要ありません。 |
| BPMAdminJobUser | このロールに割り当てられたユーザーは、製品アクティビティー・ログ (PAL) 管理コード上でアクションを実行する権限を持ちます。 |
| BPMAuthor | このロールは、スナップショットにアクセスしてそれをランタイム Process Server にデプロイし、IBM Process Designer に配置されている Process Inspector からその Process Server にアクセスする権限を必要とするユーザーの認証別名にマップされます。 |
| BPMUser | BPM UserBPC_Auth_Alias の認証別名。 |
| BPMWebserviceUser | 匿名 Web サービス・ユーザーの認証別名。 |
| EventManagerUser | このロールは、Event Manager の Run-As ユーザーとして使用されるユーザーの認証別名にマップされます。 |
| RALUser | RAL ユーザーの認証別名。 |
| SCADeploymentUser | SCA アプリケーションをデプロイするために使用される認証別名 注: SCADeploymentUser ロールにマップされている認証別名内のユーザー ID とパスワードを変更した場合は、ロールと認証別名のマッピングを更新する際に追加のステップが必要となります。SCADeploymentUser を参照してください。
|
| SCAUser | 保護された SIBus にログインするために SCA によって使用される認証別名。 |
| BPCUser | Business Process Choreographer の JMS 認証別名。 |
| EmbeddedECMTechnicalUser | ユーザーが指定しない場合、このロールはインストール時にデフォルトの値に設定されます。 注: EmbeddedECMTechnicalUser ロールにマップされている認証別名内のユーザー ID とパスワードを変更した場合は、ロールと認証別名のマッピングを更新する際に追加のステップが必要となります。EmbeddedECMTechnicalUser を参照してください。
|