配置安全性

Worklist Manager 和任务分配窗口都需要连接到 LDAP 目录，以获取用户信息和进行验证。您可以选择在 LDAP 服务器上配置 SSL 以对信息进行加密。

配置 LDAP 服务器

如果已使用 LDAP 服务器，则可以使用现有的目录结构。Worklist Manager 的基本要求是具有一种可清晰定义用户分层结构的机制，从而使管理者和主管能够查看其下属的任务，同时用户也可以将任务上报给其主管。

OpenLDAP

Worklist Manager 可适应现有的 OpenLDAP 目录结构。您可能需要为每个用户分配一个属性以定义其隶属结构（如果尚未执行此操作）。您可以使用默认属性 Manager，也可以创建新的 manager 属性。每个用户应具有一个类似于 Manager: cn=GSmythe 的条目，如图 2 中的样例目录结构所示。

图 2 OpenLDAP 样例目录结构

每个用户的 Worklist Manager 登录凭据是由每个用户的标识名中使用的命名属性（通常为 cn 属性）值和 userpassword 属性值定义的。对于 OpenLDAP，Sun BPM 使用匿名绑定来访问目录服务器。

您可以创建包含 Worklist Manager 用户的自定义组和角色，但这并不是必需的。有关针对 OpenLDAP 配置 Worklist Manager 的信息，请参见配置 OpenLDAP 连接。

Sun Java System Directory Server

Worklist Manager 可适应现有的 Sun Java System Directory Server 结构。您需要定义隶属结构（如果尚未执行此操作）。可以使用多种方法来定义隶属结构。Sun 提供了可用于定义向上隶属结构的默认属性 manager，但您还必须使用某个属性来定义下属。您还可以创建指示用户的管理者和下属的自定义属性，或者在用户的 entrydn 属性中定义分层结构。例如，如果用户 "gsmythe" 是 "grose" 的下属，而后者又是 "cpina" 的下属，则 "gsmythe" 的 entrydn 属性类似于：

uid=gsmythe,uid=grose,uid=cpina,ou=people,dc=sun,dc=com

在使用上面的 entrydn 时，目录结构将类似于图 3。

图 3 Sun Java System Directory Server 样例结构

您可以创建包含 Worklist Manager 用户的自定义组和角色，但这并不是必需的。

要在 Worklist Manager 中启用任务上报和重新分配功能，您需要使用 manager 属性定义用户的主管，并且需要在每个用户的 entrydn 属性中定义隶属结构（如上文中所述）。在 manager 属性中，请确保输入主管的完整 entrydn 值。

在定义 LDAP 目录结构时，请注意每个用户的标识名中使用的命名属性。它通常为 uid 属性或 cn 属性。该值是在环境的“Worklist Manager 外部系统”属性中指定的。每个用户的 Worklist Manager 登录凭据是由命名属性值和 userpassword 属性值定义的。您需要创建一个 Worklist Manager 将用作安全主体的管理员用户。

有关针对 Sun Java System Directory Server 配置 Worklist Manager 的详细信息，请参见配置 Sun Java System Directory Server 连接。

Microsoft Active Directory

Worklist Manager 可适应现有的 Active Directory 结构。您需要定义隶属结构（如果尚未执行此操作）。Active Directory 提供了两个可用于定义隶属分层结构的默认属性 manager 和 directReports。您还可以创建指示用户的主管和下属的自定义属性。您可以创建包含 Worklist Manager 用户的组和角色，但这并不是必需的。

在 Active Directory 中，用户的登录 ID 是由 sAMAccountName 属性定义的。该属性是在环境的“Worklist Manager 外部系统”属性中指定的。每个用户的 Worklist Manager 登录凭据是由 sAMAccountName 属性值和 userPassword 属性值定义的。您需要创建一个 Worklist Manager 将用作安全主体的管理员用户。

有关针对 Microsoft Active Directory 配置 Worklist Manager 的详细信息，请参见配置 Microsoft Active Directory 连接。

配置安全套接字层

默认情况下，不会对系统信息库与 LDAP 服务器之间的通信进行加密。您可以对 LDAP 服务器和 Worklist Manager 进行配置以使用安全套接字层 (Secure Sockets Layer, SSL)。

对系统信息库与 LDAP 服务器之间的通信进行加密

1. 在 LDAP 服务器上配置 SSL。

   确保已将 LDAP 服务器配置为使用安全套接字层 (Secure Sockets Layer, SSL)。有关详细信息，请参见随 LDAP 服务器提供的文档。

2. 将 LDAP 服务器证书导出到一个文件中。

3. 将 LDAP 服务器证书导入到系统信息库的受信任证书列表中。以下步骤将使用 keytool 程序。系统信息库（以及 Java SDK）附带提供了该程序。

4. 在命令提示符下，导航至 <JavaCAPS_home>\repository\1.5.0_10\jre\bin。

5. 运行以下命令：

   keytool -import -trustcacerts -alias alias -file certificate_filename -keystore cacerts_filename

   对于 -alias 选项，请指定任意值。

   对于 -file 选项，请指定 LDAP 服务器证书的全限定名称。例如：

   C:\ldap\mycertificate.cer

   对于 -keystore 选项，请指定位于 <Java CAPS_home>\repository\1.5.0_10\jre\lib\security 中的 cacerts 文件的全限定名称。例如：

   C:\JavaCAPS51\repository\1.5.0_10\jre\lib\security\cacerts

6. 出现提示时，请输入密钥库密码。默认密码为 changeit。

7. 出现是否信任此证书的提示时，请输入 yes。

   将显示以下消息：

   已将证书添加到密钥库

8. 在 server.xml 文件的 Realm 元素中，按以下方式修改 LDAP 服务器的 URL：

   1. 将协议设置为 ldaps。

   2. 将端口号设置为 LDAP 服务器侦听 SSL 请求时使用的端口号。此端口号通常为 636。

      例如：

      <Realm className="org.apache.catalina.realm.JNDIRealm" connectionURL="ldaps://myldapserver:636">

LDAP 和 UNIX Java CAPS 环境

如果 Java CAPS 环境的逻辑主机在 UNIX 系统上运行，则必须配置 LDAP 提供程序 URL 以连接到 LDAP 服务器。Java CAPS 环境通常采用以下配置。

• 在 UNIX 上运行的逻辑主机

• 在 Windows 上运行的 Java CAPS 系统信息库

• 在 UNIX 上运行的 LDAP

在该环境中，必须将 Worklist Manager 属性中的 LDAP 提供程序 URL 设置为准确的 URL。

设置 LDAP 提供程序 URL

1. 在“环境资源管理器”选项卡中，右键单击“Worklist Manager 外部系统”，然后单击“属性”。

2. 在 "Configuration" 列表中，展开 "WLMConnector External System Configuration"，然后根据您使用的 LDAP 服务器单击 "Open Ldap Parameters" 或 "Sun Java System Directory Server/ADS"。

3. 在“LDAP 提供程序 URL”属性中，输入 LDAP 服务器的准确 URL。

   LDAP 服务器的 URL 为 ldap:// host:port

   其中，host 是 LDAP 服务器所在的计算机的名称，port 是 LDAP 目录侦听时使用的端口号。可通过 LDAP 目录浏览器或您使用的管理工具来访问该端口号。

4. 单击“确定”以保存更改。