IBM FileNet P8 Version 5.2.1            

Component Integrator-Sicherheitsprobleme

Component Integrator ermöglicht den Zugriff auf externe Definitionseinheiten wie Java™-Objekte aus einem Schritt in einem Workflow heraus.

Component Integrator ermöglicht auch den Zugriff auf externe Definitionseinheiten wie Java Message Service (JMS) aus einem Schritt in einem Workflow heraus.

Component Integrator bietet für einen Workflow folgende Möglichkeiten:
  • Ausführen einer Komponente, die auf externe Daten, etwa aus einem Lohnbuchhaltungssystem, zugreift
  • Ausführen einer von IBM® FileNet bereitgestellten Content Extended-Betriebsfunktion, durch die die Eigenschaften eines Dokuments in einem Objektspeicher geändert werden.

Komponenten werden innerhalb eines isolierten Bereichs definiert und können in einem beliebigen innerhalb des isolierten Bereichs definierten Workflows verwendet werden. Damit sich eine Komponente von Workflow zu Workflow konsistent verhält, werden auch die Berechtigungen, die eine Komponente für die bestimmte Definitionseinheit hat, mit der sie interagiert, auf der Ebene eines isolierten Bereichs definiert. Die Content Extended-Operationen beispielsweise haben die Berechtigungen, die erforderlich sind, um Dokumenteigenschaften abzurufen und festzulegen, ein Dokument in einem Ordner zu speichern und aus einem Ordner zu entfernen und ein Dokument zu veröffentlichen. Wenn also eine Operation, durch die ein Dokument veröffentlicht wird, sowohl in Workflow A als auch in Workflow B verwendet wird und der Schritt, der die Komponente enthält, in einem der beiden Workflows abgeschlossen ist, wird das Dokument veröffentlicht.

Weil die Berechtigungen einer Komponente für eine Definitionseinheit über die Berechtigungen hinausgehen können, die ein Benutzer, der den Workflow ausführt, für die betreffende Definitionseinheit hat, sollten Sie den Zugriff auf Workflows, die Komponentenschritte enthalten, beschränken, um die externen Systeme zu schützen.

In der folgenden Tabelle werden die verschiedenen Sicherheitsprobleme zusammengefasst. Sie enthält außerdem Aktionen, die Sie ausführen können, um die Sicherheit externer Systeme zu gewährleisten, auf die durch Komponentenschritte zugegriffen wird.

Problem Aktion
Jeder, der einen Workflow erstellen kann, kann eine vordefinierte Komponente einschließen, die entsprechenden Zugriff auf die jeweilige Definitionseinheit hat, mit der die Komponente interagiert.

Ein Benutzer kann beispielsweise durch Definieren eines Workflows, der die entsprechenden Content Extended-Operationen enthält, letztendlich Änderungen an einem Dokument vornehmen, für das er selbst keinen Änderungszugriff hat.

  • Beschränken Sie den Zugriff auf die Anwendung Process Designer.
  • Beschränken Sie den Zugriff auf sichere Dokumente, die Ziel unbefugter Änderungen sein könnten. Verwenden Sie hierfür Content Extended-Operationen. (Ein Workflowautor, der Anzeigezugriff auf ein Dokument hat, kann das betreffende Dokument als Parameter für die Operation angeben, durch die seine Zugriffsebene geändert wird.)
Jeder, der einen Workflow starten kann, kann die durch den Workflowkomponentenschritt ausgeführte Aktion auslösen.
  • Beschränken Sie den Zugriff auf Workflowdefinitionen, die Komponentenschritte enthalten.
  • Beschränken Sie den Zugriff auf Dokumente mit einer Workflowsubskription.
  • Beschränken Sie den Zugriff auf Dokumente mit einem automatisch gestarteten Workflow, der Komponentenschritte enthält.


Letzte Aktualisierung: Oktober 2015
bpfcg000.htm

© Copyright IBM Corp. 2015.