Business Automation Workflow 安全角色
IBM® Business Automation Workflow 提供了表示一组原则的逻辑名的缺省安全角色和可选安全角色。 角色允许用户根据其特定环境所需的细粒度控制级别,定义所需数量的用户标识和密码。
您必须将每个角色与认证别名关联。 认证别名是包含单个用户标识和密码的配置对象。 您可以使用以下某个选项来指定认证别名值。 查看符号列表以确保采用满足您系统需求的最佳方法。
- 使用产品启动板进行典型安装。 此方法会为 CellAdmin、DeAdmin、DbUser 和 DbUserXAR 角色自动创建认证别名。 为 DbUser 角色和 DbUserXAR 角色二者输入一个用户标识和密码。
- 使用 BPMConfig 命令。 此方法需要您为 CellAdmin、DeAdmin、DbUser、DbUserXAR 和 ProcessCenterUser 角色指定认证别名。
- ProcessCenterUser 角色用于联机 Workflow Server。
- 仅当 BPMConfig 命令还用于创建概要文件时为 CellAdmin 角色指定认证别名。 如果您在现有概要文件上使用 BPMConfig 命令,那么已配置 CellAdmin 角色的认证别名。
- 使用此方法时,可以根据环境的需要来指定任何其他角色。
- 使用管理控制台的“部署环境”向导。 此方法需要您为 DeAdmin、DbUser、DbUserXAR 和 ProcessCenterUser 角色指定认证别名。
- ProcessCenterUser 角色用于联机 Workflow Server。
- 为 DbUser 角色和 DbUserXAR 角色二者输入一个用户标识和密码。
- 使用此方法时,不能根据环境的需要来指定任何其他角色。
- 使用 manageprofiles 命令行实用程序。
- 您只能在 manageprofiles -adminAliasName 参数中指定 CellAdmin 角色的认证别名。
- 由于是在创建概要文件之后创建部署环境,因此在创建概要文件期间无需配置部署环境级别的认证别名。
- 使用“概要文件管理工具”。
- “概要文件管理工具”会自动将 CellAdmin 角色与 CellAdminAlias 认证别名关联。 它不允许您指定其他认证别名。
下图说明了角色与认证别名的关系以及在各种场景中如何使用这些关系。
- 每个认证别名只包含一个用户标识和密码。
- 每个认证别名均可映射到一个或多个角色。
- 可能需要多个角色才能完成每个场景。
- 将以下角色更新至认证别名映射时,这些角色需要执行额外的步骤:
- CellAdmin -将用户添加到 WebSphere® Application Server 中的管理员角色以及在 Business Automation Workflow中定义为管理员和作者组的组。 这些组可以是 tw_admins 和 tw_authors(缺省值),也可以是由 bpmAdminGroup 属性和 bpmAuthorGroup 定义的组(如果已修改这些组)。 有关 WebSphere Application Server中的管理员角色的更多信息,请参阅 安全性规划概述。 如果密码已更改,请确保遵循主题 更改 IBM Business Automation Workflow 密码中列出的所有步骤。
- DEAdmin -将用户添加到 WebSphere Application Server 中的管理员,部署者和操作员角色以及 Business Automation Workflow中定义为管理员和作者组的组。 这些组可以是 tw_admins 和 tw_authors(缺省值),也可以是由 bpmAdminGroup 属性和 bpmAuthorGroup 定义的组(如果已修改这些组)。
- SCADeploymentUser -将用户添加到 WebSphere Application Server中的部署者和操作员角色。
- EmbeddedECMTechnicalUser - 技术用户必须具有 WebSphere Application Server 管理员角色。 必须是在运行时过程中的每个点分配有此角色的授权用户。 BPM 文档库 中的授权是指唯一用户标识,因此同名用户不会被视为同一用户。 在您打算删除并重新创建用户,或者切换到其他用户注册表时,这一点很重要。
分配给此角色的用户配置为具有嵌入式环境的以下许可权:
- 嵌入式文档库的域管理员
- 目标对象库的对象库管理员
- 嵌入式 Content Navigator 的管理员
对于外部 Content Platform Engine 配置,请确保分配给该 EmbeddedECMTechnicalUser 角色配置为用户
