动态访问控制 (DAC) 是一个用于文档的访问控制模型,可自动将用户分配给文档角色。在以前的版本中,您必须在使用 DAC 时管理组和覆盖规则。与以前的访问控制模型默认设置的角色不同,DAC 可以为角色添加和移除用户,而无需通过在新的自动管理组中编辑用户的成员关系以在文档上执行任何触发操作。
在此模型中,管理员可以通过管理新的用户角色设置对象中的记录来控制用户角色分配。这些记录对应于自动管理组。用户角色设置对象可以由 IT 管理员或最终用户(例如国家/地区团队)管理。用户角色设置记录包含用户、角色以及多个对象引用字段值(用于同时存在于文档和用户角色设置记录上的字段),这些字段值用于进一步使用户的上下文符合角色要求。
例如,Thomas 是美国的 CholeCap 产品的审查者,而 Amir 是加拿大的 CholeCap 产品的审查者。根据审查者角色的共享规则,Thomas 只能获得对美国的文档的访问权限,而 Amir 只能获得对加拿大的文档的访问权限。
注意:当实施任何自定义安全或访问控制时,管理员应当在对生产机构进行更改之前执行 UAT(用户验收测试)。有些更改可能影响特定于应用程序的功能,导致 Vault 难以使用。
设置概述
对于文档的 DAC,需要考虑两种设置。第一种是您的初始配置和后续定期重新配置。第二种是持续维护。
初始配置和定期配置
在启动任何 DAC 配置项目之前,请仔细考虑您的访问控制模型。例如,在所有通过 DAC 自动控制的角色中,需要使用哪些条件(最多五个字段)将用户与文档匹配?在此阶段,您可能希望咨询 Veeva 服务团队,以获得其他建议。
当您的组织实施一项计划之后,您可以开始进行配置。当完成以下设置任务时,建议启用配置模式。
- 从管理 > 配置 > 对象中,查看并编辑用户角色设置对象。如果需要,您可以添加或移除字段。Vault 使用这些字段中的值将组与特定的文档匹配。默认情况下,Vault 根据字段名称(不包括后缀)而非标签将对象字段与文档字段配对,例如 product__v 文档字段和 product__c 对象字段。尽管您可以为此对象添加任何类型的字段,但 Vault 只能使用同时应用于此对象和文档的对象引用字段或单值选项列表来进行匹配。此对象的自定义字段不能超过五 (5) 个。
- 从管理 > 设置 > 安全设置中,查看自动管理组字段顺序设置中的字段顺序。此设置控制着 Vault 如何命名自动管理组。如果需要,您可以随时对这些字段重新排序,但这样只会影响在更改之后创建的组,因此建议在继续配置 DAC 之前进行更改。请注意,应用程序角色始终位于名称的末尾。
- 从管理 > 配置 > 文档生命周期 > [生命周期] > 角色 > [角色] > 详细信息中,为要使用 DAC 的任何生命周期角色启用 DAC。当启用时,您还可以选择一个允许的组,以禁止通过文档的“共享设置”面板进行手动分配。您可以单独在每个生命周期角色上启用 DAC,但建议对所有处于给定生命周期的角色使用 DAC。请注意,单一用户角色(所有者和协调者)无法使用 DAC。为给定的角色启用 DAC 之后,您无法为此角色禁用 DAC。
- 查看您的生命周期角色如何映射到应用程序角色。当创建用户角色设置记录时,用户需要选择应用程序角色而不是生命周期角色。多个生命周期角色可能使用单个应用程序角色。
- 从管理 > 配置 > 文档生命周期 > [生命周期] > 角色中,打开使用 DAC 的每个生命周期角色,并导航到共享规则节段。设置规则,以规定组如何与文档匹配以及如何分配组。
- 导航到业务管理员,并创建第一组用户角色设置记录。在大多数 Vault 中,每个用户拥有多个记录。由于存在大量的记录,因此建议使用 Vault 加载程序来创建第一组记录。
注意:在 DAC 之前(通过默认设置或在文档的“共享设置”面板中进行编辑而)发生的任何角色分配都被视为手动分配。在一个角色上启用 DAC 并不会影响已经发生的任何分配。
