使用 Vault 的公司可以有一个或多个域,每个域可以包含一个或多个 Vault。拥有多个 Vault 的域通常称为“多 Vault 域”。当单个域中有多个 Vault 时,只要您拥有两个 Vault 的访问权限,就可以在这两个 Vault 之间切换而无需注销后再重新登录。在典型设置中,客户有一个包含其所有生产 Vault 的域和一个包含沙盒或培训 Vault 的域。在每个 Vault 用户名中,域是指 @ 符号后面的所有内容。例如,用户 tibanez@veevapharm.com 位于 veevapharm.com 域中。
有关使用多 Vault 域的组织的示例,请参阅下文。
域级别的用户
创建用户时,Veeva 实际上将用户存储在域级别,并授予该用户访问您当前正在使用的 Vault 的权限。如果您随后尝试使用相同用户名在不同的 Vault 中创建用户,Vault 会提示您添加已定义的用户。支持用户登录的功能(安全策略、网络访问规则、单点登录设置,等等)也在域级别定义,可自动跨域内的所有 Vault 应用于该用户。
登录审计历史记录
虽然用户帐户存在于域级别,但是管理员可以通过登录审计历史记录查看 Vault 级别登录事件。
域级别的功能
当管理员启用或禁用功能时,该设置通常仅应用于单个 Vault。但是,有几个功能在域级别启用。当管理员启用其中一项时,该功能在域中的所有 Vault 上启用。还有一些设置在域级别而非单个 Vault 级别应用。要修改任何这些设置,您必须拥有域管理员用户设置。
- 我的 Vault 页面:启用此功能可使我的 Vault 页面对域中拥有多个 Vault 访问权限的所有用户可用。
- 单点登录 (SSO):启用此功能可使 SSO 对域中的所有 Vault 可用,并且 SSO 设置发生在域级别。但是,此功能仅影响使用 SSO 安全策略的用户,您可以适当地配置安全策略以便仅使特定 Vault 上的用户使用 SSO 登录。请注意,用户和用户的安全策略存在于域级别,因此拥有多个 Vault 的访问权限的用户以相同的方式登录所有 Vault。
- 安全策略:安全策略定义密码要求、委托身份验证和单点登录。安全策略的配置发生在域级别,将安全策略分配给用户也是如此。
- 网络访问规则:网络访问规则根据特定用户的安全策略限制特定用户可以登录的 IP 地址。这些规则的配置以及安全策略分配发生在域级别。
域设置
Veeva 在域级别应用的设置(适用于域中的所有 Vault)可在管理 > 设置中的域设置标题下编辑。这些设置包括网络访问规则和安全策略。要修改这些设置,您必须拥有域管理员用户设置,以及授予管理:域管理权限的安全配置文件。
域信息
在域信息页面,您可以更新域的会话持续时间,其控制在 Vault UI 和 Vault REST API 自动将用户注销前,用户可以保持空闲状态的最长时间。当使用 API 时,用户在最后一个请求执行完成后被视为空闲。
会话持续时间选项包括 10 分钟、15 分钟、20 分钟、30 分钟、45 分钟、1 小时、2 小时、4 小时、8 小时。例如,会话持续时间为 10 分钟意味着用户将在 10 分钟不活动后自动注销。当使用 Vault REST API 时,经过身份验证用户的会话 ID 将在最后一个请求执行完成后 10 分钟到期。
除非活动情况外,如果发生密码更改或帐户停用等重大安全更改,用户的会话也可能结束。即使用户未处于空闲状态,会话最长也只能保持 48 小时的活动状态。
域管理员用户设置
每个域至少有一个拥有域管理员用户设置的用户。拥有域管理员访问设置和正确权限的用户可以管理域级别设置以及跨 Vault 管理用户。请参阅有关域级别功能和设置的详细信息。
为什么使用多 Vault 域
多 Vault 域的其中一个关键优势是,用户可以在登录一次后访问所有 Vault。共享域还可确保仅定义一次基于用户登录的安全设置(密码长度、密码历史记录等),并一致地应用于域中的所有用户。我的 Vault 让用户能够跨同一域的多个 Vault 查看分配的任务以及搜索文档。
多 Vault 域适用于以下情况:
- 贵组织使用多个应用程序。每个 Vault 都必须使用一个应用程序系列(Commercial、Clinical Operations、RIM 等),因此,为了支持多个应用程序系列,您必须使用单独的 Vault。
- 贵组织需要为不同的国家/地区支持有显著差异的流程。通过为每个国家或地区创建 Vault,每个 Vault 都可以拥有其自己的与该区域的流程匹配的配置。
请注意,同一域中的 Vault 无需使用同一数据中心。如果为每个国家/地区创建单独的 Vault,每个 Vault 都可以使用距其大部分用户最近的数据中心。这让相关用户能够获得最佳系统性能。