使用 QualityOne Vault,用户可以通过消除手动创建、激活和停用 Vault 帐户来高效地管理外部协作者对 Vault 的临时、短期访问。设置拥有临时访问权限的外部协作者,以允许外部用户使用来自同一个外部许可证池的外部许可证,响应贵组织的协作请求。您可以授权用户向公认的外部联系人处请求回复,与 Vault 中的这些人协作,并以最少甚至不需要管理这些外部协作者的用户帐户配置来完成。
当用户请求外部联系人为供应商相关记录提供协作时,Vault 会自动为这些联系人提供外部协作者帐户,并通过发送专用的电子邮件通知邀请他们进行协作。当外部联系人响应分配给他们的所有请求时,协作完成。完成协作之后,Vault 会自动停用外部用户帐户,并释放外部许可证,以供收到协作请求的其他新外部联系人用来进行激活。
外部协作管理对象
QualityOne 使用下列对象和对象类型来支持外部协作管理:
- 人员 (
person__v):此对象表示用作数据引用的指定个人。作为 Vault 中的人员并不一定授予登录访问权,也不授予参与工作流的能力。 - 组织 (
organization__v):此对象表示与个人组织有关的信息。 - 记录匹配规则 (
recording_matching_rule__v):此对象存储共享规则,这些规则适用于对受保护的对象拥有特定应用程序角色的个别用户。
目标对象
可以将这些对象和对象类型用作目标对象来进行配置。配置的目标对象将显示用户在分配外部联系人时所需的对象记录上的相关字段。
- CAR (
car__v):此对象表示纠正措施要求。- SCAR (
scar__v):此 CAR 对象类型表示供应商纠正措施要求。
- SCAR (
- NCR (
ncr__v):此对象代表不合规事件。- 供应商 NCR (
supplier_ncr__v):此 NCR 对象类型代表供应商不合规事件。
- 供应商 NCR (
- 审计 (
audit__qdm):此对象代表审计。- 供应商审计 (
supplier_audit__qdm):此审计对象类型代表供应商审计。
- 供应商审计 (
- 更改控制 (
change_control__v):此对象代表更改请求。- 供应商更改 (
supplier_change__v):此更改控制对象类型代表供应商更改请求。
- 供应商更改 (
- 检查 (
inspection__v):此对象代表检查。- COA 检查 (
coa_inspection__v):此检查对象类型代表有关 COA 检查的数据。
- COA 检查 (
配置概述
要配置 Vault 以使用外部协作管理功能,需执行以下步骤:
设置用户安全配置文件
当 Vault 自动创建用户时,Vault 会通过 外部协作者用户模板确定供外部协作者使用的特定安全配置文件。确保为外部协作者用户模板设置适当的安全配置文件。设置适当的安全配置文件可以根据需要为 Vault 中的外部用户定制稳健或简化的体验。我们建议将“外部协作者”作为新的安全配置文件的标签。
定义外部协作者用户模板
您可以配置 Vault,以自动创建和激活外部协作者。请参阅定义外部协作者用户模板,以了解更多详细信息。
配置对象通知模板
您可以配置的每个目标对象都有三 (3) 个电子邮件通知模板,根据外部用户与您的组织协作的方式,Vault 会自动将其发送给第三方联系人。当 Vault 自动创建一个用户帐户时,Vault 会向第三方联系人发送一封欢迎电子邮件。当一个外部协作者再次被激活进行协作时,Vault 重新激活用户帐户并向该第三方联系人发送一封欢迎回来电子邮件。
当第三方联系人的工作完成时,Vault 向他们发送一封再见电子邮件。根据您的配置,外部协作者的工作可能在给定请求的不同生命周期状态下完成。当外部协作者的响应被接受时,Vault 发送再见电子邮件,并且在 Vault 中不再有请求等待协作者的响应。
通知模板
相关通知模板包括:
- 外部协作者欢迎 - [target_object_label] (
ext_collab_welcome_[target_object_name]__v) - 外部协作者欢迎回来 - [target_object_label] (
ext_collab_welcome_back_[target_object_name]__v) - 外部协作者再见 - [target_object_label] (
ext_collab_goodbye_[target_object_name]__v)
您可以更新通知模板,以包含有关请求、请求的父级对象记录(例如 SCAR)以及父级对象记录来自您组织的团队成员(如已配置)的信息。配置通知模板可以确保接收人知道需要从他们那里得到什么操作,以及与您组织的任何其他协作信息。
