IBM® Business Process Manager 提供了用于表示一组主体的逻辑名的缺省和可选安全角色。这些角色允许用户根据其特定环境所需的细粒度控制级别,选择定义所需数量的用户标识和密码。
您必须将每个角色与认证别名相关联。认证别名是包含单个用户标识和密码的配置对象。您可以使用以下某个选项来指定认证别名值。查看每个选项下面的符号列表以确保采用满足您系统需求的最佳方法。
- 使用产品启动板进行典型安装。此方法会为 CellAdmin、DeAdmin、DbUser 和 DbUserXAR 角色自动创建认证别名。为 DbUser 角色和 DbUserXAR 角色二者输入一个用户标识和密码。
- 使用 BPMConfig 命令。此方法需要您为 CellAdmin、DeAdmin、
DbUser、DbUserXAR 和 ProcessCenterUser 角色指定认证别名。
- ProcessCenterUser 角色用于联机流程服务器。
- 仅当 BPMConfig 命令还用于创建概要文件时为 CellAdmin 角色指定认证别名。如果对现有概要文件使用 BPMConfig 命令,那么已配置 CellAdmin 角色的认证别名。
- 使用此方法时,可以根据环境的需要来指定任何其他角色。
- 使用管理控制台的“部署环境”向导。
此方法需要您为 DeAdmin、DbUser、DbUserXAR 和 ProcessCenterUser 角色指定认证别名。
- ProcessCenterUser 角色用于联机流程服务器。
- 为 DbUser 角色和 DbUserXAR 角色二者输入一个用户标识和密码。
- 使用此方法时,不能根据环境的需要来指定任何其他角色。
- 使用 manageprofiles 命令行实用程序。
- 您只能在 manageprofiles -adminAliasName 参数中指定 CellAdmin 角色的认证别名。
- 由于是在创建概要文件之后创建部署环境,因此创建概要文件期间没有要配置的部署环境级认证别名。
- 使用概要文件管理工具。
- “概要文件管理工具”自动将 CellAdmin 角色与 CellAdminAlias 认证别名相关联。它不允许您指定其他认证别名。
下图说明了角色与认证别名的关系以及在各种 IBM Business Process Manager 场景中如何使用这些关系。
- 每个认证别名只包含一个用户标识和密码。
- 每个认证别名可映射至一个或多个角色。
- 可能需要多个角色才能完成每个场景。
- 将以下角色更新至认证别名映射时,这些角色需要执行额外的步骤:
- BPMAuthor - 将该用户添加到 IBM Business Process Manager 中定义为作者组的组。 该组为缺省值 tw_authors 组,或者由 bpmAuthorGroup 属性定义的组(如果已修改该组)。
- CellAdmin - 将该用户添加至 WebSphere® Application
Server 中的管理员角色,并将该用户添加至 IBM Business Process Manager 中定义为管理员组和作者组的组中。这些组可以是 tw_admins 和 tw_authors(缺省值),也可以是由 bpmAdminGroup 属性和 bpmAuthorGroup 定义的组(如果已修改这些组)。有关 WebSphere Application
Server 中管理员角色的更多信息,请参阅
安全规划概述。 - DEAdmin - 向该用户分配 WebSphere Application Server 中的管理员、部署者和操作员角色,并将该用户添加至IBM Business Process Manager 中定义为管理员组和作者组的组中。这些组可以是 tw_admins 和 tw_authors(缺省值),也可以是由 bpmAdminGroup 属性和 bpmAuthorGroup 定义的组(如果已修改这些组)。
- SCADeploymentUser - 将该用户添加到 WebSphere Application Server 中的部署者和操作员角色。
- EmbeddedECMTechnicalUser - 必须是在运行时过程中的每个点分配有此角色的授权用户。IBM BPM 文档库中的授权涉及唯一的用户标识,因此同名的用户不会被视为同一个用户。如果您要删除和重新创建用户,或者切换到其他用户注册表,这很重要。请参阅管理 IBM BPM 文档库的技术用户。
要将角色更新至认证别名映射,请执行以下操作:
- 登录到管理控制台。
- 单击。
要对认证别名进行更改,请参阅修改认证别名。
表 1 列出了 IBM Business Process Manager 所需的角色。
您必须在安装和配置期间为这些角色提供值。Process Server 上安装的任何其他软件都可能具有其他角色。
| IBM Business Process Manager 需要的角色 | 描述 |
|---|---|
| CellAdmin | 单元管理员是处于 WebSphere Application
Server 级别的主要管理员。
安装和配置期间分配给该角色的用户具有以下特征和能力:
注: 如果您更改了已映射至 CellAdmin 角色的认证别名中的用户标识和密码,那么当更新“角色到认证别名”映射时还需要执行其他步骤。请参阅 CellAdmin。
指定单元管理员用户名和密码时,支持以下字符:
|
| DeAdmin | 部署环境管理员是处于 IBM Business Process Manager 级别的主要管理员。
分配有此角色的用户:
注: 如果您更改了已映射至 DeAdmin 角色的认证别名中的用户标识和密码,那么当更新“角色到认证别名”映射时还需要执行其他步骤。请参阅 DeAdmin。
指定部署环境管理员用户名和密码时,支持以下字符:
|
| DbUser | 分配有此角色的用户具有对指定数据库的访问权。 |
| DbUserXAR | 分配有此角色的用户具有执行 XA 恢复的授权。还可以为该用户分配 DbUser 角色。 |
表 2 列出了 IBM Business Process Manager 的可选角色。
如果在配置期间您未指定这些角色,那么映射至 DeAdmin 角色的相同认证别名将映射至这些角色。
| IBM Business Process Manager 可选角色 | 描述 |
|---|---|
| PerformanceDWUser | 运行 Performance Data Warehouse 所需的用户。 |
| ProcessServerUser | JMS 队列中用于对 JMS 连接进行认证的 Process Server 用户。 |
| ProcessCenterUser | 该角色映射至获得授权以从 Process Server 连接至 Process Center 的 Process Center 用户的认证别名。此用户在 Process Center 中不需要任何特殊许可权。 |
| BPMAdminJobUser | 分配有此角色的用户有权对产品活动日志 (PAL) Admin 代码执行操作。 |
| BPMAuthor | 该角色映射至需要以下授权的用户的认证别名:访问 Snapshot 并将其部署至运行时 Process Server,同时从位于 IBM Process Designer 中的 Process Inspector 访问该 Process Server。 |
| BPMUser | BPM UserBPC_Auth_Alias 的认证别名。 |
| BPMWebserviceUser | 匿名 Webservice 用户的认证别名。 |
| EventManagerUser | 该角色映射至用户(用作事件管理器的运行身份用户)的认证别名。 |
| RALUser | RAL 用户的认证别名。 |
| SCADeploymentUser | 用于部署 SCA 应用程序的认证别名 注: 如果您更改了已映射至 SCADeploymentUser 角色的认证别名中的用户标识和密码,那么当更新“角色到认证别名”映射时还需要执行其他步骤。请参阅 SCADeploymentUser。
|
| SCAUser | 由 SCA 用于登录到安全 SIBus 的认证别名。 |
| BPCUser | Business Process Choreographer JMS 认证别名。 |
| EmbeddedECMTechnicalUser | 如果用户未指定,那么在安装期间缺省使用该角色。 注: 如果您更改了已映射至 EmbeddedECMTechnicalUser 角色的认证别名中的用户标识和密码,那么当更新“角色到认证别名”映射时还需要执行其他步骤。请参阅 EmbeddedECMTechnicalUser。
|