QualityOne Vault は、ニーズに合わせてチームとチームのロールを作成・設定することができます。例えば、監査の開始から終了までの作業に「品質監査人」、「主任監査人」、「承認者」のチームロールが 3 つ必要になるとします。チームを使用すると、作成したすべての監査が作業を開始できるように、「品質監査人」を 1 人、「主任監査人」を 1 人、「承認者」を 0~2 人必要であることを指定することができます。
チームを使用すると、ユーザは個々の変更管理、監査、CAPA、またはその他の品質イベント関連プロセスに各作業を割り当てることができます。ユーザは、そのレコードに対してそのロールを実行することを許可されたユーザのリストから個々のユーザ割り当てを選択することによって、レコード詳細ページからこれらの割り当てを直接定義します。チームは、オブジェクトレコード共有設定と統合するため、重要なコンプライアンスツールを犠牲にすることなく、シンプルなエクスペリエンスを実現します。
Teams の用語について
QualityOne は Teams をサポートおよび定義するために概念用語を使用します:
- チーム有効化オブジェクト: チームが有効化されているオブジェクト。
- チーム有効化レコード: チームを利用するオブジェクトタイプレコード。
- チームメンバーオブジェクト: チームを有効化した時に Vault によって作成されるシステム管理オブジェクト。特定のチーム有効化レコードに対するユーザのチームロール割り当てを保存します。
- チーム: このコンポーネントは、Vault に作成したチームを定義します。チーム有効化レコードがそのプロセスを通過する際の チームロールとチームの動作を関連付けることで、チームの構造を定義します。チームとは、オブジェクトやオブジェクトタイプに関連付けられ、そのオブジェクトやオブジェクトタイプのレコードが「メンバーのチーム」を使用することを宣言するものです。
- チームロール: メンバーがどのようなセキュリティ権限を持ち、どのような制約を受けるかを定義する役割。このコンポーネントは、関連するチーム (主任監査人、承認者など) を利用するオブジェクトレコードに使用可能または必要なロールを定義します。これらのロールは、所有者、レビューア、およびエディタなどのアプリケーションロールにリンクしており、これらのロールの動作を定義しています。たとえば、チームを完成させるのに必要な最小ユーザ数、チームで許可される最大ユーザ数、Vault 内の任意のグループまたはチーム有効化レコードの特定のロールからユーザを選択できるかどうかを定義することができます。
チームの仕組み
チームがまだ設定されていない、一部制限があるシステム以外のオブジェクトにチームを作成することができます。オブジェクトタイプを持つオブジェクトで、次のいずれかの チームを設定することができます:
- 単一のオブジェクトタイプ。
- 特定のチームが定義されていないすべてのオブジェクトタイプ.
チームを定義する際に、ライフサイクル状態変化など、自動イベントのトリガーとなるオプションを設定できます。また、選択されたライフサイクル状態のすべてのチームロールのメンバーシップをロックすることもできます。例えば、すべての監査が、ワークフローが関連付けられていないチーム割り当て位の保留状態で作成されることを示す手続きを定義することができます。次に、「品質監査人」および「主任監査人」の両方が選択されると、監査をライフサイクルの開始済状態に自動的に移動させるよう Vault を設定することができます。チームが完了すると、ワークフローを開始することもでき、タスクが定義されたチームメンバーに割り当てられます。
チームの作成
適切なオブジェクトとオブジェクトタイプを選択することで、チームを作成することができます。チームの作成には以下の項目を設定する必要があります:
チーム定義の作成
チーム定義の作成方法:
- 管理者 > コンテンツ設定 > チームに移動します。
- 作成をクリックします。
- ラベルと名前を入力します。
- ステータスを選択します。チームを無効に設定した場合、Vault はチームとロールの設定を維持しますが、関連付けられたオブジェクトレコードにチームは表示されません。後でチームを再度有効にした場合または同じオブジェクトとロールに新規チームを作成した場合、Vault はチームメンバー割り当てを保存します。このオプションは、初期設定中に、またはこのチームを使用したくなくなった場合に便利です。
- このチームが適用されるオブジェクトを選択します。
- 任意の作業: オブジェクトにタイプがある場合、オブジェクトタイプを選択することができます。オブジェクトまたはタイプごとに 1 つのチームしか有効にできません。チームを作成したら、このオプションを変更できません。