持续维护
随着新用户的加入、现有用户的角色发生变化以及其他用户的离开,您需要创建、更新和删除用户角色设置记录,以维护您的访问控制设置。出现这种情况时,Vault 会自动重新计算组成员资格,以确保这些用户对正确的文档拥有正确的生命周期角色。如果这些编辑导致创建新的自动管理组,当 Vault 为新的组计算访问权限时会出现延迟。根据受影响的文档的数量,可能会出现长达几分钟的延迟。当执行此操作时,配置屏幕中会显示一个通知横幅。
运行时行为
当文档的字段值发生变化(可能发生在生命周期状态更改、工作流或用户编辑期间)时,会自动执行角色重新分配。这时无需执行任何管理操作。例如,一个应用于 DOC-1039 的共享规则使用国家/地区字段值来确定和分配访问权限。Doc-1039 上的国家/地区字段为空,这样会影响哪些用户拥有访问权限。当 Doc-1039 经过一个工作流,而且一个用户在此工作流中更新国家/地区字段时,Vault 会自动重新评估和更改文档的角色分配。
注意:角色分配基于最新文档版本的文档字段值。
应用程序角色
应用程序角色对象将生命周期角色映射到更高的“应用程序级”角色。应用程序角色对象本身没有任何特殊功能。但各种其他功能会使用此对象,包括文档 DAC。
应用程序角色对象处于活动状态并且可在全部 Vault 中使用。每个(自定义或标准)生命周期角色都会自动映射到一个应用程序角色记录。您可以随时从生命周期角色详细信息中查看和更新这些角色映射。如果需要,您也可以从管理 > 用户和组 > 应用程序角色中创建或修改应用程序角色记录。
当在用户角色设置记录中选择一个角色时,此列表会显示应用程序角色而不是生命周期角色。这意味着用于多个生命周期角色的共享规则可以使用相同的自动管理组,具体情况取决于您的生命周期角色如何映射到应用程序角色。
如果启用,管理员可以配置用户角色约束,以控制用户角色分配。
示例
宣传活页夹和宣传材料生命周期都包含一个名为审查者的角色,而且这两个角色都使用 DAC。这两个生命周期角色映射到同一个应用程序角色记录:审查者 AR。根据产品和国家/地区字段,这两个生命周期角色都具有匹配的共享规则。
一名管理员在创建用户角色设置记录时进行了以下选择:
- 用户 = Thomas Chung
- 产品 = CholeCap
- 国家/地区 = 美国
- 角色 = 审查者 AR
Vault 将 Thomas 置于自动管理组 CholeCap - 美国 - 审查者 AR 中,这样得到了用来匹配“宣传活页夹”和“宣传材料”的审查者角色。
生命周期角色冲突
如果将一个应用程序角色映射到多个生命周期角色,而且这些生命周期角色使用动态访问控制,您可能会在生命周期角色共享规则标签页(管理 > 配置 > 文档生命周期)中看到警告。这些警告表明,使用同一个应用程序角色的生命周期角色具有不同的共享规则。
如果正在一个新的实施中进行操作,强烈建议为使用同一个应用程序角色的任何生命周期角色统一调整配置。这样,您就可以从将会简化管理的未来增强中获益。
在现有的实施中,您可以原样保留您的配置。您的 Vault 会继续正常运行。
共享规则
共享规则提供了一种用来控制哪些用户处于哪些角色的动态方法。当创建共享规则时,您需要同时在文档和用户角色设置对象上定义对象引用或单值选项列表字段。Vault 将这些字段中的值用作自动管理组的匹配条件,以通过您正在配置的生命周期角色获得访问权限。例如,对于用户角色设置对象和文档,系统都设置了产品 (product__c) 字段。共享规则定义了此字段上的匹配。当此规则处于活动状态时,Vault 会检查当前文档版本的产品值是否与一个用户角色设置记录的产品值匹配。
如果您应根据一个非常明确的匹配和一个“部分”匹配为角色授予访问权限,您可以设置多个共享规则。例如,机构经理可以通过研究、研究国家/地区和机构字段上的匹配条件获得“批准者”访问权限,而研究经理可以只通过研究上的匹配条件获得访问权限。
