IBM Business Automation Workflow 组类型
IBM® Business Automation Workflow 可以使用仅在 Business Automation Workflow 环境中可视的组以及在该环境外部可视的组。
许多客户使用轻量级目录访问协议 (LDAP) 定义自己的组。 IBM Business Automation Workflow 通过联合存储库访问组。
因此,这些组对于 WebSphere® Application Server 也可视,并且可以映射到:
- WebSphere Application Server 管理角色。
- IBM Business Automation Workflow 应用程序 Java EE 角色。
- IBM Business Automation Workflow 安全角色
- 具有特定权限的内部组。 例如,使用 bpmAdminGroup 安全配置属性定义的组。 请参阅 安全性配置属性。
IBM Business Automation Workflow 组管理管理多种类型的 IBM Business Automation Workflow 专用组。 在此上下文中, private
表示这些组在 IBM Business Automation Workflow 环境外部不可见,在 LDAP 中不可用,并且对 WebSphere Application Server不可见。 此类组不能用于 Java Platform, Enterprise Edition 或 WebSphere Application Server 管理角色分配。
以下列表描述了 IBM Business Automation Workflow 专用组类型:
- 安全组 - 从用户注册表中复制的组。 在本主题的插图中,用户注册表称为“联合存储库”。 该组可能已在文件注册表或 LDAP 中进行定义,并存储在
BPMDB表中。 - 团队 - 在
BPMDB表中,针对每个团队都有一个条目。 团队是在流程应用程序或 Toolkit 中定义。 团队可以具有包含用户或组的静态成员列表,或可以使用某服务来计算其成员。 通过诸如控制可以启动某业务流程或人员服务的人员,团队可以用于公开流程应用程序工件。 可以定义流程应用程序管理员团队 (在桌面 Process Designer中称为门户网站管理员团队) 来管理流程应用程序的流程实例。 团队可用于任务分配。 您可以将团队管理员定义为一个团队,以便创建一个层次结构。 团队管理员可以将某个团队成员的工作分配给另一个团队成员,并可以查看仪表板来检查其团队的业绩。 - 特别组 - 如果团队使用服务来计算其成员,那么该服务会返回一组用户和组。 然后,这个包含用户和组的列表会在数据库中持久保存为可复用的条目。 特别组不可更改。 也可以使用用户列表或组列表创建特别组(不推荐)。
- 内部组 - 使用 Process Admin Console 或应用程序编程接口创建内部组。 它们不是针对于流程应用程序,但可以跨多个流程应用程序进行复用。 它们类似于 LDAP 组,但是
- 由 IBM Business Automation Workflow 管理
- 使用 IBM Business Automation Workflow 应用程序接口可写
- 不可见, IBM Business Automation Workflow 及其流程应用程序除外
注: 如果 Snapshot 包含目标系统上不存在的安全组,那么在流程应用程序部署期间也会隐式创建内部组。 如果稍后在已连接的用户注册表中创建此类安全组,那么可以将组类型从内部组迁移到安全组。 使用组同步 REST API/system/groups_sync/(操作 REST API) 并将 migrate_group_type 参数设置为true。 - 动态组 - 动态组是使用表达式来定义的。 例如,“作为
skill-level用户属性值为3(或更大值)的EuropeanUsers组的成员但不是启动流程的人员的所有用户”。IBM Business Automation Workflow- 存储动态组的定义(表达式)
- 解析满足条件的所有用户并存储解析后的用户集
- 发生以下情况时,根据配置将刷新所有动态组:
- 用户登录并 IBM Business Automation Workflow 检测到该用户在用户注册表中的组成员资格与用户最近的登录相比已更改
- 任何用户的任何用户属性值已被修改
- 任何内部组中的组成员资格已被更新
下图说明了 IBM Business Automation Workflow 组管理如何使用联合存储库来管理各种类型的组。
IBM Business Automation Workflow 安装后提供了多个缺省组。 许可权与这些组中的成员资格关联,如下表所述。 请注意,您可以执行以下操作:
- 通过将用户添加为这些组的成员来为用户授予许可权。 例如,通过将来自 LDAP 的组添加为子组。
- 指定其他组名以代替下面列出的缺省组。 请参阅 安全性配置属性。
- 指定用户注册表或内部组中存在的组。
表 1 列出了缺省情况下包含的 IBM Business Automation Workflow 组。
| 缺省组 | 描述 |
|---|---|
| tw_admins | 该组的成员具有对所有界面、资产、服务器和安全性的完整访问权。 注: 您可以重命名此组,但必须始终定义管理员组。 如果没有此组,那么无法管理 Business Automation Workflow 。
|
| tw_allusers | 在 Process Designer中创建业务流程定义 (BPD) 时,此组是非系统通道的缺省通道分配。 缺省情况下,您在 Process Designer 中创建的仪表板可供此组使用。 |
| tw_allusers_managers | 该组包括 tw_allusers 组的管理员团队。 在 Process Portal 和 Heritage Process Portal的 "团队业绩" 仪表板中,此组的成员可以看到产品随附的 "所有用户" 团队和样本团队的仪表板。 缺省情况下,tw_allusers_managers 组包括 tw_admins 组。 |
| tw_authors | 此组的成员有权访问 Process Designer中的 Designer 和其他界面,包括 Workflow Center。 从 Workflow Center,此组的成员可以创建流程应用程序和 Toolkit 并控制对项目的访问权。 对其他流程应用程序和 Toolkit (项目) 及其包含的资产的访问权由 Workflow Center 存储库管理员控制。 |
| Debug | 您可以使用此帐户在 Process Designer的 Inspector 中限制对服务调试的访问。 |
| tw_eventmanager | 该组的成员具有对有关 Event Manager 处理的历史信息的完整访问权。 |
| tw_managers | 此组的成员可以在 Process Portal 和 Heritage Process Portal中查看 "团队业绩" 仪表板。 要查看各个团队的仪表板,组成员还必须是 Process Designer中定义的经理团队的成员。 缺省情况下,tw_managers 组包括 tw_allusers 组。 |
| tw_portal_admins | 由于 Business Automation Workflow V8中的功能更改,因此此组的成员不再具有任何特殊访问权。 |
| tw_process_owners | 本组中的成员可以查看 Process Performance 仪表板。 缺省情况下,还会将此组分配给ACTION_CHANGE_重要路径 Process Portal 策略,此策略允许成员查看和更改流程实例的预计路径。 缺省情况下,tw_process_owners 组包括 tw_admins 组。 |