- 任意の作業: チーム完了後にレコードの状態を変更するチェックボックスをオンにします。詳しくはチームオプションをご覧ください。
- 任意の作業: 1 つ以上のロック済み状態を選択します。詳しくはチームオプションをご覧ください。
- 保存をクリックします。
チームを作成したら、Vault はチームセクションで関連するオブジェクトページレイアウトを更新します。このページレイアウトセクションは、チーム割り当てが表示され、認定ユーザはロールにユーザを選択することができます。このセクションをページの最初または 2 番目のセクションにするために、オブジェクトページレイアウトを編集することが推奨されます。
チームとチームロールを設定する前にオブジェクトレコードが関連付けられている場合、チームの設定後にメンバーが割り当てられていないチームセクションがあります。
注: チームロールを作成または順序変更する際にチーム定義を編集することはできません。
チームオプション: チームが完了した際にレコード状態を変更する
このチェックボックスを選択し、開始状態と保存先状態のフィールドを有効化して設定します。このオプションを使用すると、最小のチームメンバーシップが完了したら、オブジェクトレコードを新規状態に移動させることができます。この状態変更は、ワークフローの自動開始などの関連付けられた自動化されたイベントも起動します。Vault は、以下の場合にオブジェクトレコードのこのイベントを完了します:
- チームには少なくとも 1 つのチームロールがあり、最低限必要なユーザには少なくとも 1 つの値があります。
- 最低限必要なユーザが定義されているすべてのロールがその数の割り当てを持っている。
- ユーザがチームメンバーを更新し、レコードが定義済みの開始状態にある。
チームオプション: ロック状態
これらの指定されたロック済みライフサイクル状態の 1 つに関連付けられたオブジェクトレコードがある場合、Vault 所有者を含め Vault のいずれのユーザも、このチームのメンバーシップを変更することができません。このオプションは、割り当て情報が保存される必要がある、レコードのライフサイクルの使用済み状態専用です。
チームの削除
チーム定義は、そのチームを使用するレコードにチームメンバー割り当てがある場合は削除できません。チーム定義を削除するには、まずそれを使用するすべてのレコードのチームメンバーをすべて削除する必要があります。このプロセスを簡略化するために、チームメンバーのパワー削除レコードアクションを使用して、レコードからすべてのチームメンバーを削除できます。
チーム定義の削除方法:
- 管理者 > コンテンツ設定 > チームに進み、適切なチーム定義を選択します。
- 定義のアクションメニューで、削除をクリックします。
- 続行をクリックします。
チームロールの作成
チームを定義した後、いくつかのオプションでロールを設定しながら、チームロールを作成できます。
チームロールの作成方法:
- 管理者 > 設定 > チームに進み、必要なチームを選択します。
- チームロールセクションで、作成をクリックします。
- ラベルと名前を入力します。
- ステータスを選択します。
- アプリケーションロールを選択します。このチームロールを持つ チームメンバーが、オブジェクトレコードで選択されたアプリケーションロールに追加されます。チームロールを保存したらこれを変更することはできません。
- 任意の作業: ヘルプコンテンツを入力します。これは、関連付けられたオブジェクトレコードの詳細ページでチームセクションのロールラベルにマウスオーバーすると、すべてのユーザに対して表示されます。
- 任意の作業: このロールに最低限必要なユーザを選択します。このフィールドを空白にするか、ゼロ (0) を選択すると、このロールが割り当てられていない状態でチームメンバーシップが完了する可能性があることを示します。関連するエントリ条件設定オプションを活用するために、最小の 0 を選択できます。
- このロールに割り当てることができる最大ユーザを選択します。
- 任意の作業: 排他的メンバーシップを選択しますか?チェックを入れると、複数のロールが割り当てられていないメンバーにロールのメンバーシップが制限されます。排他的ロールのチームメンバーは、与えられたオブジェクトレコードの同じチームで、他のロールのメンバーにはなれません。
