IBM FileNet P8, 5.2.1 版            

工作流程安全

本節包含工作流程相關物件的安全相關資訊。

安全管理群組

當您配置工作流程系統安全連線時,必須指定一個群組作為工作流程系統管理群組。您是在工作流程系統的一般標籤的管理主控台中指定此群組。

本身是工作流程系統管理群組成員之一的使用者:
  • 具有每一個工作流程名冊和佇列的完整權限。
  • 可以將其他使用者目前鎖定的工作項目解除鎖定。

關於安全的重要提示

當您指派存取權給工作流程名冊和佇列時,請注意下列項目。

表 1. 指派存取權給工作流程名冊和佇列時的提示
如果... 則...
本身是工作流程系統管理群組成員之一的使用者, 使用者會自動具有每一個名冊和佇列的完整權限,即使您未明確指派存取權給該使用者亦然。
您沒有對任何人指派名冊或佇列的特定存取權,

每一個人都具有工作流程名冊或佇列的這個特定存取權。比方說,如果您只將查詢存取權指派給使用者,且未分別針對工作流程名冊或佇列來明確指派這些存取權,則該使用者仍然可以建立或處理工作流程。

重要: 如果要對所有使用者提供特定的存取權,請將存取權保留空白。請勿指派全包式群組,例如 Domain Users (Active Directory)。 指派大型群組給工作流程名冊或佇列,可能會對資料庫和記憶體的使用造成負面影響。
提示: 如果要防止(幾乎)所有人存取工作流程名冊或佇列,請將工作流程名冊或佇列每一個可能的存取權至少指派給一個使用者。例如,要防止佇列的大部分存取,請指派查詢及處理存取權給工作流程系統管理群組的一個成員,其依然對該佇列具有隱含的存取權。

工作流程名冊和佇列安全

系統管理者可以將存取權指派給工作流程名冊、工作佇列及使用者佇列。下表說明了對每一種存取權授與的功能。

表 2. 工作流程名冊和佇列的存取權
在... 具有這個存取權... 表示您可以...
工作流程名冊 查詢 檢視工作項目的名冊摘要。如果您有包含工作項目的佇列讀取權,您也可以檢視工作項目本身。
建立 啟動工作流程。
查詢和建立 同時執行上述兩種作業。
工作或元件佇列 查詢 檢視工作項目。
處理程序 鎖定、修改、儲存及完成工作項目。

(只有當沒有任何其他使用者選取「查詢」選項時,單獨的「處理」選項—沒有「查詢」—才有效。)

請注意,「處理」存取權適用於工作項目遭到鎖定的佇列,而不適用於目的地佇列(指步驟完成時工作項目分派到其中的佇列)。目的地是受系統控制,而不是受使用者控制。

查詢和處理 檢視和處理佇列中的工作項目。
使用者佇列(具有伺服器規格的資料庫表格,例如 Inbox(0)) 查詢 檢視工作項目。
查詢和處理 鎖定、修改、儲存及完成工作項目。

請注意,「處理」存取權適用於工作項目遭到鎖定的佇列,而不適用於目的地佇列(指步驟完成時工作項目分派到其中的佇列)。目的地是受系統控制,而不是受使用者控制。

使用者佇列(使用者在佇列中的工作項目子集,例如 Inbox) 無存取權 檢視指派給您的工作項目。此外,您也可以鎖定、修改、儲存及完成指派給您的工作項目。

請注意,您沒有工作項目的完整存取權—您只能查看及修改工作流程作者授與您存取權的資料欄位、工作流程群組及附件。

查詢 檢視指派給您的工作項目。
查詢和處理 鎖定、修改、儲存及完成工作項目。

請注意,「處理」存取權適用於工作項目遭到鎖定的佇列,而不適用於目的地佇列(指步驟完成時工作項目分派到其中的佇列)。目的地是受系統控制,而不是受使用者控制。

WorkplaceWorkplace XT 中的應用程式安全

您可以對使用者或群組指定對應的角色,以限制其執行特定「程序」應用程式的能力。

只有此群組的成員(或「Application Engine 管理者」群組的成員)才能執行相關的應用程式。 此外,PWAdministrator 和 PWConfiguration 角色的成員可以檢視 Admin 頁面。如需控制應用程式存取權的相關資訊,請參閱用於使用程序應用程式(Workplace 和 Workplace XT)的存取角色

檢視、開啟及修改工作項目由系統管理者針對每一個工作流程名冊或佇列所定義的存取權控制。

系統配置安全

除了控制 Process Configuration Console 應用程式的存取權之外,您還可以利用指派給工作流程系統配置群組的群組來控制對工作流程配置的變更。 您是在管理主控台配置工作流程系統安全群組時指派此群組。如果已指派此群組,則只有屬於該群組的那些使用者或工作流程系統管理群組,才可以透過 Process Configuration Console 或相關的 API 修改系統配置。

受限制的配置修改如下:
  • 起始設定或清空隔離區。
  • 移除工作流程資料庫。
  • 設定系統層面使用者資訊。
  • 配置工作流程名冊、佇列及事件日誌。
  • 設定區域層面配置值。
提示: 如果目錄服務容許巢狀群組,請讓工作流程系統管理群組成為 PWConfiguration 群組的成員。執行此動作可讓所有可以進行安全變更的使用者都能夠存取 Process Configuration Console。

工作流程定義安全

您在儲存工作流程定義時所指派的存取權具有下列作用:

表 3. 存取權
如果工作流程具有這個存取權... 在 Process Designer 中,您可以...
視圖 開啟工作流程定義及啟動工作流程。
作者 開啟、移出及修改工作流程定義。


前次更新: 2016 年 3 月
bpfcg005.htm

© Copyright IBM Corp. 2016.