配置对象原子安全

通过对象原子安全配置,您可通过对象记录中的单个生命周期状态或所分配角色保护对象字段操作对象控制关系的安全。这可根据记录中的用户角色和记录状态授予具体字段、操作或关系的权限。

要配置原子安全设置,必须先向指定对象分配对象生命周期。原子安全设置不适用于拥有 Vault 所有者安全配置文件的用户。

对象类型原子安全

Vault 对所有对象类型的字段操作应用相同的原子安全设置。不能为特定对象类型应用原子安全设置。例如,当为市场活动对象上的审计结束日期将状态行为设置为读取时,Vault 会为审计结束日期字段的所有对象类型设置该相同权限。尽管 Vault 显示了与特定对象类型相关的字段或操作的值列表,但这仅用于筛选目的。

配置字段上的原子安全

字段上的原子安全允许您配置字段级安全设置,该设置因生命周期状态和角色而异。原子安全控制在给定状态下,对象记录的哪些字段为可编辑、只读或隐藏。

您也可以使用原子安全来定义默认状态行为。如果对象已(通过匹配自定义共享规则)启用记录级安全,则默认状态行为适用于该状态下的所有角色。您可以为特定应用程序角色定义覆盖。

例如,在 VeePharm eTMF Vault 中,里程碑对象使用草稿基线计划完成生命周期状态。对于大多数用户,实际开始日期结束日期字段在草稿基线生命周期状态下是不相关字段,在计划完成状态下是只读字段。为了防止用户查看这些字段,VeePharm 系统管理员 Gladys 在实际开始日期结束日期字段上配置了原子安全。通过她的配置,这些字段在记录处于草稿基线状态时保持隐藏,在处于计划完成状态时变为只读。Gladys 为计划状态配置了覆盖,此操作将为研究经理角色提供对实际开始日期结束日期字段的编辑访问权限。

行为选项

当设置一个默认并可覆盖行为时,你可看到以下选项:

  • 编辑:用户能查看字段标签并编辑字段值。这假设用户在安全配置文件级别对对象记录拥有编辑权限,且该对象记录可编辑(动态访问控制)。
  • 读取:用户能查看字段标签和值,但不能编辑值。例如,用户可以查看产品记录上的治疗领域字段,但不能更新字段值。
  • 隐藏:字段值不可见。在编辑记录时,也不会显示字段标签。

如何设置字段上的原子安全

要设置字段上的原子安全:

  1. 导航到管理 > 配置 >对象生命周期。单击一个生命周期,然后单击一个状态。
  2. 原子安全:字段节段中,单击编辑
  3. 状态行为选项列表中选择编辑(默认)、读取隐藏,以向各字段应用安全设置。
  4. 可选:单击 + 角色覆盖以添加应用程序角色,进而覆盖状态行为。此选项将向该页面添加所选角色。然后您可以为各操作选择不同行为。
  5. 单击保存使更改生效。

新建对象记录时,Vault 不会向记录分配生命周期状态和角色。但是,在入口状态配置的安全设置和所有者角色覆盖(如已定义)将在创建记录时自动应用。

限制

  • 用户仍然可以在用户界面使用 VQL 或分面搜索,搜索通过原子安全隐藏的字段值。搜索结果中不会显示字段值,但用户可以或多或少地确定字段值,方法是进行多次搜索,观察对象记录是否出现在结果中。使用原子安全隐藏字段并不能防止有恶意意图的用户猜测隐藏的字段值。
  • 审计跟踪显示在对象详细信息页面的操作菜单中,它不支持原子安全。当使用原子安全隐藏字段时,我们建议禁用对象记录审计权限,以防用户看到隐藏的字段值。

配置对象控制原子安全

使用对象控制上的原子安全,您可以细化控制用户是否可以根据生命周期状态和角色看到对象布局的某些 UI 元素。

如何设置对象控制上的原子安全

要设置字段上的原子安全:

  1. 导航到管理 > 配置 > 对象生命周期。单击一个生命周期,然后单击一个状态。
  2. 原子安全:控制节段中,单击编辑
  3. 状态行为选项列表中选择读取(默认)或隐藏、以向各控制应用安全设置。
  4. 可选:单击 + 角色覆盖以添加应用程序角色,进而覆盖状态行为。此选项将向该页面添加所选角色。然后您可以为各操作选择不同行为。
  5. 单击保存使更改生效。

配置用户和系统操作上的原子安全

原子安全让您能够按生命周期状态和角色控制哪些对象操作或生命周期操作对对象记录隐藏、可查看或可执行。通过原子安全配置的设置不能比用户通过安全配置文件提供更多的访问权限。例如,Tracy Lee 的安全配置文件不授予工作流 > 开始权限。如果她被分配一个应用程序角色,该角色拥有对发送质量审查执行权限,那么她仍然不能执行该操作,因为这会启动一个工作流。

当为对象上的用户操作定义原子安全时,必须先为每个生命周期状态定义一个默认访问级别。所有角色在每个状态下将获得对对象记录的相应访问级别。然后您可以为特定应用程序角色应用覆盖。例如,在 VeePharm 的 Quality Vault 中,质量事件生命周期使用已启动生命周期状态,该状态包含送请影响评估送请质量审查操作。尽管 VeePharm 可能希望让所有角色都能查看这些操作,但他们只希望让担任所有者角色的用户来执行各操作。为此,VeePharm 系统管理员在操作上配置原子安全,然后将状态行为设置为查看。接下来,他使用角色覆盖执行权限应用于各操作上的所有者角色。

行为选项

当设置一个默认并可覆盖行为时,你可看到以下选项:

  • 隐藏:操作对用户不可见,也不会显示在操作菜单中。
  • 查看:用户能在操作菜单中查看操作,但不能进行选择,因为操作显示为灰色。
  • 执行:用户能在操作菜单中查看和单击操作。

如何设置用户和系统操作上的原子安全

要设置用户和系统操作上的原子安全:

  1. 导航到管理 > 配置 >对象生命周期。单击一个生命周期,然后单击一个状态。
  2. 原子安全:操作节段中,单击编辑
  3. 状态行为选项列表中选择执行(默认)、查看隐藏,以向各操作应用安全设置。
  4. 可选:单击 + 角色覆盖以添加应用程序角色,进而覆盖状态行为。此选项将向该页面添加所选角色。然后您可以为各操作选择不同行为。
  5. 单击保存使更改生效。

配置活动工作流操作上的原子安全

“活动工作流”操作是指正在进行的工作流实例可采用的选项,例如,添加参与者取消工作流。默认情况下,在不使用对象原子安全的 Vault 中,对这些操作的访问被自动授予工作流所有者,也通过权限集授予。当您启用原子安全时,工作流所有者将继续有权访问这些操作,而无论权限集如何。

行为选项

当设置一个默认并可覆盖行为时,你可看到以下选项:

  • 执行:用户能查看和单击操作。
  • 隐藏:操作对用户不可见。

如何设置活动工作流操作上的原子安全

要设置活动工作流操作上的原子安全:

  1. 导航到管理 > 配置 >对象生命周期。单击一个生命周期,然后单击一个状态。
  2. 原子安全:操作节段中,单击编辑
  3. 状态行为选项列表中选择执行(默认)、查看隐藏,以向各操作应用安全设置。
  4. 可选:单击 + 角色覆盖以添加应用程序角色,进而覆盖状态行为。此选项将向该页面添加所选角色。然后您可以为各操作选择不同行为。

