Risoluzione dei problemi relativi al servizio staff, ai plugin staff e alla risoluzione staff

Utilizzare le seguenti informazioni per risolvere i problemi relativi alle assegnazioni staff degli utenti ai ruoli di autorizzazione.

Perché e quando effettuare questa attività

Gli argomenti trattati sono:

Ulteriori informazioni sono disponibili nella pagina Ricerca supporto tecnico.

Errori durante la distribuzione del verbo staff
Se si utilizza il plugin staff LDAP, la distribuzione può non avvenire correttamente a causa di valori non corretti nei parametri di configurazione del plugin. Accertarsi che tutti i parametri indispensabili siano stati impostati. Per impostare il parametro BaseDN sulla root della struttura di directory LDAP, specificare una stringa vuota; impostare il parametro BaseDN su due caratteri apostrofo (''). Non utilizzare le virgolette ("). In caso di errori nell'impostazione del parametro BaseDN, si verificherà un'eccezione NullPointerException al momento della distribuzione.
Voci nell'archivio staff non riportate in assegnazioni dell'elemento di lavoro
Il numero massimo di ID utente richiamati da una query staff è specificato dalla variabile Threshold, definita nel file di trasformazione XSL utilizzato. Il file di trasformazione XSL utilizzato per il plugin staff LDAP è, ad esempio, LDAPTransformation.xsl, collocato in root_di_installazione/ProcessChoreographer/Staff su piattaforme Linux e UNIX e in root_di_installazione\ProcessChoreographer\Staff su piattaforme Windows. Il valore predefinito di Threshold è 20. Per modificare tale valore, procedere come segue:
  1. Creare una nuova configurazione del provider plugin staff, fornendo la propria versione del file XSL
  2. Adattare la seguente voce nel file XSL in base alle proprie esigenze:
     <xsl:variable name="Threshold">20</xsl:variable>
Nota: Se viene specificato un valore di Threshold elevato, può verificarsi un calo delle prestazioni. Per tale motivo, non specificare un valore maggiore di 100.
Assegnazioni staff impreviste per istanze di attività o di processo
Le assegnazioni staff predefinite vengono eseguite se non vengono definiti verbi staff per determinati ruoli per le attività, o se la risoluzione staff non riesce o non restituisce alcun risultato. Queste impostazioni predefinite possono causare un'autorizzazione utente non prevista, ad esempio l'utente che avvia un processo riceve i diritti di amministratore del processo. Inoltre, molte autorizzazioni vengono ereditate da risorse dipendenti. Ad esempio, l'amministratore del processo può anche diventare l'amministratore di tutte le attività in linea.

Le seguenti tabelle elencano le situazioni e i relativi i valori predefiniti:

Tabella 1. Ruoli per processi aziendali
Ruoli per processi aziendali Se il ruolo non è definito nel modello del processo... Se il ruolo è definito nel modello del processo, ma la risoluzione staff non riesce o non restituisce risultati appropriati ...
Amministratore processo L'inizializzatore del processo diventa amministratore del processo Si verifica la seguente eccezione e il processo non viene avviato:

EngineAdministratorCannotBeResolvedException

Lettore del processo Nessun lettore Nessun lettore
Tabella 2. Ruoli per human task in linea e relative escalation
Ruoli per human task in linea e relative escalation Se il ruolo non è definito nel modello dell'attività ... Se il ruolo è definito nel modello dell'attività, ma la risoluzione staff non riesce o non restituisce risultati appropriati ...
Amministratore attività Si applica solo l'ereditarietà Si applica solo l'ereditarietà
Potenziale creatore dell'istanza attività Chiunque diventa potenziale creatore dell'istanza Chiunque diventa potenziale creatore dell'istanza
Potenziale inizializzatore dell'attività Chiunque diviene potenziale inizializzatore Chiunque diviene potenziale inizializzatore
Potenziale proprietario dell'attività Chiunque diviene potenziale proprietario Gli amministratori diventano potenziali proprietari
Editor attività Nessun editor Nessun editor
Lettore attività Si applica solo l'ereditarietà Si applica solo l'ereditarietà
Destinatario escalation Gli amministratori diventano destinatari dell'escalation Gli amministratori diventano destinatari dell'escalation
Per le attività in linea si applicano le seguenti regole di ereditarietà:
  • Gli amministratori del processo diventano amministratori di tutte le attività in linea, comprese attività secondarie, attività follow-on ed escalation.
  • I lettori del processo diventano lettori di tutte le attività in linea, relative attività secondarie, attività follow-on ed escalation.
  • Gli amministratori dell'attività diventano amministratori di tutte le attività secondarie, le attività follow-on ed escalation di tutte queste attività.
  • I lettori dell'attività diventano lettori di tutte le attività secondarie, le attività follow-on e le escalation di tutte queste attività.
  • I membri di ogni ruolo di attività diventano lettori di escalation, attività secondarie e attività follow-on di questa attività.
  • I destinatari di escalation diventano lettori dell'attività di cui è stata effettuata l'escalation.
Tabella 3. Ruoli per human task autonome e relative escalation
Ruoli per human task autonome e relative escalation Se il ruolo non è definito nel modello dell'attività ... Se il ruolo è definito nel modello dell'attività, ma la risoluzione staff non riesce o non restituisce risultati appropriati ...
Amministratore attività Il creatore diventa amministratore Viene restituita l'eccezione AdministratorCannotBeResolvedException e l'attività non viene avviata
Potenziale creatore dell'istanza attività Chiunque diventa potenziale creatore dell'istanza Chiunque diventa potenziale creatore dell'istanza
Potenziale inizializzatore dell'attività Il creatore diventa potenziale inizializzatore Viene restituita l'eccezione CannotCreateWorkItemException e l'attività non viene avviata
Proprietario potenziale Chiunque diviene potenziale proprietario Gli amministratori diventano potenziali proprietari
Editor Nessun editor Nessun editor
Lettore Si applica solo l'ereditarietà Si applica solo l'ereditarietà
Destinatario escalation Gli amministratori diventano destinatari dell'escalation Gli amministratori diventano destinatari dell'escalation

Per attività autonome si applicano le seguenti regole di ereditarietà:

  • Gli amministratori dell'attività diventano amministratori di tutte le attività secondarie, le attività follow-on e le escalation relative a queste attività.
  • I lettori dell'attività diventano lettori di tutte le attività secondarie, le attività follow-on e le escalation di tutte queste attività.
  • I membri di ogni ruolo di attività diventano lettori di escalation, attività secondarie e attività follow-on di questa attività.
  • I destinatari di escalation diventano lettori dell'attività di cui è stata effettuata l'escalation.
Nota: Quando viene richiamato un metodo tramite l'API di Business Flow Manager, i membri del ruolo J2EE BPESystemAdministrator dispongono dell'autorizzazione di amministratore, e i membri del ruolo J2EE BPESystemMonitor dispongono dell'autorizzazione di lettore.
Nota: Quando viene richiamato un metodo tramite l'API di Human Task Manager, i membri del ruolo J2EE TaskSystemAdministrator dispongono dell'autorizzazione di amministratore e i membri del ruolo J2EE TaskSystemMonitor dispongono dell'autorizzazione di lettore.
Attività staff arrestate
Nel caso si riscontrino uno o più problemi tra quelli di seguito elencati:
  • Non è possibile richiamare Human task, nonostante la navigazione del processo aziendale sia stata avviata correttamente.
  • Il file SystemOut.log contiene il seguente messaggio: CWWB0057I: Activity 'MyStaffActivity' of processes 'MyProcess' has been stopped because of an unhandled failure...

Questo messaggio indica che la sicurezza di WebSphere Application Server potrebbe non essere abilitata. Le human task e i processi che utilizzano l'autorizzazione delle persone richiedono che la sicurezza sia abilitata e che il registro utenti sia configurato. Attenersi alla seguente procedura:

  1. Verificare che la sicurezza WebSphere sia abilitata. Nella console di gestione passare a Sicurezza > Sicurezza globale e accertarsi che la casella di controllo Abilita sicurezza globale sia selezionata.
  2. Verificare che il registro utenti sia configurato. Nella console di gestione, passare a Sicurezza > Registri utente e selezionare l'attributo Registro utente attivo.
  3. Riavviare l'attività, se è stata arrestata.
Le modifiche all'archivio staff non vengono immediatamente riflesse nelle assegnazioni degli elementi di lavoro

Business Process Choreographer memorizza nella cache i risultati delle assegnazioni staff valutate rispetto a una directory staff, ad esempio un server LDAP (Lightweight Directory Access Protocol), nel database di runtime. Quando si verificano delle modifiche nella directory staff, queste non vengono immediatamente riflesse nella cache del database.

