动态访问控制 (DAC) 是一个用于对象记录的访问控制模型,它会通过“匹配共享规则”和/或“自定义共享规则”,自动将用户分配给记录的查看者、编辑者和所有者角色。DAC 提供了对象记录级别的安全性。
匹配共享规则易于设置而且只需很少的维护;您可以使用这些规则执行您的组织的大多数角色分配。自定义共享规则需要更多的维护,但非常适合在特定情况下提供覆盖。
您的组织可以单独为特定的对象启用匹配共享规则和自定义共享规则。使用这些功能,您可以为某些对象提供对象记录级别的访问控制,而其他对象会继续通过权限集使用对象级别的访问控制。
注意:当实施任何自定义安全或访问控制时,管理员应当在对生产机构进行更改之前执行 UAT(用户验收测试)。有些更改可能影响特定于应用程序的功能,导致 Vault 难以使用。
匹配共享规则
匹配共享规则像用于文档的 DAC 那样运行:Vault 通过自动管理组中的成员关系将用户分配给个别对象记录上的角色。在此步骤中,您的组织通过在用户角色设置对象中设置规则和管理记录来控制角色分配。用户角色设置记录对应于组。用户角色设置记录包括用户、角色,以及使用户的上下文符合该角色的要求的多个“匹配”字段。匹配字段是指同时存在于用户角色设置对象和您要保护的对象(例如国家/地区或产品)上的字段。
请了解如何配置匹配共享规则。
自定义共享规则
当对一个对象使用自定义共享规则时,Vault 会将规则条件与特定的用户分配匹配,以管理用户在特定对象记录上的角色。例如,在机构为 DKI Direct 的市场营销活动记录上,Gladys 是一个编辑者,Thomas 是一个所有者。
请了解如何配置自定义共享规则。
注意:在过去的版本中,此功能被称为“动态安全性”。在 V15 中,我们更改了此功能的名称。自定义共享规则与匹配共享规则结合使用,可通过多种方式实现可管理、稳健、灵活的访问权限控制。
安全共享设置
使用“安全共享设置”,您可以将配置文件安全与原子安全相结合来执行操作,以控制用户对每个记录、角色和生命周期状态的共享设置的访问。启用之后,您可以控制共享设置操作是隐藏、可视(可见但不可编辑)还是可执行(用户可以添加或移除直接角色分配)。Vault 还会遵循 API 中的共享设置安全性。请注意,默认情况下禁用了此选项。禁用之后,任何能够访问某个对象记录的用户都可以查看共享设置,能够更新对象记录的用户可以为共享设置添加或移除角色分配。
如何启用共享设置安全性
- 导航到管理 > 配置 > 对象 > [对象] > 选项。
- 选中使用操作安全性控制共享设置复选框。请注意,必须选择启用匹配共享规则或启用自定义共享规则,才会显示此复选框。启用之后,Vault 允许您在共享设置操作上配置安全性。
关于“安全共享设置”操作
当启用使用操作安全性控制共享设置复选框时,Vault 会自动在适用的对象上创建共享设置操作。和为任何其他对象操作配置安全性一样,您可以在两 (2) 个级别保护共享设置:
- 配置文件安全性:允许您在对象级别通过用户的安全配置文件,利用查看和执行权限来控制对共享设置操作的访问。如果权限集对对象拥有编辑权限,Vault 会自动授予对对象操作的执行权限。如果对象拥有读取权限,Vault 会自动授予对操作的查看权限。在共享设置上启用安全性之后,您可以进一步配置自定义权限集。
- 原子安全:允许您按单独的生命周期状态、借助为特定的应用程序角色覆盖设置这一能力以及使用隐藏、查看和执行权限,保护共享设置操作。
已知问题
在启用了对象类型的对象上,以下已知问题会影响配置共享设置安全性:
当 Vault 创建共享设置对象操作时,Vault 只会将操作分配给基础对象类型。导航到管理 > 配置 > 对象 > 对象类型 > 操作,以便将操作分配给所有对象类型。
对象记录角色
当对象使用动态访问控制时,Vault 将在对象记录上引入角色。这些角色控制着用户对记录的访问类型。如果您的 Vault 使用匹配共享规则,这些角色将映射到具有相同标签的应用程序角色记录。
注意:动态访问控制不会覆盖安全配置文件和权限集。用户还必须拥有一个能够授予必要对象权限的安全配置文件,例如,对象 > 市场营销活动 > 读取将控制用户是否能够查看市场营销活动记录。
所有者
(在启用动态访问控制之后)创建记录的用户会自动获得此角色。使用此角色,您可以:
- 通过手动分配,将其他的用户/组分配给所有者、编辑者或查看者角色
- 通过编辑手动分配,从所有者、编辑者或查看者角色中移除用户/组
