使用 QualityOne Vault,您可以创建并配置团队和团队角色,以满足具体需求。例如,审计项目可能需要三 (3) 个团队角色从头到尾完成工作:质量审计人、主要审计人和审批者。使用团队功能时,您可以规定创建的每个审计项目需要一 (1) 名质量审计人、一 (1) 名主要审计人以及零 (0) 到两 (2) 名审批者,才能开始工作。
团队允许用户对单独的更改控制、审查、CAPA、或其他质量事件相关的流程进行单独的工作任务分配。通过从授权执行该记录中该角色的用户列表中选择单独的用户任务,用户可直接在记录详细信息页面中定义这些任务。团队与对象记录共享设置集成,在不牺牲关键合规性工具的情况下提供简单的体验。
关于团队术语
QualityOne 使用以下概念性术语来支持和定义团队:
- 启用团队的对象:启用团队功能的对象。
- 启用团队的记录:利用团队功能的对象类型记录。
- 团队成员对象:当您启用团队功能时 Vault 创建的系统管理对象。它会为特定启用团队的记录储存用户的团队角色任务。
- 团队:此组件用于定义您在 Vault 中创建的团队。当启用团队的记录进行其流程时,通过将团队角色与团队行为进行关联来定义团队结构。团队与一个对象或对象类型关联,以声明该对象或对象类型使用“团队成员”的记录。
- 团队角色:定义成员拥有和受到约束的担保权的角色。此组件定义了利用相关团队(主要审计人、审批者等)的对象记录可用或所需的角色。这些角色链接到应用程序角色(如所有者、审查者和编辑者),并定义这些角色的行为。例如,您可以定义组建团队所需的最小用户数量、团队允许的最大用户数量,以及您是否可以从 Vault 中的任何组或启用团队的记录的特定角色中选择用户。
团队的工作方式
您可以为尚未配置团队的任何非系统对象创建团队,同时设置一些限制。对于具有对象类型的对象,您可以为以下任一项配置团队:
- 单个对象类型。
- 没有明确的团队定义的所有对象类型.
您可以配置选项,例如在定义团队时可以触发自动事件的生命周期状态更改。还可以锁定处于选定生命周期状态的所有团队角色的成员资格。例如,您可以定义一个程序,规定在没有关联工作流的待处理团队任务状态下创建所有审计。然后,可以将 Vault 配置为在选择质量审计人和主要审计人后,审计项目自动进入其生命周期的已启动状态。团队完成甚至可以启动工作流,将任务分配给指定的团队成员。
创建团队
您可以选择适当的对象和对象类型,以创建团队。创建团队时,需要配置以下项:
创建团队定义
要创建团队定义:
- 导航至管理 > 配置 > 团队。
- 点击创建。
- 输入标签和名称。
- 选择一个状态。如果将团队状态设为非活动,Vault 会保留该团队和角色配置,但该团队将不会出现在关联的对象记录中。如果稍后重新激活团队或为同一对象和角色创建新团队,Vault 会保留所有团队成员分配。在初始配置期间或者您不想再使用此团队时,此选项很有用。
- 选择此团队适用的对象。
- 可选:如果该对象具有类型,您可以选择对象类型。每个对象或类型只能有一 (1) 个团队处于活动状态。创建团队后,无法更改此选项。
- 可选操作:选择在团队完成后更改记录状态复选框。请参阅团队选项,了解更多详细信息。
- 可选操作:选择一 (1) 个或多个锁定状态。请参阅团队选项,了解更多详细信息。
- 单击保存。
创建团队后,Vault 会更新包含“团队”节段的相关对象页面布局。此页面布局节段显示团队任务,并允许授权用户为角色选择用户。我们建议编辑您的对象页面布局,使此节段成为该页面上的第一个或第二个节段。
在您配置团队和团队角色之前如果存在关联的对象记录,则在您配置团队后,它们将显示团队节段,且没有已分配成员。
