各种商业合作伙伴在一个 Vault 中工作的组织可能会想要根据其他用户的附属组织限制 Vault 向其显示用户信息的方式。借助用户安全,您可以在用户对象上配置动态访问控制 (DAC),并选择隐藏或显示识别身份的详细信息,例如名字和姓氏、用户名以及其他用户可以查看的电子邮件。尽管用户安全与隐藏用户信息共享一些常见功能,但它们互相排斥并且无法一起使用。
用户安全主要利用标准 DAC 行为(例如控制记录可见性),但同时允许在对象、文档和通知中屏蔽对用户的引用。
例如,Sunstar Labs 与合作伙伴组织 Enviro-Chk 和 Medi-Review 合作。Enviro-Chk 验证并确保 Sunstar Labs 的生产工具对环境安全,而 Medi-Review 负责宣传材料的医疗和法律审查。尽管 Enviro-Chk 有必要查看来自 Sunstar Labs 的用户信息,但没有必要查看有关 Medi-Review 用户的信息。为了防止 Enviro-Chk 用户查看 Medi-Review 用户信息,Sunstar Labs 管理员会配置 Enviro-Chk 用户的用户安全,并禁用对所有 Medi-Review 用户记录的读取权限。当来自 Enviro-Chk 的 Mary 登录并查看来自 Medi-Review 的 Cody 创建的文档时,创建者字段会显示“Vault 用户”,而不是 Cody 的姓名和信息。
屏蔽用户信息
与隐藏用户信息(仅在 Vault 的 UI 中强制实施)相比,在用户对象上配置 DAC 可提供更加可靠的方式用于保护 Vault 中的用户。以下列表包括根据 DAC 设置屏蔽用户信息时的预期行为:
- 对象、文档和工作流中的用户选项列表仅显示用户拥有访问权限的用户记录。
- 创建者、修改者等用户引用字段或任何其他用户对象引用字段为配置的用户没有访问权限的被引用用户记录显示屏蔽的用户名(Vault 用户)。
- 将光标悬停在组上方时,Vault 屏蔽用户名并显示“Vault 用户”。
配置用户安全
要以最佳方式支持用户安全,我们建议在启用 DAC 时执行以下操作:
- 启用 DAC 时,用户在默认情况下不能查看 Vault 中的其他用户。启用 DAC 时,我们建议配置角色设置记录。
- 启用匹配共享规则
限制
在以下项中,Vault 不会强制实施 DAC:
- 审计日志
- 电子签名
- 文档通知(包括收藏夹通知)
- 对象通知
- 简报
- 配置 UI
- 用户和组 UI
- 访问用户配置文件页面的授权用户
此外,搜索非可见用户名会在结果中返回引用该用户的文档或对象。