Olá Diego!
Se você estiver autenticado (ou seja não for página pública):
Se este usuário pertencer a lista de usuários que atende seu mecanismo de atribuição da atividade inicial do processo, você não precisa passar o oauth no REST, pois você já tem uma sessão autenticação com permissão. Bastaria fazer o AJAX que vai usar o cookie da sessão do usuário mesmo.
Se usa o serviço SOAP, bastaria passar o login do usuário corrente, sem senha.
Se não é o usuário logado que vai ter permissão de iniciar esse processo, digamos que precisa ser um WS SOAP com outro login ou mesmo o REST. Você poderia abstrair isso no server side com um dataset. Daí a requisição ao dataset você estando autenticado no lado client, pode consumir sem passar credencial.
Se não estiver autenticado (página pública):
Neste caso eu sugeriria criar uma widget com serviço JAVA e essa widget não tem o contexto de segurança do fluig. Você iria expor uma API REST sua, que receberia os parametros que você precisa e encaminharia ao endpoint do fluig. Essa sua API como está no server side, não tem problema ter o token ou credencial dentro dela pois não estaria acessível