所有其他三个Flowable Web应用程序使用Flowable IDM应用程序进行身份验证和授权,因此需要在运行Modeler,Task或Admin应用程序时可用。Flowable IDM应用程序是一个简单的身份管理应用程序,旨在为Flowable Web应用程序提供单一登录功能,包括提供一个中心位置来定义用户,组和权限。
IDM应用程序在启动时引导IDM引擎,并将在属性配置中定义的数据源中创建IDM引擎中定义的身份表。
当Flowable IDM应用程序被部署并启动时,它将检查ACT_ID_USER表中是否有用户可用,如果没有,将使用admin.userid属性在此表中创建一个新的默认管理用户。它还会将Flowable项目中的所有可用权限添加到新创建的管理员用户:
- access-idm:提供管理用户,组和特权的权限
- access-admin:允许用户登录到Flowable Admin应用程序并管理Flowable引擎
- access-modeler:启用对Flowable Modeler应用程序的访问
- access-task:提供登录到Flowable Task应用程序的权限
登录时 http:// localhost:8080 / flowable-idm第一次使用admin / test显示以下用户概览屏幕:
在这个屏幕中,用户可以被添加,删除和更新。groups部分可用于创建,删除和更新组。在群组详细信息视图中,您还可以在群组中添加和删除用户。特权屏幕允许您添加和删除用户和组的权限:
目前没有选择定义新的权限,但是可以为现有的四个权限添加和删除用户和组。
除了默认的身份表之外,还可以将IDM应用程序配置为使用LDAP服务器。要连接到LDAP服务器,需要flowable-ui-app.properties文件中的其他属性:
LDAP
ldap.enabled=true ldap.server=ldap://localhost ldap.port=10389 ldap.user=uid=admin, ou=system ldap.password=secret
ldap.basedn=o=flowable
ldap.query.userbyid=(&(objectClass=inetOrgPerson)(uid={0}))
ldap.query.userbyname=(&(objectClass=inetOrgPerson)(|({0}={1})({2}={3})))
ldap.query.userall=(objectClass=inetOrgPerson)
ldap.query.groupsforuser=(&(objectClass=groupOfUniqueNames)(uniqueMember={0}))
ldap.query.groupall=(objectClass=groupOfUniqueNames)
ldap.attribute.userid=uid ldap.attribute.firstname=cn
ldap.attribute.lastname=sn ldap.attribute.groupid=cn
ldap.attribute.groupname=cn ldap.cache.groupsize=10000
ldap.cache.groupexpiration=180000
当ldap.enabled属性设置为true时,IDM应用程序将期望其他LDAP属性已被填充。在这个示例配置中,提供了Apache Directory Server的服务器配置+ LDAP查询。对于其他LDAP服务器,如Active Directory,则需要其他配置值。
当配置LDAP时,用户的认证和组检索将通过LDAP服务器完成。仍然只能从Flowable身份表中检索特权。因此,请确保每个LDAP用户具有在IDM应用程序中定义的正确权限。
如果IDM应用程序使用LDAP配置引导,则引导程序逻辑将检查Flowable标识表中是否已经存在权限。如果没有权限(仅在第一次启动时),将会创建4个默认权限,admin.userid属性值(来自flowable-ui-app.properties)将被用作用户标识以获得全部4个权限。因此,请确保将admin.userid属性值设置为有效的LDAP用户,否则任何人都无法登录到任何Flowable UI应用程序。
上面文章来自盘古BPM研究院:http://vue.pangubpm.com/
文章翻译提交:https://github.com/qiudaoke/flowable-userguide
了解更多文章可以关注微信公众号:
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
