访问角色站点首选项可让您创建访问角色以及管理每个访问角色的成员资格。访问角色将对应用程序中的标准页面隐藏操作、页面和 Applet。但是,访问角色并不会保护 Content Engine 对象或者阻止用户调用这些操作、页面和 Applet(如果它们是由另一个应用程序、API 或者通过直接调用 Workplace XT 操作、页面或 Applet 的定制构建 URL 提供的)。访问角色并不能替代文件或文件夹级别的安全性。
缺省访问角色
缺省访问角色可控制对管理功能和特定工作流程相关工具的访问。缺省访问角色是在安装应用程序时创建的。您可以重命名缺省访问角色,以及添加或除去成员。您无法删除缺省访问角色。
每个缺省访问角色都可控制对特定功能或工具的访问。此外,您可以将缺省访问角色分配给其他视图和操作。
- 应用程序引擎管理员 - 确定哪些用户可以设置站点首选项并访问管理工具。只有此访问角色的成员可以定义访问角色和成员资格。
- 此访问角色的成员也就是所有已定义访问角色的成员。
- 此访问角色必须至少有一位成员。
- 会将首次使用时设置引导程序首选项的用户自动添加到“应用程序引擎管理员”访问角色。该用户即成为 Content Engine 中代表对象库中的访问角色和保证访问角色安全的定制对象的创建者/所有者。除非有另一用户通过企业管理器接管了访问角色定制对象的所有权,否则任何缺省访问角色均无法拒绝该用户访问。
- 您无法将此访问角色的成员设置为拒绝访问。您只能通过不向此访问角色添加用户来拒绝访问。
- PSConsole - 可确定哪些用户可以访问“模拟控制台”。在缺省情况下,此访问角色在您添加成员前没有成员。
- PSDesigner - 可确定哪些用户可以访问“模拟设计器”。在缺省情况下,此访问角色在您添加成员前没有成员。
- PWAdministrator - 可确定哪些用户可以访问“流程管理员”。在缺省情况下,此访问角色在您添加成员前没有成员。
- PWConfiguration - 可确定哪些用户可以访问“Process Configuration Console”。在缺省情况下,此访问角色在您添加成员前没有成员。
- PWDesigner - 可确定哪些用户可以访问设计和图表方式下的“流程设计器”以及“工作流程预订向导”。在缺省情况下,此访问角色在您添加成员前没有成员。对于要访问“工作流程预订”向导的用户,必须将成员添加至此访问角色并向每个用户提供访问权(用于通过企业管理器对“工作流程预订类”缺省许可权创建实例以及修改链接特权)。有关更多信息,请参阅安全性脚本向导。
- PWDiagram - 可确定哪些用户可以访问图表方式下的“流程设计器”。在缺省情况下,此访问角色在您添加成员前没有成员。
定制访问角色
您可以创建定制访问角色或使用缺省访问角色,以确定哪些用户可以访问 Workplace XT 中的特定功能和命令。您可以将访问角色与我的 Workplacee 首选项、主视图首选项和操作首选项配合使用。如果用户不是分配的访问角色的成员,那么该用户无法访问功能。如果用户是特定访问角色的成员,那么您可以允许或拒绝该成员访问相关联的功能。
解决访问角色控制
用户可以是多个访问角色的成员,有时其具有的权限间会有冲突。同样,在某些情况下,您可能需要授予用户其他成员资格以保证用户对于所有要使用的功能和操作具有完全的访问权。分配访问角色成员资格、对主视图的访问权以及对操作的访问权时,请记住以下几点:
- 要将访问权授予所有用户,请将 #Authenticated-Users 组添加到该访问角色。您可以允许或拒绝该组的访问,以允许或拒绝所有用户的访问。
- 向访问角色添加用户后,缺省情况下允许该用户访问。如有需要,您必须手动拒绝访问。
- 如果用户是多个访问角色的成员,且访问角色具有相冲突的“允许”和“拒绝”访问权,将允许该用户访问。即一个访问角色中的“允许”访问权会覆盖另一个访问角色中的“拒绝”访问权。
- 不论对象库管理员(在 Content Engine 中定义)的访问角色成员资格为何,均可以查看对象库中的所有对象。
- 如果已授予用户“PSConsole”、“PSDesigner”或“PWDesigner”访问角色的成员资格,并已使用另一访问角色保证了“高级工具”的安全,那么用户必须也是“高级作者”访问角色的成员,才能查看“高级工具”以及启动该访问角色的工具(“模拟控制台”、“模拟设计器”、“流程设计器”或“工作流程预订”向导)。
- 如果已授予用户“PWAdministrator”或“PWConfiguration”访问角色的成员资格,并已使用另一访问角色保证了“管理”菜单的安全,那么用户必须也是“管理”访问角色的成员,才能查看“管理”页面或菜单以及启动该访问角色的相关联工具(“流程管理员”或“流程配置控制台”)。
更改访问角色成员资格
访问角色成员资格信息在客户机会话期间进行缓存,但对访问角色分配的更改则是即时的。如果您更改分配至主视图或操作的访问角色,这些更改会对已登录的用户立即生效。但是,如果您向访问角色添加或者从访问角色中除去目前处于登录状态的用户,更改将会在该用户下次登录时生效。
创建访问角色的用户将始终具有对访问角色的访问权,即使其用户名已从该角色中除去。用户可保留对于对象库中代表访问角色的定制对象的所有者访问权。如果要将用户帐户从访问角色中完全除去,对象库管理员必须使用企业管理器来更改代表该访问角色的定制对象的所有者。
要将成员添加至访问角色,请完成下列步骤:
- 单击所需访问角色名称下方的添加新成员。打开“选择用户/组”页面。
- 选择用户或组以显示相应的列表。
- 输入用户名或组名开头的一个或多个字符进行搜索。例如,要查找名为 ProjectLeads
和 ProgramManagers 的组,请输入“p”。这会返回所有以“p”开头的组名。您可以输入更多字符来缩小搜索范围。例如,输入“proj”将返回 ProjectLeads,而不会返回 ProgramManagers。
- 单击搜索。在短暂的延迟后,将显示相匹配的名称。
- 如果匹配名称的数量多于显示的缺省数量,那么不会显示所有匹配。您必须更改搜索条件并再次单击搜索来查看更多结果。
- 如果您对结果满意,请从列表中选择所需的组名称。您可以使用 Ctrl+Click 或 Shift+Click,在列表中选择多个名称。
- 单击接受。会再次打开“站点首选项”页面,访问角色的新用户名或组名会列在允许访问下面。
- 如有需要,请单击用户名或组名旁边的拒绝访问以拒绝特定用户或组访问。
- 保存您所作的更改。
要从访问角色除去用户或组,请完成下列步骤:
单击要除去的访问角色的用户名或组名旁边的除去,然后保存您所作的更改。
要将访问权从“允许”更改为“拒绝”,请完成下列步骤:
单击要更改的访问角色的用户名或组名旁边的拒绝访问,然后保存您所作的更改。
要添加新访问角色,请完成下列步骤:
- 单击添加角色,打开“添加访问角色”页面。
- 输入访问角色名称。
- 或者,在访问角色说明中输入说明。
- 单击接受。打开“站点首选项”页面。
- 添加成员至新访问角色,然后保存您所作的更改。
要除去用户定义的访问角色,请完成下列步骤:
单击要除去的访问角色名称下方的删除角色,然后保存您所作的更改。
要重命名访问角色,请完成下列步骤:
- 单击所需访问角色下面的重命名角色。
- 编辑访问角色名称。
- 如果合适,请编辑说明。
- 单击接受保存您所作的更改。