Integracion WCP - BPM: Access Denied (keyName=BPM-CRYPTO)

En los entornos de desarrollo es típico el ejecutar SOA y WebCenter en un mismo dominio de WebLogic.

En este caso en concreto se trata de un entorno con WebCenter Portal 11.1.1.8.7 y Oracle SOA/BPM 11.1.1.7.7. En el que se quiere habilitar Process-Spaces para poder usar los Task Flows de BPM dentro de los portales de WebCenter Portal.
BPM-Process Spaces
  Al habilitar la extensión de BPM Process Spaces para poder usar los Task Flows de BPM e intentar utilizar los Task Flows de BPM te puedes encontrar con la siguiente excepción:

 Caused by: java.security.AccessControlException: access denied (oracle.security.jps.service.credstore.CredentialAccessPermission context=SYSTEM,mapName=BPM-CRYPTO,keyName=BPM-CRYPTO read)

A qué es debido esta excepción?.

La instalación de SOA y WebCenter (tanto Portal como Content) traen consigo la siguiente librería compartida: oracle.soa.workflow.wc(11.1.1,11.1.1)

oracle.soa.workflow.wc shared-lib usando WebCenter HOME
Al abrir esta librería compartida en la consola de administración de WebLogic comprobamos que esta cogiendo las librerías de la home de Oracle_WC1 (Home de WebCenter).

 Sin embago, en el Policy Store (en este caso en el fichero system-jazn-data.xml dado que es un entorno de desarrollo con policies en fichero, en uno productivo deberia comprobarse mediante WLST o Enterprise Manager Console) encontramos que las policies solamente están aplicadas sobre la la HOME de SOA.


 
  
   file:${soa.oracle.home}/soa/modules/oracle.soa.workflow_11.1.1/bpm-services.jar
  
 
 
  
   oracle.security.jps.JpsPermission
   VerificationService.createInternalWorkflowContext
  
  
   oracle.security.jps.service.policystore.PolicyStoreAccessPermission
   context=APPLICATION, name=*
   getApplicationPolicy
 
 ...

Solución?

La solución se basa en dar los permisos al modulo que corresponda con el despliegue oracle.soa.workflow.wc(11.1.1,11.1.1) en el policy-store. En este caso duplicar las policies asignadas para la home de SOA pero para la home de WC.
Si esta basado en fichero, solamente copiar y pegar el bloque cambiando la variable de la oracle home.

 
  
   file:${wc.oracle.home}/soa/modules/oracle.soa.workflow_11.1.1/bpm-services.jar
  
 
 
  
   oracle.security.jps.JpsPermission
   VerificationService.createInternalWorkflowContext
  
  
   oracle.security.jps.service.policystore.PolicyStoreAccessPermission
   context=APPLICATION, name=*
   getApplicationPolicy
 
 ...

En caso de Policy Store basado en base de datos hacerlo por WLST usando como ejemplo los siguientes scripts:

grantPermission(codeBaseURL="file:/u01/oracle/Middleware/Oracle_WC1/soa/modules/oracle.soa.workflow_11.1.1/bpm-services.jar", permClass="oracle.security.jps.JpsPermission" ,permTarget="VerificationService.createInternalWorkflowContext" )
grantPermission(codeBaseURL="file:/u01/oracle/Middleware/Oracle_WC1/soa/modules/oracle.soa.workflow_11.1.1/bpm-services.jar", permClass="oracle.security.jps.service.policystore.PolicyStoreAccessPermission" ,permTarget="context=APPLICATION, name=*" , permActions="getApplicationPolicy")

Para cualquier duda extra consultar el siguiente Document de Oracle My Support relacionado con este problema:
While Deploying A Project, The Application Link Is Not Visible Within BPM Workspace (Doc ID 1583533.1)

Comments

  1. Javier Ductor25 May 2015 at 12:25

    Gracias Dani por compartir los trucos de integración de WC con BPM

    ReplyDelete

Post a Comment

Popular posts from this blog

OJET: Build and Deploy in an Application Server

Image
There are some other sources where an Oracle JET Application is packaged and deployed as a WAR in Oracle WebLogic Application Server (Arda Eralp) https://blogs.oracle.com/ardaeralp/deploy-oracle-jet-application-to-weblogic-server (Andrejus Baranovski's) http://andrejusb.blogspot.com/2016/07/serving-oracle-jet-application-from.html They may look bit old or maybe because they call directly grunt tasks by using the grunt-cli . In this post I will update a bit these posts in Oracle JET 6.1.0 and the usage of ojet build (instead of calling the grunt tasks) for also building the corresponding WAR file. The example can be found in my GIT repository: https://github.com/DanielMerchan/ojet-examples Let's start... Install grunt-war module in your Oracle JET Application. npm install grunt-war --save-dev Create a war.js (or call it whatever you want) in /scripts/grunt/config folder under your souce files. This is a sample code inside of it, check https://www.npmjs.com/packag...
Read more

OJET: Select All options using only Checkboxset

Image
This is an example on how to select all other options by using another oj-checkboxset. GitHub: ojet-checkbockset-select-all The idea is to keep track of the selection and make use of the on-value-changed as described in the following code. self.colorOptions = ko.observableArray([ { id: "blueopt", value: "blue", color: "Blue" }, { id: "greenopt", value: "green", color: "Green" }, { id: "redopt", value: "red", color: "Red" }, { id: "limeopt", value: "lime", color: "Lime" }, { id: "aquaopt", value: "aqua", color: "Aqua" }, ]); self.selectAll = ko.observableArray([]); self.currentColor = ko.observableArray(["red"]); self.selectAllOptionChanged = (event) => { const newSelection = event.detail.value; if (newSelection.indexOf('all')...
Read more

WebCenter Content: Check-in sin Primary File

Image
En esta entrada se explican dos ascpectos relacionados con los Primary File: Primary File fields Permitir que un Check-in no obligue a subir un fichero asociado para todos los contenidos. Cómo permitir Check-in para un perfil específico y ocultar los campos de Primary File de un formulario de Check-in . Permitir Check-in sin Primary File Para permitir los Check-in sin Primary asociado para todos los contenidos de WebCenter Content solo hay que añadir la siguiente variable a la configuración: AllowPrimaryMetaFile=true Configuración de Oracle WebCenter Content Permitir Check-in y ocultar los campos para un Profile específico En caso de requerir realizar la acción para ciertos perfiles de WebCenter Content. Seguir los siguientes pasos: Crear una nueva regla que se activará con las condiciones de Check-in Regla que se activa con Check-in En la pestaña de Side Effects añadir el siguiente IdocScript que permitirá la creación de contenido sin Primary File y ade...
Read more