注意:创建或重新排序团队角色的同时,无法编辑团队定义。
团队选项:团队完成时更改记录状态
选中此复选框,即可激活开始状态和目标状态字段以进行配置。若使用此选项,则完成最小成员数量的团队的创建后,对象记录将会进入新状态。此状态更改还触发任何相关联的自动事件,例如自动启动工作流。Vault 在以下情况时会为对象记录完成此事件:
- 团队至少拥有一 (1) 个团队角色,且最低要求用户数量至少为一 (1) 个。
- 定义了最低要求用户数量的所有角色均符合该任务数量的要求。
- 用户更新团队成员且记录处于定义的开始状态。
团队选项:锁定状态
当关联的对象记录处于指定的锁定生命周期状态之一 (1) 时,Vault 中的任何用户都不得更改此团队的成员资格,包括 Vault 所有者。此选项适用于记录的生命终止状态,其中必须保留任务信息。
删除团队
如果使用该团队的任何记录分配了团队成员,则无法删除团队定义。要删除团队定义,必须先删除使用该团队的所有记录中的所有团队成员。为了简化这个过程,您可以使用强力删除团队成员记录操作从记录中删除所有团队成员。
要删除团队定义:
- 导航至管理 > 配置 > 团队,并选择合适的团队定义。
- 从定义的操作菜单中,单击删除。
- 单击继续。
创建团队角色
在定义您的团队,您还可以在配置多个选项的角色时创建团队角色。
要创建团队角色:
- 导航至管理 > 配置 > 团队,并选择所需的团队。
- 在团队角色节段中,单击创建。
- 输入标签和名称。
- 选择一个状态。
- 选择应用程序角色。具有此团队角色的团队成员将添加到对象记录中选定的应用程序角色。一旦保存团队角色后,您将无法更改此设置。
- 可选操作:输入帮助内容。将光标悬停在关联的对象记录详细信息页面的团队节段中的角色标签上时,用户将看到这些内容。
- 可选操作:为此角色选择最少必须用户。将该字段留空或选择零 (0) 将表明团队成员可以在未分配此角色的情况下完成。您可以选择最小值零 (0) 来使用相关的入口条件配置选项。
- 为此角色选择可以分配的最多用户。
- 可选操作:选择专用成员身份?复选框将角色的成员限制为未分配多个角色的成员。对于指定对象记录,专用角色中的团队成员不能为同一团队中任何其他角色的成员。
- 可选操作:在链接字段下拉框中,选择启用团队的对象上的用户对象引用字段。所选字段的值被映射到该团队角色中分配的用户。该选项只能用于该团队角色的最多用户值为一 (1) 的情况。请参阅关联角色字段,了解更多详细信息。
- 可选:选择约束角色,以允许 Vault 仅使用选定角色的用户填充团队分配选项。为了防止角色出现不可填充的情况,您不能约束应用程序角色本身。可以通过匹配或自定义共享规则来填充约束角色。
- 可选:在级联行为字段中,选择继承 - 允许覆盖,以允许此角色检查为此角色配置的级联自字段的值。请参阅关于级联行为,了解更多详细信息。
- 可选操作:选择级联来源的角色。如果您已选择级联行为,那么该字段为必填项。该字段明确了此团队角色如何查找继承其成员身份来源的记录。
- 可选操作:选择锁定状态。当对象记录处于定义的锁定状态时,任何 Vault 用户都无法编辑或更改此角色的成员资格,包括 Vault 所有者。
- 单击保存。
新角色出现在团队定义页面底部的列表中。Vault 会立即将该角色添加到关联对象的所有现有记录。
注意:如果用户可以在团队角色的工作流任务处于活动状态时更改成员资格,我们建议您设计的工作流应处理由于任务取消而导致缺乏裁定的情况。
重新排序团队角色
