 |
 |
|
|
|
Workflow-Sicherheit
Im Folgenden finden Sie Informationen über Sicherheit für Workflow-bezogene Objekte.
Zusätzliche Rechte für die Gruppe der Process Engine-Administratoren
Ein Benutzer, der Mitglied der Process Engine-Administratorgruppe ist ("SysAdminG" für FileNet Web Services Client bzw. Open Client):
- Verfügt über Vollzugriff auf alle Workflow-Roster und Warteschlangen.
- Kann Vorgangsobjekte freigeben, die aktuell von anderen Benutzern gesperrt sind.
- Verfügt über Zugriff auf alle Workflow-Anwendungen (nur FileNet Web Services Client oder Open Client).
Wichtige Tipps zur Sicherheit
Im Folgenden finden Sie einige Tipps zum Zuweisen von Zugriffsberechtigungen für Workflow-Roster und Workflow-Warteschlangen.
Wenn |
Dann |
Der Benutzer ist ein Mitglied der Process Engine-Administratorgruppe(SysAdminG für FileNet Web Services Client oder Open Client). |
Der Benutzer hat unbeschränkten Zugriff auf alle Roster und Warteschlangen, auch wenn ihm diese Zugriffsberechtigungen nicht explizit zugewiesen wurden. |
Keinem Benutzer werden bestimmte Zugriffsberechtigungen für einen Roster oder eine Warteschlange zugewiesen. |
Allen Benutzern werden bestimmte Zugriffsberechtigungen für einen Roster oder eine Warteschlange zugewiesen.
ACHTUNG Wenn Sie allen Benutzern eine bestimmte Zugriffsberechtigung gewähren möchten, lassen Sie das Zugriffsberechtigungsfeld leer. Weisen Sie keine Gruppen, wie zum Beispiel "Domänenbenutzer" zu. Diese Zuweisung beeinträchtigt die Datenbank- und Speichernutzung. |
TIPP Wenn Sie den Zugriff auf einen Roster oder eine Warteschlange für (nahezu) alle Benutzer verweigern möchten, weisen Sie mindestens einen Benutzer zu jeder möglichen Zugriffsberechtigung für den Roster oder die Warteschlange zu. Um den Zugriff auf eine Warteschlange möglichst einzuschränken, weisen Sie die Zugriffsberechtigung Abfragen & Verarbeiten einem Mitglied der Process Engine-Administratorgruppe zu, dem der Zugriff auf die Warteschlange bereits implizit erteilt wurde.
Workflow-Roster und Warteschlangensicherheit
Mit der Process-Konfigurationskonsole kann der Systemadministrator den Workflow-Rostern, Vorgangswarteschlangen und Benutzerwarteschlangen Zugriffsrechte zuweisen. Die folgende Tabelle beschreibt, welche Aufgaben durch die einzelnen Zugriffsrechte ermöglicht werden.
Komponente |
Zugriffsrecht |
Aktion |
Workflow-Roster |
Abfragen |
Anzeigen der Rosterübersicht des Vorgangsobjekts. Sie können auch das eigentliche Vorgangsobjekt anzeigen, wenn Sie Lesezugriff auf die Warteschlange haben, in der sich das Vorgangsobjekt befindet. |
Erstellen (Create) |
Starten von Workflows. |
Abfragen & Erstellen |
Ausführen von beiden oben genannten Vorgängen. |
Vorgangs- oder Komponentenwarteschlange |
Abfragen |
Anzeigen von Vorgangsobjekten. |
Abfragen & Verarbeiten |
Sperren, Ändern, Speichern und Abschließen von Vorgangsobjekten.
Verarbeitungszugriff gilt nur für die Warteschlange, in der das Vorgangsobjekt gesperrt ist, und nicht für die Zielwarteschlange (d. h. die Warteschlange, der das Vorgangsobjekt bei Abschluss des Schritts zugewiesen wird). Das Ziel wird vom System, nicht vom Benutzer gesteuert.
ACHTUNG Im Abschnitt Sicherheitsaspekte des Komponentenintegrators finden Sie wichtige Informationen zur Sicherheit. |
Benutzerwarteschlange (eine Datenbanktabelle mit Serverspezifikation, beispielsweise Posteingang(0)) |
Abfragen |
Anzeigen von Vorgangsobjekten. |
Abfragen & Verarbeiten |
Sperren, Ändern, Speichern und Abschließen von Vorgangsobjekten.