Nella guida all'amministrazione vengono descritti tre metodi per aggiornare questa cache:

  • Aggiornamento dei risultati di query staff mediante la console di gestione. Utilizzare questo metodo se devono essere apportate modifiche significative e devono essere aggiornati i risultati per quasi tutte le query staff.
  • Aggiornamento dei risultati delle query staff mediante i comandi di gestione. Utilizzare questo metodo se gli script di gestione vengono scritti utilizzando lo strumento wsadmin, o se si desidera aggiornare immediatamente solo un sottoinsieme dei risultati delle query staff.
  • Aggiornamento dei risultati delle query staff mediante il daemon refresh. Utilizzare questo metodo per impostare un aggiornamento automatico regolare di tutti i risultati delle query staff scadute.
Nota: Nessuno di tali metodi è in grado di aggiornare l'associazione di appartenenza al gruppo di un utente per il verbo Group. Tale appartenenza al gruppo è memorizzata nella cache della sessione di login dell'utente (token LTPA della sicurezza WebSphere), che per impostazione predefinita scade dopo due ore. Tenere presente, inoltre, che l'elenco di appartenenza al gruppo dell'ID dell'inizializzatore del processo utilizzato per la navigazione del processo non viene mai aggiornato.
Messaggi di errore o di avvertenza relativi alla risoluzione staff
Al momento dell'accesso a un contenitore staff possono verificarsi alcuni errori comuni durante la risoluzione staff.Per visualizzare i dettagli di tali errori è possibile abilitare la traccia con le seguenti impostazioni di traccia: com.ibm.bpe.*=all: com.ibm.task.*=all:com.ibm.ws.staffsupport.ws.*=all

Le seguenti situazioni di errore comuni vengono indicate da messaggi di avvertenza o di errore:

  • Impossibile connettersi al server LDAP nel file trace.log indica che è impossibile collegarsi al server LDAP. Verificare le impostazioni di rete, la configurazione (in particolare l'URL del provider) del provider del plugin staff utilizzato e verificare se il server LDAP richiede una connessione SSL.
  • javax.xml.transform.TransformerException: org.xml.sax.SAXParseException: Element type "xsl:template" must be followed by either attribute specifications, ">" or "/>" nei file System.out o System.err indica che non è possibile leggere il file LDAPTransformation.xsl. Verificare che nella configurazione del provider del plugin staff e nel file XSLT configurato non vi siano errori.
  • LDAP object not found. dn: uid=unknown,cn=users,dc=ibm,dc=com [LDAP: error code 32 - No Such Object] nel file trace.log indica che non è possibile trovare una voce LDAP. Verificare che i parametri del verbo staff del modello dell'attività e il contenuto della directory LDAP corrispondano nel modello dell'attività.
  • Requested attribute "uid" not found in: uid=test222,cn=users,dc=ibm,dc=com nel file trace.log indica che non è possibile trovare un attributo nell'oggetto LDAP richiesto. Verificare che i parametri del verbo staff del modello di attività e il contenuto della directory LDAP corrispondano nel modello dell'attività.Verificare, inoltre, che nel file XSLT o nella configurazione del provider staff non vi siano errori.
Problemi con elementi del gruppo di lavoro e con il verbo "Group"
Utilizzando il verbo Group, possono verificarsi situazioni particolari:
  • I membri del gruppo non sono autorizzati, nonostante sia specificato il nome del gruppo:
    • Specificare il nome breve del gruppo quando si utilizza il registro del sistema operativo locale per la sicurezza WebSphere, e il dn del gruppo quando si utilizza il registro LDAP.
    • Accertarsi di rispettare maiuscole e minuscole nel nome del gruppo.

    Ciò probabilmente si verifica perché è stato configurato il registro utente LDAP per la sicurezza WebSphere ed è stata selezionata l'opzione Ignora maiuscole/minuscole per l'autorizzazione. In tal caso, deselezionare l'opzione o specificare il dn del gruppo utilizzando tutti caratteri maiuscoli.

  • Le modifiche nell'appartenenza al gruppo non si riflettono immediatamente nell'autorizzazione. Ciò potrebbe succedere quando l'utente interessato è ancora collegato. L'appartenenza al gruppo di un utente viene memorizzata nella cache nella sessione di login e scade (per impostazione predefinita) dopo due ore. È possibile attendere la scadenza della sessione di login (due ore, per impostazione predefinita) o riavviare il server delle applicazioni. I metodi di aggiornamento offerti da Human Task Manager non vengono applicati per questo verbo. Tenere presente che l'elenco di appartenenza al gruppo dell'inizializzatore del processo non viene mai aggiornato.

(c) Copyright IBM Corporation 2005, 2006.
This information center is powered by Eclipse technology (http://www.eclipse.org)