如果您为团队创建了一 (1) 个以上的角色,则它们在团队定义页面上的显示顺序与关联对象记录上团队节段中角色的显示顺序相匹配。
要重新排列角色顺序,单击重新排序。然后,单击这些角色并将其拖动到左上角阴影区域。完成重新排序后,单击保存更改,或单击取消以放弃更改。编辑团队定义的同时,无法创建角色或重新排序角色。
关于级联行为
在以下情况下,团队角色会检查级联来源字段中的值:
- 在级联行为字段中选择继承 - 允许覆盖行为。
- 创建记录后。
- 管理团队的同时用户单击恢复。
如果该字段的值是包含团队定义的对象记录,则此团队角色将从该记录的团队角色继承成员资格(基于具有相同的应用程序角色配置进行匹配)。如果不存在此类记录,则该记录没有团队,或者该记录的团队没有与匹配的应用程序角色关联的角色,则不会发生默认设置情况。
用户仍然可以在启用级联的情况下手动编辑团队角色的成员身份。此外,启用级联情况可以为管理团队的用户提供恢复选项。启用级联后,链接对象记录的团队角色成员身份的更改会下达到记录的团队角色,除非已对该角色的团队成员进行过手动更改。
注意:关系的原子安全或继承流程中约束角色的团队角色可能会干扰级联角色行为。我们建议使用锁定状态来替代关系原子安全,并调整您的限制角色的填充规则以避免这种情况发生。您可以安全地使用关系原子安全来防止任何非团队成员更改任何团队角色的成员身份。
关于关联角色字段
使用团队角色定义中的链接字段选项可以使团队角色任务显示在相关列表、检索、文档库视图筛选器、报告以及 Vault 中用户对象引用字段可以访问的其他位置。当您更改给定启用团队的对象记录上的链接团队角色的成员身份时,Vault 会更新该记录的链接字段以反映新的团队角色的成员身份。字段更新不会同步发生;如果您在记录上更改团队,链接字段不会立即更新。在决定在 Vault 中实施链接的角色字段之前,请查看它们的限制。
为团队配置关联角色字段
要配置关联角色字段功能:
- 在需要的启用团队的对象上创建用户对象引用字段。如果对象支持对象类型,请确保将字段关联到与团队定义相同的对象类型。
- 导航到所需的适当团队角色定义,并单击编辑。
- 在链接字段下拉框中,选择之前创建的用户对象引用字段。
- 单击保存。
对于查看团队支持的对象记录的用户来说,链接的角色字段的功能可能不明显,建议执行以下操作:
- 不要将关联角色字段添加到团队启用对象页面布局或配置安全措施以防止用户尝试手动编辑链接字段。链接到角色后,Vault 将禁止对字段值进行编辑。无需将不可编辑字段显示为可编辑字段。
- 选择在默认列表和悬停卡上显示对象字段,设置在 Vault 所有悬停卡中显示团队角色配置。
- 为链接字段定义帮助内容,以便用户可以知道他们不能通过更改字段值来操纵团队任务。
为现有团队角色任务添加链接角色字段
一旦为已具有角色任务记录的对象启用该功能后,您可以选择更新策略来同步现有记录字段,以匹配其原有的任务值。当同步现有记录时,受影响的记录可能会更改其链接字段的值;您可以查看审计跟踪关于修改的详细信息。
此节段是可选的;如果您的组织选择保持现有记录不变,则可以跳过此节段。如果您想要更新原有记录,Vault 提供以下方法:
- 要更新所有启用团队的记录,请单击团队定义上的同步关联角色字段。一旦您在一 (1) 个团队角色定义中选择链接字段后,此按钮就会可用。单击同步关联角色字段将启动一个异步过程,以使用受影响的团队分配更新记录,并关联它们的值。Vault 会向您发送通知邮件,其中包含日志文件中的处理结果。
- 要更精确地使用给定的团队更新个人或记录的子集,您还可以将此操作配置为标准对象操作。
作业日志:同步关联角色字段
- 每个带有任务的启用团队记录.