单击保存使更改生效。

配置关系上的原子安全

对象上的原子安全能让您控制何时可以根据对象生命周期状态和用户角色修改对象记录或文档上的入站关系。

关系上的原子安全控制哪些用户可以关联对象记录或文档。例如,VeePharm 的市场活动对象有一个文档字段拟议预算,该字段在特定市场活动(对象记录)与特定文档之间创建了关系。管理员可以配置原子安全,以使得在大多数生命周期状态下,只有担任市场活动协调者角色的用户可以编辑此关系(将市场活动链接到预算文档或取消链接),而且一旦记录进入已批准状态,即使是该角色也不能进行编辑。未担任市场活动协调者的角色将能查看与预算文档的关系,但不能移除关系或通过该关系链接其他文档。

您可以使用原子安全来定义对象或文档关系的默认状态行为。配置后,所有角色都默认能访问该特定状态下的对象关系。例如,在 VeePharm 的 Quality Vault 中,一旦投诉对象记录处于 CAPA 批准状态,用户就不应该分配新的调查或删除与该投诉有关的现有调查。为防止用户添加或移除相关调查记录,管理员使用原子安全将投诉调查对象之间的关系设置为读取。通过配置,该关系在 CAPA 已批准状态下为只读。

行为选项

当设置一个默认并可覆盖行为时,你可看到以下选项:

  • 编辑:用户能无限制地编辑关系。
  • 读取:关系为只读。用户不能将文档或相关记录与对象记录相关联,也不能移除现有关系。

如何启用对象到对象关系上的原子安全

对象到对象的关系是通过在对象的对象类型字段上配置原子安全来控制的。要启用对象到对象关系上的原子安全:

  1. 导航到管理 > 配置 > 对象 > [对象] > 关系
  2. 选择目标对象引用或父对象引用字段。
  3. 单击编辑
  4. 选中安全关系复选框。请注意,此选项仅在分配给生命周期的对象引用和父对象引用字段上可用。请注意,此复选框仅在被引用对象被分配到生命周期时才可选择。
  5. 单击保存,以使关系可通过对象的生命周期配置

如何启用文档到对象关系上的原子安全

文档到对象的关系是通过在对象类型文档字段上配置原子安全来控制的。要启用文档字段关系的对象类型上的原子安全:

  1. 导航到管理 > 配置 > 文档字段
  2. 单击文档字段的对象类型。
  3. 单击编辑
  4. 选中安全取决于已引用对象记录的状态和角色复选框。请注意,此复选框仅在被引用对象被分配到生命周期时才可选择
  5. 单击保存,以使关系可通过对象的生命周期配置

如何设置关系上的原子安全

要设置关系上的原子安全:

  1. 导航到管理 > 配置 >对象生命周期。单击一个生命周期,然后单击一个状态。
  2. 原子安全:关系节段中,单击编辑
  3. 状态行为选项列表中选择编辑(默认)或读取,以向各关系应用安全设置。
  4. 可选:单击 + 角色覆盖以添加应用程序角色,进而覆盖状态行为。此选项将向该页面添加所选角色。然后您可以为各操作选择不同行为。
  5. 单击保存使更改生效。

Vault 如何在关系上应用原子安全

记录到记录关系上的原子安全

  • 在创建和保存新记录时,Vault 会根据安全设置检查是否可以保存该记录。如果至少有一个对象引用引用了其中的关系有读取权限的记录,则用户无法创建新记录。保存时,Vault 使用安全的入站关系验证每个对象引用字段,并在验证失败的对象引用字段上显示内嵌错误消息。
  • 在编辑和保存具有编辑权限的对象引用字段的记录时,Vault 会根据入站关系原子安全验证是否可以重新分配被引用对象。
  • 如果对象上的相应入站关系具有读取权限,则用户无法内联编辑相关列表中的对象引用字段。
  • 如果对象记录至少有一个具有禁用权限的对象引用字段,则删除操作将对用户不可见。

文档到记录关系上的原子安全

  • Vault 在以下情况下遵循关系上的原子安全:从“文档信息”页面编辑文档字段时;删除文档或文档版本时;复制文档或对象记录时;编辑对象引用字段时。
  • 当您创建草稿时,Vault 会清除受原子安全保护的关系字段。
  • 关系上的原子安全不会阻止您对文档进行版本控制。