IBM® Business Process Manager 为您提供三种方式用于授予 Enterprise Content Management (ECM) 服务器的访问权。您可以为由 Enterprise Content Management 系统识别的流程应用程序设置用户标识和密码。您可以将业务流程设计为使用个人凭证来控制对 ECM 服务器上特定文档和文件夹的访问。或者,可以设计针对流程中的不同步骤使用各认证方法的业务流程。
IBM Business Process Manager 系统和 Enterprise Content Management 系统是单独的系统。 如果未配置共享安全性,那么 IBM BPM 系统无法识别 Enterprise Content Management 用户,反之亦然。 在一个系统上进行了认证并不意味着用户或用户组在另一个系统上也进行了认证。设计应用程序之前,请考虑要将 Enterprise Content Management 信息与 IBM BPM 用户共享的方式。
在某些方案中,您想要将当前充当人员用户的用户身份从 BPM 系统投影到 ECM 系统。 通过此方法,用户可以创建和访问私有文档,提供审计记录以及允许在 Enterprise Content Management 服务器上进行细颗粒度访问控制。在其他方案中,使用 IBM BPM 的人员用户的实际用户身份在 Enterprise Content Management 系统中无关紧要。在此类情况下,使用表示 BPM 系统的静态系统身份可能便已足够。例如,业务流程可能生成公共文档,或者可能所有 BPM 用户都需要在用户界面中看到同一文档集合。
在 IBM Process Designer 中配置对 Enterprise Content Management 服务器的访问时,需要设置用户标识和密码(请参阅相关链接以获取有关此任务的更多信息)。如果您使用缺省设置,那么标识和密码不需要在 BPM 系统上有效,但是必须对于 Enterprise Content Management 服务器有效。设置结束处有一个名为始终使用此处指定的连接信息的复选框。选中该复选框时(此为缺省案例),用户标识和密码将连接到从流程应用程序对 ECM 服务器进行的调用。此方法的优势是流程应用程序中的操作可以立即使用 Enterprise Content Management 服务器。但是,如果要限制个别用户可以查看和使用哪些文档或文件夹,请勿使用此选项。使用此方法,流程应用程序设置中所定义的静态用户名和密码是可从 IBM BPM 提交到 Enterprise Content Management 服务器的唯一凭证。无法告知 ECM 系统当前“实际”用户是谁。因此,即使设置单点登录 (SSO),个别用户也无法进行细颗粒度访问控制和收集审计数据。
如果要限制个别用户或特定用户组可以查看和使用哪些文档或文件夹,请清除始终使用此处指定的连接信息复选框。 当未选中该复选框时,IBM BPM 系统使用个别用户名和标识进行认证,并且将身份投影到 Enterprise Content Management 服务器。现在,您可以将特定任务分配给只能查看其完成这些任务所需的文档和文件夹的用户。由 BPD 中的用户任务启动的服务在已声明并启动该任务的用户的安全上下文中运行。
您可以将业务流程定义设计为使用这两种认证方法,具体视上下文而定。如果未选中始终使用此处指定的连接信息复选框,那么授权取决于业务流程的建模方式。通过选择从中进行调用的上下文,可以将对 Enterprise Content Management 服务器的访问权限制为流程应用程序服务器设置中指定的用户标识或者限制为任务所有者。如果 Enterprise Content Management 服务由 BPD 中的系统任务调用,那么会使用流程应用程序设置中标识的用户。如果 Enterprise Content Management 服务由人员任务、由 Coach 或由用户任务中的 Integration Service 调用, 那么会将任务所有者身份传播到 ECM 系统。在后一种案例中,将忽略流程应用程序上设置的用户标识和密码。如果 BPM 和 ECM 系统没有共享安全性,那么使用任务所有者身份的调用将失败。