IBM FileNet P8, Version 5.2.1            

Workflowsicherheit

Dieser Abschnitt enthält Informationen zur Sicherheit für workflowbezogene Objekte.

Gruppe für die Verwaltung von Zugriffsberechtigungen

Wenn Sie die Workflowsystemsicherheitsverbindung konfigurieren, müssen Sie eine Gruppe als Gruppe für die Verwaltung von Zugriffsberechtigungen angeben. Sie müssen diese Gruppe an der Administrationskonsole auf der Registerkarte Allgemein des Workflowsystems angeben.

Für einen Benutzer, der Mitglied der Workflowsystemverwaltungsgruppe ist, gilt Folgendes:
  • Er verfügt über volle Berechtigung für jede Workflowliste und -warteschlange.
  • Er kann Arbeitselemente entsperren, die zurzeit von anderen Benutzern gesperrt sind.

Wichtige Tipps zur Sicherheit

Folgende Punkte sollten beim Zuweisen von Zugriffsrechten zu Workflowlisten und -warteschlangen berücksichtigt werden.

Tabelle 1. Tipps für das Zuweisen von Zugriffsrechten zu Workflowlisten und -warteschlangen
Wenn... dann...
der Benutzer Mitglied der Workflowsystemverwaltungsgruppe ist, hat der Benutzer automatisch volle Berechtigung für jede Liste und Warteschlange, auch wenn Sie ihm nicht explizit Zugriffsrechte zuweisen.
Sie niemanden einem bestimmten Zugriffsrecht für eine Liste oder Warteschlange zuweisen,

geben Sie jedem dieses Zugriffsrecht für die Workflowliste oder -warteschlange. Wenn Sie beispielsweise einem Benutzer nur das Zugriffsrecht Abfrage zuweisen, kann er dennoch Workflows erstellen oder verarbeiten, falls Sie diese Zugriffsrechte nicht explizit für die Workflowliste bzw. -warteschlange zugewiesen haben.

Wichtig: Wenn Sie allen Benutzern ein bestimmtes Zugriffsrecht erteilen wollen, lassen Sie das Zugriffsrecht leer. Weisen Sie keine umfassende Gruppe wie Domänenbenutzer (Active Directory) zu. Die Zuweisung großer Gruppen zu einer Workflowliste oder -warteschlange kann sich ungünstig auf die Datenbankauslastung und Speicherbelegung auswirken.
Tipp: Wenn Sie (nahezu) jeden am Zugriff auf eine Workflowliste oder -warteschlange hindern wollen, weisen Sie mindestens einen Benutzer jedem möglichen Zugriffsrecht für die Workflowliste oder -warteschlange zu. Beispiel: Wenn Sie fast jeglichen Zugriff auf eine Warteschlange verhindern wollen, weisen Sie das Zugriffsrecht zum Abfragen und Verarbeiten einem Mitglied der Workflowsystemverwaltungsgruppe zu, das bereits über impliziten Zugriff auf die Warteschlange verfügt.

Sicherheit einer Workflowliste und -warteschlange

Der Systemadministrator kann Workflowlisten, Arbeitswarteschlangen und Benutzerwarteschlangen Zugriffsrechte zuweisen. In der folgenden Tabelle werden die Leistungsmerkmale beschrieben, die für jedes Zugriffsrecht erteilt werden.

Tabelle 2. Zugriffsrechte für Workflowlisten und -warteschlangen
In einer... mit diesen Zugriffsrechten... können Sie...
Workflowliste Abfrage die Listenzusammenfassung des Arbeitselements anzeigen. Sie können auch das Arbeitselement selbst anzeigen, wenn Sie Lesezugriff auf die Warteschlange haben, die das Arbeitselement enthält.
Erstellen (Create) Workflow starten.
Abfragen & Erstellen Beide genannten Operationen ausführen.
Arbeits- oder Komponentenwarteschlange Abfrage Arbeitselemente anzeigen.
Prozess Arbeitselemente sperren, ändern, speichern und abschließen.

(Die Option Prozess alleine, ohne Abfrage, ist nur gültig, wenn es keine weiteren Benutzer mit ausgewählter Option Abfrage gibt.)

Beachten Sie, dass das Prozesszugriffsrecht für die Warteschlange gilt, in der das Arbeitselement gesperrt ist, und nicht für die Zielwarteschlange (also die Warteschlange, in die das Arbeitselement nach Abschluss des Schritts gesendet wird). Das Ziel wird vom System, nicht vom Benutzer, gesteuert.