- 任意の作業: リンクフィールドのドロップダウンメニューから、チーム有効化オブジェクトのユーザオブジェクト参照フィールドを選択します。選択されたフィールド値は、このチームロールに割り当てられたユーザにマップされます。このオプションは、このチームロールの最大ユーザ値が 1 の場合にのみ使用できます。詳しくは、リンクされたロールフィールド をご覧ください。
- 任意の作業: 制限するロールを選択し、Vault が選択されたロールのユーザのみにチーム割り当てオプションを入力できるようにします。ロールに設定できないようにするため、アプリケーションロール自体を制限することはできません。制限するロールは、一致する共有ルールまたはカスタム共有ルールによって設定されます。
- 任意の作業: 動作のカスケードフィールドで継承 - オーバーライドを許可を選択し、このロールが、このロールに設定されたカスケード元の値をチェックできるようにします。詳しくは、動作のカスケードについて をご覧ください。
- 任意の作業: カスケード元にロールを選択します。動作のカスケードを選択している場合はこのフィールは必須です。このフィールドは、このチームロールがメンバーシップを継承するレコードを検索する方法を特定します。
- 任意の作業: ロック状態を選択します。オブジェクトレコードが定義済みのロック状態にある場合、Vault 所有者を含めていずれの Vault ユーザもこのロールのメンバーシップの編集や変更を行うことができません。
- 保存をクリックします。
チーム定義ページの下部に新規ロールがリスト表示されます。Vault は、直ちに関連付けられたオブジェクトのすべての既存レコードにロールを追加します。
注: チームロールのワークフロータスクが有効である間にユーザがメンバーシップを変更できる場合、管理者はタスクキャンセルによる裁定の欠如に対応するためにワークフローを設計することをお勧めします。
チームロールの順序変更
チームにロールを 1 つ以上作成した場合、チーム定義ページの順序は、関連付けられたオブジェクトレコードのチームセクションのロールの順に一致します。
ロールを再配置するには、順序変更をクリックします。次に、ロールをクリックして、影付きの左上隅の側にドラッグします。順序変更が終了したら、保存をクリックして変更を保存するか、キャンセルをクリックして破棄します。チーム定義を編集している際にはロールの作成や順序変更はできません。
動作のカスケードについて
チームロールは、次のような場合にカスケード元フィールドの値をチェックします。
- 動作のカスケードフィールドで継承 - オーバーライドを許可を選択した場合
- レコードの作成時。
- ユーザは、チームの管理時に復元をクリックします。
フィールドの値がチームの定義を持つオブジェクトレコードの場合、このチームロールはそのレコードのチームのロール (同じアプリケーションロール設定を持つことに基づいて一致するもの) からメンバーシップを継承します。そのようなレコードが存在しない、レコードにチームがない、あるいは一致するアプリケーションロールにリンク付けされるロールがレコードのチームにない場合、デフォルト設定は生じません。
ユーザは、カスケードを有効化してチームロールのメンバーシップを手動で編集することができます。さらに、カスケードを有効化するとユーザは復元オプションでチームを管理することができます。カスケードを有効化すると、リンク付けされたオブジェクトレコードのチームロールメンバーシップに対する変更は、このロールのメンバーシップが手動で変更されない限り、レコードのチームロールにカスケードされます。
Note: 関係のアトミックセキュリティ、または継承するプロセスのチームロールの制限ロールが、カスケード動作と干渉する可能性があります。これを避けるには、代替案として関係のアトミックセキュリティにロック状態を使用し、制限するロールの入力ルールを割り当てることが推奨されます。チーム以外のメンバーがチームロールのメンバーシップを変更しないように、関係のアトミックセキュリティを安全に使用することができます。
リンクされたロールフィールドについて
チームロール定義でリンクフィールドオプションを使用することで、 チームロール割り当てを、関連リスト、検索、ライブラリビューでの絞り込み、レポート、および Vault でユーザオブジェクト参照フィールドにアクセス可能な場所に表示できます。リンクしたチームロールのメンバーシップを指定のチーム有効化オブジェクトレコードで変更すると、Vault は、レコードのリンクフィールドを更新して、新しいチームロールメンバーシップを反映させます。フィールドの更新は非同期です。レコードのチームを変更すると、リンクされたフィールドは、その直後に更新されません。Vault への実装を決定する前に、リンクされたロールフィールドの制限をご覧ください。
