自定义共享规则是对象记录的动态访问控制的一部分。当使用自定义共享规则(而不是匹配共享规则)时,Vault 会将规则条件与特定的用户分配进行匹配,以管理用户在特定对象记录上的角色。例如,在机构为 DKI Direct 的市场营销活动记录上,Gladys 是一个编辑者,Thomas 是一个所有者。
您可以为特定对象启用自定义共享规则,以便在不影响其他对象的情况下为一个对象提供更精细的安全级别。
注意:当实施任何自定义安全或访问控制时,管理员应当在对生产机构进行更改之前执行 UAT(用户验收测试)。有些更改可能影响特定于应用程序的功能,导致 Vault 难以使用。
配置概述
在开始实施任何自定义共享规则之前,我们建议您咨询 Veeva 服务团队。您应为您将创建的共享规则制定计划。
当完成以下任务时,建议启用配置模式。为对象启用自定义共享规则之后,所有用户都将失去对对象记录的访问权限,直到您完全配置这些规则。
- 从管理 > 用户和组 > 组创建您计划在共享规则中使用的用户组。
- 从管理 > 配置 > 对象 > [对象] > 详细信息中,启用自定义共享规则。您可以随时返回对象配置页面并禁用自定义共享规则。如果您也不使用匹配共享规则,则之前的功能会立即恢复:安全配置文件提供对编辑对象记录的对象级别控制,并且所有用户都可以查看或选择所有记录。
- 可选:选中使用操作安全性控制共享设置复选框。这样即可配置共享设置的操作安全性,以控制用户对每个记录、角色和生命周期状态的共享设置的访问权限。
- 从管理 > 配置 > 对象 > [对象] 中,导航到共享规则节段。设置自定义共享规则以规定如何将用户和组分配给特定对象记录。
自定义共享规则
创建共享规则时,您将首先针对对象的记录定义查询,然后选择用户和组以分配给与查询匹配的所有记录上的特定角色。
如何创建共享规则
要创建共享规则:
- 导航到对象配置详细信息:管理 > 配置 > 对象,然后单击特定对象。
- 单击共享规则标签页。
- 为角色输入一个描述性标签。此标签将在对象记录的共享设置中可见。
- 输入规则的名称。此名称通过 API 可见。
- 可选:输入描述。此描述只会出现在共享规则的详细信息页面中。
- 在规则条件下方,通过选择对象字段、运算符和值来定义查询参数。单击添加条件可创建其他行。单击减号 (-) 图标可删除行。
- 单击保存。
- 在角色面板中,单击 + 添加以选择用户/组以及他们应收到的角色。在对话框中,选择角色以及一个或多个用户和组,然后单击保存。重复此步骤以添加所有需要的分配。
- 如果您在分配访问权限时出错或需要稍后删除用户/组,请使用分配上的操作菜单并选择删除。
当您最初创建规则或修改现有规则的查询时,Vault 必须重新索引记录以应用新设置。这可能需要几分钟时间。屏幕顶部会出现黄色进度条。
如何修改共享规则
要修改一个共享规则,请返回到对象配置上的共享规则标签页,然后单击特定的规则:
- 单击编辑以更改标签、名称、描述或查询。
- 在角色节段中,使用添加 + 按钮在规则中创建新的用户/组分配。使用每个分配行上的操作菜单从规则中删除用户/组分配。
- 单击删除可永久删除规则。
规则条件
在规则条件下方,针对该对象的记录定义查询。例如,治疗领域等于兽类的产品记录。规则条件接受 VQL 查询。这仅适用于技术用户,但允许您定义复杂的查询。在开发人员门户中了解共享规则的 VQL 的更多信息。
可用字段
共享规则条件可以使用正在查询的对象中的字段,包括引用另一个对象的字段。除了标签字段之外,它们不能使用属于被引用对象的字段。例如,对机构进行的查询可以使用机构状态和研究编号,但不能使用研究类型,因为该字段属于不同的对象。
除日期时间和公式之外的所有字段类型均可用。
共享设置
当为对象配置自定义共享规则或匹配共享规则时,页面布局将包含共享设置节段。在那里,您可以控制每个用户对特定对象记录拥有的角色。
相关权限
要启用和设置自定义共享规则,您的安全配置文件必须授予管理 > 对象 > 编辑权限。