IBM FileNet P8, 5.2.1 版            

元件整合器安全問題

「元件整合器」可從工作流程中的一個步驟存取外部實體,例如 Java™ 物件。

「元件整合器」還可從工作流程中的一個步驟存取外部實體,例如「Java 訊息服務 (JMS)」。

透過「元件整合器」,工作流程可以執行下列動作:
  • 執行薪資系統之類的元件來存取一些外部資料。
  • 執行 IBM® FileNet 提供的「內容延伸」作業功能,以變更物件儲存庫中的文件內容。

元件定義於隔離區內,且可在隔離區內定義的任何工作流程中使用。因此元件在每個工作流程中有一致的行為,而且也會在隔離區層次上定義元件對於所互動之特定實體的權限。例如,「內容延伸作業」具有取得和設定文件內容、將資料夾中文件歸檔和取消歸檔,以及發佈文件的必要權限。因此,如果同時在工作流程 A 和工作流程 B 使用發佈文件的作業,則當任一工作流程中完成包含該元件的步驟時,便會發佈文件。

因為元件對於實體的權限可能超出工作流程執行者對於該實體的權限,所以為了保護外部系統,您應該限制對於包含元件步驟之工作流程的存取。

下表彙總各種安全問題,並提供您可以採取的動作,以保護元件步驟所存取的外部系統。

問題 動作
可建立工作流程的任何人都可併入預先定義的元件,該元件對其所互動之任何實體具有特定存取權。

例如,透過定義包含適當「內容延伸作業」的工作流程,使用者最後可以對其本身沒有「修改」權的文件進行變更。

  • 限制對 Process Designer 應用程式的存取權。
  • 限制對安全文件的存取權,這些文件是指可能遭到未獲授權者利用「內容延伸作業」來鎖定進行變更的文件。(具有文件「檢視」權的工作流程作者,可以指定該文件作為變更其存取層次的作業參數。)
可啟動工作流程的任何人都可起始工作流程元件步驟所執行的動作。
  • 限制對包含元件步驟之工作流程定義的存取權。
  • 限制對於有工作流程訂閱之文件的存取權。
  • 限制對於有自動啟動且包含元件步驟之工作流程的文件的存取權。


前次更新: 2016 年 3 月
bpfcg000.htm

© Copyright IBM Corp. 2016.