使用查找字段的共享规则
共享规则可以基于文档的对象查找字段进行匹配,但前提是它指向的字段是一个对象引用或单值选项列表。例如,要支持一个基于产品:治疗领域进行匹配的规则,您需要在文档上创建一个类型为“查找”的字段。在用户角色设置对象,您需要创建一个类型为“选项列表”并使用现有治疗领域选项列表的字段。
如何创建共享规则
要创建共享规则:
- 导航到角色的详细信息:管理 > 配置 > 文档生命周期 > [生命周期] > 角色,然后单击特定的角色。
- 单击共享规则标签页。
- 单击创建。
- 为角色输入一个描述性标签。此标签将在文档的共享设置中可见。
- 可选:编辑名称。这是根据标签自动分配的,但您可以根据需要进行更新。此名称通过 API 可见。
- 可选:输入描述。此描述只会出现在共享规则的详细信息页面中。
- 在规则条件下方,选择用户角色设置对象和文档上的字段,以定义匹配参数。请参阅有关字段映射的详细信息。相应自动管理组的模式将出现在这些条件的下方。
- 单击保存。
- 单击创建,以根据需要添加任何其他的共享规则。
当最初创建或修改一条规则时,Vault 必须重新索引记录,以应用新的设置。这可能需要几小时的时间。
如何编辑和删除共享规则
要修改一个共享规则,请返回到对象配置上的共享规则标签页,然后单击特定的规则:
- 单击编辑可更改标签、名称、描述或条件。
- 单击删除可永久删除规则。
关于规则条件字段映射灵活性
默认情况下,当定义规则条件时,Vault 会将用户角色设置字段映射到同名(不包括后缀)的文档字段。如果多个处于活动状态的文档字段引用了同一个对象、选项列表或查找字段,您可以从下拉列表中选择可用的字段。请注意,定义一个映射此类字段的共享规则之后,此映射将沿袭到所有的后续共享规则定义中。
基于空值的匹配
动态访问控制匹配规则会在字段值之间寻找精确匹配。当一个共享规则中包含一个字段时,空字段值不会匹配到其他的空字段值。例如,当一个用户角色设置记录具有空白的国家/地区字段时,将只匹配具有空白国家/地区字段的文档。系统会将规则中使用的空值与其他的值同等对待,但不将它们与用于匹配的通配符同等对待。Vault 不会考虑未包含在规则中的字段的值。
限制
对于每个角色,您的 Vault 可以拥有最多八 (8) 个共享规则。
手动分配
当为角色启用 DAC 时,拥有所需权限的用户仍然可以为角色添加其他用户,以便手动共享文档。当启动工作流时,用户也可以为角色添加用户。手动分配操作遵循角色配置上的允许的组设置。
无论何时,用户都无法使用手动分配选项,从自己的角色中移除通过共享规则分配的组。
文档类型组
Vault 提供了文档类型组对象,以帮助您在需要将文档类型用作共享规则基础的 Vault 中,简化用户角色设置记录的创建过程。如果不将文档类型用作共享规则的基础,您可以跳过此设置。
设置文档类型组
要使用此功能,您需要首先创建文档类型组记录。随后,编辑文档类型配置,然后选择特定的文档类型组。
当为基础文档、文档类型或子类型选择文档类型组时,所有子级别都会继承该生命周期。您可以在任何级别更改所选择的组。执行此操作时,具有已编辑的类型或子类型的任何子项现在都将继承新的值。
选择多个文档类型组
对于给定的文档类型、子类型或类别,您可以选择多个文档类型组记录。这样可以帮助您支持更复杂的共享规则。
例如,Miki 是文档类型为广告 - Web 的日本文档上的编辑者,但美国采用了不太严格的访问控制。John 是文档类型为广告 - Web、广告 - 印刷品或广告 - 广播的美国文档上的编辑者。要设置此操作,您可以将一个文档类型组应用于广告 - Web,并将另一个组应用于所有这三种文档类型。随后,您可以创建一个单个的“用户角色设置”记录,以支持 Miki 的访问权限,并创建一个单个的记录,以支持 John 的访问权限。否则,您需要分别为 John 和 Miki 创建三个和一个用户角色设置记录。