李宁filenet文档文档管理平台ce安全性考虑之一
李宁公司的文档管理平台采用了 filenet 4.5 定制开发,文档管理的重要组成部分是 文档的权限。而文档的权限是由 filenet 控制的。因此,本文列出了CE 权限那些要考虑的方面。
另外,文档的权限也是随着 流程的变化而变化的,到不同的任务节点,文档的权限也就不同。当然这涉及流程,有空再分析,今天分享 李宁公司filenet 文档管理平台CE 安全性考虑部分,仅供参考。
1.开箱即用功能方面
1.1.文档和文件夹方面
1.1.1.Document继承体系设计经验与原则
1.1.2. Folder继承体系设计经验与原则
创建有关业务case的folder,然后做简单的集成关系。Folder不要把继承关系弄的很负责。
可以把folder的属性设置一些业务字段来过滤。
1.1.3. Property Template继承体系设计经验与原则
Property template相当于属性的类模板。每次建一个新的property都会创建一个property template,或是你选择一个现有的property template.比如为money设置一个标准的property template.
1.1.4.Choice List设计经验与原则
Enumeration类型的选择项。
比如选择:缴款方式(现金、银行卡、存折)。作为属性的一个默认的可选择值。
1.1.5.具有阅读及以上权限的文档,有个标识能够一眼看出来。
如果没有权限就看不到。但是如果说有view property的权限,还让他需要一眼看出来看没看到就需要客户化一下那个界面。
1.1.6.文件夹的排列顺序。
Property的显示顺序,年份跟季度在一起,文件夹显示的顺序需要跟业务一致,能够配置文件夹的显示顺序:
Workplace的文件夹或是文档的显示顺序就是按照字母顺序排列的。中文按照拼音字母顺序。
1.1.7.如何导出各值列表、属性、文档、文件夹?
ChoiceLIst对应的表名称给我一份,还是有别的方法。否则没法写文档。
总的Choice List列表在CVL表中,其它的分部在不同的list
1.1.8.Choice List如何导入大量的Items
通过FEM自己建。
通import和export来导入导出xml
通过API写,外面写一些导入界面。例如:
com.filenet.api.collection.ChoiceList icl = Factory.Choice.createList();
for ( int j = 0; j <numChoices.intValue(); j++ )
{
String displayName =null;
Choice choice =Factory.Choice.createInstance();
choice.set_ChoiceType(ChoiceType.STRING);
choice.set_ChoiceStringValue("S:0:" + j);
displayName ="m" + choice.get_ChoiceStringValue();
LocalizedStringList lsl= Factory.LocalizedString.createList();
lsl.add(getLocalizedStringEntry(displayName));
choice.set_DisplayNames(lsl);
icl.add( choice );
}
1.2.安全性方面
安全性是FileNet CE做的很好的一个方面。它可以进行最简单配置或者进行很复杂的配置。而选择什么的配置,就看业务的需要。不同的项目所需要的安全级别不一样,采取的安全配置也是不相同的。
安全包括:认证(Authentication)和授权(Authorization)
LDAP,ACL,ACE来实现。
授权是在实例级别区分的。Access rights vary byobject and control all operations on that type of object. (以后再做任何类级别的修改,或是策略的修改都不会影响已有的实例的安全性。)
(所有security配置是并集)
最佳实现:
1、 使用LDAP为公司级别建立对应公司组织结构的LDAP 组织结构。(这样默认就同步到P8中)
2、 建立一个或多个公司级别的security templates
3、 通过templates建立一个或多个security policy
4、 在类级别应用security policy。
5、 一般情况下create instance不在设置任何security。特殊情况下用户再单独设置实例级别的security ACL。
1.2.1. 实例安全性经验及适用的业务场合
Instance security是指每个文档自己的安全配置。实例的安全
1.2.2. 直接安全性经验及适用的业务场合
Direct ACE: 为某个实例单独添加的security.
1.2.3. 缺省安全性是什么含义
缺省安全性,当前类自己默认的安全性。就是当你create这个类的instance,如果默认不设置任何安全性就是使用缺省的安全性。如果一旦修改了实例默认的安全性。就是Direct ACE了。
1.2.4. 模板安全性经验及适用的业务场合
Security templates 指的是为安全性做一个模板,然后提供给某个security policy使用。
Security policy相当于一项安全策略(类似windows账户有个security policy),这个security policy可以供所有object store的级别上的类使用。比如document class,folder等等。(注:一个security policy可以使用多个security templates)
应用securitypolicy可以有两种方式:
1、 应用到类。
2、 应用到实例。
Preserve Direct ACEs(是否保持DirectACEs的属性,默认是true)
Inaddition to the list of security templates associated with it, each securitypolicy has an important property called Preserve Direct ACEs (also called Preserve Direct Permissions). Thisproperty, which can be set to either True or False, governs whether or notdirect permissions are preserved in the target object's ACL when a securitytemplate is applied to it. The value of this property applies to all thetemplates contained by the security policy.
1.2.5.安全性parent方式(安全性文件夹方式)
Optionally, a folder can be the securityparent for the contained objects (subfolder, documents, and custom objects).This requires configuration of the parent folder and each contained object.
l 只能在EM中用
l 需要一个一个指定子继承人,
那有何意义啊??
这个是CE以前版本的功能,已经被抛弃了。但是为了向下兼容,还是在EM中保留这个功能。没什么用。
已经被Security Folder,Security ProxyType替代。
1.2.6.分级授权如何做?
?
1.2.7. guest用户是否启用了就能用?
Guest用户是在LDAP中么?
1.2.8. 缺省权限中,去掉ReadPermission如何做?
1.2.9. 李宁的安全性配置推荐方案
最佳实现:
1、 使用LDAP为公司级别建立对应公司组织结构的LDAP 组织结构。(这样默认就同步到P8中)
2、 建立一个或多个公司级别的security templates
3、 通过templates建立一个或多个security policy
4、 在类级别应用security policy。
5、 一般情况下create instance不在设置任何security。特殊情况下用户再单独设置实例级别的security ACL。
1.2.10. 安全性策略
安全性策略使用IE界面的终端用户必须定义In Progress等四个阶段不同的权限,太繁杂了。
A& nbsp;securitypolicy can contain zero or more application security templates and from zero tofour versioning security templates. Although it is permissible for securitypolicies to have no templates, it is effectively only a placeholder until youadd one or more templates. Workplace requires you to set at least one template.
这是啥意思啊?
From:一号门
Previous:Filenet更改端口-更改9080 端口到 80 端口
COMMENTS