Vault 的各种用户安全功能确保用户可以访问适合他们的文档、对象记录和操作。这些功能还可以防止用户在文档上引起版本控制冲突,或者不恰当地编辑已经完成的文档。
下面介绍了 Vault 用户访问模型中的常见术语和重要概念:
术语 | 定义 |
原子安全 | 原子安全允许对操作进行角色级和生命周期状态级控制。例如,担任审查者角色的用户可以在处于“进行中”状态的市场活动记录上开始审查工作流,但不能在处于“草稿”状态的记录上执行此操作。对象和文档都可以使用原子安全,但它们适用不同的功能。 |
文档级权限 | 特定于文档的生命周期状态的,用于查看和编辑特定文档的访问设置。 |
文档生命周期角色 | 通过该实体,您可以为特定文档的用户/组分配权限或工作流任务。您只能通过向角色添加文档权限来向用户分配文档权限,而角色分配是基于每个文档的。角色存在于文档生命周期中,权限可能因生命周期状态而异。 管理员可以将某些角色限制为仅允许用户的子集。 |
文档共享设置 | 共享设置是“文档信息”页面中的一个面板,它显示并允许编辑文档中分配给每个角色的用户/组。工作流所有者还可以在工作流开始对话框或添加参与者和重新分配任务时向特定角色添加用户/组。 |
组 | 手动维护的用户集合,在分配角色和权限时,其功能与用户类似。向角色而非单个用户分配组,可以让稍后从多个文档的角色中移除用户变得更容易。 例如,Linda Kim 作为单个用户,在八个文档中担任审查者角色。要将她从该角色中移除,必须对每个单独的文档进行更改。但是,如果 Linda Kim 在医疗审查者组中,而该组担任审查者角色,那么将 Linda Kim 从该组中移除也将把她从八个文档的审查者角色中移除。 |
许可证类型 | 许可证类型是在创建账户的过程中分配给用户的字段。许可证类型可以控制对管理区域的访问,以及对 Vault 区域中的一些选项的访问。 |
对象记录级安全 | 用于查看和编辑特定对象记录的访问设置。可以使用共享规则为对象动态定义这些设置,也可以在共享设置中使用手动分配为单个记录定义这些设置。 这仅适用于使用动态访问控制的对象。 |
对象记录角色 | 各项对象数据记录中的系统定义角色(查看者、编辑者、所有者),这些角色控制对记录的访问,包括编辑文档字段时为选择记录而进行的访问。 这仅适用于使用动态访问控制的对象。 |
对象记录共享设置 | 共享设置是对象记录详细信息中的一个节段,显示适用于该记录的全部共享规则和手动角色分配。该节段还允许编辑记录上手动分配给角色的用户/组。 这仅适用于使用动态访问控制的对象。 |
角色 | 请参阅文档生命周期角色、对象记录角色或用户角色。 |
安全矩阵 | 管理 > 配置 > 文档生命周期 > [生命周期] > 状态 > [状态] > 安全上的一个设置面板,该面板显示和允许编辑可用于生命周期状态各角色的文档权限。 |
共享规则 | 共享规则是将用户/组分配至对象数据记录中的角色的系统方法。和手动分配不同,共享规则使用管理员定义的查询来动态选择 Vault 将为其应用特定共享设置的记录。 这仅适用于使用动态访问控制的对象。 |
共享设置 | 请参阅“文档共享设置”和“对象记录共享设置”。 |
安全配置文件 | 安全配置文件是在创建账户的过程中分配给用户的字段。此配置文件通过分配的权限集,可以控制对管理区域、系统管理的组中的成员资格的访问,以及对 Vault 区域中一些选项的访问。 |
用户 | 拥有唯一登录凭据的实体。访问 Vault 的每个人都应该是一个用户,一个人不应该拥有多个用户。 |
用户角色 | 用户与应用程序角色之间的关联,用于按角色授予权限。与安全配置文件一起使用。 |
Vault 如何确定文档访问
下文介绍了 Vault 用来确定文档中某些类型访问的流程:
对文档的只读访问
- 共享设置(角色)和安全矩阵
- 共享设置下用户被分配的角色
- 例外:拥有特定应用程序:Vault 所有者权限的用户拥有特殊的管理员类型的访问权限。
- 文档状态(生命周期状态)
- 安全矩阵(用于状态和角色)
- 共享设置下用户被分配的角色
对文档执行操作的额外访问
- 特殊注意事项:禁用删除
- 文档处于活动工作流中
- 文档处于稳定生命周期状态
- 例外:拥有特定应用程序:Vault 所有者权限的用户可以删除。
- 文档被签出
- 特殊注意事项:禁用上传新版本并签出
- 文档被签出
- 特殊注意事项:禁用各种编辑功能
- 用户的许可证类型为只读用户或门户用户
- 共享设置(角色)和安全矩阵
- 共享设置下用户被分配的角色
- 例外:拥有特定应用程序:Vault 所有者权限的用户
- 文档状态(生命周期状态)
- 安全矩阵(用于状态和角色)
- 共享设置下用户被分配的角色
用户如何获取文档角色
可以通过以下方式之一向文档生命周期角色分配用户:
- 在创建文档时自动分配(默认用户)
- 随时从共享设置中手动配置
- 开始工作流时自动配置(默认用户)
- 开始工作流时在工作流开始对话框中手动配置
- 在重新分配任务时手动配置
- 在添加工作流参与者时手动配置
- 当用户通过“作为链接发送”接收文档时自动配置(查看者角色)
注意:当工作流所有者(在开始对话、重新分配或添加参与者时)通过工作流向角色分配组且角色已分配任务时,Vault 会在分配任务时将组展开为单个用户。对于使用任何用户选项的任务,当工作流进行到该任务时,就会进行任务分配。对于使用每个用户选项的任务,当工作流开始时,就会进行任务分配。任务分配后对组成员资格的任何更改都不会影响分配的角色。