- 如果 Vault 成功更新了启用团队的记录。
- 如果遇到任何错误。
该作业会跳过它无法更新的任何记录。例如,以前一个角色定义的最大用户值大于一 (1),但是管理员在选择链接字段中的值之前将该值更改为一 (1)。如果团队的现有记录在该角色中具有超过一 (1) 个任务,作业将不能同步那些任务或记录的关联角色字段,并将错误记录在生成的作业日志中。
配置启用团队的对象操作
所有启用团队的对象都包含以下操作:
- 强力删除团队成员:触发 Vault 完全清除特定记录的团队成员任务。无论团队或团队角色的级联配置如何,仅会在当前记录上删除成员分配。此操作还删除孤立的成员分配。在团队配置和测试期间,可能需要删除记录中团队的成员分配,才能对团队的结构或行为进行更改。例如,即使存在为该角色分配了团队成员的记录,您也需要删除团队角色。默认情况下,在从所有记录中单独删除所有团队成员前,Vault 不允许您删除该角色(或团队)。
- 同步关联角色字段:触发 Vault,以强制更新已建立的团队成员分配,其中成员来自团队角色定义的关联字段映射。一旦您在一 (1) 个团队角色定义中选择链接字段后,此操作就会出现。如果需要精确的个人记录更新,则使用此操作。
您必须为要使用它们的每个对象单独设置这些操作。默认情况下,启用这些操作将使它们仅在基对象类型上可用。您可以在对象类型选项卡中对其他对象类型启用它们。
重要提示:强力删除团队成员记录操作专为管理员设计。该记录操作会导致忽略安全权限。我们建议仅在配置和检测期间使用此操作,而不是在处于活跃状态的质量事件记录上或生产环境中使用。在生产中执行配置迁移或打开 Vault 以供生产使用之前,请禁用强力删除团队成员记录操作。
根据业务需求,可在任何启用团队的对象上添加这些操作作为记录操作:
- 强力删除团队成员
- 同步关联角色字段
报告团队
您可以报告团队和团队成员,以便轻松评估范围和效率。导航至管理 > 配置 > 报告类型来设置团队成员报告。更多信息请参阅关于报告类型。
限制
- Vault 不支持与使用基于规则的小组(动态访问控制以及自定义和匹配共享规则)的共享设置角色关联的团队角色。
- Vault 不允许针对具有任何规则的共享设置角色建立新的团队角色,但不会阻止您将此类规则添加到已有团队角色的已建立角色。
- 如果您向团队角色的应用程序角色添加规则,最终用户在尝试对使用该团队的任何对象记录运行管理团队操作时将收到错误消息。
- 您不能为具有一 (1) 个以上的父级对象引用的对象创建团队,也不能为两 (2) 级或以上的父级对象关系下的对象创建团队。
- 您不能为对象名称中带有数字前缀的对象创建团队。
- 使用关联角色字段时,团队角色定义中的最大用户值不得超过一 (1)。
- 团队角色仅能链接到单个链接角色字段。
- 虽然单个关联角色字段可以链接到多个团队,但指定团队上仅有一 (1) 个角色可以链接到同一字段。
- 根据配置,您可以创建最多 100 个团队定义,默认限制为 20 个团队定义。有关此配置的更多帮助,请联系您的客户成功经理以了解更多详细信息。
配置用户权限
除了以下概述的权限外,您还必须确保用户具有访问适当对象和对象字段的相应读取和创建权限:
- 应用程序角色对象:读取权限。
- 团队启用对象:查看团队节段和团队启用记录的读取权限。
- 团队成员对象:在预期的团队启用对象中查看和修改团队成员的读取权限。
- 在给定生命周期状态下,能否对启用团队的对象编辑团队还取决于生命周期的关系的原子安全或锁定状态配置。
如果您在这些对象上配置了 DAC,用户只能查看自己拥有读取权限的记录。
相关权限
您可以使用标准系统管理员或 Vault 所有者安全配置文件完成本文中的所有步骤。如果 Vault 使用自定义安全配置文件,则您的配置文件必须授予以下权限:
类型 | 权限 | 控制 |
安全配置文件 | 管理:配置:对象:读取 | 能够创建和修改 Vault 对象。 |
安全配置文件 | 管理:安全:用户:读取 | 能够查看所有用户。 |