组是管理 Vault 中用户访问权限的关键。组只是一个被命名的用户列表,但是通过定义反映公司中团队和角色的组,并将这些组分配给文档角色,您可以更容易、更有效地管理文档访问。
在使用动态访问控制的 Vault 中,Vault 还会自动创建与一个生命周期角色和其他文档字段条件相对应的组。这些组叫作自动管理组。
访问组管理
您可以从管理 > 用户和组 > 组查看和管理组。但您必须拥有授予组权限的安全配置文件。
系统提供的组
每个 Vault 都有多个被指定为“系统提供”的组。Vault 在初始配置中包含了这些组,并根据标准安全配置文件自动更新组成员资格。当创建新用户或修改用户的安全配置文件时,系统管理的组将反映这些变化。不能删除这些组。
除了每个标准安全配置文件的组之外,Vault 还管理所有内部用户组。默认情况下,所有内部用户包括拥有安全配置文件文档用户、业务管理员、系统管理员和 Vault 所有者的用户。请注意,除非管理员修改系统提供的组所包含的安全配置文件,否则拥有自定义配置文件(而非标准配置文件)的用户不会被包括在任何系统提供的组中。只有拥有标准 Vault 所有者安全配置文件的用户才能编辑这些组,以便更改包含的安全配置文件。其他详细信息不可编辑。
经理组
当在 Vault 中启用经理组时,Vault 将创建系统管理的组,其中包括每个用户的直属经理。此字段使用用户对象记录上的经理字段。
示例
例如,Gladys 是一名经理。她的直接下属是 Carla 和 Cody。Gladys 也有自己的经理——Theresa。
经理组功能自动创建以下组:
- Carla – 经理:
- Gladys(直属经理)
- Cody – 经理:
- Gladys(直属经理)
- Gladys – 经理:
- Theresa(直属经理)
- Theresa – 经理:
- 没有组成员,因为 Theresa 的用户记录中没有“经理”选项
启用经理组
您可以通过从管理 > 安全设置 > 经理组中选择启用经理组来启用此功能。启用后,Vault 将为每个包含经理字段的用户记录自动创建经理组。这适用于 Vault 中已存在的用户记录和启用后创建的用户记录。修改用户记录上的经理字段会导致 Vault 调整受影响的经理组。
如果禁用经理组设置,Vault 将停用所有经理组并移除其中的所有成员。
使用经理组
当在适用的功能中选择用户的经理组时,它们将显示在用户下方,例如:
- 在手动分配过程中
- 向角色添加用户或组时
- 共享视图时
- 共享文档链接时
如果启用了选择工作流参与者时包含经理组选项,那么在分配工作流参与者时还会看到经理组。
注意:在组选择选项列表中,或在自定义共享规则中选择成员时,不会显示经理组。
自动管理组
自动管理组是动态访问控制的一项功能。一旦您开始创建用户角色设置记录,您将看到自动管理组。
这些组对应用户组设置记录,其中包括用户引用、生命周期角色引用和文档/对象字段引用。具有相同值的用户角色设置记录(用户引用除外)被归入同一组。下表显示了三条用户角色设置记录及其对应的组。
用户 | 角色 | 产品 | 国家/地区 | 自动管理组 |
Thomas Chung | 编辑者 | CholeCap | 美国 | CholeCap-美国-编辑者 |
Gladys Dunford | 编辑者 | CholeCap | 美国 | CholeCap-美国-编辑者 |
Tracy Lee | 编辑者 | CholeCap | — | CholeCap-编辑者 |
Vault 自动创建和填充这些组。当用户角色设置记录更改时,Vault 会检查是否需要新组,并立即重新分配用户。
编辑自动管理组
编辑这些组时,您只能启用和关闭允许配置中的选择设置。没有其他可编辑的选项。Vault 根据管理 > 设置 > 安全设置中指定的字段顺序自动分配组名。
在 DAC:运行时之外使用组
您可以为运行时任务选择这些组,例如,作为“作为链接发送”的收件人或工作流开始对话框中的任务被分配人。
在 DAC:配置之外使用组
允许配置中的选择设置控制您在设计和配置(例如配置字段级安全)过程中能否使用这些组。