外部协作通知模板令牌
QualityOne Vault 可以通过标准的对象通知配置来使用其他令牌支持。令牌是在使用通知模板时被替换的文本片段。您可以在电子邮件内容中使用以下令牌来处理文档通知模板:
firstName:接收人的名字。lastName:接收人的姓氏。authServiceExtUrl:登录页面的授权 URL。staticContentBaseUrl:显示图像。userName:用户的用户名称。userEmail:用户的电子邮件地址。vaultName:内部用户的 Vault 名称。userLanguage:显示接收人的语言。这是一次性密码重置链接的一部分。userPassword:显示接收人的自动密码。utp?url:这是一次性密码重置链接的一部分。
您还可以在这些通知模板中包含特殊的 ${creator} 和 $($creatorEmail) 令牌。在对象通知模板中使用这些特殊令牌,您就可以添加对象记录创建者的姓名和电子邮件。
注意:外部协作者仍可通过标准方法重置其密码。
配置外部协作者对象
配置所需的人员、组织和适用的目标对象,以便能够自动化配置 Vault 帐户的创建、激活和停用。
配置人员对象
在人员对象上,激活组织对象引用字段,并将其添加至人员对象页面布局。
配置组织对象
我们建议您配置组织对象以简化人员联系人列表的管理。人员记录中的一个字段将其链接至组织,而组织记录可列出与您的组织进行交互的人员。这样即可更轻松地识别外部协作者字段中列出的联系人,用户可以从中选择为哪些联系人分配记录(例如 SCAR)以进行协作。您可集中管理这些联系人,也可要求请求人或其他内部用户为其合作的组织独立管理这些人员。
如要配置组织对象以显示联系人列表,请将具有人员对象的相关对象节段添加至组织对象的对象页面布局中。我们建议为此联系人列表定义节段帮助,以使用户能够清楚地了解它的用途。
配置目标对象
在为目标对象部署外部协作时,您必须对目标对象(例如用于 SCAR 的 CAR 对象)配置进行一些修改,以设置外部协作。
启用自定义共享规则
您必须为目标对象上的动态访问控制选项启用自定义共享规则,以激活外部协作管理。
配置外部协作者字段
在协作对象上,激活外部协作者字段。我们建议您使用引用对象中的限制记录字段选项来将外部协作者的选择限制为仅相关组织内部人员。为此,您可以添加如下 VQL 语句:
organization__v = {{this.supplier__v}}
本声明限制在目标对象的供应商字段中引用的组织外部协作者的选择。我们推荐这种配置,以确保用户为每个请求选择合适的协作者。
您可以将外部协作者字段添加到适用的目标对象类型(例如 SCAR)及其相应的对象页面布局。在配置限制语句时,则限制字段应列在外部协作者字段之前,以确保在选择外部协作者之前限制生效。
配置供应商字段
您还可以根据关联的父进程对象,为请求所针对的组织建立一个默认值。为此,请向目标对象记录的供应商字段添加默认组织值。
配置目标对象生命周期
要配置您的目标对象的生命周期,您必须首先确定您希望将外部协作者引入到您的 Vault 中的目标对象的生命周期状态(进入状态)和应该将其用户帐户从您的 Vault 中删除的状态(退出状态)。“进入”状态应该是您希望外部协作者开始给予响应的状态,而“退出”状态应该是您在接受其响应后希望外部协作者停止响应的状态。确定您的“进入”和“退出”状态之后,为您的两 (2) 个状态添加应用程序角色和对象操作,以配置目标对象的生命周期。
外部协作者应用程序角色
添加外部协作者应用程序角色到目标对象的生命周期。由于外部协作者将使用外部协作者用户模板的配置添加或删除该角色,因此确保该角色对与目标对象的对象类型一起使用的每个生命周期状态具有适当的权限。
注意:如要限制外部协作者在协作过程中编辑目标对象字段的能力,您必须为外部协作者应用程序角色配置原子安全,以获取针对所需字段的访问权限。
配置目标对象操作
目标对象的生命周期包含创建和激活外部协作者和停用外部协作者操作,用于配置您的“进入”和“退出”生命周期状态。您还可以手动从外部协作者字段中移除任务,或者删除具有活动任务的目标记录,以映射停用外部协作者操作触发的相同效果。
根据业务需求,可执行以下操作:
- 将以下操作添加为任何目标对象的生命周期状态的条目操作:
- 将创建和激活外部协作者操作作为一个用户操作添加到任何目标对象的生命周期状态上。
注意:对于检查对象,Vault 会在创建或激活外部协作者时自动创建记录匹配规则记录,并在停用外部协作者时删除记录匹配规则记录。这样,Vault 即可跟踪外部用户,并为受保护的对象授予适当的应用程序角色。
配置创建和激活外部协作者进入操作
