管理 BPM 文档库 的技术用户

在线编辑

传统:
使用 BPM 文档库时,存在多个需要技术用户 (系统用户) 的方案。 技术用户是系统可用于对其自身执行操作的身份。 例如,创建域、对象库和文档类定义的缺省配置时,需要 run-as 技术用户。 当 IBM® Business Automation Workflow 使用内容管理互操作性服务 (CMIS) 连接到 BPM 文档库 时,也需要技术用户。

准备工作

maintainDocumentStoreAuthorizationupdateDocumentStoreApplication 命令用于执行本主题中的许多任务。 使用 wsadmin 脚本编制客户机的 AdminTask 对象来运行这些命令。 要运行这些命令,必须满足以下条件:

  • maintainDocumentStoreAuthorization 命令:
    • 该命令必须在 Deployment Manager 节点上运行。
    • 一个或多个应用程序集群成员必须正在运行。
    • 必须以连接方式运行命令。 请勿指定 wsadmin -conntype none 选项。
    • 必须使用具有 WebSphere Application Server 操作员特权的用户标识连接到 Deployment Manager。
  • updateDocumentStoreApplication 命令:
    • 该命令必须在 Deployment Manager 节点上运行。
    • 在本地方式或已连接方式下运行该命令。
    • 在已连接方式下运行该命令时,您必须指定具有 WebSphere Application Server 操作员和部署者特权的用户标识。

对于 maintainDocumentStoreAuthorization 命令,从 Deployment Manager 概要文件的 profile_root/bin 目录启动 wsadmin 脚本编制客户机。 对于 updateDocumentStoreApplication 命令,从 Workflow ServerWorkflow Center上的 deployment_manager_profile/bin 目录启动 wsadmin 脚本编制客户机。 这些命令不会写入日志文件,但 wsadmin 脚本编制客户机始终写入 profile_root/logs/wsadmin.traceout 日志文件,您可以在此文件中查找异常堆栈跟踪和其他信息。

关于本任务

对于所有这类场景,将使用相同的技术用户并且会将凭证保存在认证别名中。 使用的认证别名映射到 Business Automation Workflow角色类型 EmbeddedECMTechnicalUser。 缺省认证别名为 DeAdminAlias,但配置部署环境期间可能已经定制认证别名。 技术用户必须具有 WebSphere Application Server 管理员角色。 有关使用管理控制台来管理认证别名的信息可在 认证别名 主题中找到。

维护正在运行的系统期间,可能需要执行以下任务:
  • 更改技术用户的密码
  • 更改技术用户
  • 更改技术用户的认证别名
  • 重新配置用户注册表
  • BPM Content Store 的安全性配置

下面各部分中对这些任务进行了描述。

更改技术用户的密码

技术用户凭证将保存在认证别名中。 认证别名中技术用户的密码必须与定义技术用户的用户资源库(例如,FileRegistry 或 LDAP)中的密码同时进行更改。
注: BPM 文档库 可能仍会在短时间内 (不到一分钟) 使用旧凭证。 在此短时间内,对 BPM 文档库 的访问可能会失败。

更改技术用户

要更改密码或更改技术用户,仅更改认证别名是不够的。 BPM 文档库 受到保护,不受未知用户的访问。 如果必须使用其他技术用户,那么必须先向将成为技术用户的用户授权。 要完成此任务,请使用带有 -add 选项的 maintainDocumentStoreAuthorization 管理命令来授权新用户,如以下示例中所示:
AdminTask.maintainDocumentStoreAuthorization('[-deName myDEname -add cn=newTechnicalUser,o=defaultWIMFileBasedRealm]')
可通过使用相同的管理命令和 -list 选项来列示当前已授权的主体,如以下示例中所示:
AdminTask.maintainDocumentStoreAuthorization('[-deName myDEname -list]')