Abfragen Prozess Arbeitselemente in der Warteschlange anzeigen und verarbeiten.
Benutzerwarteschlange (eine Datenbanktabelle mit einer Serverspezifikation, etwa Inbox(0)) Abfrage Arbeitselemente anzeigen.
Abfragen Prozess Arbeitselemente sperren, ändern, speichern und abschließen.

Beachten Sie, dass das Prozesszugriffsrecht für die Warteschlange gilt, in der das Arbeitselement gesperrt ist, und nicht für die Zielwarteschlange (also die Warteschlange, in die das Arbeitselement nach Abschluss des Schritts gesendet wird). Das Ziel wird vom System, nicht vom Benutzer, gesteuert.

Benutzerwarteschlange (Untermenge der Arbeitselemente eines Benutzers in der Warteschlange, etwa Inbox) Keine Zugriffsrechte Ihnen zugeordnete Arbeitselemente anzeigen. Zusätzlich können Sie Ihnen zugeordnete Arbeitselemente sperren, ändern, speichern und abschließen.

Beachten Sie, dass Sie keinen uneingeschränkten Zugriff auf das Arbeitselement haben. Sie können nur die Datenfelder, Workflowgruppen und Anlagen anzeigen und ändern, für die Ihnen der Workflowautor Zugriff erteilt hat.

Abfrage Ihnen zugeordnete Arbeitselemente anzeigen.
Abfragen Prozess Arbeitselemente sperren, ändern, speichern und abschließen.

Beachten Sie, dass das Prozesszugriffsrecht für die Warteschlange gilt, in der das Arbeitselement gesperrt ist, und nicht für die Zielwarteschlange (also die Warteschlange, in die das Arbeitselement nach Abschluss des Schritts gesendet wird). Das Ziel wird vom System, nicht vom Benutzer, gesteuert.

Anwendungssicherheit in Workplace und Workplace XT

Sie können die Möglichkeit zum Ausführen bestimmter Prozessanwendungen beschränken, indem Sie Benutzer oder Gruppen für die entsprechende Rolle angeben.

Nur Mitglieder der Gruppe (oder Mitglieder der Gruppe der Application Engine-Administratoren) können die zugeordnete Anwendung ausführen. Zusätzlich können die Mitglieder der Rollen PWAdministrator und PWConfiguration die Seite Admin anzeigen. Weitere Informationen zur Steuerung des Anwendungszugriffs finden Sie in Zugriffsrollen für die Verwendung von Prozessanwendungen (Workplace und Workplace XT).

Das Anzeigen, Öffnen und Ändern von Arbeitselementen wird durch die Zugriffsrechte gesteuert, die von Ihrem Systemadministrator für jede Workflowliste oder -warteschlange definiert werden.

Sicherheit der Systemkonfiguration

Neben der Steuerung des Zugriffs auf die Anwendung Process Configuration Console können Sie Änderungen an der Workflowsystemkonfiguration mithilfe der der Workflowsystemkonfigurationsgruppe zugeordneten Gruppe steuern. Sie weisen diese Gruppe zu, wenn Sie die Workflowsystemsicherheitsgruppen an der Administrationskonsole konfigurieren. Ist diese Gruppe bereits zugewiesen, können nur die Benutzer, die dieser Gruppe oder der Workflowsystemverwaltungsgruppe angehören, die Systemkonfiguration über Process Configuration Console oder die zugehörigen APIs ändern.

Die eingeschränkten Konfigurationsänderungen beinhalten Folgendes:
  • Isolierten Bereich initialisieren oder leeren
  • Workflowdatenbank entfernen
  • Systemweite Benutzerdaten festlegen
  • Workflowlisten, Warteschlangen und Ereignisprotokolle konfigurieren
  • Bereichsweite Konfigurationswerte festlegen
Tipp: Falls Ihr Verzeichnisservice verschachtelte Gruppen zulässt, machen Sie die Workflowsystemverwaltungsgruppe zum Mitglied der Gruppe PWConfiguration. Dadurch haben alle Benutzer, die Sicherheitsänderungen vornehmen können, Zugriff auf Process Configuration Console.

Sicherheit der Workflowdefinition

Die beim Speichern einer Workflowdefinition zugewiesenen Zugriffsrechte haben folgende Auswirkung:

Tabelle 3. Zugriffsrechte
Zugriffsrecht des Workflow in Process Designer... Mögliche Aktivitäten
Anzeigen Workflowdefinition öffnen und einen Workflow starten
Autor Workflowdefinition öffnen, auschecken und ändern


Letzte Aktualisierung: März 2016
bpfcg005.htm

© Copyright IBM Corp. 2016.