Flowable入门系列文章85 - 可流动的IDM应用程序

Posted 2022-01-05 分享牛

所有其他三个Flowable Web应用程序使用Flowable IDM应用程序进行身份验证和授权，因此需要在运行Modeler，Task或Admin应用程序时可用。Flowable IDM应用程序是一个简单的身份管理应用程序，旨在为Flowable Web应用程序提供单一登录功能，包括提供一个中心位置来定义用户，组和权限。

IDM应用程序在启动时引导IDM引擎，并将在属性配置中定义的数据源中创建IDM引擎中定义的身份表。

当Flowable IDM应用程序被部署并启动时，它将检查ACT_ID_USER表中是否有用户可用，如果没有，将使用admin.userid属性在此表中创建一个新的默认管理用户。它还会将Flowable项目中的所有可用权限添加到新创建的管理员用户：

• access-idm：提供管理用户，组和特权的权限
• access-admin：允许用户登录到Flowable Admin应用程序并管理Flowable引擎
• access-modeler：启用对Flowable Modeler应用程序的访问
• access-task：提供登录到Flowable Task应用程序的权限

登录时 http：// localhost：8080 / flowable-idm第一次使用admin / test显示以下用户概览屏幕：

在这个屏幕中，用户可以被添加，删除和更新。groups部分可用于创建，删除和更新组。在群组详细信息视图中，您还可以在群组中添加和删除用户。特权屏幕允许您添加和删除用户和组的权限：

目前没有选择定义新的权限，但是可以为现有的四个权限添加和删除用户和组。

除了默认的身份表之外，还可以将IDM应用程序配置为使用LDAP服务器。要连接到LDAP服务器，需要flowable-ui-app.properties文件中的其他属性：

LDAP

ldap.enabled=true ldap.server=ldap://localhost ldap.port=10389 ldap.user=uid=admin, ou=system ldap.password=secret

ldap.basedn=o=flowable
ldap.query.userbyid=(&(objectClass=inetOrgPerson)(uid=0))
ldap.query.userbyname=(&(objectClass=inetOrgPerson)(|(0=1)(2=3)))
ldap.query.userall=(objectClass=inetOrgPerson)
ldap.query.groupsforuser=(&(objectClass=groupOfUniqueNames)(uniqueMember=0))
ldap.query.groupall=(objectClass=groupOfUniqueNames)
ldap.attribute.userid=uid ldap.attribute.firstname=cn
ldap.attribute.lastname=sn ldap.attribute.groupid=cn
ldap.attribute.groupname=cn ldap.cache.groupsize=10000
ldap.cache.groupexpiration=180000

当ldap.enabled属性设置为true时，IDM应用程序将期望其他LDAP属性已被填充。在这个示例配置中，提供了Apache Directory Server的服务器配置+ LDAP查询。对于其他LDAP服务器，如Active Directory，则需要其他配置值。

当配置LDAP时，用户的认证和组检索将通过LDAP服务器完成。仍然只能从Flowable身份表中检索特权。因此，请确保每个LDAP用户具有在IDM应用程序中定义的正确权限。

如果IDM应用程序使用LDAP配置引导，则引导程序逻辑将检查Flowable标识表中是否已经存在权限。如果没有权限（仅在第一次启动时），将会创建4个默认权限，admin.userid属性值（来自flowable-ui-app.properties）将被用作用户标识以获得全部4个权限。因此，请确保将admin.userid属性值设置为有效的LDAP用户，否则任何人都无法登录到任何Flowable UI应用程序。

上面文章来自盘古BPM研究院：http://vue.pangubpm.com/
文章翻译提交：https://github.com/qiudaoke/flowable-userguide
了解更多文章可以关注微信公众号：