文档安全由用户角色对文档生命周期状态的安全设置(权限)控制。但有时,文档字段级别需要额外的安全设置。例如,许多组织在最初创建文档时需要阻止用户编辑主要版本和次要版本。字段级安全配置让管理员能够将字段设置为对特定用户或群组只读、隐藏或可编辑。
每个字段还有一个默认的安全级别:可编辑、只读或隐藏,该级别应用于没有覆盖的用户。字段级安全只能进一步限制安全矩阵在文档级应用的安全。它不能就字段为用户提供本可以通过文档安全获得的更多权限。API 像遵循其他安全设置一样遵循字段级安全。
字段级安全的类型
- 可编辑:拥有编辑字段权限的所有用户都可以看到和编辑该字段。这是默认的字段级安全设置。
- 只读:无论文档本身是否可由用户编辑,对于所有受影响的用户和组,该字段都以只读模式显示。只有当用户编辑文档且某些字段保持只读状态时,才会向用户显示此安全级别。
- 隐藏:该字段对受影响的用户和组不可用。在查看或编辑模式下,在“库”页面左侧的分面导航控件中,它都不会出现在“文档信息”页上。其字段值不可搜索,也不能通过 API 查询。如果报告中使用了该字段,则用户将无法打开报告。
在思考 Vault 的信息架构时,请考虑基于权限的文档安全如何与字段级安全交互。文档安全因生命周期状态而异,并与角色相关,不同的用户可以在不同的文档中扮演角色。字段级安全对应特定的用户和组,不会因文档的生命周期状态而变化。字段级安全对于始终适用的规则都是有用的。例如,部门中的任何用户都不能更新某一组字段。
访问字段级安全设置
可以从管理 > 配置 > 文档字段 > [字段标签] > 安全覆盖查看文档字段的安全设置。只有拥有文档字段:编辑权限的管理员能修改这些设置。
关于默认安全性
默认安全性设置适用于没有安全覆盖的任何用户。每个字段的默认安全性自动设置为可编辑。例如,如果您希望只有少数用户或组对某个字段拥有编辑权限,而其他所有用户或组为只读权限,则您可以对默认安全性进行限制。在此示例中,您可以将默认值设置为只读,然后使用可编辑设置为特定用户创建覆盖。
关于用户和组覆盖
要免除用户或用户组的默认安全性设置,您可以为他们创建覆盖。
如果用户在覆盖指定的组中,并且单独列出,Vault 会将该用户的安全性评估为限制最少的设置。例如,Bruce Ashton 的设置为可编辑,并且属于设置为隐藏的查看者组。因此,Bruce Ashton 的设置将为可编辑。
如何设置字段级安全
要设置用户和组的安全覆盖:
- 从安全覆盖标签页中,单击编辑。
- 在默认安全性选项列表中,选择安全设置。
- 在覆盖区域,选择用户或组以及安全设置。
- 单击 + 图标可添加更多覆盖。
- 单击 – 图标可移除覆盖。
- 编辑完成后,单击保存。
查看哪些字段有安全覆盖
文档字段页面上的列表显示了一个图标,表示具有安全覆盖的字段。单击该图标可直接转到相应字段页面上的安全覆盖标签页。
查看哪些用户有安全覆盖
您可以通过用户详细信息页面查看是否已将安全覆盖分配给特定用户。此页面上有一个安全覆盖标签页,它显示直接或通过组成员资格应用于用户的所有覆盖。
控制初始版本号
默认情况下,文档的初始版本号是可编辑的,以便更好地支持文档迁移。但是,允许用户在其创建的新文档上修改次要版本号和主要版本号可能会给一些组织的版本跟踪和审计带来问题。要阻止这种操作,您可以将字段设置为只读。
为确保初始版本始终为 0.1,请将主要版本号的默认安全性设置为只读。主要版本号和次要版本号是相互关联的,因此,向其中一个字段应用任何安全更改都会自动影响另一个字段。
当您在文档迁移模式下创建或更新文档时,Vault 将始终允许编辑通过 API 使用批量处理创建的任何文档的版本号。