IBM FileNet P8, バージョン 5.2.1            

ワークフロー・セキュリティー

このセクションでは、ワークフローに関連するオブジェクトのセキュリティーについて説明します。

セキュリティー管理グループ

ワークフロー・システムのセキュリティー接続の構成時に、ワークフロー・システム管理グループにするグループを指定する必要があります。このグループは、管理コンソールにおいて、ワークフロー・システムの「一般」タブで指定します。

ワークフロー・システム管理グループのメンバーであるユーザーは、次のことが可能です。
  • それぞれのワークフロー・ロスターとキューに対してフル権限を持つ。
  • 現在他のユーザーによってロックされているワーク・アイテムのロックを解除する。

セキュリティーについての重要なヒント

ワークフロー・ロスターおよびキューにアクセス権を割り当てる際には、次の項目に注意してください。

表 1. ワークフロー・ロスターとキューにアクセス権を割り当てる際のヒント
条件 結果
ユーザーがワークフロー・システム管理グループのメンバーである。 明示的にアクセス権をユーザーに割り当てていない場合でも、ユーザーは、自動的に各ロスターおよびキューへの全アクセス権限を持ちます。
ロスターまたはキューへの特定のアクセス権を誰にも割り当てていない。

ワークフロー・ロスターまたはキューへの特定のアクセス権が全員に付与されます。例えば、ワークフロー・ロスターやキューへの明示的な作成権やプロセス権を誰にも割り当てていない場合、あるユーザーに照会 アクセス権のみを割り当てたとしても、ユーザーはワークフローを作成し、処理できます。

重要: すべてのユーザーに特定のアクセス権を与える場合は、アクセス権を空白にしておきます。Active Directory の Domain Users グループなどの包括的なグループを割り当てないでください。ワークフロー・ロスターまたはキューに大規模なグループを割り当てると、データベースおよびメモリーの使用率に悪影響を及ぼすことがあります。
ヒント: ほとんどのユーザーに対して、ワークフロー・ロスターやキューへのアクセスを制限するには、ワークフロー・ロスターまたはキューの各アクセス権に少なくとも 1 人のユーザーを割り当てます。例えば、あるキューへの大部分のアクセスを制限するには、元々キューへの暗黙のアクセス権を持つ、ワークフロー・システム管理グループの 1 人のメンバーに、照会と処理のアクセス権を割り当てます。

ワークフロー・ロスターおよびキューのセキュリティー

システム管理者は、ワークフロー・ロスター、ワーク・キュー、およびユーザー・キューへのアクセス権を割り当てることができます。以下の表は、各アクセス権限に付与される機能を示しています。

表 2. ワークフロー・ロスターとキューのアクセス権
対象 アクセス権のタイプ 実行可能な操作の内容
ワークフロー・ロスター 照会 ワーク・アイテムのロスターの要約を表示します。ワーク・アイテムが入れられているキューに対する読み取り権限があれば、そのワーク・アイテム自体も表示できます。
作成 ワークフローを起動します。
照会と作成 上記の両方を行います。
ワーク・キューまたはコンポーネント・キュー 照会 ワーク・アイテムを表示します。
プロセス ワーク・アイテムをロック、変更、保存、および完了します。

(「照会」なしの「プロセス」オプションのみが有効なのは、「照会」オプションを選択しているユーザーが他にいない場合のみです。)

処理権限は、宛先キュー (ステップの完了時にワーク・アイテムの移行先となるキュー) ではなく、ワーク・アイテムをロックしているキューに適用されます。宛先は、ユーザーではなくシステムによって制御されます。

照会と処理 キューの中のワーク・アイテムを表示および処理します。
ユーザー・キュー (Inbox(0) などのサーバー指定のあるデータベース・テーブル) 照会 ワーク・アイテムを表示します。
照会と処理 ワーク・アイテムをロック、変更、保存、および完了します。

処理権限は、宛先キュー (ステップの完了時にワーク・アイテムの移行先となるキュー) ではなく、ワーク・アイテムをロックしているキューに適用されます。宛先は、ユーザーではなくシステムによって制御されます。

ユーザー・キュー (キューに入れられているワーク・アイテムのユーザーのサブセット、例えば受信トレイなど) アクセス権なし ユーザーに割り当てられているワーク・アイテムを表示します。さらに、ユーザーに割り当てられているワーク・アイテムをロック、変更、保存、および完了できます。

ワーク・アイテムへのフル・アクセス権がない場合は、表示および変更許可が与えられるのは、ワークフロー作成者によってアクセスが許可されているデータ・フィールド、ワークフロー・グループ、および添付のみであることに注意してください。

照会 ユーザーに割り当てられているワーク・アイテムを表示します。
照会と処理 ワーク・アイテムをロック、変更、保存、および完了します。

処理権限は、宛先キュー (ステップの完了時にワーク・アイテムの移行先となるキュー) ではなく、ワーク・アイテムをロックしているキューに適用されます。宛先は、ユーザーではなくシステムによって制御されます。

Workplace および Workplace XT でのアプリケーション・セキュリティー

ユーザーまたはグループをそれぞれに対応するロールに対して指定することで、特定のプロセス・アプリケーションを実行する機能を制限できます。

グループのメンバー (または Application Engine 管理者グループのメンバー) のみが、関連付けられたアプリケーションを実行できます。さらに、PWAdministrator および PWConfiguration ロールのメンバーは、「アドミニストレーター」ページを表示できます。アプリケーション・アクセスの制御について詳しくは、プロセス・アプリケーション (Workplace および Workplace XT) を使用するためのアクセス・ロールを参照してください。

ワーク・アイテムの表示、オープン、および変更は、ワークフロー・ロスターまたはキューごとにシステム管理者が定義しているアクセス権によって制御されます。

システム構成のセキュリティー

プロセス構成コンソール・アプリケーションへのアクセスを制御する以外に、ワークフロー・システム構成グループに割り当てられたグループを使用してワークフロー・システム構成に対する変更を制御できます。このグループは、管理コンソールでワークフロー・システムのセキュリティー・グループの構成時に割り当てます。このグループが割り当てられると、そのグループまたはワークフロー・システム管理グループに属しているユーザーのみが、プロセス構成コンソールや関連 API を介して、システム構成を変更できるようになります。

制限された構成変更は、次のとおりです。
  • アイソレート・リージョンを初期化または空にする
  • ワークフロー・データベースの削除
  • システム全体にわたるユーザー情報の設定
  • ワークフロー・ロスター、キュー、およびイベント・ログの構成
  • リージョン全体にわたる構成値の設定
ヒント: ディレクトリー・サービスで、ネストされたグループを許可している場合は、ワークフロー・システム管理グループを PWConfiguration グループのメンバーにします。こうすることで、セキュリティーを変更できるすべてのユーザーが、プロセス構成コンソールにアクセスできるようになります。

ワークフロー定義のセキュリティー

ワークフロー定義の保存時に割り当てるアクセス権は、次のような効果を持ちます。

表 3. アクセス権
ワークフローの所有アクセス権 Process Designer で実行できる操作
表示 ワークフロー定義を開き、ワークフローを起動する。
オーサー ワークフロー定義を開いたり、チェックアウトしたり、変更したりする。


最終更新日: 2016 年 3 月
bpfcg005.htm

© Copyright IBM Corp. 2016.