或者,您可以授权组访问 BPM 文档库

在授权新的技术用户使用 BPM 文档库之后,您可以使用技术用户的新主体名称和密码来修改认证别名。
注: BPM 文档库 可能仍会在短时间内 (不到一分钟) 使用旧凭证。 在此短时间范围内,对 BPM 文档库 的访问不应失败,因为旧的技术用户仍有权访问 BPM 文档库
  1. 登录到 ACCE (https://BAW_host:BAW_port/acce)。
  2. 单击 BPM 域。 单击 属性 选项卡,并更改 系统用户名系统用户密码的值。 单击保存
作为最后一个步骤,您可使用 maintainDocumentStoreAuthorization 管理命令和 -remove 选项来除去旧用户的访问权,如以下示例中所示:
AdminTask.maintainDocumentStoreAuthorization('[-deName myDEname -remove cn=oldTechnicalUser,o=defaultWIMFileBasedRealm]')
请记住: 将在域,对象存储库和根文件夹级别撤销用户的访问权,但不会除去对内容存储库中某些对象的许可权。 这与使用内容存储的其他产品一致。 由于在域、对象存储和根文件夹级别撤销了用户访问权限,因此在撤销后该用户不能获取针对对象存储中任何对象的访问权。

如果您更改技术用户,则需要更改 IBM_BPM_DocStoreAdmin 的应用程序设置,以允许新的技术用户访问 IBMContent Platform Engine (ACCE) 管理控制台。 创建 Business Automation Workflow 部署环境时, DE 管理员用户将成为嵌入式 IBM Content NavigatorContent Platform Engine 组件的管理员用户。 Business Automation Workflow 服务器使用 DE 管理用户来连接到这些组件。

更改认证别名

在部署环境配置中,还可更改已映射到 EmbeddedECMTechnicalUser 角色的认证别名。 更改认证别名后,必须运行 updateDocumentStoreApplication admin 命令以阻止 BPM 文档库 使用旧认证别名:
AdminTask.updateDocumentStoreApplication('[-deName myDEname]')
注: 如果新认证别名使用与原始用户不同的用户,那么还必须遵循 更改技术用户 部分中的指示信息。

重新配置用户注册表

BPM 文档库 的授权基于唯一标识。 如果在服务器初始启动期间已初始化文档库,那么只有相同用户(具有相同唯一标识)才能管理文档库并访问其文档。 如果您更改用户注册表配置(例如,通过除去基于文件的存储库来仅使用联合存储库中的 LDAP 服务器),那么 LDAP 中具有相同用户标识和密码的用户将无权访问文档库。 这对于您直接删除用户并重新创建具有相同用户标识的用户的情况同样成立。 在这种情况下,您会丢失对文档库的访问权并且必须回滚配置更改。

联合存储库中不允许出现重复的用户,这意味着您无法连接到与基于文件的存储库具有相同用户的 LDAP 服务器。 您必须除去基于文件的存储库并添加 LDAP。 LDAP 中具有相同用户标识的用户将无法访问文档库。 因此,可选择授权所有已认证的用户在重新配置期间使用文档库(同时通过 HTTP Server 关闭了访问)。

可使用特殊关键字 #AUTHENTICATED-USERS 向成功认证的所有用户授予访问文档库的权限,如以下示例中所示:
AdminTask.maintainDocumentStoreAuthorization('[-deName De1 -add #AUTHENTICATED-USERS]')
当允许所有用户与文档库进行通信时,请除去将要从用户存储库中删除的用户或组。

完成此配置之后,您可以安全地重新配置用户注册表,而不会丢失对文档库的访问权。 配置更改完成并且单元重新启动之后,您可授权新用户并除去 #AUTHENTICATED-USERS 条目。

有关配置用户注册表的信息,请参阅 配置用户注册表

BPM Content Store 的安全性配置

BPM 内容存储库 用于文档附件和案例管理应用程序。 只能使用 IBM Business Process Manager Advanced来开发案例管理应用程序。 添加或移除管理员时,需要更新大量对象和元数据。 为了提高效率,应该创建一个轻量级目录访问协议 (LDAP) 组来作为管理员。 然后可以使用 LDAP 和目录工具来根据需要添加或移除管理员,即管理 LDAP 组成员资格。