将创建和激活外部协作者条目操作添加到一个“进入”生命周期状态。您必须为 Vault 选择一个外部协作者用户模板,以便在自动创建用户帐户期间使用。该入口操作尝试针对外部协作者字段中引用的人员记录激活一个用户帐户。
如果 Vault 确定已经存在一个用户帐户,其详细信息与人员相同,Vault 将执行以下操作:
- 分配用户账户到人员。
- 激活用户账户。
- 向指定的外部协作者发送一个欢迎回来通知。
如果 Vault 确定没有现有的用户帐户,Vault 会执行以下操作:
- 创建新用户账户。
- 激活用户账户。
- 向指定的外部协作者发送一个欢迎通知。
通过该操作创建的用户记录会将其通过 QMS 自动化管理字段设置为真。将该字段设置为False将手动停止用户的访问权限管理自动化:由您手动管理访问权限。
配置停用外部协作者进入操作
将停用外部协作者条目操作添加到一个“退出”生命周期状态。此进入操作允许 Vault 在外部协作者字段中查找人员,识别与该人员关联的用户帐户,并检查是否可以停用该用户帐户。Vault 检查分配给用户帐户的任何请求,这些请求是由创建和激活外部协作者操作授予的,并且还没有触发停用外部协作者进入操作。
如果 Vault 确定用户帐户已完成分配给外部响应的所有请求,Vault 将执行以下操作:
- 停用用户账户。
- 向指定的外部协作者发送一个再见通知。
默认情况下,Vault 不会从个别记录上的共享设置中移除已停用的用户。要在重新激活用户帐户的情况下限制外部协作者对某些记录的访问,必须在目标对象的工作流中添加更新共享设置步骤。或者,删除或更改目标对象记录上的外部协作者值将从共享设置中删除用户。
配置创建和激活外部协作者用户操作
将创建和激活外部协作者用户操作添加到用户可能需要为其替换未激活的外部协作者的生命周期状态,例如当从目标对象的外部协作者字段中移除外部用户时。我们建议您使用原子安全来限制对该操作的访问。
您还可以选择使用字段级原子安全来防止对处于“退出”生命周期状态的外部协作者字段的更改,或者使用工作流步骤或生命周期操作配置来将目标对象移动到“预响应”状态,从而再次“重启”协作过程。
从外部协作者字段中删除课业
当目标对象记录的外部协作者字段中的人员分配被删除或更改时,Vault 将评估是否应该按照停用外部协作者入口操作中的相同操作停用人员的关联用户帐户,并添加以下操作:人员的关联用户帐户已从外部协作者应用程序角色中删除。
配置目标对象工作流
与外部用户协作可能导致内部用户需要代表外部协作者响应,或基于特定请求或任何请求放弃与特定合作伙伴协作。在配置目标对象的生命周期和工作流时,确保考虑到内部用户接管任务或在必要时绕过协作的能力。
关于任务跟踪
当 Vault 为外部协作者字段上引用的人员激活或停用一名用户时,“外部协作管理”功能会跟踪和存储数据。每当一名用户处于活动状态时,Vault 都会创建一个引用匹配目标对象记录的新记录,并将新记录的任务活动字段设置为“活动”状态;例如 CAR 目标对象的匹配外部协作者 CAR 任务对象。
每当一名用户处于非活动状态时,Vault 都会将相关现有对象记录的任务活动字段更新为“非活动”状态。通过由 QMS 自动化功能管理字段跟踪人员的任务时,将使 Vault 能够在自动停用人员的用户帐户之前,验证一名外部协作者是否还有任何未处理的任务。如果将用户记录上的由 QMS 自动化功能管理字段设置为“False”,Vault 将停止自动跟踪和管理任务。
相关权限
您可以使用标准系统管理员或 Vault 所有者安全配置文件完成本文中的所有步骤。如果 Vault 使用自定义安全配置文件,则您的配置文件必须授予以下权限:
| 类型 | 权限 | 控制 |
| 安全配置文件 | 管理员:配置:对象:创建、编辑 | 能够创建和修改 Vault 对象。 |
| 安全配置文件 | 管理:配置:对象生命周期:编辑 | 能够修改对象生命周期。 |
| 安全配置文件 | 管理:配置:对象工作流:编辑 | 能够修改对象工作流。 |
| 安全配置文件 | 管理员:权限集:创建、编辑, 删除 | 更改用户的权限集的能力。 |
| 安全配置文件 | 对象:CAR(所有对象类型):创建、编辑、删除 | 能够更改 CAR、SCAR 对象。 |
| 安全配置文件 | 对象:NCR(所有对象类型):创建、编辑、删除 | 能够更改 NCR、供应商 NCR。 |
| 安全配置文件 | 对象:审计(所有对象类型):创建、编辑、删除 | 能够更改审计、供应商审计。 |
| 安全配置文件 | 对象:更改控制(所有对象类型):创建、编辑、删除 | 能够更改更改控制、供应商更改。 |
| 安全配置文件 | 对象:检查(所有对象类型):创建、编辑、删除 | 能够更改检查、COA 检查。 |