チームのリンクされたロールフィールドの設定
リンクされたロールフィールドの機能を設定する:
- 必要なチーム有効オブジェクトにユーザオブジェクト参照フィールドを作成します。オブジェクトがオブジェクトタイプをサポートしている場合、フィールドをチーム定義と同じオブジェクトタイプに関連付けることを確認します。
- 必要なチームロールの定義に移動し、編集をクリックします。
- リンクされたフィールドドロップダウンで、先に作成したユーザオブジェクト参照フィールドを選択します。
- 保存をクリックします。
リンクされたロールフィールドの機能は、チーム有効オブジェクトレコードを閲覧しているユーザにはわからないかもしれないため、以下をお勧めします:
- リンクしたロールフィールドをチーム有効化オブジェクトページレイアウトに追加したり、ユーザがリンクフィールドを手動で編集できなくなるようなセキュリティを設定したりしないでください。ロールにリンクされると、Vault はフィールド値の編集を禁止します。編集不可のフィールドを編集可能としてユーザに見せる必要はありません。
- Vault 全体のホバーカードでチームロールを公開するには、デフォルトのリストとホバーカードに表示オブジェクトフィールド設定を選択します。
- フィールド値を変更することで チーム割り当てを操作できないということをユーザが認識できるように、リンクされたフィールドのヘルプコンテンツを定義します。
[既存のチームのロール割り当て] への [リンクされたロールフィールド] の追加
ロールが割り当てられたレコードがすでにあるオブジェクトを有効にすると、更新戦略を選択して、既存のレコードのフィールドを同期し、既存の割り当て値と一致させることができるようになります。既存レコードを同期する場合、影響を受けるレコードのリンク先フィールド値が変更されることがあります。変更の詳細については、監査証跡を確認できます。
このセクションは任意です。既存レコードをそのまま残すことを選択した場合は、このセクションをスキップできます。既存のレコードを更新したい場合、Vault では次の方法を使用できます:
- すべてのチーム有効記録を更新するには、チーム定義のリンクされたロールの同期フィールドをクリックします。チームのロール定義の 1 つでリンクされたフィールドを選択すると、このボタンが利用できます。リンクされたロールの同期フィールドをクリックすると、非同期処理が開始され、影響を受けるチーム割り当てのレコードが更新され、それらの値がリンクされます。Vaultは、ログファイルにプロセスの結果を含む通知メールを送信します。
- 指定されたチームを使用して、個人またはレコードのサブセットをより正確に更新するために、このアクションを標準オブジェクトアクションとして設定することも可能です。
ジョブログ: リンクされたロールの同期フィールド
リンクされたロールフィールドの同期プロセスにより以下の情報を一覧表示するジョブログが提供されます:
- 割り当てのあった各チーム有効化レコード.
- Vault がチーム有効のレコードの更新に成功した場合。
- 何らかのエラーが発生した場合。
ジョブは更新できない任意のレコードをスキップします。例えば、ロール定義で最大ユーザ値が 1 以上でしたが、管理者がその値を1にしてからリンクされたフィールドで値を選択したとします。そのロールに複数の割り当てがあるチームに既存のレコードがある場合、ジョブはそれらの割り当てまたはレコードのリンクされたロールフィールドを同期することができず、結果のジョブログにそのエラーを記録します。
チーム対応オブジェクトアクションの設定
すべてのチーム対応オブジェクトには、以下のアクションが含まれます:
- パワーチームメンバーの削除: Vault が特定のレコードのチームメンバーの割り当てを完全にクリアをトリガーします。チームまたはチームロールのカスケード構成に関係なく、現在のレコードでのみメンバーシップの割り当てが削除されます。このアクションは、孤立したメンバーシップの割り当てを削除します。チームの設定とテスト中に、チームの構成または動作を変更するために、レコードのチームのメンバーシップ割り当てを削除する必要がある場合があります。例えば、ロールにチームメンバー割り当てを持つレコードがある場合でも、チームロールを削除する必要があります。Vault ではデフォルトで、すべてのチームメンバーがすべてのレコードから個別に削除されるまで、ロール (またはチーム) の削除は許可されていません。