- 域管理员或 GCD 管理员
- 目标对象库的对象库管理员
对于外部 Content Navigator 配置,请确保分配给该 EmbeddedECMTechnicalUser 角色配置为用户
- Content Navigator 的管理员
要更新“角色到认证别名”的映射,请执行以下操作:
- 登录到管理控制台。
- 单击 。
要更改认证别名,请参阅 修改认证别名。
表 1 列出了 Business Automation Workflow所需的角色。 在安装和配置期间,必须提供这些角色的值。 Workflow Server 上安装的任何其他软件都可能具有其他角色。
| IBM Business Automation Workflow 必需角色 | 描述 |
|---|---|
| CellAdmin | 单元管理员是 WebSphere Application Server 级别的主管理员。 安装和配置期间分配给该角色的用户具有以下特征和能力:
注: 如果更改映射到 CellAdmin 角色的认证别名中的用户标识和密码,那么在将角色更新为认证别名映射时需要执行其他步骤。 请参阅 CellAdmin。
指定单元管理员用户名和密码时,支持以下字符:
|
| DeAdmin | 部署环境管理员是 Business Automation Workflow 级别的主管理员。 分配给该角色的用户:
注: 如果更改映射到 DeAdmin 角色的认证别名中的用户标识和密码,那么将角色更新为认证别名映射时需要执行其他步骤。 请参阅 DeAdmin。
指定部署环境管理员用户名和密码时,支持以下字符:
|
| DbUser | 分配有此角色的用户具有对指定数据库的访问权。 |
| DbUserXAR | 分配有此角色的用户具有执行 XA 恢复的授权。 还可以为该用户分配 DbUser 角色。 |
表 2 列出了 Business Automation Workflow的可选角色。 如果在配置期间您未指定这些角色,那么映射至 DeAdmin 角色的相同认证别名将映射至这些角色。
| IBM Business Automation Workflow 可选角色 | 描述 |
|---|---|
| PerformanceAdmins | 在 Process Admin Console 中查看“业绩仪表板”所需的角色。 |
| PerformanceDWUser | 运行 Performance Data Warehouse 所需的用户。 |
| ProcessServerUser | JMS 队列中用于对 JMS 连接进行认证的 Workflow Server 用户。 |
| ProcessCenterUser | 此角色映射到有权从 Workflow Server 连接到 Workflow Center的 Workflow Center 用户的认证别名。 此用户在 Workflow Center中不需要任何特殊许可权。 |
| BPMAdminJobUser | 分配有此角色的用户有权对产品活动日志 (PAL) Admin 代码执行操作。 |
| BPMAuthor | 此角色映射到用户的认证别名,该用户需要有权访问 Snapshot 并将其部署到运行时 Workflow Server ,并从位于 IBM Process Designer中的 Process Inspector访问该 Workflow Server。 |
| BPMUser | BPM UserBPC_Auth_Alias 的认证别名。 |
| BPMWebserviceUser | 匿名 Webservice 用户的认证别名。 |
| EventManagerUser | 该角色映射至用户(用作事件管理器的运行身份用户)的认证别名。 |
| RALUser | RAL 用户的认证别名。 |
| SCADeploymentUser | 用于部署 SCA 应用程序的认证别名 注: 如果更改映射到 SCADeploymentUser 角色的认证别名中的用户标识和密码,那么在将角色更新为认证别名映射时需要执行其他步骤。 请参阅 SCADeploymentUser。
|
| SCAUser | 由 SCA 用于登录到安全 SIBus 的认证别名。 |
| BPCUser | Business Process Choreographer JMS 认证别名。 |
| EmbeddedECMTechnicalUser | 如果用户未指定,那么在安装期间缺省使用该角色。 注意: 如果您在映射到 EmbeddedECMTechnicalUser 角色的认证别名中更改了用户ID和密码,则在将角色更新为认证别名映射时需要执行其他步骤。 请看 EmbeddedECMTechnicalUser。
|