如果一个组因为引用不再活动的选项列表值或对象记录而变得无效,您就不能在配置中选择该组。
以下配置选项不允许您选择自动管理组,因为它们是 DAC 前的访问控制模型的一部分:
- 文档生命周期角色配置中允许的用户/默认用户
- 文档类型配置中的查看者、编辑者和读者默认值
用户提供的组
许多组需要自定义组来管理其业务流程。在 Vault 中,可以手动分配或动态分配自定义组。手动分配是指管理员必须将单个用户分配到组中。
自动分配使用包含的安全配置文件设置来指定一个或多个与组对应的安全配置文件。Vault 自动使用拥有正确安全配置文件的用户填充这些组。例如,VPharm Internal 组包含的用户可能拥有标准配置文件文档用户和系统管理员,以及自定义配置文件 VPharm 业务管理员。
如果用户的安全配置文件更改或组包含的配置文件更改,Vault 会立即反映这些更改。
如何创建自定义组
要创建新的用户提供的组:
- 从组页面中,单击创建。
- 输入组名和(可选)描述。
- 可选:在包含的安全配置文件中选择一个或多个配置文件。Vault 会自动在组中包含拥有所选安全配置文件的任何用户。
- 可选:如下一节所述,启用仅允许在组成员之间授权访问选项。
- 单击保存。
- 打开成员标签页,然后单击编辑成员。
- 搜索用户,然后单击 + 图标以将用户添加到组中,或者单击 – 图标以移除用户。要在现有的组中进行搜索,请从选项列表中选择组。
- 完成后,单击关闭。
限制授权访问
要对组限制授权访问,必须先启用此功能,方法是在管理 > 常规设置页面选中仅允许在组成员之间授权访问复选框。
接下来,在配置自定义组以限制用户可以在 Vault 中选择的候选授权对象时,可以启用仅允许在组成员之间授权访问选项。启用此选项后,该组成员将只能向其他组成员授予访问权限。
Vault 筛选候选授权对象的方法如下:
- 用户必须是活动的
- 用户必须拥有允许作为授权对象权限
- 用户必须至少是一个共同活动组的成员。例如,如果用户 A 属于“美国医疗”用户组,而用户 B 属于“加拿大医疗”组,那么用户 A 和 B 都不能向对方授予访问权限。但是,用户 C 既是“美国医疗”组的成员,也是“加拿大医疗”组的成员,因此,用户 A 和 B 可以向用户 C 授予访问权限。
有关授权访问的默认访问权限的更多信息,请参阅关于权限集。
如何更改自定义组中的成员
此选项仅适用于用户提供的组。要更改组成员用户:
- 从组页面,单击要修改的组。
- 打开成员标签页。
- 单击将用户添加到组中。
- 在对话框中,搜索以查找要添加或移除的用户。单击 + 图标,将用户添加到组中,或者单击 – 图标,移除组中已有的用户。不能移除 Vault 根据安全配置文件自动包含的用户。
- 完成后,单击关闭。
拥有正确权限的管理员也可以从“用户”页面将单个用户添加到组中。
如何删除组
删除组将从 Vault 中移除它,并且无法撤销。如果组在文档上有任何角色或涉及到活动工作流,则不能删除它。如果还没有准备好永久删除组,但希望阻止用户选择该组,则可以禁用该组。此选项仅适用于用户提供的组。
要删除组:
- 从组页面,单击要删除的组。
- 在详细信息标签页上,单击删除。
- 单击对话框中的继续以确认。
如何禁用组
禁用组可阻止用户选择组,但不会影响组在其中已有角色的文档的活动工作流或共享设置。此选项仅适用于用户提供的组。要禁用组:
- 从组页面,单击要禁用的组。
- 在详细信息标签页上,单击编辑。
- 更改状态值。
- 单击保存。
组报告
生成组报告能让您轻松分析用户和组之间的关系。当审计、年度审查、核对和许多其他关键业务流程需要汇总数据以了解哪些用户属于哪些组时,生成组报告将很有用。
如何配置组报告
您可以像配置其他类型的报告一样配置组报告,但组报告需要使用成员资格对象。要配置组报告,请为主要报告对象选择用户或组。接下来,添加成员资格作为下级对象。Vault 将根据您选择的主要报告对象自动添加用户或组作为上级对象。有关配置报告类型的详细信息,请参阅配置报告类型。
报告查看者必须拥有“读取组成员资格”权限才能查看此类型的报告。