IBM FileNet P8, V5.2.1            

工作流程安全性

本节包含关于与工作流程相关的对象的安全性的信息。

安全性管理组

配置工作流程系统安全性连接时,必须指定一个要作为工作流程系统管理组的组。可以在工作流程系统的管理控制台中的常规选项卡上指定此组。

作为工作流程系统管理组的成员的用户:
  • 对每个工作流程登记簿和队列具有完整的权限。
  • 可以对当前被其他用户锁定的工作项进行解锁。

关于安全性的重要提示

分配对于工作流程登记簿和队列的访问权时应知道下列项目。

表 1. 分配对于工作流程登记簿和队列的访问权时的提示。
如果... 那么...
用户是工作流程系统管理组的成员, 即使您没有为用户显式分配访问权,用户也会自动具备对于每个登记簿和队列的完整权限。
您没有为任何用户分配对于登记簿或队列的特定访问权,

您为每个用户分配对于工作流程登记簿或队列的此特定访问权。例如,如果您仅为用户分配查询访问权,并且尚未显式分配对于工作流程登记簿或队列的那些访问权,那么用户仍然可以创建或处理工作流程。

要点: 要为所有用户授予特定访问权,请让访问权保留为空白。请不要指定包括一切内容的组,例如,域用户 (Active Directory)。对工作流程登记簿或队列分配大型组,可能会对数据库和内存的使用造成负面影响。
提示: 为了(几乎)阻止每个用户访问工作流程登记簿或队列,请至少分配一个用户具有每种对于工作流程登记簿或队列的可能访问权。例如,为了阻止对于某个队列的大多数访问,请对工作流程系统管理组的一个成员分配查询和处理访问权,此成员无论如何都对此队列具有隐式访问权。

工作流程登记簿和队列的安全性

系统管理员可以分配对工作流程登记簿、工作队列和用户队列的访问权。下表描述了为每个访问权授予的功能。

表 2. 对于工作流程登记簿和队列的访问权
在...中 具有此访问权... 意味着您可以执行此操作...
工作流程登记簿 查询 查看工作项的登记簿摘要。如果您对包含此工作项的队列具有读访问权,那么还可以查看此工作项本身。
创建 启动工作流程。
查询和创建 执行以上两项操作。
工作或组件队列 查询 查看工作项。
处理 锁定、修改、保存和完成工作项。

(仅当没有其他用户选择“查询”选项的情况下,只有“处理”选项(不包括“查询”)才有效。)

请注意,“处理”访问权适用于其中的工作项被锁定的队列,而不适用于目标队列(即,完成此步骤之后将此工作项分派给的队列)。目标由系统控制,而不是由用户控制。

查询和处理 查看和处理队列中的工作项。
用户队列(具有服务器规范的数据库表,例如,收件箱 (0)) 查询 查看工作项。
查询和处理 锁定、修改、保存和完成工作项。

请注意,“处理”访问权适用于其中的工作项被锁定的队列,而不适用于目标队列(即,完成此步骤之后将此工作项分派给的队列)。目标由系统控制,而不是由用户控制。

用户队列(用户在队列中的工作项子集,例如,收件箱) 无访问权 查看分配给您的工作项。此外,您可以锁定、修改、保存和完成分配给您的工作项。

请注意,您对工作项没有完整的访问权 - 您只能查看和修改工作流程作者已为您授予访问权的那些数据字段、工作流程组和附件。

查询 查看分配给您的工作项。
查询和处理 锁定、修改、保存和完成工作项。

请注意,“处理”访问权适用于其中的工作项被锁定的队列,而不适用于目标队列(即,完成此步骤之后将此工作项分派给的队列)。目标由系统控制,而不是由用户控制。

WorkplaceWorkplace XT 中的应用程序安全性

可以通过对用户或组指定相应的角色来限制运行某些流程应用程序的能力。

只有此组的成员(或者应用程序引擎管理员组的成员)才能运行相关联的应用程序。此外,PWAdministrator 和 PWConfiguration 角色的成员可以查看“管理”页面。有关控制应用程序访问权的更多信息,请参阅用于使用流程应用程序(Workplace 和 Workplace XT)的访问角色

查看、打开和修改工作项受系统管理员为每个工作流程登记簿或队列定义的访问权控制。

系统配置安全性

除了控制对于“流程配置控制台”应用程序的访问以外,您还可以使用为工作流程系统配置组所指定的组来控制对工作流程系统配置进行更改。您在管理控制台中配置工作流程系统安全性时指定此组。如果指定了此组,那么只有属于此组或者工作流程系统管理组的那些用户才能通过流程配置控制台或者相关 API 来修改系统配置。

受限制的配置修改包括:
  • 初始化或者清空隔离式区域。
  • 除去工作流程数据库。
  • 设置系统范围内的用户信息。
  • 配置工作流程登记簿、队列和事件日志。
  • 设置区域范围内的配置值。
提示: 如果您的目录服务允许使用嵌套组,请使工作流程系统管理组成为 PWConfiguration 组的成员。这样做将允许可进行安全性更改的所有用户访问流程配置控制台。

工作流程定义的安全性

您在保存工作流程定义时指定的访问权具有下列影响:

表 3. 访问权
如果工作流程具有此访问权... 在“流程设计器”中,您可以执行此操作...
查看 打开工作流程定义和启动工作流程。
作者 打开、检出和修改工作流程定义。


最近一次更新时间: 2015 年 10 月
bpfcg005.htm

© Copyright IBM Corporation 2015.