Verarbeitungszugriff gilt nur für die Warteschlange, in der das Vorgangsobjekt gesperrt ist, und nicht für die Zielwarteschlange (d. h. die Warteschlange, der das Vorgangsobjekt bei Abschluss des Schritts zugewiesen wird). Das Ziel wird vom System, nicht vom Benutzer gesteuert. |
Benutzerwarteschlange (einem Benutzer zugeordnete Teilgruppe der Vorgangsobjekte in der Warteschlange, beispielsweise Posteingang) |
Keine Zugriffsrechte |
Anzeigen von Ihnen zugewiesenen Vorgangsobjekten. Darüber hinaus können Sie die Ihnen zugewiesenen Vorgangsobjekte sperren, ändern, speichern und abschließen.
Beachten Sie, dass Sie keinen uneingeschränkten Zugriff auf das Vorgangsobjekt haben. Sie können nur die Datenfelder, Workflow-Gruppen und Anlagen anzeigen und ändern, für die der Workflow-Autor Ihnen Zugriff gewährt hat. |
Abfragen |
Anzeigen von Ihnen zugewiesenen Vorgangsobjekten. |
Abfragen & Verarbeiten |
Sperren, Ändern, Speichern und Abschließen von Vorgangsobjekten.
Verarbeitungszugriff gilt nur für die Warteschlange, in der das Vorgangsobjekt gesperrt ist, und nicht für die Zielwarteschlange (d. h. die Warteschlange, der das Vorgangsobjekt bei Abschluss des Schritts zugewiesen wird). Das Ziel wird vom System, nicht vom Benutzer gesteuert. |
Anwendungssicherheit
Sie können die Ausführung bestimmter Anwendungen einschränken, indem Sie die optionale Gruppe verwenden, die der Anwendung zugeordnet ist. Wenn die optionale Gruppe definiert ist, gelten folgende Anforderungen für die Ausführung der entsprechenden Anwendung:
Vorhandene Gruppe |
Auszuführende Anwendung |
Gruppe, für die eine Mitgliedschaft erforderlich ist |
PWAdministrator |
Process-Administrator |
PWAdministrator SysAdminG |
PWDesigner |
Process-Designer |
PWDesigner oder SysAdminG |
PWConfiguration |
Process-Konfigurationskonsole |
PWConfiguration oder SysAdminG |
Wenn die optionale Gruppe nicht definiert ist, kann jeder Benutzer die verknüpfte Anwendung ausführen. Beachten Sie, dass das Anzeigen, Öffnen und Ändern von Vorgangsobjekten weiterhin durch die Zugriffsrechte geregelt ist, die der Systemadministrator für die einzelnen Workflow-Roster oder Warteschlangen definiert hat.
Systemkonfigurationssicherheit
Zusätzlich zum Steuern des Zugriffs auf die Anwendung Process-Konfigurationskonsole können Sie mithilfe der optionalen Gruppe "SysConfigG" auch Änderungen an der Systemkonfiguration der Process Engine steuern. Wenn diese Gruppe nicht definiert ist, kann jeder Benutzer die Systemkonfiguration der Process Engine ändern. Wenn die Gruppe definiert ist, können nur diejenigen Benutzer die Systemkonfiguration ändern, die zur Process Engine-Administratorgruppe gehören ("SysAdminG" für FileNet Web Services Client oder Open Client).
Beschränkungen bei der Änderung der Konfiguration:
- Initialisieren oder Leeren eines isolierten Bereichs
- Entfernen der Workflow-Datenbank
- Festlegen von systemweiten Benutzerinformationen
- Konfigurieren von Workflow-Rostern, Warteschlangen und Ereignisprotokollen
- Festlegen von bereichsweiten Konfigurationswerten
TIPP Wenn Ihr Verzeichnisdienst verschachtelte Gruppen zulässt, machen Sie die Gruppe "SysConfigG" zum Mitglied der Gruppe "PWConfiguration", um sämtlichen Benutzern, die Änderungen an Berechtigungseinstellungen vornehmen können, Zugriff auf die Process-Konfigurationskonsole zu ermöglichen.
Workflow-Definitionssicherheit
Die Zugriffsrechte, die Sie beim Speichern einer Workflow-Definition zuweisen, haben folgende Auswirkungen:
Wenn der Workflow folgendes Zugriffsrecht hat... |
können Sie im Process-Designer folgende Aktion vornehmen |
Ansicht |
die Workflow-Definition öffnen und einen Workflow starten. |
Autor |
eine Workflow-Definition öffnen, auschecken und ändern. |
Process Engine-Benutzer und -Gruppen
Bei der Installation der Process Engine werden die folgenden Benutzer und Gruppen erstellt. Diese Benutzer und Gruppen dürfen nicht gelöscht werden.
Benutzer |
Gruppen |
f_maint f_sw fnsw SysAdmin FieldService Operator |
fnadmin fnop fnusr |
|