- リンクされたロールの同期フィールド: 使用すると、チームロール定義のリンクされたフィールドのマッピングから構成されたメンバーで、確立されたチームメンバーの割り当てを強制的に更新できます。チームのロール定義の 1 つでリンクされたフィールドを選択すると、このアクションが表示されます。正確な個人レコードの更新が必要な場合は、このアクションを使用します。
使用したい箇所で、これらのアクションをオブジェクトごとに個別設定する必要があります。デフォルトでは、これらのアクションを有効にすると、ベースオブジェクトタイプでのみ利用できるようになります。オブジェクトタイプタブで追加のオブジェクトタイプに実行することができます。
重要: チームメンバーのパワー削除レコードアクションは管理者用に設計されています。このレコードアクション作用はセキュリティ権限を無視します。このアクションは、有効な Quality イベントレコードに対してまたは本番環境では使用せず、設定とテスト中にのみ使用されることが推奨されます。本番環境への設定移行を実施する前、または本番使用のために Vault を起動する前に、 チームメンバーのパワー削除レコードアクションを無効化します。
ビジネスニーズによっては、これらのアクションをチーム対応のオブジェクトのレコードアクションとして追加できます:
- チームメンバーのパワー削除
- リンク済みロールの同期フィールド
チームに関するレポート作成
チームとチームメンバーについてレポート作成をして、簡単に範囲と効率を評価することができます。管理者 > コンテンツ設定 > レポートタイプへ進んでチームメンバーレポート作成を設定します。詳細は、レポートタイプについてを参照してください。
制限
- Vault は、グループに基づくルール (動的アクセスコントロールおよびカスタムおよび一致共有ルール) を使用する共有設定ロールにリンクされたチームロールをサポートしません。
- Vault では、いかなるルールでも共有設定ロールに対して新規チームロールを確立することはできませんが、チームロールを持っている、既に確立されたロールに対してユーザがそのようなルールを追加しないようにはできません。
- ユーザがチームロールのアプリケーションロールにルールを追加した場合、エンドユーザが、そのチームを使用してオブジェクトレコードでチーム管理を行おうとすると、エラーが生じます。
- 親オブジェクト参照が 2 つ以上あるオブジェクトにチームを作成したり、親オブジェクト関係が 2 つ以上のオブジェクトにチームを作成したりすることはできません。
- ユーザは、オブジェクト名に数字の接頭語が付いているオブジェクトにチームを作成することはできません。
- リンクされたロールフィールドを使用する場合、チームロールの定義における最大ユーザ数は1つ以下でなければなりません。
- チームロールは、単一のリンクされたロールフィールドにのみリンクできます。
- 単一のリンクされたロールフィールドを複数のチームにリンクすることができますが、特定のチームの単一のロールのみを同じフィールドにリンクできます。
- 設定内容によりますが、最大 100 の チーム 定義を作成できます (デフォルト制限としてのチーム定義数は 20)。この設定に関するサポートが必要な場合は、カスタマーサクセスマネージャーに詳細をお問合せください。
ユーザ権限の設定
以下に説明する権限に加えて、適切なオブジェクトとオブジェクトフィールドにアクセスするための適切な参照と作成の権限がユーザに付与されていることを確認する必要があります:
- アプリケーションロールオブジェクト: 読み取り権限。
- チーム有効化オブジェクト: チームセクションとチーム有効化レコードを表示するための読み取り権限。
- チームメンバーオブジェクト: 目的のチーム有効化オブジェクトのチームメンバーを表示および変更するための読み取り権限。
- 任意のライフサイクル状態にあるチーム有効化オブジェクトのチームを編集する権限は、ライフサイクルの関係に対するアトミックセキュリティまたはロック状態の設定によっても異なります。
これらのオブジェクトに DAC を設定した場合、ユーザには読み取り権限を持つレコードのみが表示されます。
関連権限
標準システム管理者または Vault 所有者のセキュリティプロファイルで、本書に記載されたすべての手順を完了することができます。お使いの Vault がカスタムセキュリティプロファイルを使用している場合、プロファイルに以下の権限が付与されている必要があります:
タイプ | 権限 | 制御 |
セキュリティプロファイル | 管理者: コンテンツ設定: オブジェクト: 参照 | Vault オブジェクトを作成・変更する権限。 |
セキュリティプロファイル | 管理者: セキュリティ: ユーザ: 参照 | すべてのユーザの表示機能。 |