bpmn - Camunda：限制用户访问任务和变量

我正在使用外部LDAP服务来定义Camunda组，用户和用户组成员资格。我可以很好地在管理界面中看到LDAP中的组和用户。我还可以使用授权来提供或撤消对我的部署的读访问权。

但无论我做什么，任何应用程序用户都可以在/ tasks REST端点中看到当前运行的[CMMN]任务的完整列表。

我正在接受一个属于2个组的LDAP用户。除了访问应用程序之外，用户或他的任何组都没有在Camunda中设置任何授权（我仅限于'驾驶舱'）。但是，当我向该用户登录时，GET / tasks列出了所有当前正在运行的任务的完整列表。

我的测试用户看不到任何数据/流程实例（即使有一些正在运行），但同时它可以通过/ variable-instace查看所有流程实例变量。在不限制/变量实例的情况下限制/ process-instance的目的是什么？

我在这里缺少什么？是否可以限制访问/ tasks和/ variable-instance？

原因可能是我尝试限制访问的用户任务是由CMMN流程生成的吗？

更新

是的，我没有特权的用户可以看到所有CMMN任务，但没有BPMN任务。因此授权正在运行，但它不包括CMMN :(