- 查看和编辑对象记录详细信息
- 在一个文档字段中,或者在两个对象记录之间创建关系时,选择对象记录
- 删除对象记录
所有者比编辑者多拥有的唯一权限是能够为所有者角色添加/移除用户。
编辑者
用户必须通过一条共享规则或通过手动分配获得编辑者角色。使用此角色,您可以:
- 通过手动分配,将其他的用户/组分配给编辑者或查看者角色
- 通过手动分配,从编辑者或查看者角色中移除用户/组
- 查看和编辑对象记录详细信息
- 在一个文档字段中,或者在两个对象记录之间创建关系时,选择对象记录
- 删除对象记录
查看器
用户必须通过一条共享规则或通过手动分配获得查看者角色。使用此角色,您可以:
- 查看对象记录详细信息
- 在一个文档字段中,或者在两个对象记录之间创建关系时,选择对象记录
自定义角色
当使用匹配共享规则或自定义共享规则时,管理员可以向对象添加更多的应用程序角色。
可供自定义角色使用的操作取决于对象的权限设置:
- 读取:查看对象记录详细信息,以及在一个文档字段中或者在两个对象记录之间创建关系时选择对象记录
- 编辑:编辑对象记录详细信息
- 删除:删除对象记录
拥有自定义角色的用户无法使用手动分配。拥有编辑者或所有者角色的用户无法通过手动分配将用户分配给自定义角色。
无角色
如果没有角色,您将看不到对象记录详细信息,包括悬停卡上显示的详细信息。您也无法从一个文档字段中或者在两个对象记录之间创建关系时选择对象记录。如果一个文档字段默认为一个您无法访问的对象记录,Vault 将不会应用默认值。例如,Thomas 对于产品 Nyaxa 没有角色。当 Thomas 尝试复制一个 Nyaxa 文档并包含来自原始文档的字段值时,产品字段将不会默认为 Nyaxa。
动态访问控制不会阻止您查看链接到您无法查看的记录的那些文档或对象记录。例如,Gladys 对于产品 CholeCap 没有角色,但对该产品的多个文档拥有查看文档访问权限。当 Gladys 查看这些文档时,她发现为产品字段选择了 CholeCap。
这些设置也不会更改文档标签页中的筛选器和搜索功能的行为。例如,Gladys 可以将产品 > 通用名筛选器添加到库中,然后根据值 chopredol 进行筛选,即使此值位于 CholeCap 产品记录上。
注意:通过层级复制,用户可以复制自己对其没有角色的子记录。在这种情况下,在通过复制操作创建的新记录上,Vault 会自动将 Vault 所有者组分配给所有者角色。执行复制操作的用户对原始子记录没有任何访问权限,对新记录也将没有任何访问权限。
启用之后的角色和访问权限
当在一个对象上启用匹配共享规则或自定义共享规则之后,对象记录上会没有任何角色分配。此时,只有拥有 Vault 所有者操作 > 所有对象记录 > 所有对象记录编辑权限的用户能够访问记录,以便手动分配访问权限。默认情况下,只有 Vault 所有者安全配置文件包含此权限。确保启用和配置访问控制的用户具有适当的权限。
对象记录上的角色分配
用户可以通过三种方式获得对对象记录的访问权限:
- 匹配共享规则会将一个自动管理组(通过用户角色设置记录维护)分配给任何记录上的一个角色,前提是此记录的匹配字段值与用户角色设置记录值一致。
- 自定义共享规则定义一个查询,并将特定的用户分配给符合查询条件的任何记录上的角色。
- 手动分配允许拥有适当权限的用户直接导航到记录,并将特定的用户/组只添加到此记录上的角色。
手动分配
当(通过“匹配共享规则”或“自定义共享规则”)为一个对象启用了 DAC 时,对一个对象记录拥有编辑者或所有者角色的用户可以将另一个用户添加到角色中,以便手动共享此记录。当用户对一个对象记录拥有编辑权限时,可以为对象生命周期中配置的任何标准或自定义角色添加或删除手动分配。请注意,必须为用户分配了所有者角色,才能为其添加或删除所有者。
用户可试用手动分配选项移除通过共享规则而被分配的组。
您可以在共享设置中手动将用户分配给对象记录。
用于用户对象的 DAC 配置
通过在用户对象上配置 DAC,您可以控制对用户记录的访问权限,并屏蔽详细识别信息以限制用户的查看能力。使用此设置,在单个 Vault 中与合作伙伴组织合作的组织可以控制 Vault 向与不同的组织关联的用户显示用户信息的方式。
请了解有关用户对象的动态访问控制的更多信息。
查看记录共享设置
如果您有权查看一个对象记录,您可以从此记录的详细信息导航到它的共享设置页面。在此页面上,您可以查看应用于此记录的任何角色分配。